一文概览 GoPlus 等 2C 安全方案。
撰文:@Henry
编排:@Lexi @createpjf
曾经,希腊人以巨木构马,献于特洛伊之城。城中人以为是和平的象征,不知其中潜藏着威胁。
随着比特币 ETF 的成功推出,越来越多的新用户和资金正重新涌向 Web3 ,行情的预热似乎预示着 Web3 往大规模应用的未来更近了一步。然而,政策的缺乏以及安全隐患依然是阻碍加密货币广泛普及的主要障碍。
在加密世界里,黑客通过攻击链上漏洞便可以直接获利百万乃至上亿美元,同时加密货币的匿名性为黑客的全身而退创造了条件。截至 2023 年年底,所有去中心化金融(DeFi)协议的总锁定价值(TVL)约为 40 亿美元(目前为 100 亿美元),而仅 2022 年,DeFi 协议被盗的代币总价值就达到了 3.1 亿美元,占上述价值的 7 %。这一数字充分说明了安全问题在 Web3 行业中的严重性,如同达摩克利斯之剑悬挂在我们的头顶。
不仅是链上环境,Web3 用户端的安全问题同样不容小觑。从 Scam Sniffer 公开的数据来看,2023 年就有 32.4 万名用户因为网络钓鱼导致资产被盗,被盗金额总值高达 2.95 亿美元,无论是从影响范围还是金额数量来看都十分严重。但是从用户的角度出发,安全事故本身具有滞后性——在事故真正发生之前,用户往往难以充分意识到潜在风险的严重性。因此,人们常常陷入「幸存者误差」,从而忽视了安全的重要性。
本文从当前市场所面临的安全挑战出发,探讨了随着 Web3 用户快速增长所带来的安全风险。通过分析 Goplus 等公司提出的安全解决方案,我们进一步了解了如何从合规和安全等方面支持 Web3 的大规模应用。我们认为 Web3 安全是一个未被充分挖掘的千亿级市场,并且随着 Web3 用户群体的持续扩大,对用户端安全服务的需求呈现出指数级增长趋势。
目前 Web3 安全的产品形态主要以 ToB , ToC , ToD 为主。B 端主要为产品的安全审计,针对产品进行渗透测试并输出审计报告,主要在产品侧进行安全防护。C 端主要针对用户安全环境的保护,基于对威胁情报的实时捕获和分析,通过 API 的方式输出检测服务,在用户侧进行安全防护。而 ToD ( Developer ) 主要面向的就是开发者工具,为 Web3 开发者提供的自动化安全审计工具和服务。
安全审计是一种必要的静态安全措施。几乎每个 Web3 产品都会进行安全审计,并对审计报告进行公示。安全审计不仅使社区能够二次验证协议的安全性,同时也是用户对产品建立信任的基础之一。
不过,安全审计并非是万能的。鉴于市场的发展趋势和当前叙事,我们预见到用户安全环境的挑战将持续上升,主要体现在以下几个方面:
每轮市场的启动,一定伴随着新资产的发行。随着 ERC404 的火热和 FT 与 NFT 混合型 Token 的兴起,未来链上资产的发行不断创新和复杂化。对新型资产安全的挑战与日俱增。随着不同资产类型之间通过智能合约进行映射和融合,系统的复杂度增加,相应的,其安全性也面临更大挑战。这种复杂性给攻击者提供了更广阔的攻击空间,例如,通过设计特定的回调机制或收税机制,攻击者可以对资产转移进行干扰,甚至发起直接的 DoS 攻击。这使得传统的资产发行合约安全审计与形式化验证这类 Pre-Chain 的方法变得困难。具有实时监测,警告,动态拦截的解决方案迫在眉睫。
CSIA 提供的数据显示,90 % 的网络攻击始于钓鱼 ( Phishing )。这同样适用于 web3 ,攻击者们以用户的私钥或者链上资金为目标,通过 Discord , X , Telegram 等平台发送钓鱼链接或者诈骗信息,引导不知情的用户进行错误转账,错误的智能合约交互,或安装病毒文件等行为。
链上交互具有高昂的学习成本,这本身是反人性的。哪怕一个离线的签名也可以导致数百万美元的损失,试问当我们点击签名的时候,面对着各种输入参数,我们真的知道自己在授权什么嘛?2024 年 1 月 22 日,某加密货币用户遭遇钓鱼攻击,签署了带有错误参数的 Permit 签名。黑客在获取了签名后,利用签名授权的钱包地址从用户账上提走了价值 420 万美元的代币。
