• Уведомления Рынки и цены
      Подробнее
    • Переключение языка и обменного курса
    • Настройки предпочтений
      Цвета обозначения роста и падения
      Период расчета цен
    Web3 Биржа
    Блог Gate

    Ваш доступ к новостям и аналитике по криптовалютам

    Gate.io Блог Как фаерволы web3 и службы безопасности смарт-контрактов устраняют недостатки криптозащиты?

    Как фаерволы web3 и службы безопасности смарт-контрактов устраняют недостатки криптозащиты?

    04 November 10:26


    Коротко



    🔹 По данным SlowMist, базирующейся в Сямыне блокчейн-компании по безопасности, с 2012 года было украдено более 27 миллиардов долларов США в криптовалютах, причем тремя основными типами атак являются мошенничество, атаки на флэш-кредиты и уязвимости контрактов.

    🔹 Некоторые недостатки безопасности Web3 связаны с взаимодействием архитектур Web3 и Web 2.0, в то время как другие присущи тому, как работают такие протоколы, как блокчейн и другие функции.

    🔹 Многочисленные атаки и количество уязвимостей, вызванных отсутствием исправлений безопасности, привели к появлению служб безопасности смарт-контрактов. Эти сервисы смарт-контрактов предоставляют услуги мониторинга, обнаружения проблем, анализа событий контракта в режиме реального времени и оповещения.

    🔹 Фаерволы Web3 и службы безопасности смарт-контрактов устраняют недостатки криптозащиты путем фильтрации вредоносного трафика, аудита смарт-контрактов и предоставления предупреждений о безопасности.




    Введение



    Растущее число громких крипто-мошенничеств высветило необходимость в решениях безопасности Web3. Мишенью стали знаменитости, в том числе Билл Мюррей и Сет Грин в Соединенных Штатах, а также тайваньская сенсация мандопопа Джей Чоу, который в апреле потерял ценный аккаунт Bored Ape Yacht Club NFT из-за фишингового веб-сайта. По данным SlowMist, базирующейся в Сямыне блокчейн-компании по обеспечению безопасности, с 2012 года было украдено более 27 миллиардов долларов США в криптовалютах. Тремя основными атаками были мошенничество, атаки на флеш-кредиты и уязвимости в контрактах. За эти годы произошло множество атак на смарт-контракты, которые стоили жертвам больших сумм денег.


    С другой стороны, взломы кошельков DAO и Parity хорошо известны. Смарт-контракт DAO содержал недостатки, которые позволяли злоумышленникам красть средства из сети. Из-за ошибки хакер мог запросить средства из смарт-контракта до того, как баланс был обновлен.



    Что такое фаерволы Web3?



    Переход с Web 1.0 на Web 2.0 подвергнул пользователей и предприятия нескольким новым угрозам безопасности. Поскольку любой пользователь может публиковать контент в Интернете, ненадежные и вредоносные вводимые данные могут более легко скомпрометировать веб-сайты, привести к утечке данных и заражению баз данных. По мере того как люди начинают осваивать новый мир Web3, появляется новый набор уязвимостей в системе безопасности, с некоторыми из которых они, возможно, никогда раньше не сталкивались. Фаервол Web3 — это устройство сетевой безопасности web3, предназначенное для оказания помощи фирмам в борьбе с кибератаками, которые часто нацелены на их продукты и услуги в этой новой среде.



    Риски безопасности Web3



    Некоторые недостатки безопасности Web3 проистекают из взаимодействия архитектур Web3 и Web 2.0, в то время как другие присущи тому, как работают такие протоколы, как блокчейн и другие функции. Примеры рисков безопасности Web3 включают:


    Отсутствие шифрования

    Теоретически Web3 полностью децентрализован, и любой подключенный узел в сети может напрямую взаимодействовать с сохраненными данными. На практике интерфейсы приложений Web3 будут по-прежнему полагаться на технологии Web 2.0, с которыми конечные точки пользователей могут легко взаимодействовать. Большинство интерфейсов приложений Web3 используют запросы API к серверной части Web3 для бизнес-логики и хранения данных.


    Многие запросы Web3 API в настоящее время не имеют крипто-подписи. Это подвергает их атакам по пути, перехвату данных и другим атакам, точно так же, как использование незашифрованных, неподписанных приложений HTTP Web 2.0 подвергает пользователей утечке данных и атакам по пути.


