电商们不会放过每一次的销售热季,618如期而至,淘宝精准地抓住了Web3.0这一波浪潮,紧急成立元宇宙专项项目组,预备上线“元宇宙购物”。
这次紧急制动看似突然,却早有征兆:2016年,淘宝即上线了VR购物Buy+计划。
这个计划设想利用计算机图形系统和辅助传感器,生成可交互的三维购物环境,从而用户可以直接与虚拟世界中的事物进行交互。尽管项目最终无疾而终,但时隔5年,淘宝将此计划再做升级,即将成功呈现于我们的面前。
不仅如此,天猫大牌日还联合6位虚拟爱豆,7个跨界品牌,打造了一场主题为“莫比乌斯”的元宇宙大秀。
随着巨头纷纷入场,Web3.0即将取代目前的所有热词,走向互联网科技下一发展目标的王座。包含了区块链、元宇宙、NFT、DeFi的Web3.0不仅会改变我们的生活,甚至将构造全新的金融和文化发展方式。
在这场618购物节中,除了电商,Web3.0大热项目也将开启一场狂欢。
但琳琅满目的实物商品尚且令我们眼花缭乱,遑论由数字和代码构成的Web3.0?
Ronin Network攻击事件损失6.2亿美元在前,又有谁能保证自己不是下一个受害者?
CertiK奉上618 Web3.0购物车“减”漏清单。分享好物,远离漏洞!
Web3.0安全
“减”漏减的是什么漏?
我们常称的bug,是指任何可以被黑客利用以攻击协议的东西——区块链或其他结构方式带来的风险;底层代码存在的缺陷;个人或团队的错误操作。
无论是何种形式,漏洞和新兴技术往往伴生。而Web3.0的天价资产使这些漏洞变得更具灾难性。
这也是为何Web3.0对安全需求如此之高。
中心化/特权风险
作为区块链技术的本质,去中心化不仅仅是Web3.0的信仰,更是其发展的基石。
中心化风险导致的恶意利用在整体攻击事件数量中身居高位。该类风险源于项目结构中因过度中心化而产生的漏洞——来自代码或是来自项目团队。
恶意者往往通过项目单点故障所造成的漏洞来进行利用,已有不胜枚举的项目因此成为了牺牲品。
中心化风险的常见形式之一为特权访问管理风险,黑客往往通过网络钓鱼攻击将特权用户的敏感信息盗取或是将恶意程序下载在他们的设备上。
网络钓鱼攻击“传承古老”,它是自互联网Web2.0时代流传至今的顽固问题之一。
随着Web2.0逐渐向Web3.0发展,古早风格的攻击同样在逐步渗透。
而另一种形式则是来自于项目本身。恶意项目团队可在开发项目时部署“后门”,以此实现疯狂捞金后迅速离场。当然,也有项目会选择温水煮青蛙,缓慢抛售项目资金直到项目自然湮没。
中心化风险难以避免,但项目可以采取多种措施来防范漏洞:
1. 将权力下放。例如多重签名,要求特权网络访问时需要更多验证。
2. 灵活运用区块链分析工具。如CertiK Skynet天网动态扫描系统——可实时监控链上活动并发出预警。
3. 智能合约审计。安全审计可检测出代码潜在的中心化风险,因此用户在选择项目前应确保该项目已通过完备的安全审计。
逻辑漏洞
逻辑漏洞往往指代码错误——比如编写错了智能合约通过block.timestamp函数记录时间的设置。
我们可以将代码比喻为一个完整的逻辑系统,它包含了代码元素的排列并以此实践一系列功能。因此就像错别字一样,从如何铸币、记录时间到进行交易,都极有可能发生错漏。
典型的逻辑问题所产生的漏洞就是重入攻击。黑客在协议更新其余额前反复调用交易来耗尽协议的资金——欺骗智能合约再次发送已经发送的资金。
这一问题通常需要通过重构代码来解决,比如重入攻击就需要修改代码以确保智能合约在发送资金之前更新其余额。
Gas优化
随着项目的启动和发展,验证交易所需的gas可能会逐渐变大到令人难以置信的地步。这是在项目实施过程中的重要发现,这一问题尽管并不直接影响代码的功能,但也同样会导致项目被黑客恶意利用的风险增加。
第三方外部依赖
智能合约的最大功能来自交互。而交互就无法避免来自外部的风险。
随着Web3.0的发展,智能合约必须从外部系统和事件中提取数据和信息以满足其日益增长的功能实现需求。
为此,智能合约通过借助第三方预言机来提供重要信息流来根据不断变化的事件调整功能。预言机在Web3.0生态系统方面发挥着至关重要的作用,但也为Web3.0带来了新的安全挑战。
如果黑客成功操纵了预言机所传输的信息,就意味着他有机会对依赖该预言机的智能合约发起攻击。
DEUS Finance付出惨重的代价为我们上了这一课——北京时间2022年4月28日DEUS Finance的合约被恶意攻击,造成了约1570万美元(折合人民币约1.03亿)的损失。
攻击者通过价格预言机恶意操纵DEI的价格,从DeiLenderSolidex合约中通过提供少量的抵押品提取了大量的DEI。
与预言机相关的风险监测往往是智能合约审计的重点——审计员通常会将所有从可操纵来源获取信息的预言机标记为主要风险。
跨链桥
上文我们提到了协议进行交互时十分脆弱,更易遭受攻击。鉴于Web3.0系统带来了更多的互操作性,越来越多的跨链及协议交互以共享信息和价值。
因此跨链桥成为了用户在链之间进行操作的重要基础设施,但也带来了更高的风险。
2022年第一季度影响最为恶劣的前三大攻击事件均为针对跨链桥的黑客攻击。
这些漏洞多数源于不同区块链之间的规则和组织差异。因此,原本安全性较高的项目在桥接到新的区块链后可能遭遇未知的漏洞。
跨链桥为Web3.0安全领域出了一场大难题——其发展的速度之快使得安全行业完全无法与之适配。
目前最佳的安全方案依旧是通过智能合约审计及区块链分析工具——可及时获知链上可疑活动及风险。而这些项目在代码更新的同时是否重新审计其智能合约是决定Web3.0安全性的核心重点。
写在最后
鉴于Web3.0项目之间的交互和依赖程度越来越高,其安全也越来越取决于整个 Web3.0生态系统的安全性。
为此Web3.0安全不应被视为一次性任务,而应长期持续地进行维护。
期待Web3.0生态系统零漏洞并不现实,但我们相信可以通过端到端安全解决方案来大幅降低其安全风险。实现这一宏图并非只是维护用户或项目某个单方的利益,而是在整个Web3.0森林中铺设一条更宽更广的光明之路。
