领先机构专家畅聊Web3安全实践，AWS Web3 Developer Camp 2023精彩回顾

12月7日, 由亚马逊云科技Amazon Web Services (AWS) 牵头, CrossSpace社区独家支持的Web3 Developer Camp在AWS铜锣湾活动场地成功举办。本次活动作为“Web3安全”系列研讨会的线下分享环节, 成功邀请到来自Web3安全、钱包、L1/L2公链、云服务、交易所和投资机构的专家及高管现场分享, 为大家呈现了一场场干货满满及讨论度颇高的Web3安全会议。

作为全球云服务市场的领军企业, AWS一直关注并积极探索Web3行业的安全实践。本次牵头举办安全系列活动, AWS希望能帮助提升行业从业者对安全的认知, 打造可持续发展的Web3生态, 为2024年各赛道的健康发展奠定基础。参与本次安全主题研讨会的专家和嘉宾来自多个业内领先机构, 包括(排名不分先后): Beosin、Conflux、Hashkey Exchange、 OKX Wallet、 Polkadot、Scroll 、SlowMist、 SNZ Capital和 Taiko。

文章开头, 让我们一起回顾本次活动的圆桌热议话题。该环节邀请到Web3领先机构 Taiko、Hashkey Exchange、Beosin和SNZ Capital的高管和专家, 畅聊他们项目是如何实践Web3安全使命的, 我们也有幸听到近期热门L1/L2公链Conflux和Scroll在线下首次分享他们2024年的技术和生态发展路线。

左起: CrossSpace联创和首席执行官Leon(主持)、SNZ Capital投资经理Michael、Taiko联创和首席战略官Terence、Conflux首席技术官Ming Wu、Scroll亚太区增长负责人Marcus Liu、Hashkey Exchange交易所产品总监Vincent Wong、Beosin安全研究员Eaton。

圆桌热话: Web3项目应留意哪些安全事项?

Web3项目在发展过程中容易盲目追求市场拓展而忽略基础安全, 今年多起大额链上资金被盗事件给Web3从业者敲响了安全的警钟。作为一直深耕在安全领域的Beosin, 其安全研究员Eaton给项目方提出这些建议: “项目团队在运行初期需要学会利用AI和审计工具来加快审核过程和检测合同漏洞,从而节省审计时间并解决复杂的业务逻辑问题。在项目开发阶段, 团队需要确保商业逻辑的准确性, 注重测试和使用测试驱动的开发方法。同时,要谨慎处理集成第三方应用, 以预防引入未知的安全漏洞。在项目完成后, 强烈建议项目团队聘请专业的审计团队审计, 以帮助发现和解决潜在的漏洞, 从而确保项目的安全性。”

SNZ Capital拥有丰富的Web3基础设施和应用类项目投资经验。其投资经理Michael也表达了SNZ对其投资组合公司安全性的重视: “安全性对于SNZ至关重要, 是我们投资策略中的一个重要考量因素。为此, 我们与安全公司建立了合作关系, 为投资组合项目的开发团队提供全方位的安全服务。除了基础设施和中间件领域的安全管理, 我们还为这些公司提供后期管理服务, 确保他们获得我们熟悉的安全供应商的服务。我们要求投资组合的公司在其商业战略中将安全放置于首位, 了解安全审计的重要性, 包括实时欺诈、漏洞监测以及兼容性评估等, 确保安全设计。”

圆桌热话: 运作娴熟的Web3项目是如何进行安全实践的?

Taiko作为以太坊生态中增长迅速的开源ZK-rollup, 通过其完全去中心化的架构和多重验证者参与验证来确保其安全性。 Taiko联创和首席战略官Terence在圆桌会中表示: “Taiko是一个等效于以太坊的Rollup二层网络, 具有完全去中心化的架构。其优势包括开源性、社区建设和安全性, 致力于通过全球贡献者的参与保证代码的质量和安全性。目前Taiko处于测试网, 测试网中有 10000 多个提案和验证者节点, 这个数字预计还将持续增长。这意味着用户无需信任Taiko, 我们没有中心化的排序器, 是我们区别于其他二层网络的一个重要特点。”

Hashkey作为直接与投资用户打交道的香港持牌虚拟资产交易所, 近期不断拓展其产品类别, 如何确保客户的信心和信任,是其首要考虑的命题之一。“Hashkey Exchange一直致力严格遵守证监会规定的托管政策。 98% 的资产被安全地存放在冷钱包中, 而仅有 2% 存放在热钱包中, 以确保资产的高度安全性。为了进一步保障投资者的权益, 我们与保险公司, 如AON 和OneDegree建立了合作关系, 为用户提供额外的保险保障。” Hashkey Exchange产品总监Vincent Wong进一步分享表示: “Hashkey Exchange从KYC验证开始, 确保我们的客户都是合法和真实的。同时, 我们提供密码提醒功能, 并要求用户定期修改密码, 以增强账户的安全性。除此之外, 我们还会向客户提供教育材料, 邀请他们多学习、研究理解区块链知识及相关设施。通过这些方式, 我们希望能够与客户建立长期的信任和合作关系, 确保他们在使用我们的平台进行交易时感到安全和受保护。”

