12月7日,由亞馬遜雲端科技AWS主導、CrossSpace社群支持的Web3開發者營在銅鑼灣舉辦。活動邀請了來自Web3安全、錢包、公鏈、雲端服務、交易所和投資機構的專家分享。 AWS一直關注並探索Web3產業的安全實踐,希望提升產業的安全認知,為Web3生態的發展奠定基礎。活動討論了Web3安全和技術發展,安全漏洞漏洞成為駭客攻擊重點,參與者分享了安全實踐和尖端技術的應用。另外,慢霧提出專案方需全方位提升安全能力,OKX錢包強調全端安全能力與尖端技術,Substrate框架為跨鏈互通性和安全性提供支援。 AWS則提供豐富的服務類別和進階安全性保護。
12月7日,由亞馬遜雲端科技Amazon Web Services (AWS)領導、CrossSpace社群獨家支援的Web3開發者營在AWS銅鑼灣活動現場舉辦。本次成功活動作為「Web3安全」系列研討會的離線分享環節,成功邀請到來自Web3安全、錢包、L1/L2公鏈、雲端服務、交易所和投資機構的專家及高階主管現場分享,為大家呈現了一場場乾貨充實及討論度較高的Web3安全會議。
作為全球雲端服務市場的領導企業,AWS一直關注並積極探索Web3產業的安全實踐。本次主導舉辦安全系列活動,AWS希望能協助提升產業從業人員對安全的認知,打造永續發展的Web3生態,為2024年各自的健康發展奠定基礎。參與本次安全主題研討會的專家和來自多個替代機構的專家,包括(排名不分下部):Beosin、Conflux、Hashkey交易所、 OKX錢包、 Polkadot 、Scroll 、慢霧、 SNZ Capital 和Taiko。
文章開頭,我們一起回顧本次活動的圓桌熱門話題。本次大會邀請Web3領先機構Taiko、Hashkey交易所、Beosin和SNZ Capital的高階主管和專家,暢聊他們的專案是如何實踐Web3安全使命的,我們也有幸聽到近期熱門L1/L2公鏈Conflux和Scroll在線下首次分享他們2024年的技術和生態發展路線。
左起:CrossSpace聯創與領導者Leon(主持)、SNZ Capital投資經理Michael、Taiko聯創及首席策略長Terence、Conflux首席技術長Ming Wu、Scroll亞太區負責成長人Marcus Liu、Hashkey交易所交易所產品總監Vincent Wong、Beosin安全研究員Eaton。
專案桌熱話:Web3應注意哪些安全事項?
Web3專案在發展過程中很容易盲目追求市場拓展而忽略基礎安全,今年多起大額鏈上資金被盜事件給Web3從業者敲響了安全的警鐘。作為一直深耕安全領域的Beosin,其安全研究員伊頓給專案方提出了這些建議:「專案在運作中需要學會利用人工智慧和稽核工具來加速審核過程並發現合約漏洞,從而節省稽核時間並解決團隊複雜的業務邏輯問題。在專案開發階段,團隊需要確保商業邏輯的準確性,並專注於測試和使用驅動測試的開發方法。同時,要嚴格處理整合第三方應用,以預防引入未知的安全漏洞。在專案後,強烈建議專案團隊聘請專業的審計團隊審計,幫助發現並解決潛在的漏洞,從而確保專案的安全性。”
SNZ Capital擁有豐富的Web3基礎設施和應用類專案投資經驗。其投資經理Michael也表達了SNZ投資組合公司安全性的重視:「安全性對SNZ來說至關重要,是我們投資策略中的一個重要因素為此,我們與安全公司建立了合作關係,為投資組合專案的開發團隊提供全方位的安全服務。除了基礎設施和中間件領域的安全管理外,我們還為這些公司提供升級管理服務,確保他們獲得我們熟悉的安全供應商的服務。我們要求投資組合的公司在其商業戰略中將安全放置於首要位置,了解安全審計的重要性,包括實時欺詐、漏洞監測以及評估等,確保安全設計。”
圓桌熱話:運作良好的Web3專案是如何進行安全實務的?