    2. Взлом смарт-контрактов

    Смарт-контракты, как и любой другой код, могут иметь значительные недостатки в безопасности, которые подвергают уязвимостям пользовательские данные или, во многих случаях, средства. В декабре 2021 года дефекты в смарт-контрактах позволили злоумышленникам украсть около 31 миллиона долларов в цифровой валюте. В мае 2022 года ошибка в алгоритме TerraUSD привела к тому, что криптовалюта потеряла в стоимости около 50 миллиардов долларов.


    3. Забота о конфиденциальности

    В отличие от модели Web 2.0, где доступ к базам данных может быть сильно ограничен, данные в блокчейне могут храниться и к ним может получить доступ любой подключенный узел. В зависимости от хранимых данных это вызывает множество проблем безопасности и конфиденциальности. Даже если они анонимизируются во время транспортировки, исследования показывают, что никакие данные не являются по-настоящему анонимными.


    4.Атака на мост и протокол

    Web3 не полностью основан на блокчейне. Блокчейн, как и интернет, состоит из слоев, построенных друг на друге. Одним из примеров является широкое использование "мостов", которые представляют собой протоколы, позволяющие осуществлять переводы между блокчейнами. Эти протоколы также уязвимы для атак. Например, в феврале 2022 года воры использовали мост через Wormhole, чтобы украсть примерно 320 миллионов долларов в криптовалюте.


    5. Кража кошельков и аккаунтов

    Средства массовой информации наводнены историями об атаках на криптовалюты или NFT-кошельки. Чаще всего это достигается путем получения злоумышленниками доступа к личным ключам пользователей или обмана пользователей с целью их передачи с помощью фишинга. Если эти секретные ключи хранятся локально на устройстве пользователя, они могут быть физически украдены.




    Что такое смарт-контракты и службы безопасности смарт-контрактов?



    Смарт-контракт — это протокол транзакции, который предназначен для выполнения, контроля или документирования юридически значимых событий и действий в соответствии с условиями контракта или соглашения. Смарт-контракт предоставляет множество преимуществ по сравнению с устаревшей системой, но также предоставляет возможности для злоумышленников, стремящихся извлечь выгоду из уязвимостей. Публичные блокчейны усугубляют проблему обеспечения безопасности смарт-контрактов. Развернутый код контракта обычно можно изменить для исправления недостатков безопасности. Кроме того, активы, украденные из смарт-контрактов, сложно отслеживать и, в большинстве случаев, невозможно вернуть из-за неизменности. Несмотря на то, что цифры разнятся, подсчитано, что общая стоимость, украденная или потерянная из-за недостатков безопасности в смарт-контрактах, превышает 1 миллиард долларов.


    Эти атаки и количество уязвимостей, вызванных отсутствием исправлений безопасности, привели к появлению служб безопасности смарт-контрактов. Эти сервисы смарт-контрактов обеспечивают мониторинг, обнаружение проблем, анализ событий контракта в режиме реального времени и оповещения. Когда сторонам проекта необходимо обновить контракты, некоторые службы безопасности смарт-контрактов предоставляют систематические инструменты технической поддержки, такие как обновление контрактов и кроссчейн миграция.


    Как Фаерволы web3 и службы безопасности смарт-контрактов устраняют недостатки криптозащиты



    Фаерволы Web3 и службы безопасности смарт-контрактов многими способами устраняют недостатки криптозащиты. Некоторые из этих способов включают:


    1. Щит между приложениями Web3 и Интернетом:

    Когда развертывается Фаервол Web3, он создает барьер между приложением web3 и Интернетом. В то время как прокси-сервер защищает личность клиентского компьютера с помощью посредника, Фаервол Web3 — это тип обратного прокси-сервера, который защищает сервер от воздействия, требуя, чтобы клиенты проходили через Фаервол, прежде чем попасть на сервер.


    2. Отфильтровывание вредоносного трафика:

    Фаервол Web3 работает в соответствии с набором правил, известных как политики. Эти политики направлены на защиту от уязвимостей приложений путем фильтрации вредоносного трафика.


    3. Оповещение о рисках и предупреждение:

    Фаерволы Web3 помогают компаниям Web3 в борьбе с кибератаками, позволяя поставщикам кошельков и хранителям предоставлять пользователям предупреждения в режиме реального времени и контекст транзакций.


