領先機構專家暢聊Web3安全實踐，AWS Web3 Developer Camp 2023精彩回顧

領先機構專家暢聊Web3安全實踐，乾貨滿滿！

12月7日, 由亞馬遜雲端科技Amazon Web Services (AWS) 牽頭, CrossSpace社群獨家支持的Web3 Developer Camp在AWS銅鑼灣活動場地成功舉辦。本次活動作為「Web3安全」系列研討會的線下分享環節, 成功邀請到來自Web3安全、錢包、L1/L2公鏈、雲端服務、交易所和投資機構的專家及高管現場分享, 為大家呈現了一場場乾貨滿滿及討論度頗高的Web3安全會議。

身為全球雲端服務市場的領導企業, AWS一直關注並積極探索Web3產業的安全實踐。本次主導舉辦安全系列活動, AWS希望能協助提升業界從業人員對安全的認知, 打造可持續發展的Web3生態, 為2024年各賽道的健康發展奠定基礎。參與本次安全主題研討會的專家和嘉賓來自多個業界領先機構, 包括(排名不分先後): Beosin、Conflux、Hashkey Exchange、 OKX Wallet、 Polkadot、Scroll 、SlowMist、 SNZ Capital和Taiko。

文章開頭, 讓我們一起回顧本次活動的圓桌熱議話題。該環節邀請到Web3領先機構Taiko、Hashkey Exchange、Beosin和SNZ Capital的高管和專家, 暢聊他們項目是如何實踐Web3安全使命的, 我們也有幸聽到近期熱門L1/L2公鏈Conflux和Scroll在線下首次分享他們2024年的技術和生態發展路線。

左起: CrossSpace聯創與執行長Leon(主持)、SNZ Capital投資經理Michael、Taiko聯創與首席策略長Terence、Conflux技術長Ming Wu、Scroll亞太區成長負責人Marcus Liu、Hashkey Exchange交易所產品總監Vincent Wong、Beosin安全研究員Eaton。

圓桌熱話: Web3專案應留意哪些安全事項?

Web3專案在發展過程中容易盲目追求市場拓展而忽略基礎安全, 今年多起大額鏈上資金被盜事件給Web3從業者敲響了安全的警鐘。作為一直深耕在安全領域的Beosin, 其安全研究員Eaton給專案方提出這些建議: 「專案團隊在運行初期需要學會利用AI和審計工具來加快審核過程和檢測合約漏洞,從而節省審計時間並解決複雜的業務邏輯問題。在專案開發階段, 團隊需要確保商業邏輯的準確性, 注重測試和使用測試驅動的開發方法。同時,要謹慎處理集成第三方應用, 以預防引入未知的安全漏洞。在專案完成後, 強烈建議專案團隊聘請專業的審計團隊審計, 以幫助發現和解決潛在的漏洞, 從而確保專案的安全性。”

SNZ Capital擁有豐富的Web3基礎設施和應用類專案投資經驗。其投資經理人Michael也表達了SNZ對其投資組合公司安全性的重視: “安全性對於SNZ至關重要, 是我們投資策略中的一個重要考慮因素。為此, 我們與安全公司建立了合作關係,為投資組合專案的開發團隊提供全方位的安全服務。 除了基礎設施和中間件領域的安全管理, 我們也為這些公司提供後期管理服務, 確保他們獲得我們熟悉的安全供應商的服務。我們要求投資組合的公司在其商業戰略中將安全放置於首位, 了解安全審計的重要性, 包括實時欺詐、漏洞監測以及兼容性評估等, 確保安全設計。”

圓桌熱話:運作純熟的Web3專案是如何進行安全實務的?