圆桌热话: Layer1/2领先公链的技术发展和生态支持

作为Layer1的领先公链代表, Conflux近期公布了其2024年的开发者路线图。首席技术官Ming Wu在现场分享了Conflux计划改善开发者体验的几个方向, 包括积极寻找可编程的数据可用性 (Data Availability) 解决方案, 使智能合约能够与独立的DA 层进行互动, 以实现大规模状态的高效存储和检索; 努力将人工智能平台整合到 Conflux 并将其定位为激励层; 积极探索异构虚拟机架构, 以提高可扩展性并拓展生态系统以及研究集成多方计算 (MPC) 以增强隐私保护和抗MEV能力等。Ming Wu表示: “我们期待在未来几年内, 通过提升系统性能适应更多应用场景, 使我们的技术更加成熟和实用。”

另一条近期上线主网的Layer2公链代表Scroll亦分享了近期生态安全实践。 Scroll亚太区增长负责人Marcus Liu表示: “在安全方面, Scroll最主要的安全来源于我们的ZKP, 利用ZK的数学原理保证了ZKEVM是安全可信的运行结果, 并会上传到ETH作为一层链进行ZK Proof的验证。Scroll目前除了对所有合约以及电路有严格的审计之外, 也开放了Bug bounty计划, 和社区的成员们一起以开源精神加强安全。Roadmap中接下来对去中心化Prover以及去中心化的Sequencer达成也能增强Scroll去中心化程度以及安全。”

当日活动,除了圆桌环节, AWS的【Web3道德黑客和最佳安全实践】培训, 和来自安全机构SlowMist、新一代公链Polkadot和Web3应用OKX Wallet专家的干货分享也值得回味。接下来, 就让我们通过记录走近安全一线, 了解安全风险类别、实用安全策略、应用端安全和生态开发安全等方面的知识与经验。

智能合约漏洞继续霸榜成2023前三黑客攻击类别

智能合约漏洞在 2023 年继续成为最常见的黑客攻击类型之一。据安全公司Beosin今年第三季度的安全报告, 合约漏洞利用是排名仅次于私钥泄露和数据库攻击排名第三的攻击类别。 “ 22 次合约漏洞利用共造成损失约 9327 万美元。而按照漏洞细分, 造成损失最多的为重入漏洞, 合约漏洞事件里约有 82.8% 的损失金额来自重入漏洞。”

AWS Web3解决方案架构师David Sung和Gong Tao在现场分享了智能合约常看到的三类黑客事件, 其中就包括重入漏洞攻击。在该攻击类别中, 攻击者利用合约中的安全漏洞, 在一笔交易未完成之前反复调用同一个函数, 导致合约的资金被多次转移或消耗。这种攻击往往是因为合约的设计存在缺陷, 或者没有采取足够的防御策略。由于重入攻击对智能合约的安全性和稳定性构成了严重威胁, 因此在开发智能合约时, 防御重入攻击应被视为一项关键任务。

另外两类较为常见的攻击方式包括委托调用攻击, 及整数溢出和下溢攻击。委托调用攻击是为了促进代码重用, EVM提供了一个操作码DELEGATECALL, 用于将被调用方契约的字节码插入到调用方契约的字节码中。因此, 恶意目标合约可以直接修改 (或操纵) 调用方合约的状态变量。整数溢出和下溢攻击是当算术运算的结果超出了Solidity数据类型的范围时会发生的攻击事件, 进而导致对其状态变量进行未经授权的操作。

如想了解如何应对黑客攻击, 可参考AWS【Web3道德黑客和最佳安全实践】安全实操课程,访问相关。

Web3项目运行前、中、后的安全策略

Web3项目从运行伊始就需要重视潜在安全风险, 安全事件常发生在智能合约、区块链钱包和交易所方面。SlowMist香港社区负责人Tony现场分享表示: “在面对区块链的安全事件中, SlowMist会从事件发生前、事件发生期间以及事件发生后三个阶段来提供解决方案。” 项目方可以根据自身的发展阶段评估安全方面的潜在风险。

在安全事件发生前, 项目方可以就潜在的安全风险进行全方位测试。在此阶段, SlowMist的红队测试 (Red Teaming) 能帮助项目方从企业人员、企业业务系统、企业供应链、企业办公系统、企业物理安全等真实漏洞进行潜在攻击评估, 提供定制化的安全防御方案, 优先保护容易遭受攻击的节点, 增加攻击者的成本。

在安全事件发生过程中, 项目方应加强链上和链下的安全实时监测, 与安全公司合作及时发现并应对潜在的安全威胁; 在安全事件发生之后, 则应马上采取防御行动, 比如利用SlowMist的应急响应支撑服务和链上链下追踪调查服务等功能, 及时抵御攻击, 并找出事件发生的根本原因。

