Як брандмауери web3 і служби безпеки смарт-контрактів усувають недоліки криптозахисту?

Коротко

🔹 За даними SlowMist, компанії з безпеки блокчейну, з 2012 року було викрадено понад 27 трильйонів доларів США у криптовалюті. Трьома найпоширенішими типами атак є шахрайство, атаки на флеш-кредити та вразливі місця в контрактах.

🔹 Деякі недоліки безпеки Web3 виникають через взаємодію архітектур Web3 і Web 2.0, тоді як інші пов’язані з тим, як працюють такі протоколи, як блокчейн та інші функції.

🔹 Велика кількість атак і вразливостей, викликаних відсутністю патчів безпеки, призвели до появи служб безпеки смарт-контрактів. Ці сервіси розумних контрактів надають послуги моніторингу, виявлення проблем, аналіз подій контракту в режимі реального часу та сповіщення.

🔹 Брандмауери Web3 і служби безпеки смарт-контрактів усувають недоліки криптозахисту, фільтруючи зловмисний трафік, перевіряючи смарт-контракти та надаючи оповіщення та попередження безпеки.




Вступ


Зростаюча кількість резонансних криптошахрайств підкреслила потребу в рішеннях безпеки Web3. Цілями стали знаменитості, зокрема Білл Мюррей і Сет Грін у Сполучених Штатах, а також тайванська сенсація мандопопу Джей Чоу, який у квітні втратив цінний Bored Ape Yacht Club NFT через фішинговий веб-сайт. За даними SlowMist, компанії безпеки блокчейнів, розташованої в Сямень, з 2012 року було вкрадено понад 27 трильйонів доларів США. Трьома найпопулярнішими атаками були шахрайство, атаки на флеш-кредити та вразливі місця в контрактах. Протягом багатьох років відбулося багато атак на смарт-контракт, які коштували жертвам великих сум грошей.

З іншого боку, хаки DAO і Parity Wallet добре відомі. Розумний контракт DAO містив недоліки, які дозволяли зловмисникам викрадати кошти з мережі. Через помилку хакер міг запросити кошти зі смарт-контракту до оновлення балансу.


Що таке брандмауери Web3?


Перехід від Web 1.0 до Web 2.0 піддав користувачам і компаніям декілька нових загроз безпеці. Оскільки будь-який користувач може публікувати вміст в Інтернеті, ненадійні та зловмисні дані можуть легше скомпрометувати веб-сайти, витік даних і зараження баз даних. Коли люди починають досліджувати новий світ Web3, з’являється новий набір вразливостей безпеки, з деякими з яких вони, можливо, ніколи раніше не стикалися. Брандмауер Web3 — це мережевий пристрій безпеки web3, який допомагає компаніям боротися з кібератаками, які часто націлені на їхні продукти та послуги в цій новій сфері.


Ризики безпеки Web3


Деякі недоліки безпеки Web3 виникають через взаємодію архітектур Web3 і Web 2.0, тоді як інші властиві тому, як працюють протоколи, такі як блокчейн та інші функції. Приклади ризиків безпеки Web3:

Відсутність шифрування
Теоретично Web3 повністю децентралізований, і будь-який підключений вузол у мережі може безпосередньо взаємодіяти зі збереженими даними. На практиці інтерфейси програм Web3 продовжуватимуть покладатися на технології Web 2.0, з якими кінцеві точки користувачів можуть легко взаємодіяти. Більшість інтерфейсів програм Web3 використовують запити API до серверної частини Web3 для бізнес-логіки та зберігання даних.

Багато запитів Web3 API наразі не мають криптографічного підпису. Це наражає їх на атаки на шляху, перехоплення даних та інші атаки, так само як використання незашифрованих і непідписаних програм HTTP Web 2.0 наражає користувачів на витік даних і атаки на шляху.

2. Злом смарт-контракту
Розумні контракти, як і будь-який інший код, можуть мати значні недоліки в безпеці, через які дані користувачів або, у багатьох випадках, кошти стають вразливими. У грудні 2021 року дефекти смарт-контрактів дозволили зловмисникам викрасти приблизно 31 мільйон доларів у цифровій валюті. У травні 2022 року помилка в алгоритмі TerraUSD спричинила втрату криптовалюти приблизно на 50 мільярдів доларів.

3. Конфіденційність
На відміну від моделі Web 2.0, де доступ до баз даних може бути сильно обмежений, дані в блокчейні можуть зберігатися та бути доступними для будь-якого підключеного вузла. Залежно від даних, які зберігаються, це викликає багато проблем щодо безпеки та конфіденційності. Навіть якщо вони анонімні під час передачі, дослідження показують, що жодні дані не є справді анонімними.

4. Атака на міст і протокол
Web3 не повністю заснований на блокчейні. Блокчейн, як і Інтернет, складається з шарів, побудованих один на одному. Одним із прикладів є широке використання «мостів», які є протоколами, які дозволяють передачу між блокчейнами. Ці протоколи також вразливі для атак. Наприклад, у лютому 2022 року злодії використовували міст Wormhole, щоб викрасти приблизно 320 мільйонів доларів у криптовалюті.

5. Крадіжка гаманця та облікового запису
ЗМІ рясніють історіями про атаки на криптовалюту або NFT-гаманці. Найчастіше цього досягають зловмисники, які отримують доступ до особистих ключів користувачів або змушують користувачів передати їх за допомогою фішингу. Якщо ці закриті ключі зберігаються локально на пристрої користувача, їх можна фізично вкрасти.


Що таке смарт-контракти та служби безпеки смарт-контрактів?


