Đoán trước dự đoán của kẻ tấn công, CertiK ra mắt trận chiến phòng thủ di động

Bản gốc - Odaily

Tác giả - Chồng Thế Nào

Biên tập - Hác Phương Châu

Gần đây, một tin tức đã thu hút sự chú ý trong ngành Web3: một công ty có tênCertiKMột công ty kiểm toán bảo mật đã phát hiện ra các lỗ hổng bảo mật của Apple trên khía cạnh di động và nhận được lời cảm ơn công khai từ Apple.

Theo thông tin trên trang cập nhật bảo mật chính thức của Apple, các lỗ hổng được CertiK phát hiện ảnh hưởng đến kernel, trình điều khiển GPU và trình điều khiển ProRes và cho phép một ứng dụng thực thi mã tùy ý với đặc quyền kernel. Nói cách khác, người dùng có thể mất khóa riêng của ví được lưu trong điện thoại di động của họ. Điều này có nghĩa là gì đối với người dùng Web3 là điều rất đáng sợ khi nghĩ đến.

Apple ngay lập tức cho biết họ đã giải quyết các lỗ hổng thông qua việc cải thiện khả năng xử lý bộ nhớ.

Được biết, CertiK trước đây đã phát hiện ra các lỗ hổng bảo mật trong thiết bị đầu cuối di động của Tập đoàn Samsung của Hàn Quốc.

CertiK là tổ chức đứng đầu về bảo mật nổi tiếng trong ngành Web3 nhưng ít người biết đến trong thế giới Web2, những ông lớn Web2 như Apple, Samsung bất ngờ xuất hiện cùng với cái tên CertiK khiến mọi người tò mò liệu điều này có dự đoán được hai mặt của Web2 hay không. và Web3. “Phá vỡ bức tường” giữa các thế giới, kịch bản mới để cùng nhau nâng cao an ninh hệ thống?

Xét theo lịch sử phát triển ứng dụng công nghệ, thói quen thao tác của người dùng chắc chắn sẽ chuyển từ máy tính sang thiết bị đầu cuối di động. Đây là trường hợp của thời đại Web2 và Web3 cũng sẽ đi theo mô hình này trong tương lai.

Từ góc độ kiểm tra bảo mật, bảo mật mạng không có ranh giới và bảo mật của Web2 và Web3 là như nhau. Mặc dù cả hai có trọng tâm khác nhau trong các phân khu, nhưng người dùng dịch vụ sản phẩm phi tập trung và các giao thức đằng sau chúng vẫn phụ thuộc nhiều vào các hệ thống và thiết bị tập trung. Việc ngăn ngừa và kiểm soát rủi ro của Web2 cũng là điểm mấu chốt về bảo mật của các ứng dụng Web3.

Như người sáng lập và Giám đốc điều hành CertiK Gu Ronghui đã nói: Nếu dự kiến ​​​​sẽ có sự tăng trưởng lớn về số lượng người dùng Web3 trong tương lai, thì các ứng dụng Web3 của người dùng chắc chắn sẽ được truy cập từ Dapp di động.

Tấn công và phòng thủ rất phức tạp và rủi ro lan rộng

Với sự phát triển nhanh chóng của Web3, các cuộc tấn công độc hại đã trở nên thường xuyên hơn. dựa theoHiển thị dữ liệu DefiLlama, tổng giá trị tiền điện tử bị đánh cắp đã vượt quá 7 tỷ USD.

Theo đối tượng sự cố, rủi ro Web3 có thể được chia đại khái thành ba loại sau:

● Vấn đề bảo mật cơ chế riêng của dự án: Rủi ro bảo mật gây ra bởi các lỗ hổng trong cơ chế riêng của nó như hợp đồng thông minh, tấn công 51%, tấn công linh hoạt giao dịch, tấn công chi tiêu gấp đôi và tấn công giao dịch spam. Một trường hợp nghiêm trọng vẫn còn mới mẻ trong tâm trí người trong cuộc là: một lỗ hổng tiềm ẩn trong trình biên dịch Curve Vyper đã khiến nhiều nhóm thanh khoản của Curve bị tấn công, chồng lên các vị thế cho vay không lành mạnh của người sáng lập, do đó gây ra một loạt khủng hoảng thanh lý.