用户端安全环境的薄弱也会导致资产丢失。比如当用户将私钥导入到安卓端的 App 钱包时,私钥在复制后往往一直保留在手机的剪贴板上未被覆盖。这种情况下,在打开恶意软件时私钥会被读取,并自动检测该钱包拥有的链上资产后自动转账,或经过潜伏期后盗走用户资产。
随着越来越多的新用户进入到 Web3 ,用户端环境的安全问题将成为一个巨大的隐患。
重入攻击仍然是目前协议安全面临的最大挑战之一。尽管采取了众多风险控制策略,但涉及这种攻击的事件还是频频发生。例如,去年 7 月,Curve 就因为其合约编程语言 Vyper 的编译器缺陷而遭受了一次严重的重入攻击,导致损失高达 6000 万美元,这一事件也使得 DeFi 的安全性遭到了广泛质疑。
虽然存在许多针对合约源码逻辑的「白盒」解决方案,但像 Curve 这样的黑客事件揭示了一个重要问题:即使合约的源码是正确无误的,编译器的问题也可能导致最终的运行结果与预期设计存在差异。将合约从源代码「转化」为实际 Runtime 是个充满挑战的过程,每步都可能带来预料之外的问题,而且源代码本身可能无法完全覆盖所有潜在的场景。因此,仅仅依赖于源码和编译层面的安全性远远不够;即便源码看似完美无瑕,由于编译器的问题,漏洞仍有可能悄然出现。
因此,运行时(Runtime)保护将变得必要。与现有的风险控制措施集中在协议源代码层面并在运行前生效不同,运行时保护涉及协议开发人员编写运行时保护规则和操作,以处理运行时的未预料情况。 这有助于对运行时执行结果进行实时评估及应对。
根据加密资产管理公司 Bitwise 的预测,2030 年加密货币资产总额将达到 16 万亿美元。如果我们从安全成本风险评估( Security Cost Risk Assessment)的角度定量分析,链上安全事故的发生带来几乎是 100 % 资产损失,因此暴露因子( Exposure Factor,EF)可以设置为 1 ,因此单一损失期望(Single Loss Expectancy,SLE)为 16 万亿美元。当年度发生率(Annualized Rate of Occurrence,ARO)为 1 % 时,我们可以得到年度损失期望(Annualized Loss Expectancy,ALE)为 1600 亿美元,即加密货币资产安全投入成本的最大值。
基于加密货币安全故事的严重性,频发性和市场规模的高速增长,我们可以预见 Web3 安全将会是一个千亿美元市场,伴随着 Web3 市场和用户规模的增长而高速增长。更进一步,考虑到个人用户数量的巨大增长和对资产安全性的日益关注,我们可以预见 C 端市场对于 Web3 安全服务和产品的需求将呈现几何级数增长,是一个尚待深挖的蓝海市场。
随着 Web3 安全问题的不断出现,人们对能够保护数字资产、验证 NFT 真实性、监控去中心化应用以及确保遵守反洗钱法规的先进工具等需求明显增加。据统计,当前 Web3 所面临的安全威胁主要来源于:
而为了应对这些风险,当前市场中的公司主要以 ToB 的测试与审计 (Pre-Chain)、ToC 的监测 (On-Chain) 为重点推出相应的服务与工具。相比 ToC , ToB 赛道的玩家推出的时间较早,并且持续有新玩家入场。但随着 Web3 市场环境的复杂化,ToB 审计逐渐难以应对各类安全威胁,ToC 监测的重要性也随之凸显,其需求量也因此不断增长。
当前市场中以 Certik 、Beosin 为代表的的公司提供 ToB 测试与审计服务。此类公司所提供的服务大多为智能合约级别,进行智能合约的安全审计与形式化验证。经过这类上链前(Pre-Chain)的方法,通过钱包可视化分析、智能合约漏洞安全分析、源代码安全审计等方式,可以在一定程度上对智能合约进行检测,降低风险。