    4. Аудит безопасности смарт-контрактов

    Как и другие программные приложения, смарт-контракты нуждаются в специализированных проверках для устранения недостатков безопасности. Службы безопасности смарт-контрактов проводят этот аудит, чтобы проводить периодические оценки безопасности, избегать дорогостоящих ошибок и обеспечивать оптимальное выполнение контрактов.

    Аудит смарт-контракта — это тщательное построчное изучение базового кода контракта. Аудит направлен на выявление и устранение всех потенциальных уязвимостей и подтверждение надежных взаимодействий по контракту.



    Примеры фаерволов web3 и служб безопасности смарт-контрактов.




    Blowfish

    Blowfish — это фаервол web3 и поставщик услуг безопасности, который устраняет риски кибербезопасности, связанные с взаимодействием конечных пользователей с блокчейнами. Из-за непрозрачности транзакций блокчейна количество вредоносных транзакций увеличилось в пространстве. Blowfish разрабатывает сервис, который сканирует предлагаемые транзакции на предмет злонамеренных намерений от имени кошельков, хранителей и отдельных пользователей, прежде чем подписывать и отправлять их в сеть, добавляя дополнительный уровень безопасности, который может защитить пользователей от фишинговых атак и вредоносных или захваченных dApps.


    2. Hacken

    Hacken — это фирма по кибербезопасности, основанная в 2017 году, чтобы сделать Web3 более безопасным местом. Она предоставляет конкурентоспособный набор профессиональных услуг в области кибербезопасности по всему миру технологическим предприятиям и криптосообществам.


    3. Certik

    CertiK — это поставщик услуг безопасности web3 и смарт-контрактов, основанный в 2018 году. Он использует лучшую в своем классе формальную верификацию и технологию искусственного интеллекта для защиты и мониторинга смарт-контрактов, блокчейнов и приложений Web3.


    4. OpenZeppelin

    OpenZeppelin предоставляет продукты безопасности для разработки, автоматизации и эксплуатации децентрализованных приложений. Это один из ведущих поставщиков технологий и услуг крипто-кибербезопасности, которому доверяют самые популярные проекты DeFi и NFT. OpenZeppelin, основанная в 2015 году для защиты открытой экономики, защищает десятки миллиардов долларов средств ведущих криптоорганизаций, таких как Coinbase, Ethereum Foundation, Compound, Aave, the graph и многих других.



    Вывод



    Постоянно растущее число проектов Web3, смарт-контрактов и DeFi, контролирующих огромные средства, сделало меры безопасности необходимыми. Какими бы практичными и надежными ни были эти смарт-контракты, они могут иметь серьезные недостатки в безопасности, если их тщательно не изучить, не провести аудит и не контролировать. Аналогичным образом, многие запросы Web3 API в настоящее время не имеют криптовалютной подписи, что подвергает их атакам. Фаерволы Web3 и службы безопасности смарт-контрактов устраняют эти недостатки путем фильтрации вредоносного трафика, аудита смарт-контрактов, а также оповещений и предостережений.




    Автор: Gate.io, Обозреватель: M. Olatunji Переводчик: Николай Д.

    Эта статья представляет собой только мнение аналитика и не представляет собой каких-либо инвестиционных советов.

    Gate.io оставляет за собой все права на эту статью. Перепост статьи будет разрешен при условии ссылки на Gate.io. Во всех других случаях в связи с нарушением авторских прав будет возбужден судебный иск.

    BTC/USDT -2.45%
    ETH/USDT -2.10%
    GT/USDT + 0.30%
    Распакуйте свою удачу и получите приз в $6666
    Зарегистрируйтесь сейчас
    Получите 20 Point сейчас
    Эксклюзив для новых пользователей: выполните 2 шага, чтобы немедленно получить Point!

    🔑 Зарегистрируйте учетную запись на Gate.io

    👨‍💼 Завершите KYC в течение 24 часов

    🎁 Получите награды в Point

    Получить сейчас
    Язык и регион
    обменный курс

    Выберите язык и регион

    Перейти на Gate.TR?
    Gate.TR сейчас онлайн.
    Вы можете нажать и перейти на Gate.TR или остаться на Gate.io.