🔑 Зарегистрируйте учетную запись на Gate.io
👨💼 Завершите KYC в течение 24 часов
🎁 Получите награды в Point
Ваш доступ к новостям и аналитике по криптовалютам
🔹 По данным SlowMist, базирующейся в Сямыне блокчейн-компании по безопасности, с 2012 года было украдено более 27 миллиардов долларов США в криптовалютах, причем тремя основными типами атак являются мошенничество, атаки на флэш-кредиты и уязвимости контрактов.
🔹 Некоторые недостатки безопасности Web3 связаны с взаимодействием архитектур Web3 и Web 2.0, в то время как другие присущи тому, как работают такие протоколы, как блокчейн и другие функции.
🔹 Многочисленные атаки и количество уязвимостей, вызванных отсутствием исправлений безопасности, привели к появлению служб безопасности смарт-контрактов. Эти сервисы смарт-контрактов предоставляют услуги мониторинга, обнаружения проблем, анализа событий контракта в режиме реального времени и оповещения.
🔹 Фаерволы Web3 и службы безопасности смарт-контрактов устраняют недостатки криптозащиты путем фильтрации вредоносного трафика, аудита смарт-контрактов и предоставления предупреждений о безопасности.
Введение
Растущее число громких крипто-мошенничеств высветило необходимость в решениях безопасности Web3. Мишенью стали знаменитости, в том числе Билл Мюррей и Сет Грин в Соединенных Штатах, а также тайваньская сенсация мандопопа Джей Чоу, который в апреле потерял ценный аккаунт Bored Ape Yacht Club NFT из-за фишингового веб-сайта. По данным SlowMist, базирующейся в Сямыне блокчейн-компании по обеспечению безопасности, с 2012 года было украдено более 27 миллиардов долларов США в криптовалютах. Тремя основными атаками были мошенничество, атаки на флеш-кредиты и уязвимости в контрактах. За эти годы произошло множество атак на смарт-контракты, которые стоили жертвам больших сумм денег.
С другой стороны, взломы кошельков DAO и Parity хорошо известны. Смарт-контракт DAO содержал недостатки, которые позволяли злоумышленникам красть средства из сети. Из-за ошибки хакер мог запросить средства из смарт-контракта до того, как баланс был обновлен.
Что такое фаерволы Web3?
Переход с Web 1.0 на Web 2.0 подвергнул пользователей и предприятия нескольким новым угрозам безопасности. Поскольку любой пользователь может публиковать контент в Интернете, ненадежные и вредоносные вводимые данные могут более легко скомпрометировать веб-сайты, привести к утечке данных и заражению баз данных. По мере того как люди начинают осваивать новый мир Web3, появляется новый набор уязвимостей в системе безопасности, с некоторыми из которых они, возможно, никогда раньше не сталкивались. Фаервол Web3 — это устройство сетевой безопасности web3, предназначенное для оказания помощи фирмам в борьбе с кибератаками, которые часто нацелены на их продукты и услуги в этой новой среде.
Риски безопасности Web3
Некоторые недостатки безопасности Web3 проистекают из взаимодействия архитектур Web3 и Web 2.0, в то время как другие присущи тому, как работают такие протоколы, как блокчейн и другие функции. Примеры рисков безопасности Web3 включают:
Отсутствие шифрования
Теоретически Web3 полностью децентрализован, и любой подключенный узел в сети может напрямую взаимодействовать с сохраненными данными. На практике интерфейсы приложений Web3 будут по-прежнему полагаться на технологии Web 2.0, с которыми конечные точки пользователей могут легко взаимодействовать. Большинство интерфейсов приложений Web3 используют запросы API к серверной части Web3 для бизнес-логики и хранения данных.
Многие запросы Web3 API в настоящее время не имеют крипто-подписи. Это подвергает их атакам по пути, перехвату данных и другим атакам, точно так же, как использование незашифрованных, неподписанных приложений HTTP Web 2.0 подвергает пользователей утечке данных и атакам по пути.