ToC 监测在链上(On-Chain)过程执行,通过对智能合约代码、链上状态、用户交易元信息进行的风险分析、交易模拟以及状态监控完成。相比 ToB , Web3 的 C 端安全公司创立时间普遍较晚,但是增速十分可观。以 GoPlus 为代表的 Web3 安全公司所提供的服务正逐渐应用到 Web3 各个生态中。
GoPlus 自 2021 年 5 月创立以来,其所推出的应用程序 API 日调用量飞速上涨,从最初的每天几百次查询,到如今市场高峰期每天两千万次调用。下图展示了 Token 风险 API 从 2022 年到 2024 年的调用量变化,其增长速度展现了 GoPlus 在 Web3 领域重要性的增长。
其所推出的用户数据模块已逐渐成为各类 Web3 应用程序的重要组成部分,在 CoinMarketCap (CMC)、CoinGecko 、Dexscreener 、Dextools 等顶级市场网站,Sushiswap 、Kyber Network 等领先的去中心化交易所,以及 Metamask Snap、Bitget Wallet、Safepal 等钱包中发挥着关键作用。
此外,该模块也被 Blowfish、Webacy、Kekkai 等用户安全服务公司所采用。这表明了 GoPlus 用户安全数据模块在定义 Web3 生态系统的安全基础架构方面的重要作用,也证明了它在当代去中心化平台中的重要地位。
GoPlus 主要提供以下 API 服务,通过对多个关键模块的有针对性数据分析,提供了对用户安全数据的全面洞察,以防范不断演化的安全威胁,应对 Web3 安全的多方面挑战。
在 C 端赛道我们同时也注意到了 Harpie。Harpie 以保护以太坊钱包免遭窃取为重点,与 OpenSea、Coinbase 等公司合作,已经保护了成千上万的用户免遭诈骗、黑客攻击、私钥盗窃等安全威胁。该公司推出的产品从「监控」与「恢复」两方面入手,通过监控钱包查找漏洞或威胁,并在发现漏洞后立即通知并帮助用户进行修复;在用户成为黑客攻击或诈骗的受害者之后及时响应,挽救资产。既能防止攻击,又能应对安全紧急情况,在以太坊钱包安全方面取得了巨大成效。
此外,ScamSniffer 以浏览器插件的形式提供服务。该产品可以在用户打开链接之前,通过恶意网站检测引擎和多个黑名单数据源进行实时检测,保护用户免受恶意网站影响。在用户进行在线交易时,提供针对网络钓鱼等诈骗手段的检测,保护用户资产安全。
针对上文中提到的资产安全、行为安全、协议安全等问题,以及链上合规性的需求,我们深入研究了 GoPlus 和 Artela 的解决方案,旨在于了解他们是如何通过维护用户安全环境和链上运行环境来支持 Web3 的大规模应用。
1.用户安全环境 Infra
区块链交易安全是 Web3 大规模应用安全性的基石。链上黑客攻击、钓鱼攻击和 Rug Pulls 频发,链上的交易溯源、链上可疑行为识别、以及用户画像能力的安全保障至关重要。基于此, GoPlus 推出了第一个全场景个人安全检测平台 SecWareX。
SecWareX 是基于 SecWare 用户安全协议构建的 Web3 个人安全产品,提供完整包含实时识别链上运行时攻击,抢先告警,及时拦截,事后纠纷的一站式、全方位安全解决方案,并支持资产发行合约针对特定场景定制化安全拦截策略。
针对用户行为安全的教育,SecWareX 通过推出 Learn2Earn 计划,巧妙地将学习安全知识与获得代币激励结合起来,让用户在增强安全意识的同时也能获得实际的奖励。
2.资金合规解决方案
反洗钱(AML)是当前公共区块链上最迫切的需求之一。在公链上,通过分析交易的来源、预期行为、金额、频率等因素,可以及时识别可疑或异常行为,有助于去中心化交易所、钱包和监管机构检测洗钱、欺诈、赌博等潜在的非法活动,并及时采取警告、冻结资产或向执法部门报告等措施,加强 DeFi 的合规性和大规模应用。