● Vấn đề an ninh hệ sinh thái: Các cuộc tấn công bởi các yếu tố bên ngoài như trộm cắp sàn giao dịch, giông bão, rò rỉ dữ liệu trang web, thao túng bên ngoài trang web, tấn công từ chối dịch vụ, giả mạo địa chỉ giao dịch và tấn công nhóm khai thác. Các trường hợp gần đây bao gồm: 70 triệu USD đã bị đánh cắp từ ví nóng của sàn giao dịch tiền điện tử CoinEx vào tháng 9.

● Vấn đề bảo mật của khách hàng: Chẳng hạn như trộm tài khoản, trộm ví, gian lận, cũng như các vấn đề tự tạo ra như lừa đảo người dùng và vấn đề lưu trữ khóa riêng. Vào ngày 12 tháng 10, cựu kỹ sư Alameda Adi (e/acc) tiết lộ trên nền tảng X rằng một nhà giao dịch Alameda đã nhấp vào liên kết lừa đảo trong khi thực hiện các hoạt động DeFi, khiến Alameda mất hơn 100 triệu USD.

Trong trường hợp trên, chúng ta sẽ thấy rằng các rủi ro bảo mật trong Web2 có thể dễ dàng tác động lớn đến Web3 và không thể tách rời cuộc thảo luận hoàn toàn.

Trên thực tế, các bản nâng cấp trước đây của trình duyệt Chrome thường được sử dụng bao gồm công việc khắc phục các lỗ hổng khác nhau, một khi các tiện ích mở rộng như ví Web3 không theo kịp sự lặp lại của mẹ, chúng sẽ dễ bị tấn công.

Ở đầu bài viết, CertiK đã phát hiện nhiều lỗ hổng di động trong hệ thống Apple; các phần mềm độc hại như MacStealer, ShadowVault, AMOS và Realst đã tấn công các ví mã hóa phổ biến và đánh cắp cơ sở dữ liệu móc khóa; SeaFlow phân phối các phiên bản ứng dụng ví mã hóa có cửa hậu để Đánh cắp cụm từ ghi nhớ; Phần mềm độc hại CookieMiner có thể truy cập vào bản sao lưu iTunes chứa tin nhắn văn bản, lấy thông tin cần thiết để vượt qua xác thực hai yếu tố, từ đó truy cập vào ví tiền điện tử của nạn nhân và đánh cắp tiền điện tử.

Luôn có những người giỏi hơn bạn

Khi các rủi ro bảo mật Web3 ngày càng trở nên nghiêm trọng, bảo mật đã trở thành nền tảng cho sự phát triển bền vững của các bên tham gia dự án, ngoài việc nâng cao nhận thức về rủi ro của bản thân, việc lựa chọn một công ty kiểm toán bảo mật đáng tin cậy cũng trở thành yêu cầu tiêu chuẩn cho các dự án. Báo cáo kiểm toán bên ngoài không chỉ trao bảo mật dự án cho vai trò chuyên biệt hơn trên thị trường, mà sự chứng thực từ một công ty kiểm toán bảo mật hàng đầu cũng tạo thành huy chương vàng trong việc quảng bá dự án tới người dùng.

Trong bối cảnh này, các công ty kiểm tra bảo mật Web3 đã phát triển nhanh chóng kể từ thị trường tăng trưởng vừa qua và các công ty như CertiK, Paidun và SlowMist đã dần lọt vào tầm nhìn của mọi người.Hoạt động kinh doanh của Công ty Kiểm toán Bảo mật Web3 cũng dần được mở rộng và kiểm soát rủi ro cho phía dự án trong toàn bộ quá trình từ phát triển hợp đồng đến giám sát sau.