Taiko作為以太坊生態中成長迅速的開源ZK-rollup, 透過其完全去中心化的架構和多重驗證者參與驗證來確保其安全性。 Taiko聯創和首席策略官Terence在圓桌會中表示: “Taiko是一個等效於以太坊的Rollup二層網絡, 具有完全去中心化的架構。 其優勢包括開源性、社區建設和安全性, 致力於透過全球貢獻者的參與保證代碼的品質和安全性。目前Taiko處於測試網, 測試網中有10000 多個提案和驗證者節點, 這個數字預計還將持續增長。這意味著用戶無需信任Taiko,我們沒有中心化的排序器, 是我們區別於其他二層網絡的一個重要特點。”

Hashkey作為直接與投資用戶打交道的香港持牌虛擬資產交易所, 近期不斷拓展其產品類別, 如何確保客戶的信心和信任,是其首要考慮的命題之一。 「Hashkey Exchange一直致力於嚴格遵守證監會規定的託管政策。98% 的資產被安全地存放在冷錢包中, 而僅有2% 存放在熱錢包中, 以確保資產的高度安全性。為了進一步保障投資者的權益, 我們與保險公司, 如AON 和OneDegree建立了合作關係, 為用戶提供額外的保險保障。」Hashkey Exchange產品總監Vincent Wong進一步分享表示: “Hashkey Exchange從KYC驗證開始, 確保我們的客戶都是合法和真實的。同時, 我們提供密碼提醒功能, 並要求用戶定期修改密碼, 以增強帳戶的安全性。 除此之外, 我們還會向客戶提供教育材料, 邀請他們多學習、研究理解區塊鏈知識及相關設施。透過這些方式, 我們希望能夠與客戶建立長期的信任和合作關係, 確保他們在使用我們的平台進行交易時感到安全和受保護。”

圓桌熱話: Layer1/2領先公鏈的技術發展與生態支持

作為Layer1的領先公鏈代表, Conflux近期公佈了其2024年的開發者路線圖。首席技術官Ming Wu在現場分享了Conflux計劃改善開發者體驗的幾個方向, 包括積極尋找可編程的數據可用性(Data Availability) 解決方案, 使智能合約能夠與獨立的DA 層進行互動, 以實現大規模狀態的高效儲存和檢索; 努力將人工智慧平台整合到Conflux 並將其定位為激勵層; 積極探索異構虛擬機架構, 以提高可擴展性並拓展生態系統以及研究集成多方計算(MPC) 以增強隱私保護和抗MEV能力等。 Ming Wu表示: “我們期待在未來幾年內, 透過提升系統性能適應更多應用場景, 使我們的技術更加成熟和實用。”

另一條近期上線主網的Layer2公鏈代表Scroll亦分享了近期生態安全實務。 Scroll亞太區成長負責人Marcus Liu表示: “在安全方面, Scroll最主要的安全來源於我們的ZKP, 利用ZK的數學原理保證了ZKEVM是安全可信的運行結果, 並會上傳到ETH作為一層鏈進行ZK Proof的驗證。Scroll目前除了對所有合約以及電路有嚴格的審計之外, 也開放了Bug bounty計劃, 和社區的成員們一起以開源精神加強安全。Roadmap中接下來對去中心化Prover以及去中心化的Sequencer達成也能增強Scroll去中心化程度以及安全。”

當日活動,除了圓桌環節, AWS的【Web3道德駭客和最佳安全實踐】培訓, 和來自安全機構SlowMist、新一代公鏈Polkadot和Web3應用OKX Wallet專家的干貨分享也值得回味。接下來, 就讓我們透過記錄走近安全一線, 了解安全風險類別、實用安全策略、應用端安全和生態開發安全等方面的知識與經驗。

智慧合約漏洞繼續霸榜成2023前三駭客攻擊類別

智慧合約漏洞在2023 年繼續成為最常見的駭客攻擊類型之一。根據安全公司Beosin今年第三季的安全報告, 合約漏洞利用是排名僅次於私鑰洩漏和資料庫攻擊排名第三的攻擊類別。 “ 22 次合約漏洞利用共造成損失約9327 萬美元。 而按照漏洞細分, 造成損失最多的為重入漏洞, 合約漏洞事件裡約有82.8% 的損失金額來自重入漏洞。”