随着链上行为的不断丰富,去中心化应用的 Know Your Transaction 将成为大规模应用不可或缺的必要条件。GoPlus 的恶意地址 API 对于在 Web3 中运营的交易所、钱包和金融服务遵守监管要求并保障其运营至关重要,凸显了 Web3 领域的监管合规性与技术进步之间的内在联系,并强调了持续监控和适应以保障生态系统完整性及其用户安全的重要性。
3.链上安全协议
Artela 是首个原生支持运行时保护的公链 Layer1 。通过 EVM++ 设计,Artela 动态集成的原生扩展模块 Aspect 支持在交易生命周期的各个切点添加扩展逻辑,记录每个函数调用的执行状态。
当在回调函数执行期间发生威胁性重入调用时,Aspect 会检测到并立即回撤该交易,防止攻击者利用重入漏洞。以复现 Curve 合约的重入攻击保护为例,Artela 为各类 DeFi 应用提供了链原生级别的协议安全解决方案。
随着协议复杂性和底层编译器的多样性的增加,链上运行时保护的「黑盒」解决方案,相较于仅对合约代码逻辑进行静态检查的「白盒」解决方案,其重要性愈发凸显。
2024 年 1 月 10 日,SEC 官宣批准现货比特币 ETF 的上市和交易,代表着加密资产类别获得主流采用的最重要一步。随着政策环境的日趋成熟以及安全防护措施的不断强化,我们终将看到 Web3 大规模应用的到来。如果说 Web3 的大规模应用是激荡的海浪,那么 Web3 安全则是为用户资产构筑的坚固堤坝,抵御外来的风浪,确保大家能平稳渡过每一个浪潮。
Reference:
Scam Sniffer 报告 2023 年加密货币网络钓鱼诈骗将窃取 3 亿美元 https://drops.scamsniffer.io/zh/post/scam-sniffer- 年度报告 32 万用户的 3 亿美元资产在今年因恶意 /
Mike: erc404 安全隐患 https://x.com/mikelee205/status/1760512619411357797?s=46&t=0AOF3L1pmOanZxpmmZpkwg
How We Go Mainstream: The State of Web3 Security | Patrick Collins at SmartCon 2023 https://www.youtube.com/watch?v=EYF6lUoWAgk&t=1489s
2023 Web3 Security Landscape Report. https://salusec.io/blog/web3-security-landscape-report
Defillama https://defillama.com/
定量信息安全评估方法. https://www.sohu.com/a/561657716_99962556
Eliminate Reentrancy Attacks with On-chain Runtime Protection. https://artela.network/blog/eliminate-reentrancy-attacks-with-on-chain-runtime-protection
Signature phishing. https://support.metamask.io/hc/en-us/articles/18370182015899-Signature-phishing
How dangerous is Permit signature fishing? $4.2 million stolen from crypto giant. https://www.coinlive.com/news/how-dangerous-is-permit-signature-fishing-4-2-million-stolen-from
CISA 报告 https://www.cisa.gov/stopransomware/general-information
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。