原作者:亨利
原始来源:BuildlerDAO
本文从当前市场面临的安全挑战出发,探讨Web3用户快速增长带来的安全风险。通过分析Goplus等公司提出的安全解决方案,我们进一步了解如何从合规性、安全性等方面支撑Web3的大规模应用。我们认为Web3安全是一个尚未开发的千亿美元市场,并且随着Web3用户群的不断扩大,客户端安全服务的需求正呈现指数级增长趋势。
隐藏的威胁和数十亿美元的市场
目前Web3安全的产品形态主要有ToB、ToC、ToD。 B端主要进行产品安全审计,对产品进行渗透测试并输出审计报告,主要进行产品侧的安全防护。 C端主要是为了保护用户的安全环境。基于威胁情报的实时捕获和分析,通过API输出检测服务,对用户侧进行安全防护。 ToD(Developer)主要针对开发者工具,为Web3开发者提供自动化安全审计工具和服务。
安全审计是必要的静态安全措施。几乎每个Web3产品都会进行安全审计,并公开审计报告。安全审计不仅使社区能够二次验证协议的安全性,也是用户建立对产品信任的基础之一。
然而,安全审计并不是万能的。鉴于市场发展趋势和当前叙述,我们预见用户安全环境的挑战将持续上升,主要体现在以下几个方面:
资产安全
每一轮市场的启动都必须伴随着新资产的发行。随着ERC404的普及以及FT和NFT混合代币的兴起,未来链上资产的发行将不断创新,变得更加复杂。新型资产的安全挑战日益加大。随着不同资产类型通过智能合约进行映射和整合,系统的复杂性增加,相应的,其安全性面临更大的挑战。这种复杂性为攻击者提供了更广阔的攻击空间。例如,通过设计特定的回调机制或征税机制,攻击者可以干扰资产转移,甚至发起直接的DoS攻击。这使得资产发行合约安全审计、形式化验证等传统Pre-Chain方法变得困难。迫切需要实时监控、预警、动态拦截的解决方案。
行为安全
CSIA 提供的数据显示,90% 的网络攻击都是从网络钓鱼开始的。这同样适用于web3。攻击者以用户私钥或链上资金为目标,通过Discord等平台发送钓鱼链接或欺诈信息,或安装病毒文件等行为。
链上交互的学习成本很高,这本身就是反人类的。即使是离线签名也可能导致数百万美元的损失。当我们点击签名时,面对各种输入参数,我们真的知道自己授权的是什么吗? 2024年1月22日,一名加密货币用户遭受钓鱼攻击,并使用错误的参数签署了Permit签名。获得签名后,黑客利用签名授权的钱包地址从用户账户中提取了价值420万美元的代币。
用户侧安全环境薄弱也会导致资产损失。例如,当用户将私钥导入Android上的应用程序钱包时,私钥在被复制后通常不会被覆盖在手机的剪贴板上。这种情况下,恶意软件打开时会读取私钥,钱包拥有的链上资产会被自动检测并自动转移,否则经过潜伏期用户的资产就会被盗走。
随着越来越多的新用户进入Web3,用户端环境的安全问题将成为巨大的隐患。
协议安全
重入攻击仍然是当今协议安全面临的最大挑战之一。尽管风险控制策略众多,但涉及此类攻击的事件仍然频繁发生。例如,去年7月,Curve因其合约编程语言Vyper的编译器缺陷而遭受严重的重入攻击,造成高达6000万美元的损失。这一事件也引发了人们对DeFi 安全性的广泛质疑。
虽然合约源代码逻辑有很多“白盒”解决方案,但像Curve这样的黑客事件揭示了一个重要问题:即使合约源代码正确,编译器问题也可能导致最终运行结果与预期不同。设计上存在差异。将合约从源代码“转换”为实际运行时是一个具有挑战性的过程,每一步都可能带来意想不到的问题,并且源代码本身可能无法完全涵盖所有潜在场景。因此,仅仅依靠源代码和编译层面的安全是远远不够的;即使源代码看起来完美无缺,漏洞仍然可能因为编译器问题而悄然出现。
