智能合约安全

2024年07月08日更新 456 人订阅
专栏简介 DeFi安全之杠杆挖矿 SharkTeam系列课程—NFT&GameFi开发与安全 NFT和GameFi概念介绍 ERC20/ERC721/ERC1155概念与协议 闪电贷和重入攻击:Grim Finance被黑事件分析 重入攻击:Uniswap V3流动性协议Visor Finance被黑事件分析 领航Web3安全,让数字生活更安全更美好:SharkTeam线上AMA实录 闪电贷攻击:Sashimi Swap被黑事件分析 ERC20相关业务的合约开发与合约安全 权限问题:Crosswise 被黑事件分析 细节决定成败:QBridge被黑事件分析 损失3.26亿,跨链协议再暴雷:Wormhole被黑事件分析 参数校验不严谨:Superfluid被黑事件分析 ERC721/ERC1155合约开发与合约安全 闪电贷+提案攻击-Beanstalk Farms攻击原理及资金流向分析 监守自盗?Titano.Finance被黑事件分析 AscendEX黑客攻击事件资金流向分析 NFT交易平台安全风险频发--OpenSea & X2Y2安全事件分析 SharkTeam系列课程—NFT 应用场景分析 SharkTeam发布2022年Q1智能合约安全态势感知季报 ChainAegis链上分析:以太坊合并后的中心化风险 大意失荆州-Akutar合约漏洞导致34M美元资金永久被锁 SharkTeam:十大智能合约安全威胁之回退攻击 闪电贷&重入攻击:Hundred与Agave被黑事件分析 从APE空投漏洞谈起,NFT安全情况究竟如何? 千里之堤,溃于蚁穴—跨链协议Nomad被黑事件分析 SharkTeam服务全线升级,重磅推出ChainAegis链上风险分析平台,全面保障Web3生态安全 ChainAegis:从链上数据看,FTX会崩盘吗? NFT合约同样也有重入风险:Revest Finance被黑事件分析 操纵预言机+提案攻击—Fortress Loans被黑事件分析 去年519,今年510—从链上分析的角度看,LUNA会不会真的陷入死亡螺旋? 算法稳定币UST崩盘—是完美风暴还是金融围猎? 6.2亿,再破记录:Ronin Bridge攻击事件技术分析与资金流向分析 周天王的愚人节-NFT精准钓鱼事件技术分析与资金流向分析 【深度】从链上分析和金融安全角度,看stETH的囚徒困境和Celsius挤兑事件 NFT流动性协议的安全困局—NFT借贷协议XCarnival被黑事件分析 NFT流动性市场安全问题频发—NFT交易平台Quixotic被黑事件分析 【深度】OpenSea 新协议 Seaport源码解析 重入攻击+闪电贷—NFT金融协议Omni被黑事件分析 SharkTeam发布2022年第二季度Web3安全态势感知报告 DeFi安全之DEX与AMMs SharkTeam完成Flow生态NFT市场MatrixMarket的安全审计 闪电贷技术详解-Part 1 闪电贷技术详解-Part 2 闪电贷技术详解-Part 3 SharkTeam系列课程:什么是DeFi借贷 DeFi安全之抵押借贷 从链上分析角度看Tornado Cash被制裁事件 Defi安全之借贷杠杆 链上数据角度,看DeFi隐私赛道的现状和未来 火眼金睛,教你如何识别Rug Pull项目 SharkTeam:十大智能合约安全威胁之重入攻击 SharkTeam:十大智能合约安全威胁之操纵预言机 SharkTeam:十大智能合约安全威胁之逻辑校验漏洞 SharkTeam:十大智能合约安全威胁之权限漏洞 SharkTeam:8月Web3安全报告 SharkTeam:十大智能合约安全威胁之合约升级漏洞 警惕以太坊合并后的重放攻击:Omni跨链桥被攻击事件分析 SharkTeam:十大智能合约安全威胁之函数恶意初始化 波卡“以太坊"Moonbeam的技术创新之路 左手以太坊、右手跨链-Moonbeam的创新与突破 批准+校验漏洞-TransitSwap安全事件分析 ChainAegis:BTC和ETH第三季度链上数据解读 默克尔树漏洞成因和链上资金追踪-BNBChain跨链桥攻击事件分析 SharkTeam:Move合约开发与合约安全 Moonbeam的多链架构 高保真还原BNBChain跨链攻击实现原理-攻击者选择高度为110217401的区块到底有什么讲究? SharkTeam:十大智能合约安全威胁之三明治攻击 香港要成为国际虚拟资产中心,链上安全是关键 SharkTeam:十大智能合约安全威胁之提案攻击 ChainAegis:FTX资金流向最新分析,风险大,请尽快提款 SharkTeam:十大智能合约安全威胁之重放攻击 Move语言安全性分析及合约审计要点 之权限漏洞、重入攻击 ChainAegis:Top20 中心化交易所资金储备链上分析-Part 1 区块链安全 Move语言安全性分析及合约审计要点 之逻辑校验漏洞 ChainAegis:Top20 中心化交易所资金储备链上分析-Part 2 ChainAegis:Top20 中心化交易所资金储备链上分析-Part 3 Move语言安全性分析及合约审计要点 之函数恶意初始化 链上数据分析:CeFi频繁暴雷后,DEX会成为主流吗? Move语言安全性分析及合约审计要点之回退攻击 SharkTeam:11月Web3安全报告 SharkTeam与NFMS达成合作,提供Move合约审计服务 Move语言安全性分析及合约审计要点之提案攻击 ChainAegis分析报告:Dogecoin排名前10的市值从何而来? SharkTeam完成APTOS生态项目NFMS的合约审计 ArWiki调研报告 Move语言安全性分析及合约审计要点之合约升级漏洞 