ผู้ก่อตั้ง DeFinance สูญเสีย 545 ETH จากการโจมตีแบบฟิชชิ่ง โลกของ Web3 ยังปลอดภัยอยู่หรือไม่?

"ETH ในกระเป๋าเงินของฉันหายไป!"

วันนี้ Arthur ผู้ก่อตั้ง DeFinance ระบุในโซเชียลมีเดียว่าเขาประสบกับการโจมตีแบบฟิชชิ่งแบบหอก Arthur คลิกที่เอกสาร PDF ในอีเมลซึ่งคล้ายกับที่อยู่อย่างเป็นทางการของแพลตฟอร์มการจัดการสินทรัพย์แบบร่วมมือของ Defiance Capital ส่งผลให้เขาถูกขโมยกระเป๋าเงินร้อนของเขา และสูญเสีย NFT จำนวนมากและทรัพย์สินอื่น ๆ ที่มีมูลค่ามากกว่า 400ETH

โลกของ Web3.0 ดูเหมือนจะไม่ปลอดภัย และทรัพย์สินบนเครือข่ายของเราดูเหมือนจะถูกคุกคามในทุกที่ แท้จริงแล้ว จากมุมมองของเลเยอร์บน แอปพลิเคชันบนเชนไม่เพียงแต่ต้องพิจารณาช่องโหว่ในตรรกะของแอปพลิเคชันเท่านั้น แต่ยังต้องพิจารณาเส้นทางการโจมตีที่เป็นไปได้ (เช่น ใบจอง ฯลฯ) ของชั้นฉันทามติของเชนที่ปรับใช้ . นอกจากนี้ เรายังต้องลืมตาเพื่อดูส่วนหน้าของการโต้ตอบและป้องกันลิงก์ฟิชชิ่งต่างๆ จุดที่ร้ายแรงที่สุดคือเมื่อธุรกรรมได้รับการรับประกันว่าจะชำระบัญชี ค่าใช้จ่ายในการย้อนกลับจะสูงมาก ด้วยวิธีนี้ ระดับความปลอดภัยโดยรวมของ Web3.0 จึงไม่ดีเท่าของ Web2.0

แต่จากมุมมองระดับล่าง ตามทฤษฎีแล้ว Web3.0 ควรมีความปลอดภัยมากกว่า ตัวอย่างเช่น การดำเนินการแบบขนานแบบกระจายศูนย์บนเชนสร้างสภาพแวดล้อมการดำเนินการที่ไม่น่าเชื่อถือสำหรับแอปพลิเคชันบนเชน การโจมตี DoS ที่มักพบโดยแอปพลิเคชัน Web2.0 นั้นสามารถแก้ไขได้ด้วยกลไก Gas โอเพ่นซอร์สของโปรโตคอลยังให้ "สิทธิ์" แก่ผู้ใช้ DYOR ก่อนใช้งาน ฯลฯ...

บทความนี้มาจาก Tal Be'ery กระเป๋าเงินเข้ารหัสของ ZenGo ซึ่งอธิบายรายละเอียดข้อดีด้านความปลอดภัยโดยธรรมชาติของ Web3.0 และเสนอวิธีแก้ไขที่เป็นไปได้สำหรับปัญหาที่มีอยู่ Rhythm Research Institute แปลข้อความฉบับเต็ม:

ฉันรู้ว่ามันฟังดูไร้สาระ เพราะการรักษาความปลอดภัย Web3 เป็นหนึ่งในเรื่องตลกที่ใหญ่ที่สุดในวงการเทคโนโลยีตอนนี้ และ Web3 สูญเสียเงินกว่า 1 หมื่นล้านดอลลาร์จากการละเมิดความปลอดภัยในปีที่แล้ว อย่างไรก็ตาม ฉันคิดว่าสถานการณ์ปัจจุบันควรค่อยๆ ลดลง แทนที่จะต่อเนื่อง เมื่อแอปพลิเคชัน Web3 เติบโตมากขึ้น แอปพลิเคชันเหล่านั้นจะแซงหน้า "แอปพลิเคชันดั้งเดิม" จำนวนมากในด้านความปลอดภัย