AWS Web3解決方案架構師David Sung和Gong Tao在現場分享了智慧合約常看到的三類駭客事件, 其中就包括重入漏洞攻擊。在該攻擊類別中, 攻擊者利用合約中的安全漏洞, 在一筆交易未完成之前反复調用同一個函數, 導致合約的資金被多次轉移或消耗。這種攻擊往往是因為合約的設計有缺陷, 或沒有採取足夠的防禦策略。由於重入攻擊對智能合約的安全性和穩定性構成了嚴重威脅, 因此在開發智能合約時, 防禦重入攻擊應被視為一項關鍵任務。

另外兩類較常見的攻擊方式包括委託呼叫攻擊, 及整數溢位和下溢攻擊。委託呼叫攻擊是為了促進程式碼重用, EVM提供了一個操作碼DELEGATECALL, 用於將被呼叫方契約的字節碼插入到呼叫方契約的字節碼中。因此, 惡意目標合約可以直接修改(或操縱) 呼叫方合約的狀態變數。整數溢位和下溢攻擊是當算術運算的結果超出了Solidity資料類型的範圍時會發生的攻擊事件, 進而導致對其狀態變數進行未經授權的操作。

如想了解如何應對駭客攻擊, 可參考AWS【Web3道德駭客和最佳安全實踐】安全實操課程,造訪相關 專題頁面。

Web3專案運行前、中、後的安全策略

Web3專案從運行開始就需要重視潛在安全風險, 安全事件常發生在智慧合約、區塊鏈錢包和交易所方面。 SlowMist香港社區負責人Tony 現場分享表示: “在面對區塊鏈的安全事件中, SlowMist會從事件發生前、事件發生期間以及事件發生後三個階段來提供解決方案。” 專案方可以根據自身的發展階段評估安全方面的潛在風險。

在安全事件發生前, 專案方可以就潛在的安全風險進行全方位測試。在此階段, SlowMist的紅隊測試(Red Teaming) 能幫助專案方從企業人員、企業業務系統、企業供應鏈、企業辦公系統、企業物理安全等真實漏洞進行潛在攻擊評估, 提供客製化的安全防禦方案, 優先保護容易遭受攻擊的節點, 增加攻擊者的成本。

在安全事件發生過程中, 專案方應加強鏈上和鏈下的安全實時監測, 與安全公司合作及時發現並應對潛在的安全威脅; 在安全事件發生之後, 則應馬上採取防禦行動, 比如利用SlowMist的緊急應變支援服務和鏈上鏈下追蹤調查服務等功能, 及時抵禦攻擊, 並找出事件發生的根本原因。

考慮到許多Web3專案團隊在程式碼設計階段就需要考慮安全性, 而不能僅依靠安全公司的短期指導, SlowMist在Github開源了其Web3專案安全實踐要求, 詳細列舉了在開發環境下需要留意的安全隱患。此舉將能有效鼓勵專案團隊基於Web3專案安全實踐要求建立和完善自己的安全系統, 並在安全審計後具備一定的安全能力。

積極擁抱尖端技術,打造安全的Web3應用

隨著區塊鏈底層技術的成熟, 越來越多的Web3前端應用接連出現, OKX Wallet無疑是一款用戶體驗極佳的產品。作為直面終端用戶的應用程式,如何提升用戶體驗的同時保證用戶資金和數據的安全? OKX Wallet的產品經理Darrel Wang現場分享他們的秘訣來自系統底層的安全強化、全棧安全能力和積極擁抱前沿安全技術。以下展開分享:

首先, OKX Wallet進行了系統級的強化, 確保與用戶資產相關的產品具備金融機構級別的安全性。透過加強應用程式的安全性,努力防止駭客入侵, 確保使用者在一個安全的環境中交易。

其次, OKX Wallet注重全端的安全能力。從節點服務、區塊瀏覽器到用戶終端, 完整的上下游服務能力, 保障了產品在全流程的合規性和卓越安全性能。例如, 產品提供的主動風險提示功能, 積極防止釣魚網站的出現, 進一步保障了使用者的資產安全。

再次, OKX Wallet強調創新, 積極擁抱前沿技術。其今年推出基於帳戶抽象協議(EIP-4337)的智能合約帳戶, 可恢復的特性將大大提高錢包的安全管理能力; 而其上線的MPC無私鑰錢包, 則利用多方安全計算技術, 減少了單點故障造成的私鑰安全風險, 讓用戶無懼私鑰遺失。