Verto调研报告 在深熊中艰难前行,DeFi & CeFi 2022年度分析报告 SharkTeam:2022年度Web3安全报告 ChainAegis:2022年度NFT&GameFi分析报告 Move语言安全性分析及合约审计要点之操纵预言机 加密货币反洗钱(AML)分析 SharkTeam:Move语言安全性分析及合约审计要点 之三明治攻击 ChainAegis:BUSD链上数据分析报告 闪电贷攻击+业务逻辑漏洞:Platypus Finance事件分析 SharkTeam:Move语言安全性分析及合约审计要点之重放攻击 加密货币钓鱼团伙Monkey Drainer链上行为分析 权限漏洞+价格操纵:SwapX被攻击事件分析 ChainAegis:Blur链上数据分析报告 ChainAegis:数读Silvergate & SVB崩盘事件 业务逻辑漏洞+闪电贷攻击:Euler Finance被攻击事件分析 ChainAegis:稳定币协议Liquity链上分析报告 ChainAegis:GMX链上分析报告 SharkTeam与GoPlus Security达成战略合作,共同守护Web3世界安全 香港之夜,Dao的盛会 SharkTeam:2023年第一季度Web3安全报告 Talk with us,公链、DeFi等Web3时代的创新发展机遇有哪些? 香港Web3嘉年华“Web3与安全”主题论坛议程揭秘 2023香港Web3嘉年华,SharkTeam展台指引 权限校验漏洞:SushiSwap被攻击事件分析 香港会议期间,SharkTeam发布“链上安全分析研究报告” 安全是发展Web3的必要条件-SharkTeam受邀香港Web3嘉年华 ChainAegis:LSD赛道链上分析报告 Sui 与 Aptos 技术实现对比 ChainAegis:去中心化保险赛道及风险分析 ChainAegis:Pancakeswap V2V3链上数据分析 ChainAegis:AAVE V2/V3链上数据分析 ChainAegis:Gains Network链上数据分析 逻辑漏洞:DEUS被攻击事件分析 ChainAegis:BRC-20链上数据分析 ChainAegis:Blend链上数据分析 SharkTeam:Tornado.Cash提案攻击原理分析 SharkTeam:Sui主网链上数据分析 SharkTeam:Jimbos protocol闪电贷攻击原理分析 SharkTeam:RWA赛道链上数据分析 SharkTeam:Zksync Era链上数据分析 SharkTeam:Atomic Wallet攻击原理和洗钱模式分析 链安全 Sui主网上线满月,链上持币者数据分析 SharkTeam:Atlantis提案攻击原理分析 SharkTeam:HashFlow攻击事件原理分析 SharkTeam:2023年第二季度Web3安全报告 SharkTeam与Move Accelerator达成合作,Let’s Move! SharkTeam:Themis protocol闪电贷价格操纵攻击分析 SharkTeam:4月28日攻击者就已实施攻击-PolyNetwork攻击原理和资产转移分析 SharkTeam:AzukiDAO攻击事件分析 SharkTeam:BNO攻击事件原理分析 SharkTeam:Vyper漏洞导致Curve和JPEG'd等项目被攻击原理分析 SharkTeam:UniswapV4 Hook最佳安全实践 SharkTeam:UniswapX 源码分析 SharkTeam:Worldcoin运营数据及业务安全分析 SharkTeam与TOKEN2049正式达成合作伙伴关系 SharkTeam:Exactly Protocol攻击事件原理分析 SharkTeam:Rugpull工厂黑色产业链分析 SharkTeam开启9月双城记 SharkTeam上海区块链全球峰会展台指引 SharkTeam:Web3安全实践与创新 KYT/AML:Web3合规展业的必要条件 SharkTeam:典型钓鱼攻击链上资产转移分析 SharkTeam:起底朝鲜APT组织Lazarus Group,攻击手法及洗钱模式 SharkTeam:2023年第三季度Web3安全报告 SharkTeam:BH闪电贷攻击原理分析 SharkTeam:Platypus Finance攻击事件原理分析 SharkTeam:Onyx Protocol攻击事件原理分析 SharkTeam:Raft攻击事件原理分析 从链上分析角度看FTX破产清算过程,美国加密货币监管与风险处置能力究竟如何 SharkTeam:KyberSwap攻击事件原理分析 SharkTeam:ERC2771\&Multicall任意地址欺骗漏洞原理分析 SharkTeam:OKX DEX攻击事件分析及链上资产追踪 SharkTeam:从链上数据看稳定币的安全与监管 SharkTeam:2023年加密货币犯罪分析报告 SharkTeam:MIM_SPELL被攻击事件原理分析 SharkTeam:合约精度计算漏洞与安全建议 SharkTeam:Woo Finance被攻击事件分析 SharkTeam:Prisma Finance被攻击事件分析 SharkTeam:2024年第一季度Web3安全报告 SharkTeam:Hedgey Finance被攻击事件分析 SharkTeam:Sonne Finance攻击事件分析 SharkTeam:Web3常见钓鱼方式分析与安全防范建议 SharkTeam:UwU Lend攻击事件分析 SharkTeam:美国众议院FIT21法案解读 SharkTeam:2024年上半年度Web3安全报告