Taiko作為以太坊生態中成長迅速的開源ZK-rollup,透過其完全去中心化的架構和定時驗證者參與驗證來確保其安全性。 Taiko聯創和首席策略長Terence在圓桌會中表示:「Taiko是一個相當於以太坊的Rollup二層網絡,具有完全中心化的架構。其優勢包括去開源性、社區建設性和安全性,透過全球貢獻者的參與保證代碼的品質和安全性。Taiko一個測試網,測試網有10000多個提案和驗證者節點,這個數字未來持續增長。這意味著用戶消失了信任Taiko,我們沒有中心化的排序器,是我們區別於其他二層網路的地方的一個重要特點。”
Hashkey作為直接與投資用戶打交道的香港持牌虛擬資產交易所,近期不斷拓展其產品類別之一,如何確保客戶的信心和信賴,是其廢水考慮的命題。 「Hashkey交易所一直致力於嚴格遵守監管機構規定98%的資產被安全地存放在冷錢包中,而只有2%的資產被存放在熱錢包中,以確保資產的高度安全性。為了進一步保障投資者的權益,我們與保險公司,如AON 和OneDegree 建立了合作關係,為用戶提供額外的保險。」Hashkey交易所產品總監Vincent Wong 進一步分享表示:「Hashkey交易所從KYC 驗證開始,確保我們的客戶都是合法和真實的。同時,我們提供密碼提醒功能,並要求用戶定期修改密碼,以增強帳戶的安全性。另外,我們還會向客戶提供教育材料,邀請他們多學習、研究理解區塊鏈知識及相關設施。透過這些方式,我們希望能夠與客戶建立長期的信任和合作關係,確保他們在使用我們的平台進行交易時感到安全和受到保護。”
圓桌熱話:Layer1/2領先公鏈的技術發展與生態支持
作為Layer1的先行公鏈代表,Conflux近期公佈了2024年的開發者路線圖。首席技術長吳明在現場分享了Conflux計劃改善開發者體驗的幾個方向,包括積極尋找靈活的數據可用性(數據可用性)解決方案,使智能合約能夠與獨立的DA層高效進行交互,以實現大規模狀態的儲存和檢索;努力將人工智慧平台整合到Conflux並將其定位為激勵層;積極探索虛擬機架構,以提高可擴展性並拓展生態系統以及研究整合多方運算(MPC)以增強隱私保護和抗MEV能力等。吳明表示:“我們期待在未來幾年內,透過提昇系統性能適應更多的應用場景,使我們的技術更加成熟和實用。”
另一條近期上線主網的Layer2公鏈代表Scroll分享了近期的生態安全實踐。 Scroll亞太區成長負責人Marcus Liu表示:「在安全方面,Scroll亦開啟的安全來自我們的ZKP,利用ZK的數學原理保證了ZKEVM是安全可信的運行結果,並會上傳到ETH層鏈進行ZK證明的驗證。Scroll目前除了對合約以及電路有嚴格的所有審計之外,也開放了Bug賞金計劃,和社區的成員們一起以精神加強開源安全。路線圖中接下來對中心化去Prover以及中心化的Sequencer去達成也能增強Scroll中心化以及安全。”
當日活動,除了圓桌階段,AWS的【Web3道德駭客和最佳安全實踐】培訓,以及來自安全機構SlowMist、新一代公鏈Polkadot和Web3應用OKX錢包專家的干貨分享也值得回味。接下來,就讓我們透過記錄走近安全一線,了解安全風險類別、實用安全策略、應用端安全和生態開發安全等方面的知識與經驗。
智慧漏洞漏洞繼續霸榜成為2023前三駭客攻擊類別
智慧合約漏洞在2023 年繼續成為最常見的駭客攻擊類型之一。根據安全公司Beosin 今年季度的安全報告,智慧合約漏洞是排名第一的私鑰外洩和資料庫攻擊排名第三的攻擊類別。 “ 22次安全漏洞利用共造成損失約9327萬美元。而按照漏洞解讀,造成損失最多的為重入漏洞,安全漏洞事件裡82.8%的損失金額來自重入漏洞。”
