在Web3領(lǐng)域，安全漏洞、黑客攻擊已愈發(fā)成為用戶和投資者重點(diǎn)關(guān)注的領(lǐng)域。如何保障加密資產(chǎn)的安全，Web3黑暗森林中又有哪些新的攻擊模式產(chǎn)生，SharkTeam將從一線進(jìn)行分享和討論。

我們先來看一下2023年1月到8月的安全事件數(shù)量和損失的數(shù)據(jù)統(tǒng)計(jì)。

由于熊市影響，加密領(lǐng)域的資產(chǎn)總量降低，因安全問題產(chǎn)生的損失同比去年下降了59%。但這并不代表Web3領(lǐng)域的安全環(huán)境在變好，相反我們看到今年1月到8月，安全事件的數(shù)量達(dá)到693次，同比去年增加了87%，平均每個(gè)月有近90起安全事件，其中頻率最高的是7月份，發(fā)生了187起安全事件。

目前，智能合約安全漏洞、Rug Pull、Web2類型的安全事件（釣魚攻擊、社會(huì)工程學(xué)）是Web3最主要的三大安全風(fēng)險(xiǎn)。

智能合約安全漏洞事件發(fā)生85起，其中47%是邏輯漏洞，主要原因是開發(fā)者安全意識薄弱，開發(fā)過程不夠嚴(yán)謹(jǐn)，引入計(jì)算錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等較低級的安全問題。此外，閃電貸攻擊、權(quán)限管理等常見合約漏洞仍占比較高，均超過10%?？傮w表明，項(xiàng)目方在進(jìn)行合約開發(fā)的過程中缺少必須的安全意識和技能，導(dǎo)致常見漏洞和初級問題不斷發(fā)生。

Rugpull欺詐事件數(shù)量呈快速增長趨勢，發(fā)生了110次。其中73%發(fā)生在BNBChain上，這與BNBChain上的交易成本低、用戶基數(shù)大以及新出現(xiàn)的Rugpull黑色產(chǎn)業(yè)鏈有直接關(guān)系。

Web2類型的安全事件也呈現(xiàn)高速增長的趨勢，這類釣魚攻擊、社會(huì)工程學(xué)等黑客攻擊手法在Web2時(shí)代已非常成熟，Web3項(xiàng)目方和機(jī)構(gòu)容易忽視，這類安全事件通常會(huì)竊取錢包賬戶授權(quán)或直接竊取助記詞、私鑰，盜取用戶加密資產(chǎn)。

那么，從Web3普通用戶的角度應(yīng)該如何提高自己的安全能力呢？

首先，就是要重視去中心化錢包、私鑰的安全，重視中心化交易賬戶和密碼的安全，重視設(shè)備、軟件、網(wǎng)絡(luò)環(huán)境的安全。

此外，為了防范Rugpull欺詐類項(xiàng)目，要注意避免投機(jī)、僥幸心理，客觀分析擬投資項(xiàng)目的基本面和數(shù)據(jù)表現(xiàn)，金融的本質(zhì)是風(fēng)控。

最后，時(shí)刻保持安全和防范意識，不要隨意點(diǎn)擊鏈接或隨意授權(quán)，防范熟人作案。

從Web3項(xiàng)目方和機(jī)構(gòu)角度，要保護(hù)好加密資產(chǎn)的安全需要做到如下幾個(gè)方面：

首先，在項(xiàng)目設(shè)計(jì)和開發(fā)階段，要有意識的引入威脅建模、安全編碼、安全測試的機(jī)制和服務(wù)，讓安全建設(shè)與業(yè)務(wù)開發(fā)同步進(jìn)行。

此外，在上線前不僅要進(jìn)行智能合約的安全審計(jì)，Web端、Api端、App端都需要進(jìn)行安全滲透測試，這些業(yè)務(wù)載體在黑客眼中都可能成為攻擊的突破口。

最后，在項(xiàng)目運(yùn)營期間就要建立明確的安全運(yùn)營機(jī)制，例如攻擊監(jiān)測、應(yīng)急響應(yīng)計(jì)劃等，在業(yè)務(wù)代碼需要升級時(shí)要重新進(jìn)行合約審計(jì)和滲透測試。在發(fā)生安全事件后，能第一時(shí)間感知到攻擊并快速做出響應(yīng)，及時(shí)對黑客進(jìn)行身份追蹤和資產(chǎn)凍結(jié)。

