a16z：Web3 的 6 大攻擊類型和經驗教訓_FTX:APT

web3的安全性在很大程度上取決于區塊鏈做出承諾的特殊能力和對人類干預的彈性。但相關的最終性特征--交易通常是不可逆的--使這些軟件控制的網絡成為攻擊者的誘人目標。事實上，隨著區塊鏈--作為web3基礎的分布式計算機網絡--及其伴隨的技術和應用不斷積累價值，它們成為了攻擊者越來越垂涎的目標。

盡管web3與早期的互聯網不同，但我們已經觀察到了與以前的軟件安全趨勢的共同之處。在許多情況下，最大的問題仍然和以前一樣。通過研究這些領域，防御者--無論是建設者、安全團隊，還是日常的加密用戶--可以更好地保護他們自己、項目和錢包免受潛在黑客的侵害。下面我們將介紹一些共同的主題和基于我們經驗的預測。

追逐金錢

攻擊者通常以投資回報最大化為目標。他們可以花費更多的時間和精力來攻擊具有更多“總價值鎖定”的協議，因為潛在的回報更大。

資源最豐富的黑客組織更經常地攻擊高價值系統。最具價值的新型攻擊也更頻繁地瞄準這些有價值的目標。

低成本攻擊--如網絡釣魚--永遠不會消失，而且我們預計在可預見的未來，它們會變得更加普遍。

彌補漏洞

隨著開發人員從經過驗證的攻擊中學習，他們可能會改善Web3軟件的狀態，使其變得“默認安全”。通常情況下，這涉及到收緊應用程序接口，或API，使人們更難錯誤引入漏洞。

a16z合伙人Chris Dixon：因投資Coinbase而未投資FTX，離岸交易所不受監管本身就是隱患:12月19日消息，a16z 合伙人 Chris Dixon 近日在 The Block 的播客 The Scoop 中談到為什么 a16z 從未投資過 FTX等話題。主持人問 Chris Dixon躲過 FTX 是技巧還是運氣，對此，Chris Dixon 表示，自己只和 SBF 在線上會議上有過對談，并無深交。之所以沒有投資 FTX 主要是因為投資了 Coinbase，而和 Coinbase 合作的經驗告訴他，合規、安全要比靈魂和創新更重要，所以，FTX 這種離岸加密交易所不受監管本身就是一種隱患。

為什么 FTX、Phoenix 等交易所會選擇將總部設立在巴哈馬群島？誰來審計他們？Chris Dixon 說道，沒有投資 FTX 并非完全出于運氣，a16z 在投資領域積累了十多年的經驗，會在投資前做大量的工作，并且認真思考什么是真正的技術創新。[2022/12/19 21:54:14]

雖然安全問題始終是一項進展中的工作--而且可以肯定的是，沒有什么東西是可以防黑客的--但防御者和開發者可以通過消除攻擊者容易實現的目標來提高攻擊成本。

隨著安全實踐的改進和工具的成熟，以下攻擊的成功率可能會大幅下降：治理攻擊、價格預言機操縱和重入錯誤。。

無法確保“完美”安全性的平臺將不得不使用漏洞緩解措施來降低損失的可能性。這可以通過減少其成本效益分析的“好處”或上行部分來阻止攻擊者。

a16z： NFT最適合走cc0路線 ，利于打造更有活力的社區:8月4日消息，a16z近日發文稱，NFT 項目在開發和建設知識產權時可以采取許多策略，但cc0 （Creative Commons Zero）目前最適合于 NFT 項目，它與開源軟件一樣，為豐富、擴展的生態系統創造了潛力。

文章稱， cc0 許可讓創作者更容易“抓住生產的文化基因”，無論原始創建者的持續參與程度如何，cc0 許可都可以使強大的社區以為所有成員提供價值的方式共同創造，促進原始項目的擴展，以打造一個更有活力和參與度的社區。這與加密文化中開放共享以及共建社區的理念一致。

隨著越來越多的開發者進入這個領域，有抱負的 NFT 項目可能會找到更具創造性和基礎設施的方法來構建“樂高”，用于cc0項目和其他項目。（a16zcrypto.com）[2022/8/4 2:58:22]

對攻擊進行分類

對不同系統的攻擊可以根據其共同特征進行分類。定義的特征包括攻擊的復雜程度，攻擊的自動化程度，以及可以采取什么預防措施來防御它們。

以下是我們在過去一年最大的黑客攻擊中看到的攻擊類型的一個非詳盡的列表。此外，還囊括了我們對當今威脅形勢的觀察，以及我們對web3安全未來發展的期望。

APT：頂級掠食者

a16z報告：加密驅動的 Web3 可能是十年來最好的機會之一:金色財經報道，加密風險投資公司 Andreessen Horowitz (a16z) 發布一份報告。該報告重申了該公司對 Web3 的樂觀看法，預計該行業將出現長期增長。a16z將報告要是關于 Web3 和以太坊的狀態。這家風險投資巨頭將最近的市場拋售歸因于季節性低迷的可能跡象，同時堅稱加密驅動的 Web3 可能是十年來最好的機會之一。