SharkTeam:Web3安全实践与创新

  • SharkTeam
  • 发布于 2023-09-26 16:01
  • 阅读 2447

在Web3领域,安全漏洞、黑客攻击已愈发成为用户和投资者重点关注的领域。如何保障加密资产的安全,Web3黑暗森林中又有哪些新的攻击模式产生,SharkTeam将从一线进行分享和讨论。我们先来看一下2023年1月到8月的安全事件数量和损失的数据统计。由于熊市影响,加密领域的资产总量降低,因安全问

在Web3领域,安全漏洞、黑客攻击已愈发成为用户和投资者重点关注的领域。如何保障加密资产的安全,Web3黑暗森林中又有哪些新的攻击模式产生,SharkTeam将从一线进行分享和讨论。

我们先来看一下2023年1月到8月的安全事件数量和损失的数据统计。

由于熊市影响,加密领域的资产总量降低,因安全问题产生的损失同比去年下降了59%。但这并不代表Web3领域的安全环境在变好,相反我们看到今年1月到8月,安全事件的数量达到693次,同比去年增加了87%,平均每个月有近90起安全事件,其中频率最高的是7月份,发生了187起安全事件。

目前,智能合约安全漏洞、Rug Pull、Web2类型的安全事件(钓鱼攻击、社会工程学)是Web3最主要的三大安全风险。

智能合约安全漏洞事件发生85起,其中47%是逻辑漏洞,主要原因是开发者安全意识薄弱,开发过程不够严谨,引入计算错误、业务逻辑错误等较低级的安全问题。此外,闪电贷攻击、权限管理等常见合约漏洞仍占比较高,均超过10%。总体表明,项目方在进行合约开发的过程中缺少必须的安全意识和技能,导致常见漏洞和初级问题不断发生。

Rugpull欺诈事件数量呈快速增长趋势,发生了110次。其中73%发生在BNBChain上,这与BNBChain上的交易成本低、用户基数大以及新出现的Rugpull黑色产业链有直接关系。

Web2类型的安全事件也呈现高速增长的趋势,这类钓鱼攻击、社会工程学等黑客攻击手法在Web2时代已非常成熟,Web3项目方和机构容易忽视,这类安全事件通常会窃取钱包账户授权或直接窃取助记词、私钥,盗取用户加密资产。

那么,从Web3普通用户的角度应该如何提高自己的安全能力呢?