如上，是SharkTeam在Web3安全服務(wù)過程中總結(jié)的幾點(diǎn)基礎(chǔ)但有用的安全建設(shè)方案，希望對大家有幫助。但更重要的是，Web3的攻防實(shí)際上正在不斷升級，新的攻擊方式也在不斷出現(xiàn)，Web3黑暗森林在不斷進(jìn)化，面對這種情況，我們又該怎樣應(yīng)對呢？未知攻焉知防，我們先看兩個(gè)典型的例子。

RugPull工廠：在BNBChain上我們發(fā)現(xiàn)了多個(gè)Rugpull工廠，并已形成了新型的鏈上欺詐黑色產(chǎn)業(yè)鏈。欺詐團(tuán)隊(duì)分工明確：

（1）情報(bào)收集：專門負(fù)責(zé)收集行業(yè)里的熱門話題，例如近期熱門的Cyber、TIP、HTX等。

（2）自動(dòng)發(fā)幣：基于熱門事件，迅速發(fā)布同名Token，我們監(jiān)測到某個(gè)Rugpull工廠地址一個(gè)月可發(fā)布70至80個(gè)虛假Token。

（3）虛假交易量：欺詐團(tuán)伙對同名Token在鏈上進(jìn)行頻繁的買賣，制造交易量，提高隱蔽性，用戶難以分辨真?zhèn)巍?

（4）釣魚/資金盤：制作釣魚網(wǎng)站或土狗騙局，騙取用戶信任，獲得用戶授權(quán)或真實(shí)購買。

（5）收割：獲得授權(quán)或收益后，程序會(huì)自動(dòng)的將用戶資產(chǎn)進(jìn)行轉(zhuǎn)移或自動(dòng)Rugpull。

（6）布局：獲得的收益投入下一個(gè)Rugpull項(xiàng)目上，滾雪球一樣，越滾越大。

新型APT攻擊（Advanced Persistent Theft）：Web3黑暗森林中開始出現(xiàn)越來越多的高等級黑客，有些甚至是國家黑客。他們在Web3行業(yè)中獲得的資金會(huì)經(jīng)過一系列新型的洗錢模式變成現(xiàn)實(shí)資產(chǎn)，為后續(xù)不法行為提供資金。這一類黑客的資金轉(zhuǎn)移方式非常復(fù)雜和隱蔽，通常會(huì)經(jīng)過30至50個(gè)中間地址進(jìn)行中轉(zhuǎn)，并通過“混幣”或“套殼”的方式進(jìn)行洗錢，追蹤難度很大。

Web3 安全已進(jìn)入高等級、持續(xù)性的網(wǎng)絡(luò)對抗階段，那對于Rugpull工廠和新型APT攻擊的威脅，我們應(yīng)該如何應(yīng)對？

建立覆蓋事前-事中-事后的Web3安全防御體系，安全從來都是系統(tǒng)工程，是短板效益，一個(gè)地方出現(xiàn)問題整體就會(huì)被攻破。所以，我們需要建立立體式的安全防御體系，提高防御能力、提高攻擊感知能力、提高安全事件發(fā)生后的應(yīng)急響應(yīng)能力。

利用無限層級的深度圖分析引擎，結(jié)合億級的鏈上標(biāo)簽和名單數(shù)據(jù)，對高等級黑客進(jìn)行身份追蹤和資金追討。通過簡單易用的圖形化界面，降低使用門檻，讓更多的人可以進(jìn)行有效的鏈上分析，合力發(fā)現(xiàn)更多線索，在這一場Web3安全高等級對抗中爭取主動(dòng)。

SharkTeam的Web3安全服務(wù)矩陣如上

About Us

SharkTeam的愿景是保護(hù)Web3世界的安全。團(tuán)隊(duì)由來自世界各地的經(jīng)驗(yàn)豐富的安全專業(yè)人士和高級研究人員組成，精通區(qū)塊鏈和智能合約底層理論。提供包括鏈上大數(shù)據(jù)分析、鏈上風(fēng)險(xiǎn)預(yù)警、智能合約審計(jì)、加密資產(chǎn)追討等服務(wù)，并打造了鏈上大數(shù)據(jù)分析和風(fēng)險(xiǎn)預(yù)警平臺(tái)ChainAegis，平臺(tái)支持無限層級的深度圖分析，能有效對抗Web3世界的高級持續(xù)性盜竊(Advanced Persistent Theft，APT)風(fēng)險(xiǎn)。