因此,运行时保护将变得必要。与现有的风险控制措施侧重于协议源代码级别并在运行前生效不同,运行时保护需要协议开发人员编写运行时保护规则和操作来处理运行时的意外情况。这有利于实时评估和响应运行时执行结果。
根据加密资产管理公司Bitwise 的预测,到2030 年,加密货币总资产将达到16 万亿美元。如果从安全成本风险评估的角度进行定量分析,链上安全事件的发生几乎会带来100%的资产损失,因此暴露因子(EF)可以设置为1,因此单次损失的单次损失预期( SLE) 为16 万亿美元。当年发生率(ARO)为1%时,我们可以得到年化损失预期(ALE)为1600亿美元,这是加密货币资产的安全投资成本的最大值。
基于加密货币安全故事的严重性、频率和市场规模的快速增长,我们可以预见Web3安全将是一个千亿美元的市场,随着Web3市场和用户规模的增长而快速增长。此外,考虑到个人用户数量的巨大增长以及对资产安全的日益关注,我们可以预见,C端市场对Web3安全服务和产品的需求将呈指数级增长,这是一个需要大量Web3安全服务和产品的蓝海市场。有待进一步探讨。
Web3安全轨迹分析
随着Web3安全问题不断出现,显然需要先进的工具来保护数字资产、验证NFT的真实性、监控去中心化应用程序并确保遵守反洗钱法规。据统计,当前Web3面临的安全威胁主要来自:
面向协议的黑客攻击、面向用户的欺诈、网络钓鱼和私钥盗窃、面向链的安全攻击。为了应对这些风险,目前市场上的企业主要围绕ToB测试和审计(Pre-Chain)、ToC监控(On-Chain)来推出相应的服务和工具。相比ToC,ToB赛道的玩家引入更早,并且不断有新玩家进入。然而,随着Web3市场环境变得更加复杂,ToB审计变得越来越难以应对各种安全威胁。 ToC监测的重要性也日益凸显,其需求也因此持续增长。
目前的ToB市场中,以Certik、Beosin为代表的公司提供ToB测试和审核服务。此类公司提供的服务大多是在智能合约层面,对智能合约进行安全审计和形式化验证。通过这种预链方式,通过钱包可视化分析、智能合约漏洞安全分析、源代码安全审计等,可以在一定程度上检测智能合约,降低风险。
ToCToC监控在链上流程中执行,通过风险分析、交易模拟以及智能合约代码、链上状态和用户交易元信息的状态监控来完成。与ToB相比,Web3 C端安全公司普遍成立较晚,但其成长速度却非常可观。以GoPlus为代表的Web3安全公司提供的服务正在逐渐应用于各种Web3生态系统。
自2021年5月GoPlus成立以来,其推出的应用API日调用量快速增长,从最初的每天几百个查询到目前每天2000万次调用的市场峰值。下图显示了2022 年至2024 年Token Risk API 调用量的变化。其增长率显示了GoPlus 在Web3 领域重要性的增长。
其推出的用户数据模块已逐渐成为各类Web3应用的重要组成部分,并应用于CoinMarketCap(CMC)、CoinGecko、Dexscreener、Dextools等顶级市场网站,领先的去中心化交易所如Sushiswap、Kyber Network、Plays在Metamask Snap、Bitget Wallet、Safepal 等钱包中发挥着关键作用。
此外,Blowfish、Webacy、Kekkai等用户安全服务公司也使用该模块。这展示了GoPlus 用户安全数据模块在定义Web3 生态系统安全基础设施方面的重要作用,并展示了其在当代去中心化平台中的重要地位。
GoPlus主要提供以下API服务,通过多个关键模块的针对性数据分析,全面洞察用户安全数据,防范不断演变的安全威胁,应对Web3安全的多方位挑战。