考虑到很多Web3项目团队在代码设计阶段就需要考虑安全性, 而不能仅依靠安全公司的短期指导, SlowMist在Github开源了其, 详细列举了在开发环境下需要留意的安全隐患。此举将能有效鼓励项目团队基于Web3项目安全实践要求建立和完善自己的安全系统, 并在安全审计后具备一定的安全能力。

领先机构专家畅聊Web3安全实践，AWS Web3 Developer Camp 2023精彩回顾 — SlowMist 呼吁项目方全方位提升安全能力

积极拥抱前沿技术,打造安全的Web3应用

随着区块链底层技术的成熟, 越来越多的Web3前端应用接连出现, OKX Wallet无疑是一款用户体验极佳的产品。作为直面终端用户的应用程序,如何提升用户体验的同时保证用户资金和数据的安全? OKX Wallet的产品经理Darrel Wang现场分享他们的秘诀来自系统底层的安全强化、全栈安全能力和积极拥抱前沿安全技术。下面展开分享:

首先, OKX Wallet进行了系统级的强化, 确保与用户资产相关的产品具备金融机构级别的安全性。通过加强应用程序的安全性,努力防止黑客入侵, 确保用户在一个安全的环境中交易。

其次, OKX Wallet注重全栈的安全能力。从节点服务、区块浏览器到用户终端, 完整的上下游服务能力, 保障了产品在全流程的合规性和卓越安全性能。例如, 产品提供的主动风险提示功能, 积极防止钓鱼网站的出现, 进一步保障了用户的资产安全。

再次, OKX Wallet强调创新, 积极拥抱前沿技术。其今年推出基于账户抽象协议 (EIP-4337)的智能合约账户, 可恢复的特性将大大提高钱包的安全管理能力; 而其上线的MPC无私钥钱包, 则利用多方安全计算技术, 减少了单点故障造成的私钥安全风险, 让用户无惧私钥丢失。

OKX Wallet定位自身为科技公司, 而非金融公司。他们目标从产品核心原则和技术角度出发解决问题, 为用户带来安全和便捷的数字交易体验。

Substrate框架助力开发者打造更安全的区块链

很多开发者对Substrate不陌生, 它是一个用于构建区块链的开源的、模块化的和可扩展的区块链开发框架。 Polkadot中继链 (Relay Chain) 的底层区块链框架便是用Substrate构建的。那么, Substrate是如何为该生态的开发者提供安全性呢? Polkadot生态的核心开发者Jimmy在活动现场指出Substrate框架下, 开发者可预先构建由Parity专业工程师提供的组件(Pallets), 在运行时可升级、无需链分叉, 并且由多种共识机制可供选择, 实现了不同链间的互操作性和安全性。

Jimmy进一步指出, Polkadot的核心目标是实现区块链的跨链互操作性和可扩展性。 Polkadot将不同的区块链连接起来, 使它们可以相互通信并协调工作。这种架构允许不同的区块链之间进行数据交换和价值转移, 从而提高了整个网络的效率和可扩展性。其架构包括中继链和平行链, 其中中继链负责验证和安全性, 平行链提供特定功能。此外, Polkadot注重可扩展性、安全性和去中心化三个关键属性之间的权衡, 采用独特架构方法和桥接技术实现资产的安全高效转移。

Web3项目方需擅用云服务基础设施, 关注服务类别、安全性和灵活度

云服务是Web3尤为重要的底层设施, 从交易所、公链到前端应用程序, 都离不开云服务。对Web3项目来说, 云服务平台的服务范围、安全性和灵活度尤为重要。AWS在Web3可谓是“家喻户晓”的云服务提供商, 在活动现场, AWS解决方案架构师David对这三方面给予了回应。

从服务类别来说, AWS是全球广泛采用的云平台, 提供超过 200 个功能丰富的服务, 包括分布在全球的数据中心, 可以满足各类Web3公司独特的基础设施需求。AWS服务了众多的Web3项目, 大家最广泛使用的七个AWS服务包括: EC2(Nitro Enclaves)、KMS/CloudHSM、API Gateway、S3、Elastic Block Store、Shield Advanced、WAF。

在安全性方面, AWS一直致力于为项目方提供安全、合规、治理等方面的服务。通过AWS Nitro系统, 安全性在芯片级别内置, 持续监视、保护和验证实例硬件, 最小化潜在的攻击面。AWS还支持比其他任何云提供商更多的安全标准和认证。其中 Nitro Enclaves 结合 KMS/CloudHSM 为 Web3 BUIDLers 提供了最佳的云上私钥安全管理方案并在业界被广泛采用, Shield Advanced 和 WAF 则为 dApps、Node和各种Web3基础设施层提供了安全防护。

在灵活度方面, AWS在给项目方提供多种服务类别的同时, 也提供不同产品的定价选项, 以帮助他们优化成本。David补充道: “我们提供广泛的分析和机器学习服务选择, 基本能满足项目所有数据分析需求。从数据移动、数据存储、大数据分析、日志分析、流式分析、商业智能和机器学习(ML)等等, 同时我们让大家灵活的选择服务以降低成本。”