2. Взлом смарт-контрактов
Смарт-контракты, как и любой другой код, могут иметь значительные недостатки в безопасности, которые подвергают уязвимостям пользовательские данные или, во многих случаях, средства. В декабре 2021 года дефекты в смарт-контрактах позволили злоумышленникам украсть около 31 миллиона долларов в цифровой валюте. В мае 2022 года ошибка в алгоритме TerraUSD привела к тому, что криптовалюта потеряла в стоимости около 50 миллиардов долларов.
3. Забота о конфиденциальности
В отличие от модели Web 2.0, где доступ к базам данных может быть сильно ограничен, данные в блокчейне могут храниться и к ним может получить доступ любой подключенный узел. В зависимости от хранимых данных это вызывает множество проблем безопасности и конфиденциальности. Даже если они анонимизируются во время транспортировки, исследования показывают, что никакие данные не являются по-настоящему анонимными.
4.Атака на мост и протокол
Web3 не полностью основан на блокчейне. Блокчейн, как и интернет, состоит из слоев, построенных друг на друге. Одним из примеров является широкое использование "мостов", которые представляют собой протоколы, позволяющие осуществлять переводы между блокчейнами. Эти протоколы также уязвимы для атак. Например, в феврале 2022 года воры использовали мост через Wormhole, чтобы украсть примерно 320 миллионов долларов в криптовалюте.
5. Кража кошельков и аккаунтов
Средства массовой информации наводнены историями об атаках на криптовалюты или NFT-кошельки. Чаще всего это достигается путем получения злоумышленниками доступа к личным ключам пользователей или обмана пользователей с целью их передачи с помощью фишинга. Если эти секретные ключи хранятся локально на устройстве пользователя, они могут быть физически украдены.
Что такое смарт-контракты и службы безопасности смарт-контрактов?
Смарт-контракт — это протокол транзакции, который предназначен для выполнения, контроля или документирования юридически значимых событий и действий в соответствии с условиями контракта или соглашения. Смарт-контракт предоставляет множество преимуществ по сравнению с устаревшей системой, но также предоставляет возможности для злоумышленников, стремящихся извлечь выгоду из уязвимостей. Публичные блокчейны усугубляют проблему обеспечения безопасности смарт-контрактов. Развернутый код контракта обычно можно изменить для исправления недостатков безопасности. Кроме того, активы, украденные из смарт-контрактов, сложно отслеживать и, в большинстве случаев, невозможно вернуть из-за неизменности. Несмотря на то, что цифры разнятся, подсчитано, что общая стоимость, украденная или потерянная из-за недостатков безопасности в смарт-контрактах, превышает 1 миллиард долларов.
Эти атаки и количество уязвимостей, вызванных отсутствием исправлений безопасности, привели к появлению служб безопасности смарт-контрактов. Эти сервисы смарт-контрактов обеспечивают мониторинг, обнаружение проблем, анализ событий контракта в режиме реального времени и оповещения. Когда сторонам проекта необходимо обновить контракты, некоторые службы безопасности смарт-контрактов предоставляют систематические инструменты технической поддержки, такие как обновление контрактов и кроссчейн миграция.
Как Фаерволы web3 и службы безопасности смарт-контрактов устраняют недостатки криптозащиты
Фаерволы Web3 и службы безопасности смарт-контрактов многими способами устраняют недостатки криптозащиты. Некоторые из этих способов включают:
1. Щит между приложениями Web3 и Интернетом:
Когда развертывается Фаервол Web3, он создает барьер между приложением web3 и Интернетом. В то время как прокси-сервер защищает личность клиентского компьютера с помощью посредника, Фаервол Web3 — это тип обратного прокси-сервера, который защищает сервер от воздействия, требуя, чтобы клиенты проходили через Фаервол, прежде чем попасть на сервер.