首先,就是要重视去中心化钱包、私钥的安全,重视中心化交易账户和密码的安全,重视设备、软件、网络环境的安全。

此外,为了防范Rugpull欺诈类项目,要注意避免投机、侥幸心理,客观分析拟投资项目的基本面和数据表现,金融的本质是风控。

最后,时刻保持安全和防范意识,不要随意点击链接或随意授权,防范熟人作案。

从Web3项目方和机构角度,要保护好加密资产的安全需要做到如下几个方面:

首先,在项目设计和开发阶段,要有意识的引入威胁建模、安全编码、安全测试的机制和服务,让安全建设与业务开发同步进行。

此外,在上线前不仅要进行智能合约的安全审计,Web端、Api端、App端都需要进行安全渗透测试,这些业务载体在黑客眼中都可能成为攻击的突破口。

最后,在项目运营期间就要建立明确的安全运营机制,例如攻击监测、应急响应计划等,在业务代码需要升级时要重新进行合约审计和渗透测试。在发生安全事件后,能第一时间感知到攻击并快速做出响应,及时对黑客进行身份追踪和资产冻结。

如上,是SharkTeam在Web3安全服务过程中总结的几点基础但有用的安全建设方案,希望对大家有帮助。但更重要的是,Web3的攻防实际上正在不断升级,新的攻击方式也在不断出现,Web3黑暗森林在不断进化,面对这种情况,我们又该怎样应对呢?未知攻焉知防,我们先看两个典型的例子。

RugPull工厂:在BNBChain上我们发现了多个Rugpull工厂,并已形成了新型的链上欺诈黑色产业链。欺诈团队分工明确:

(1)情报收集:专门负责收集行业里的热门话题,例如近期热门的Cyber、TIP、HTX等。

(2)自动发币:基于热门事件,迅速发布同名Token,我们监测到某个Rugpull工厂地址一个月可发布70至80个虚假Token。

(3)虚假交易量:欺诈团伙对同名Token在链上进行频繁的买卖,制造交易量,提高隐蔽性,用户难以分辨真伪。

(4)钓鱼/资金盘:制作钓鱼网站或土狗骗局,骗取用户信任,获得用户授权或真实购买。

(5)收割:获得授权或收益后,程序会自动的将用户资产进行转移或自动Rugpull。

(6)布局:获得的收益投入下一个Rugpull项目上,滚雪球一样,越滚越大。

新型APT攻击(Advanced Persistent Theft):Web3黑暗森林中开始出现越来越多的高等级黑客,有些甚至是国家黑客。他们在Web3行业中获得的资金会经过一系列新型的洗钱模式变成现实资产,为后续不法行为提供资金。这一类黑客的资金转移方式非常复杂和隐蔽,通常会经过30至50个中间地址进行中转,并通过“混币”或“套壳”的方式进行洗钱,追踪难度很大。

Web3 安全已进入高等级、持续性的网络对抗阶段,那对于Rugpull工厂和新型APT攻击的威胁,我们应该如何应对?

建立覆盖事前-事中-事后的Web3安全防御体系,安全从来都是系统工程,是短板效益,一个地方出现问题整体就会被攻破。所以,我们需要建立立体式的安全防御体系,提高防御能力、提高攻击感知能力、提高安全事件发生后的应急响应能力。

利用无限层级的深度图分析引擎,结合亿级的链上标签和名单数据,对高等级黑客进行身份追踪和资金追讨。通过简单易用的图形化界面,降低使用门槛,让更多的人可以进行有效的链上分析,合力发现更多线索,在这一场Web3安全高等级对抗中争取主动。

SharkTeam的Web3安全服务矩阵如上。

About Us

SharkTeam的愿景是保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成,精通区块链和智能合约底层理论。提供包括链上大数据分析、链上风险预警、智能合约审计、加密资产追讨等服务,并打造了链上大数据分析和风险预警平台ChainAegis,平台支持无限层级的深度图分析,能有效对抗Web3世界的高级持续性盗窃(Advanced Persistent Theft,APT)风险。已与Web3生态各领域的关键参与者,如Polkadot、Moonbeam、polygon、OKX、Huobi Global、imToken、ChainIDE等建立长期合作关系。

官网:https://www.sharkteam.org

Twitter:<https://twitter.com/sharkteamorg>

Discord:<https://discord.gg/jGH9xXCjDZ>

Telegram:<https://t.me/sharkteamorg>

点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论

SharkTeam

如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!