預判攻擊者的預判，CertiK發動行動端保衛戰

夫如何

读者

2023-10-18 02:26

本文約2748字，閱讀全文需要約4分鐘

Web3安全巨頭的新思考。

原創- Odaily

作者- 夫如何

編輯- 郝方舟

近日，一則新聞在Web3產業內引起了關注：一家名為CertiK的安全審計公司發現了蘋果在行動端的安全漏洞，並因此獲得蘋果公開致謝。

根據蘋果官方安全更新頁面資訊顯示，CertiK 發現的這些漏洞，會影響核心、GPU 驅動程序和ProRes 驅動程序，並允許「一個應用程式以核心權限執行任意代碼」。換言之，用戶或許會失去保存在手機裡的錢包私鑰，對Web3用戶意味著什麼，令人細思。

蘋果隨即表示，已透過改進內存處理來解決這些漏洞。

據悉，先前CertiK 也曾發現韓國三星集團行動端的安全漏洞。

CertiK 是Web3產業內頗具口碑的頭部安全機構，但在Web2世界則鮮有人知，蘋果、三星這樣的Web2巨頭忽然與CertiK 的名字一起出現，令人不免好奇，這是否預言Web2與Web3兩個世界間的“破壁”，共同提升系統安全的新場景？

從科技應用發展史來看，使用者操作習慣必將從電腦端遷移到行動端。 Web2時代如是，Web3未來亦遵從這樣的規律。

而從安全審計角度來講，網路安全無界限，Web2和Web3的安全是相通。雖然兩者在細分領域的關注點不同，但去中心化產品服務的用戶、背後的協議依然重度依賴中心化的設備及系統。 Web2的風險防治同樣構成了Web3應用的安全底線。

正如CertiK 創始人兼CEO 顧榮輝所說：“如果預期未來Web3用戶出現巨量增長，那麼用戶的Web3應用一定會從移動設備Dapp 訪問。”

攻防複雜，風險蔓延

隨著Web3高速發展，惡意攻擊也越頻繁。根據DefiLlama 數據顯示，加密貨幣被盜總價值以超過70 億美元。

依事故對象，Web3風險可粗略分為以下三種：

● 專案自身機制安全問題：如智慧合約、 51% 攻擊、交易延展性攻擊、雙花攻擊和垃圾交易攻擊等自身機制漏洞造成的安全風險。圈內人記憶猶新的嚴重案例就有：Curve Vyper 編譯器中的潛在漏洞導致多個Curve 流動性池被攻擊，疊加創始人不健康的借貸倉位，從而引發一連串的清算危機。

● 生態系統安全問題：如交易所被竊、暴雷跑路、網站資料外洩、場外操縱、拒絕服務攻擊、交易地址篡改和礦池被攻擊等外在因素攻擊行為。近期案例有： 9 月的加密交易所CoinEx 熱錢包被盜7000 萬美元等。

● 客戶端安全問題：如帳號失竊、錢包失竊、欺詐，也包含用戶被釣魚和私鑰保管問題等自身產生的問題。 10 月12 日，前Alameda 工程師Adi (e/acc)在X 平台披露，某Alameda 交易員因進行DeFi 操作時點擊了釣魚鏈接，使Alameda 損失超1 億美元。

在上述案例，我們會發現，Web2中的安全隱患極易對Web3造成重大影響，且無法完全分割討論。

實際上，大家常用的Chrome 瀏覽器的歷次升級中，就包含排查各項漏洞的工作，Web3錢包等擴充功能一旦沒跟上「母體」的迭代，很容易遭受攻擊。

文初，CertiK 發現關於蘋果系統的多個行動漏洞；MacStealer、ShadowVault、AMOS 和Realst 等惡意軟件攻擊熱門加密錢包並竊取密鑰串數據庫；SeaFlower 則會分髮帶有後門的加密錢包應用程式版本，以竊取助記詞；CookieMiner 惡意軟件可以存取包含短信的iTunes 備份，取得繞過雙重認證所需的信息，進而訪問受害者的加密錢包並竊取加密貨幣。

魔高一尺，道高一丈

由於Web3安全風險日益嚴重，安全也成為了專案方永續發展的基石，除了自身提高風險意識，選擇可靠的安全審計公司也成為了做專案的標配。來自外部的審計報告既將項目安保交給“市場上更專精的角色”，頂級安全審計公司的背書也構成了項目面向用戶宣傳的一枚金牌。

在這樣的背景下，Web3安全審計公司從上一輪牛市開始快速發展，像CertiK、派盾和慢霧等公司逐漸走入大家視野。Web3安全審計公司的業務也逐漸延展，從合約開發到後期監控全流程對專案方把控風險。

以CertiK 為例，其為專案方和個人提供全流程的安全防護元件，包括Web3安全審計和滲透測試，以發現和解決風險隱患；Skylnsights、KYC 盡調、緊急事件回應和漏洞賞金計劃等措施，維護加密生態系統安全；以及Skynet 天網系統和諮詢服務等服務，建構一體化的Web3安全分析平台，幫助使用者規避風險並提升安全風險意識。

面對行動端日益猖獗的惡意活動，CertiK 針對iOS 系統對Web3錢包的開發也做出一定的舉措。在iOS 上，開發人員可以採取以下安全實踐來保護錢包應用程式：利用iOS 的安全功能、基於硬件的安全機制和App Attestation 等框架；遵循安全編碼準則，包括加密儲存和傳輸、輸入驗證和防禦性編程；實施雙重認證和生物識別技術；定期更新和修補應用；進行安全審計和漏洞掃描。

可見，CertiK 與時俱進，不斷提前發覺Web3安全隱患，以應對尚未發生的Web3惡意事件。

安全江湖，靜修內功

Web3作為一個新興產業，面對許多豺狼虎豹的侵擾，對安全審計公司的能力要求也越來越高。上一輪牛市間，專案數井噴式成長，能夠肩負起Web3安全重任的第三方公司鳳毛麟角。

信任度是專案方和加密企業選擇Web3安全審計公司最重要的考量。

拆解信任的來源，自離不開第三方安全機構的業務實力、產品覆蓋全面性、服務深度、業界長期口碑等。

根據官網，CertiK 從2018 年成立至今，共合作4,100 多家企業客戶，發現了近7 萬個區塊鏈代碼相關漏洞，直接或間接保護了超過3,600 億美元的數字資產。

自2021 年起，CertiK 業務飛速發展，實現了近13 倍的收入成長、 3,320 倍的利潤成長，以及4 倍的員工人數成長。雖然歷經熊市，但公司業務在劇烈動蕩的市場環境中展現了極強的抗週期性。

反映在市場佔有率上，CoinMarketCap 數據顯示，在使用第三方安全審計的區塊鏈項目中，CertiK 的市場份額超過70% 。

從團隊背景來講，兩位創始人是耶魯大學和哥倫比亞大學的教授，其中顧榮輝因在系統安全領域的貢獻，獲得了亞馬遜研究獎、OSDI Jay Lepreau 最佳論文獎、SOSP 最佳論文獎、 CACM （國際電腦協會）Research Highlights 獎、VMware 系統研究獎等眾多獎項。同時，顧榮輝也是新加坡金管局國際技術諮詢委員會委員和香港Web 3.0 發展專責小組成員。

從融資背景來講，CertiK 受到幣安、Coinbase 等Web3「大廠」的認可，也得到高盛、紅杉資本、Tiger Global 等傳統機構的支持，一躍成為估值20 億美元的Web3安全審計公司。