該公司認為，Web3 提供的經濟條款比 Meta 等 Web2 巨頭要公平得多。根據其數據，2021 年，基于以太坊的 NFT 的初級銷售加上 OpenSea 二級銷售支付給創作者的版稅總計 39 億美元，是 Meta 到 2022 年獎勵其創作者的四倍。

除了將 DeFi 視為傳統金融業的顛覆者之外，a16z 還將 Flowcarbon、Helium 和 Spruce 等區塊鏈項目確定為通過利用 DLT 在隱私、透明度和去中心化方面的優勢來解決重大現實世界問題的有力候選者。[2022/5/22 3:33:29]

專家對手，通常被稱為高級持續性威脅，是安全領域的惡魔。他們的動機和能力千差萬別，但他們往往很有錢，而且正如其名稱所暗示的那樣，具有持久性；不幸的是，他們很可能會一直存在。不同的APTs運行許多不同類型的操作，但這些威脅行為者往往最可能直接攻擊公司的網絡層以實現其目標。

我們知道一些先進的團體正在積極針對web3項目，我們懷疑還有一些人尚未被發現。最令人關注的APTs背后的人往往居住在與美國和歐盟沒有引渡條約的地方，使他們更難因其活動而被起訴。最知名的APTs之一是Lazarus，這是一個朝鮮團體，聯邦調查局最近認為它進行了迄今為止最大的加密黑客攻擊。

Web3初創公司Loop完成400萬美元種子輪融資，a16z領投:金色財經消息，專注于加密定期支付服務的Web3初創公司Loop宣布完成400萬美元種子輪融資，本輪融資由a16z領投，A_capital、Alchemy Ventures、CoinList等參投，天使投資人包括Pantera Capital的合伙人Paul Veradittakit、Nansen首席執行官Alex Svanevik等。

Loop是一家專注于為開發員工（或DAO成員）定期支付薪水和其他定期支付服務解決方案的Web3初創公司，該公司旨在解決這一痛點，并推動Web3的普及和發展。(CoinDesk)[2022/4/14 14:23:13]

例子：

Ronin驗證器黑客

概況

誰：民族國家、資金雄厚的犯罪組織和其他先進的有組織團體。例子包括Ronin黑客。

復雜程度：高。

自動化程度：低。

對未來的期望：只要APT能夠使其活動盈利或達到各種目的，他們就會繼續活躍。

針對用戶的網絡釣魚：社會工程師

網絡釣魚是一個眾所周知、無處不在的問題。釣魚者試圖通過各種渠道發送誘餌信息來誘捕他們的獵物，包括即時通訊工具、電子郵件、Twitter、Telegram、Discord和被黑的網站。如果你瀏覽你的垃圾郵件信箱，你可能會看到數以百計封郵件，誘使你泄露信息，如密碼，或竊取你的金錢。

a16z將Autonomous Partners創始人提升為加密基金普通合伙人:金色財經報道，據官方消息，Andreessen Horowitz（a16z）宣布將Autonomous Partners創始人Arianna Simpson提升為其最新的加密基金普通合伙人。

此前消息，自3月起，Simpson作為交易合伙人加入Andreessen Horowitz（a16z）加密團隊。[2021/7/20 1:03:29]

現在，web3允許人們直接交易資產，如代幣或NFT，且幾乎是即時的最終結果，網絡釣魚活動正在針對web3用戶。這些攻擊是沒有什么知識或技術專長的人竊取加密貨幣牟利的最簡單方法。即便如此，它們仍然是有組織的團體追求高價值目標的重要方法，或者是高級團體通過網站接管等方式發動廣泛的、消耗錢包的攻擊。

例子

直接針對用戶的?OpenSea網絡釣魚活動

BadgerDAO網絡釣魚攻擊

概況

誰：任何人，從腳本新手到有組織的團體。

復雜程度：中低。

自動化程度：中高。

對未來的期望：網絡釣魚很簡單，而且網絡釣魚者傾向于適應--并繞過--最新的防御系統，因此我們預計這些攻擊的發生率會上升。用戶可以通過加強教育和意識、更好的過濾、改進的警告標語和更強大的錢包控制來更好的防御攻擊。

供應鏈的脆弱性：最薄弱的一環

當汽車制造商發現車輛中存在有缺陷的部件時，他們會發布安全召回；這在軟件供應鏈中也是一樣的。

第三方軟件庫會引入巨大的攻擊面。在web3之前，這早已是整個系統的安全挑戰，例如去年12月的log4j漏洞，影響了大規模的網絡服務器軟件。攻擊者會在互聯網上掃描已知的漏洞，找到他們可以利用的未修補的問題。