OKX Wallet定位自己為科技公司, 而非金融公司。他們目標從產品核心原則和技術角度出發解決問題, 為用戶帶來安全和便捷的數位交易體驗。

Substrate框架協助開發者打造更安全的區塊鏈

很多開發者對Substrate不陌生, 它是一個用於構建區塊鏈的開源的、模組化的和可擴展的區塊鏈開發框架。 Polkadot中繼鏈(Relay Chain) 的底層區塊鏈框架便是用Substrate建構的。那麼, Substrate是如何為該生態的開發者提供安全性呢? Polkadot生態的核心開發者Jimmy在活動現場指出Substrate框架下, 開發者可預先構建由Parity專業工程師提供的組件(Pallets), 在運行時可升級、無需鏈分叉, 並由多種共識機制可供選擇, 實現了不同鏈間的互操作性和安全性。

Jimmy進一步指出, Polkadot的核心目標是實現區塊鏈的跨鏈互通性和可擴展性。 Polkadot將不同的區塊鏈連接起來, 使它們可以相互通信並協調工作。這種架構允許不同的區塊鏈之間進行資料交換和價值轉移, 從而提高了整個網路的效率和可擴展性。其架構包括中繼鍊和平行鏈, 其中中繼鏈負責驗證和安全性, 平行鏈提供特定功能。此外, Polkadot注重可擴展性、安全性和去中心化三個關鍵屬性之間的權衡, 採用獨特架構方法和橋接技術實現資產的安全高效轉移。

Web3專案方需擅用雲端服務基礎設施,關注服務類別、安全性與靈活度

雲端服務是Web3特別重要的底層設施, 從交易所、公鏈到前端應用程式, 都離不開雲端服務。對Web3專案來說, 雲端服務平台的服務範圍、安全性和靈活度尤其重要。 AWS在Web3可謂是「家喻戶曉」的雲端服務供應商, 在活動現場, AWS解決方案架構師David對這三方面給予了回應。

從服務類別來說, AWS是全球廣泛採用的雲端平台, 提供超過200 個功能豐富的服務, 包括分佈在全球的資料中心, 可以滿足各類Web3公司獨特的基礎設施需求。 AWS服務了眾多的Web3專案, 大家最廣泛使用的七個AWS服務包括: EC2(Nitro Enclaves)、KMS/CloudHSM、API Gateway、S3、Elastic Block Store、Shield Advanced、WAF。

在安全性方面, AWS一直致力於為專案方提供安全、合規、治理等方面的服務。透過AWS Nitro系統, 安全性在晶片層級內建, 持續監視、保護和驗證實例硬體, 最小化潛在的攻擊面。 AWS也支援比其他任何雲端供應商更多的安全標準和認證。其中Nitro Enclaves 結合KMS/CloudHSM 為Web3 BUIDLers 提供了最佳的雲端私鑰安全管理方案並在業界被廣泛採用, Shield Advanced 和WAF 則為dApps、Node和各種Web3基礎設施層提供了安全防護。

在靈活度方面, AWS在給專案方提供多種服務類別的同時, 也提供不同產品的定價選項, 以幫助他們優化成本。 David補充道: “我們提供廣泛的分析和機器學習服務選擇, 基本能滿足專案所有資料分析需求。從資料移動、資料儲存、大數據分析、日誌分析、串流分析、商業智慧和機器學習(ML )等等, 同時我們讓大家靈活的選擇服務以降低成本。”

如專案方需要了解如何在AWS建立安全的雲端應用和AWS提供的Web3生態支援, 可點擊了解更多。

以上即為此次活動的精華乾貨內容分享, 希望對Web3的BUIDLers和開發者們有所啟發。我們由衷希望在業界各方不斷凝聚的安全共識下, Web3生態能迎來下一階段的迅速增長, 而CrossSpace將繼續聯合AWS、業內優質的安全公司和Web3生態參與方, 為大家帶來更多分享活動。