Lấy CertiK làm ví dụ, nó cung cấp cho các bên dự án và cá nhân các thành phần bảo vệ an ninh toàn quy trình, bao gồm kiểm tra bảo mật Web3 và thử nghiệm thâm nhập để phát hiện và giải quyết các mối nguy rủi ro; Skylnsights, thẩm định KYC, ứng phó sự cố khẩn cấp và các chương trình thưởng lỗi cũng như các biện pháp khác , duy trì tính bảo mật của hệ sinh thái mã hóa và cung cấp các dịch vụ như hệ thống Skynet và dịch vụ tư vấn xây dựng nền tảng phân tích bảo mật Web3 tích hợp giúp người dùng tránh rủi ro và nâng cao nhận thức về rủi ro bảo mật.

Trước các hoạt động độc hại ngày càng tràn lan trên thiết bị đầu cuối di động, CertiK cũng đã thực hiện một số biện pháp nhất định để phát triển ví Web3 cho hệ thống iOS.Trên iOS, nhà phát triển có thể áp dụng các biện pháp bảo mật sau để bảo vệ ứng dụng ví: Tận dụng các tính năng bảo mật của iOS, cơ chế và khung bảo mật dựa trên phần cứng như Chứng thực ứng dụng; Thực hiện theo các nguyên tắc mã hóa an toàn, bao gồm lưu trữ và truyền tải được mã hóa, xác thực đầu vào và lập trình bảo vệ ; triển khai xác thực hai yếu tố và sinh trắc học; thường xuyên cập nhật và vá lỗi ứng dụng; tiến hành kiểm tra bảo mật và quét lỗ hổng.

Có thể thấy, CertiK đang tiến bộ theo thời đại và không ngừng phát hiện trước các nguy cơ bảo mật Web3 để xử lý các sự cố độc hại Web3 chưa xảy ra.

Bình an trần gian, lặng lẽ rèn luyện nội lực

Là một ngành công nghiệp mới nổi, Web3 đang phải đối mặt với sự xâm nhập của nhiều con hổ và chó rừng, đồng thời yêu cầu về năng lực của các công ty kiểm toán bảo mật ngày càng cao. Trong thị trường tăng giá vừa qua, số lượng dự án đã tăng theo cấp số nhân và có rất ít công ty bên thứ ba có khả năng gánh vác trách nhiệm nặng nề về bảo mật Web3.

Sự tin cậy là yếu tố quan trọng nhất mà các bên tham gia dự án và các công ty mã hóa cần cân nhắc khi lựa chọn các công ty kiểm tra bảo mật Web3.

Việc dỡ bỏ nguồn gốc niềm tin không thể tách rời khỏi sức mạnh kinh doanh, phạm vi sản phẩm toàn diện, chiều sâu dịch vụ và danh tiếng lâu dài trong ngành của các cơ quan bảo mật bên thứ ba.

Theo trang web chính thức, kể từ khi thành lập vào năm 2018, CertiK đã hợp tác với hơn 4.100 khách hàng doanh nghiệp, phát hiện gần 70.000 lỗ hổng liên quan đến mã blockchain và bảo vệ trực tiếp hoặc gián tiếp hơn 360 tỷ USD tài sản kỹ thuật số.

Kể từ năm 2021, hoạt động kinh doanh của CertiK đã phát triển nhanh chóng, đạt mức tăng trưởng doanh thu gần 13 lần, lợi nhuận tăng trưởng gấp 3320 lần và số lượng nhân viên gấp 4 lần. Mặc dù đã trải qua một thị trường giá xuống nhưng hoạt động kinh doanh của công ty đã thể hiện tính kháng chu kỳ mạnh mẽ trong môi trường thị trường hỗn loạn dữ dội.

Được phản ánh qua thị phần, dữ liệu của CoinMarketCap cho thấy thị phần của CertiK vượt quá 70% trong số các dự án blockchain sử dụng kiểm toán bảo mật của bên thứ ba.