Розумний контракт — це протокол транзакцій, призначений для виконання, контролю або документування юридично значущих подій і дій відповідно до умов контракту чи угоди. Смарт-контракт надає багато переваг порівняно зі старою системою, але також відкриває можливості для зловмисників, які хочуть отримати прибуток від уразливостей. Публічні блокчейни загострюють проблему безпеки смарт-контрактів. Розгорнутий контрактний код зазвичай не змінюється, щоб виправити недоліки безпеки. Крім того, активи, викрадені зі смарт-контрактів, складно відстежувати, і в більшості випадків їх неможливо повернути через незмінність. Хоча цифри різняться, за оцінками, загальна вартість вкрадених або втрачених через недоліки безпеки в смарт-контрактах перевищує 1 мільярд доларів.

Ці атаки та кількість уразливостей, викликаних відсутністю патчів безпеки, спричинили появу служб безпеки смарт-контрактів. Ці сервіси розумних контрактів забезпечують моніторинг, виявлення проблем, аналіз подій контракту в реальному часі та сповіщення. Коли сторонам проекту потрібно оновити контракти, деякі служби безпеки смарт-контрактів надають інструменти систематичної технічної підтримки, такі як оновлення контрактів і міжланцюгові міграції.

Як брандмауери web3 і служби безпеки смарт-контрактів усувають недоліки криптозахисту


Брандмауери Web3 і служби безпеки смарт-контрактів усувають недоліки криптозахисту багатьма способами. Деякі з цих способів включають:

1. Щит між програмами Web3 та Інтернетом:
Коли брандмауер Web3 розгортається, він створює бар’єр між програмою web3 та Інтернетом. У той час як проксі-сервер захищає ідентичність клієнтської машини за допомогою посередника, брандмауер Web3 є типом зворотного проксі, який захищає сервер від впливу, вимагаючи від клієнтів проходити через брандмауер, перш ніж дістатися до сервера.

2. Фільтрація шкідливого трафіку:
Брандмауер Web3 працює відповідно до набору правил, відомих як політики. Ці політики спрямовані на захист від уразливостей програми шляхом фільтрації зловмисного трафіку.

3. Попередження про ризик:
Брандмауери Web3 допомагають компаніям Web3 боротися з кібератаками, дозволяючи постачальникам і зберігачам гаманців надавати користувачам попередження в реальному часі та контекст транзакцій.

4. Аудит безпеки смарт-контракту
Як і інші програмні додатки, смарт-контракти потребують спеціального аудиту для усунення недоліків безпеки. Служби безпеки розумних контрактів проводять цей аудит, щоб проводити періодичні оцінки безпеки, уникати дорогих помилок і гарантувати, що контракти виконуються оптимально.
Аудит розумного контракту — це ретельний построковий аналіз основного коду контракту. Аудит має на меті виявити та усунути всі потенційні вразливості та підтвердити надійну взаємодію контрактів.


Приклади брандмауерів web3 і служб безпеки смарт-контрактів.


1. Blowfish
Blowfish — це брандмауер web3 і постачальник послуг безпеки, який усуває ризики кібербезпеки, пов’язані з взаємодією кінцевого користувача з блокчейнами. Через непрозорість транзакцій у блокчейні кількість зловмисних транзакцій у космосі зросла. Blowfish розробляє службу, яка сканує запропоновані транзакції на наявність зловмисних намірів від імені гаманців, зберігачів і окремих користувачів перед підписанням і надсиланням їх у мережу, додаючи додатковий рівень безпеки, який може захистити користувачів від фішингових атак і зловмисних або зламаних dApps.

2. Hacken
Hacken – компанія з кібербезпеки, заснована в 2017 році, щоб зробити Web3 безпечнішим місцем. Компанія надає конкурентоспроможний набір професійних послуг із кібербезпеки в усьому світі для технологічних компаній і криптоспільнот.

3. CertiK
CertiK — це постачальник послуг безпеки web3 і смарт-контрактів, заснований у 2018 році. Він використовує найкращу у своєму класі формальну перевірку та технологію ШІ для захисту та моніторингу смарт-контрактів, блокчейнів і програм Web3.

4. OpenZeppelin
OpenZeppelin надає продукти безпеки для розробки, автоматизації та експлуатації децентралізованих програм. Це один із провідних постачальників технологій та послуг крипто-кібербезпеки, якому довіряють найпопулярніші проекти DeFi та NFT. OpenZeppelin, заснований у 2015 році для захисту відкритої економіки, захищає кошти на десятки мільярдів доларів для провідних криптоорганізацій, таких як Coinbase, Ethereum Foundation, Compound, Aave, the graph та багатьох інших.


Висновок


Постійно зростаюча кількість проектів Web3, смарт-контрактів і DeFi, які контролюють величезні кошти, зробила необхідні заходи безпеки. Незважаючи на практичність і надійність цих смарт-контрактів, вони можуть мати серйозні недоліки в безпеці, якщо їх ретельно не досліджувати, перевіряти та контролювати. Подібним чином багато запитів Web3 API наразі не мають криптографічного підпису, що наражає їх на атак. Брандмауери Web3 і служби безпеки смарт-контрактів усувають ці недоліки шляхом фільтрації зловмисного трафіку, аудиту смарт-контрактів, а також сповіщень і попереджень.



Автор: М. Олатунджі, дослідник Gate.io
Відмова від відповідальності:
* Ця стаття представляє лише погляди спостерігачів і не містить інвестиційних пропозицій.
*Gate.io залишає за собою всі права на цю статтю. Повторне розміщення статті буде дозволено за умови посилання на Gate.io. У всіх інших випадках через порушення авторських прав буде подано судовий позов.