AWS Web3解決方案架構師David Sung和龔濤在現場分享了智慧合約常見的三類駭客事件,其中就包含重入漏洞攻擊。在該類別攻擊中,攻擊者利用合約中的安全漏洞,在轉帳交易未完成之前反覆調用同一個函數,導致合約的資金被多次轉移或消耗。這種攻擊往往是合約的設計有缺陷,或是沒有採取足夠的防禦策略。由於重入攻擊對智能合約的安全性和穩定性構成了嚴重威脅,因此在開發智能合約時,防禦重入攻擊應被視為關鍵任務。
另外兩類較常見的攻擊方式包括委託呼叫攻擊、及整數溢位和下溢攻擊。委託呼叫攻擊是為了促進程式碼重用,EVM提供了一個操作碼DELEGATECALL,用於將被呼叫方契約的字節碼插入因此,惡意目標可能會直接修改(或損壞)呼叫方的狀態變數。溢位和下溢攻擊是當算術損壞的結果超出了Solidity資料類型的範圍時會發生的。發生的攻擊事件,首先導致其狀態訊號未經授權的。
如想了解如何應對駭客攻擊,可參考AWS【Web3道德駭客和最佳安全實務】安全實操價格,造訪相關專題頁面。
Web3專案運行前、中、後的安全策略
Web3專案從運作開始就需要重視潛在的安全風險,安全事件常發生在智慧合約、區塊鏈錢包和交易所。 SlowMist香港社區負責人Tony現場分享表示:「在面對區塊鏈的安全事件中,慢霧會從事件發生前、事件發生期間以及事件發生後三個階段來提供解決方案。」專案方可以根據自身的發展階段評估安全方面的潛在風險。
在安全事件發生之前,專案方就可以潛在的安全風險進行全方位的測試。在此階段,慢霧的紅隊測試(Red Teaming)能夠從企業人員、企業業務系統、企業供應鏈、企業辦公等方面幫助專案方系統、企業物理安全等真實漏洞進行潛在攻擊評估,提供客製化的安全防禦方案,優先保護容易遭受攻擊的節點,增加攻擊者的成本。
在安全事件發生過程中,專案方應加強鏈上鏈下的安全即時監測,與安全公司合作及時發現並應對潛在的安全威脅;在安全事件發生後,則應立即採取防禦行動,如利用SlowMist的緊急應變服務和鏈上鏈下追蹤調查服務等功能,及時發現攻擊,並找出事件發生的根本原因。
考慮到許多Web3專案團隊在程式碼設計階段就需要考慮安全性,不能只依靠安全公司的短期指導,而SlowMist在Github開源了其Web3專案實務要求,詳細列舉了在開發環境下需要關注的安全隱患。弱點完善將能有效激勵專案團隊根據Web3專案安全實務要求建立和自己的安全系統,並在安全審計後具備一定的安全能力。
慢霧呼籲專案方全方位提升安全能力
積極擁抱尖端技術,打造安全的Web3應用
隨著區塊鏈底層技術的成熟,越來越多的Web3介面應用接連出現,OKX錢包無疑是一款用戶體驗極佳的產品。作為直面終端用戶的應用程序,如何提升用戶體驗的同時保證用戶資金和資料安全嗎? OKX錢包的產品經理Darrel Wang現場分享他們的秘訣來自系統底層的安全加固、全端安全能力和積極擁抱前沿安全技術。以下展開分享:
首先,OKX錢包進行了系統級的加固,確保與用戶資產相關的產品具備金融機構層級的安全性。透過加強應用程式的安全性,努力防止駭客入侵,確保用戶在安全的環境中進行交易。
其次,OKX錢包注重全端的安全能力。從節點服務、區塊瀏覽器到用戶終端,完整的上下游服務能力,保障了產品在全流程的合規性和卓越的安全效能。主動風險提示功能,積極防範釣魚網站的出現,進一步保障了使用者的資產安全。
再次,OKX 錢包強調創新,並積極擁抱前沿技術。今年推出的基於帳戶抽象協定(EIP-4337)的智慧合約帳戶,可恢復的功能將大大提高錢包的安全管理能力;而其上線的MPC無私金鑰錢包,則利用多方安全運算技術,減少了單點故障造成的私鑰安全風險,讓用戶無畏私鑰遺失。
OKX錢包定位自身為科技公司,而不是金融公司。他們的目標從產品核心原則和技術角度出發解決問題,為使用者帶來安全、便利的數位交易體驗。