2. Отфильтровывание вредоносного трафика:
Фаервол Web3 работает в соответствии с набором правил, известных как политики. Эти политики направлены на защиту от уязвимостей приложений путем фильтрации вредоносного трафика.
3. Оповещение о рисках и предупреждение:
Фаерволы Web3 помогают компаниям Web3 в борьбе с кибератаками, позволяя поставщикам кошельков и хранителям предоставлять пользователям предупреждения в режиме реального времени и контекст транзакций.
4. Аудит безопасности смарт-контрактов
Как и другие программные приложения, смарт-контракты нуждаются в специализированных проверках для устранения недостатков безопасности. Службы безопасности смарт-контрактов проводят этот аудит, чтобы проводить периодические оценки безопасности, избегать дорогостоящих ошибок и обеспечивать оптимальное выполнение контрактов.
Аудит смарт-контракта — это тщательное построчное изучение базового кода контракта. Аудит направлен на выявление и устранение всех потенциальных уязвимостей и подтверждение надежных взаимодействий по контракту.
Примеры фаерволов web3 и служб безопасности смарт-контрактов.
Blowfish
Blowfish — это фаервол web3 и поставщик услуг безопасности, который устраняет риски кибербезопасности, связанные с взаимодействием конечных пользователей с блокчейнами. Из-за непрозрачности транзакций блокчейна количество вредоносных транзакций увеличилось в пространстве. Blowfish разрабатывает сервис, который сканирует предлагаемые транзакции на предмет злонамеренных намерений от имени кошельков, хранителей и отдельных пользователей, прежде чем подписывать и отправлять их в сеть, добавляя дополнительный уровень безопасности, который может защитить пользователей от фишинговых атак и вредоносных или захваченных dApps.
2. Hacken
Hacken — это фирма по кибербезопасности, основанная в 2017 году, чтобы сделать Web3 более безопасным местом. Она предоставляет конкурентоспособный набор профессиональных услуг в области кибербезопасности по всему миру технологическим предприятиям и криптосообществам.
3. Certik
CertiK — это поставщик услуг безопасности web3 и смарт-контрактов, основанный в 2018 году. Он использует лучшую в своем классе формальную верификацию и технологию искусственного интеллекта для защиты и мониторинга смарт-контрактов, блокчейнов и приложений Web3.
4. OpenZeppelin
OpenZeppelin предоставляет продукты безопасности для разработки, автоматизации и эксплуатации децентрализованных приложений. Это один из ведущих поставщиков технологий и услуг крипто-кибербезопасности, которому доверяют самые популярные проекты DeFi и NFT. OpenZeppelin, основанная в 2015 году для защиты открытой экономики, защищает десятки миллиардов долларов средств ведущих криптоорганизаций, таких как Coinbase, Ethereum Foundation, Compound, Aave, the graph и многих других.
Вывод
Постоянно растущее число проектов Web3, смарт-контрактов и DeFi, контролирующих огромные средства, сделало меры безопасности необходимыми. Какими бы практичными и надежными ни были эти смарт-контракты, они могут иметь серьезные недостатки в безопасности, если их тщательно не изучить, не провести аудит и не контролировать. Аналогичным образом, многие запросы Web3 API в настоящее время не имеют криптовалютной подписи, что подвергает их атакам. Фаерволы Web3 и службы безопасности смарт-контрактов устраняют эти недостатки путем фильтрации вредоносного трафика, аудита смарт-контрактов, а также оповещений и предостережений.
Автор: Gate.io, Обозреватель: M. Olatunji Переводчик: Николай Д.
Эта статья представляет собой только мнение аналитика и не представляет собой каких-либо инвестиционных советов.
Gate.io оставляет за собой все права на эту статью. Перепост статьи будет разрешен при условии ссылки на Gate.io. Во всех других случаях в связи с нарушением авторских прав будет возбужден судебный иск.
🔑 Зарегистрируйте учетную запись на Gate.io
👨💼 Завершите KYC в течение 24 часов
🎁 Получите награды в Point