導入的代碼可能不是你自己的工程團隊寫的，但它的維護是至關重要的。團隊必須監控其軟件的組成部分是否存在漏洞，確保部署更新，并隨時了解他們所依賴的項目的勢頭和健康狀況。利用web3軟件漏洞的真實和即時成本使得負責任地將這些問題傳達給用戶成為一種挑戰。關于團隊如何或在哪里以一種不會意外地將用戶資金置于風險中的方式相互交流這些信息，目前還沒有定論。

例子

Wormhole橋黑客

Multichain漏洞披露黑客

概況

誰：有組織的團體，如APTs，單獨行動者，和內部人員。

復雜程度：中等。

自動化程度：中等。

對未來的期望：隨著軟件系統的相互依賴性和復雜性的提高，供應鏈的漏洞可能會增加。在為Web3安全開發出良好的、標準化的漏洞披露方法之前，機會性的黑客攻擊也可能會增加。

治理攻擊：選舉竊取者

這是第一個上到該表單的加密具體問題。web3中的許多項目都包括治理，其中代幣持有者可以提出并投票決定改變網絡的建議。雖然這提供了一個持續發展和改進的機會，但它也為引入惡意建議打開了一扇后門，這些建議一旦實施，可能會破壞網絡。

攻擊者已經設計了新的方法來規避控制，征用領導權，并掠奪財富。治理攻擊曾經是一種理論上的擔憂，但現在已被證明可行。攻擊者可以通過大規模的“閃電貸”來影響投票，就像最近發生在去中心化金融項目Beanstalk上的那樣。導致提案自動執行的治理投票更容易被攻擊者利用；而如果提案的頒布有時間延遲或需要多方的手動簽署，則較難成功。

例子

Beanstalk資金盜用

概況

誰：任何人，從有組織的團體到獨立行為者。

復雜程度：從低到高，取決于協議。。

自動化程度：從低到高，取決于協議。

對未來的期望：這些攻擊高度依賴于治理工具和標準，特別是與監測和提案頒布過程有關的。

定價預言機攻擊：市場操縱者

準確地為資產定價是很難的。在傳統的交易領域，通過操縱市場人為地抬高或壓低資產價格是非法的，你可能因此被罰款和/或逮捕。在DeFi中，它使得隨機個人有能力“閃電交易”數億或數十億美元，造成價格的突然波動，而且這個問題很明顯。

許多web3項目依靠“預言機”--提供實時數據的系統，是鏈下信息的來源。例如，“預言機”經常被用來確定兩種資產之間的交換價格。但攻擊者已經找到了愚弄這些所謂真相來源的方法。

隨著預言機標準化的進展，鏈下和鏈上世界之間將有更安全的橋梁可用，我們可以期待市場對操縱企圖變得更具彈性。如果運氣好的話，有一天這類攻擊有可能會完全消失。

例子

Cream市場操縱

概況

誰：有組織的團體、個人行為者和內部人員。

復雜程度：中等。

自動化程度：高。

對未來的期望：隨著準確定價的方法變得更加標準，這類攻擊可能會減少。

新穎漏洞：未知的不確定因素

“零日”漏洞--又叫零時差攻擊，是指被發現后立即被惡意利用的安全漏洞--是信息安全領域的一個熱點問題，在Web3安全領域也不例外。因為它們是突然出現的，所以是最難抵御的攻擊。

如果有的話，web3使這些昂貴的、勞動密集型的攻擊更容易獲益，因為一旦加密貨幣資金被盜，人們就很難將其追回。攻擊者可以花大量時間研究運行在鏈上應用程序的代碼，找到一個可以證明他們所有努力的漏洞。同時，一些曾經新穎的漏洞繼續困擾著毫無戒心的項目；曾使早期以太坊企業TheDAO喪生的重入漏洞，今天依舊在其他地方重新出現。

目前還不清楚這個行業能夠多快或多容易地適應這些類型的漏洞，但對安全防御的持續投資，如審計、監控和工具，將增加攻擊者尋求利用這些漏洞的成本。

例子

Poly跨鏈交易漏洞

Qubit無限鑄幣漏洞

概況

誰：有組織的團體，單一行動者，以及內部人員。

復雜程度：中高。

自動化程度：低。

對未來的期望：更多的關注吸引了更多的白帽，使發現新漏洞的“門檻”更高。同時，隨著web3應用的增加，黑客們尋找新漏洞的動機也在增加。這可能仍然是一場貓鼠游戲，就像它在許多其他安全領域一樣。?

本文來自?a16z，作者為RiyazFaizullabhoy和MattGleason，以下由DeFi之道編譯。

Tags：WEBWEB3FTXAPTWEB3COINweb3域名交易記錄KAMAX Vault (NFTX)AAptitude

火必交易所