OKX錢包於2023年4月上線MPC無私錢包錢包
Substrate框架協助開發者打造更安全的區塊鏈
許多開發者對Substrate並不陌生,它是一個用於建立區塊鏈的開源的、標準化的和可擴展的區塊鏈開發框架。 Polkadot中繼鏈(Relay Chain)的底層區塊鏈框架使用Substrate 建構的。那麼,Substrate 是如何為該生態的開發者提供安全性呢? Polkadot生態的核心開發者Jimmy在活動中現場指出Substrate框架下,開發者可預先建構由Parity專業工程師提供的元件(Pallets),在運行時可升級、消耗鏈分叉,並由多個佇列機制供給選擇,實現了不同鏈間的互通性和安全性。
Jimmy進一步指出,Polkadot的核心目標是實現區塊鏈的跨鏈互通性和可擴展性。 Polkadot將不同的區塊鏈連接起來,使它們可以相互溝通和協調工作。這種架構允許不同的區域區塊鏈之間進行資料交易所和價值轉移,從而提高了整個網路的效率和可擴展性。其架構包括中繼鍊和平行鏈,其中中繼鏈負責驗證和安全性,平行鏈提供特定的功能。 ,Polkadot著眼於可擴展性、安全性和去中心化三個關鍵屬性之間的權衡,採用獨特的安全架構方法和橋接技術實現資產的轉移。
Polkadot核心構成組件,串聯鏈負責提供安全性
Web3專案方需開拓雲端服務基礎設施,關注服務類別、安全性與彈性
雲端服務是Web3極為重要的基礎設施,從交易所、公鏈到前端應用程序,都必須考慮雲端服務。對Web3專案來說,雲端服務平台的服務範圍、安全性和靈活性極為重要。 AWS在Web3描繪的是「家喻戶曉」的雲端服務新創時,在活動現場,AWS解決方案架構師David對這三個面向給予了回應。
從服務類別來看,AWS是全球廣為採用的雲端平台,提供超過200種功能豐富的服務,包括分佈在全球的資料中心,可滿足各類Web3公司獨特的基礎需求。 AWS服務了Web3的儲存設施專案中,包括大家最廣泛使用的七個AWS服務:EC2(Nitro Enclaves)、KMS/CloudHSM、API Gateway、S3、Elastic Block Store、Shield Advanced、WAF。
在安全性方面,AWS一直致力於為方提供安全、合規、治理等方面的服務。透過AWS Nitro系統,安全性在晶片層級內建項目,持續監視、保護和驗證實例硬件,最小化潛在的攻擊AWS 還支援比其他任何雲端成功更多的安全標準和認證。其中Nitro Enclaves 結合KMS/CloudHSM 為Web3 建構者提供了最佳的雲端私鑰安全管理方案並在業界被廣泛採用,Shield Advanced而WAF則為dApps、Node和各種Web3基礎設施層提供了安全防護。
在彈性方面,AWS在提供專案方多種服務類別的同時,也提供不同產品的定價選項,以協助他們優化成本。 David補充說:「我們提供廣泛的分析和機器學習服務選擇,基本功能滿足專案所有資料分析需求。從資料移動、資料儲存、大數據分析、日誌分析、串流分析、商業智慧和機器學習(ML )等等,同時我們讓大家靈活的選擇服務以降低成本。”
AWS 為Web3專案提供豐富的服務類別
如專案方需要了解如何在AWS建立安全的雲端應用程式和AWS提供的Web3生態支持,可點選了解更多。
以上即為此活動的精華乾貨內容分享,希望對Web3的建構者與開發者們有所啟發。我們由衷希望在業界弟兄姊妹不斷聚集的安全共識下,推動Web3生態能下一階段的快速成長,而CrossSpace將繼續聯合AWS、創建優質的安全公司和Web3生態參與者,為大家帶來更多分享活動。
資訊來源:0x資訊編譯自網際網路。版權歸作者CrossSpace所有,未經許可,不得轉載