代币风险API:用于评估与不同加密货币相关的风险NFT 风险API:用于评估各种NFT 的风险状况恶意地址API:用于识别和标记与欺诈、网络钓鱼和其他恶意活动相关的地址dApp 安全API:为去中心化应用提供实时监控和威胁检测及审批合约API:用于管理和审核智能合约调用权限。我们还注意到C 侧赛道上的Harpie。 Harpie专注于保护以太坊钱包免遭盗窃,并与OpenSea、Coinbase等公司合作,保护数千名用户免受欺诈、黑客攻击、私钥盗窃等安全威胁。公司推出的产品从“监控”和“恢复”两个方面入手,通过监控钱包发现漏洞或威胁,发现漏洞后立即通知并帮助用户修复;在用户成为黑客攻击或诈骗受害者后及时做出反应,挽救资产。能够防范攻击、应对安全突发事件,在以太坊钱包安全方面取得了巨大的成果。
此外,ScamSniffer 以浏览器插件的形式提供服务。该产品可以在用户打开链接之前通过恶意网站检测引擎和多个黑名单数据源进行实时检测,保护用户免受恶意网站的侵害。用户进行网上交易时,提供钓鱼等欺诈手段的检测,保护用户资产安全。
下一代安全产品:保护Web3大规模应用
针对上述资产安全、行为安全、协议安全、链上合规需求等问题,我们对GoPlus和Artela的解决方案进行了深入研究,了解他们如何维护用户安全环境和支持Web3大规模应用的链运行环境。
1. 用户安全环境基础设施
区块链交易安全是Web3大规模应用安全的基石。链上黑客攻击、钓鱼攻击、Rug Pulls等频繁发生,链上交易溯源、链上可疑行为识别、用户画像能力的安全至关重要。基于此,GoPlus推出了首款全场景个人安全检测平台SecWareX。
SecWareX是一款基于SecWare用户安全协议构建的Web3个人安全产品。提供实时识别链上运行时攻击、预警、及时拦截、后续纠纷等一站式、全方位的安全解决方案。它还支持资产发行合约,针对特定场景定制安全拦截策略。
针对用户行为安全教育,SecWareX推出了Learn2Earn计划,将学习安全知识与代币激励巧妙地结合起来,让用户在增强安全意识的同时获得实际奖励。
2. 基金合规解决方案
反洗钱(AML)是当今公共区块链最紧迫的需求之一。在公链上,通过分析交易的来源、预期行为、金额、频率等因素,可以及时识别可疑或异常行为,帮助去中心化交易所、钱包和监管机构发现潜在的洗钱行为,欺诈、赌博等违法行为,及时采取警告、冻结资产或向执法机构举报等措施,加强DeFi 的合规性和规模化应用。
随着链上行为的不断丰富,去中心化应用的Know Your Transaction将成为大规模应用不可或缺的条件。 GoPlus 的恶意地址API 对于在Web3 中运营的交易所、钱包和金融服务遵守监管要求并保障其运营至关重要,凸显了Web3 领域监管合规性与技术进步之间的内在联系,并强调了持续监控和适应的重要性维护生态系统的完整性及其用户的安全。
3. 链上安全协议
Artela是第一个原生支持运行时保护的公链Layer 1。通过EVM++设计,Artela动态集成的原生扩展模块Aspect支持在事务生命周期的各个点添加扩展逻辑,并记录每个函数调用的执行状态。
当回调函数执行过程中发生威胁重入调用时,Aspect 会检测到并立即反转事务,防止攻击者利用重入漏洞。以复现Curve合约的重入攻击防护为例,Artela为各类DeFi应用提供链原生级别的协议安全解决方案。
随着协议复杂性和底层编译器多样性的增加,用于链上运行时保护的“黑盒”解决方案变得比仅静态检查合约代码逻辑的“白盒”解决方案更加重要。日益突出。
结论
2024 年1 月10 日,SEC 正式宣布批准现货比特币ETF 上市和交易,这是实现加密资产类别主流采用的最重要一步。随着政策环境的成熟和安全防护措施的不断加强,我们终将看到Web3大规模应用的到来。如果说Web3的大规模应用就像汹涌的海浪,那么Web3安全就是为用户资产筑起的坚固的堤坝,抵御外来的波浪,确保每个人都能顺利渡过每一波浪潮。