Về nền tảng nhóm, hai nhà sáng lập đều là giáo sư tại Đại học Yale và Đại học Columbia. Trong số đó, Gu Ronghui đã giành được Giải thưởng Nghiên cứu Amazon, Giải thưởng Bài báo hay nhất OSDI Jay Lepreau, Giải thưởng Bài báo hay nhất SOSP và CACM vì những đóng góp của ông trong lĩnh vực (Hiệp hội máy tính quốc tế) Giải thưởng nghiên cứu nổi bật, Giải thưởng nghiên cứu hệ thống VMware và nhiều giải thưởng khác. Đồng thời, Gu Ronghui cũng là thành viên của Ủy ban Cố vấn Kỹ thuật Quốc tế của Cơ quan Tiền tệ Singapore và là thành viên của Lực lượng Đặc nhiệm Phát triển Web 3.0 Hồng Kông.

Về nền tảng tài chính, CertiK đã được các ông lớn Web3 như Binance và Coinbase công nhận, đồng thời cũng được hỗ trợ bởi các tổ chức truyền thống như Goldman Sachs, Sequoia Capital và Tiger Global. Nó đã trở thành một công ty kiểm toán bảo mật Web3 có giá trị ở mức 2 tỷ USD. .

Đến năm nay, CertiK không chỉ hài lòng với việc chiếm vị trí dẫn đầu trên thị trường chứng khoán mà còn thường xuyên giúp đỡ các ông lớn công nghệ như Apple, Samsung nâng cao tính bảo mật của hệ thống đầu cuối. Với tầm nhìn phát triển trong tương lai, CertiK đã mở rộng phạm vi kinh doanh của mình sang thiết bị đầu cuối di động, điểm đột phá cho việc áp dụng Web3 trên quy mô lớn.

Bảo vệ ngành và là người đầu tiên triển khai

Khi gã khổng lồ trong ngành CertiK bắt đầu triển khai giải pháp bảo vệ an ninh di động, đó không chỉ là sự mở rộng kinh doanh mà còn là sự đánh giá của người sáng lập về xu hướng mới của Web3.Gu Ronghui nói với Odaily rằng sự cạnh tranh trong ngành kiểm toán bảo mật ngày càng trở nên khốc liệt và CertiK cần tung ra các sản phẩm có lợi thế cạnh tranh khác biệt để nắm bắt cơ hội và phục vụ thị trường rộng lớn hơn trong tương lai.

Sau khi trải qua đợt thị trường tăng giá vừa qua, các phương tiện hỗ trợ cơ bản của Web3 ngày càng hoàn thiện hơn, do đó, ngày càng có nhiều nhà xây dựng xuất hiện trong đợt thị trường gấu này và họ đang tập trung nhiều hơn vào lớp ứng dụng.Giai điệu chính của Web3 cũng đã chuyển từ cuộc chiến sinh thái trên thị trường chứng khoán sang cuộc chiến ứng dụng lấy việc áp dụng quy mô lớn làm cốt lõi.

Từ quan điểm của chính Web3, các Dapp được áp dụng trên quy mô lớn có thể kết hợp và phức tạp trong sản phẩm. Nhiều hệ sinh thái chéo, nhiều giao thức chéo, nhiều lớp và nhiều miền mang đến những rủi ro khó ngăn chặn hơn.

Từ góc độ của Web2, thiết bị đầu cuối di động hiện đang phụ thuộc vào các nhà cung cấp dịch vụ hệ thống như Apple và Android. Rủi ro hệ thống Web2 có thể gây ra rủi ro lớn hơn cho các dự án Web3 và người dùng trên thiết bị đầu cuối di động.

Cuộc chiến giữa ánh sáng và bóng tối là đây, dù là rủi ro hệ thống của thiết bị đầu cuối Web2 hay hộp đen của ứng dụng Web3, chúng đều là những rủi ro bảo mật tiềm ẩn.Tuy nhiên, CertiK, tuân thủ nguyên tắc bảo vệ thế giới Web3, đã tập trung vào ứng dụng di động Web3 từ lâu, hàng rào bảo mật của thiết bị đầu cuối di động đã được triển khai đầu tiên và đã giành được sự công nhận của thị trường phổ thông ... Điều này có thể mở ra sự phát triển của các công ty kiểm toán bảo mật trong lĩnh vực Web3.