ความหมายของเว็บ3

คำอธิบายภาพ

Web3 สามเหลี่ยม

หลังจากกำหนด Web3 แล้ว เราสามารถเริ่มพูดคุยเกี่ยวกับความปลอดภัยของ Web3 ซึ่งรวมถึงความปลอดภัยของสัญญาอัจฉริยะเป็นหลัก เพื่อความง่าย เราจะหารือเกี่ยวกับสัญญาอัจฉริยะบน Ethereum เท่านั้น แต่ฉันเชื่อว่าข้อสรุปนี้ใช้ได้กับระบบและบล็อกเชนอื่นๆ ที่คล้ายคลึงกันเช่นกัน

การรักษาความปลอดภัย Web3 มีประโยชน์โดยธรรมชาติ

ลองนึกดูว่าการอัปเกรดจะเป็นอย่างไรหากมัลแวร์ การโจมตีแบบปฏิเสธบริการ และการโจมตีประเภทอื่นๆ ปราศจากสภาพแวดล้อมของซอฟต์แวร์ Web3 ลองดูที่ Web3 ซึ่งตระหนักถึงยูโทเปียด้านความปลอดภัย:

- Web3 แก้ปัญหาการดำเนินการที่เชื่อถือได้: สำหรับแอปพลิเคชันแบบเดิม การดำเนินการที่เชื่อถือได้เป็นปัญหาหลักที่ยังไม่ได้แก้ไข ปัจจุบัน แอปพลิเคชันต้องเชื่อถือสภาพแวดล้อมการดำเนินการของซอฟต์แวร์ (ระบบปฏิบัติการ) และฮาร์ดแวร์ (โปรเซสเซอร์และเฟิร์มแวร์) หากความเชื่อถือนี้ถูกละเมิดโดยมัลแวร์หรือการโจมตีห่วงโซ่อุปทานของฮาร์ดแวร์ที่สามารถฝังตัวประมวลผลที่เป็นอันตราย ผู้โจมตีอาจเข้าควบคุมได้ Web3 แก้ไขปัญหาความปลอดภัยขั้นพื้นฐานนี้ด้วยการกระจายอำนาจของการดำเนินการ โหนดบล็อกเชนทั้งหมดรันโค้ด web3 พร้อมกันและต้องยอมรับผลลัพธ์ของการดำเนินการ เว้นแต่จะมีความเสี่ยงเชิงระบบในตัวกลไกการดำเนินการเอง (เช่น มีช่องโหว่ใน EVM ของ Ethereum เอง) ผู้โจมตีจะต้องเปิด "การโจมตีด้วยพลังการประมวลผล 51%" เพื่อทำให้โหนดบล็อกเชนส่วนใหญ่ติดเชื้อด้วยมัลแวร์เพื่อขัดขวางการดำเนินการของมัน

- Web3 มีภูมิคุ้มกันต่อการโจมตีแบบฉีด: สำหรับเว็บแอปพลิเคชันแบบดั้งเดิม พารามิเตอร์ทั้งหมดจะถูกส่งเป็นสตริง ข้อบกพร่องด้านการออกแบบนี้เป็นหัวใจสำคัญของช่องโหว่ของเว็บแอปพลิเคชันแบบดั้งเดิมส่วนใหญ่ ซึ่งรวมถึง SQL Inject และ Command Inject ซึ่งช่วยให้ผู้โจมตีสามารถลักลอบนำเข้าข้อมูลที่ไม่คาดคิดไปยังเว็บแอปพลิเคชันที่บอบบางได้ ในทางตรงกันข้าม เนื่องจาก Web3 เป็นลักษณะการพิมพ์ที่เข้มงวด การป้อนข้อมูลที่ไม่คาดคิด (เช่น สตริงเมื่อต้องการตัวเลข) จะล้มเหลวทันที และแอปพลิเคชัน Web3 ไม่จำเป็นต้องทำอะไรเป็นพิเศษในการเตรียม

-Web3 ทนทานต่อการโจมตีแบบปฏิเสธบริการได้ดีกว่า: แม้ว่าการโจมตีเหล่านี้จะไม่ฉลาดนัก เพราะโดยปกติแล้วพวกมันไม่ได้อาศัย "พลังสมอง" แต่อาศัย "กำลังดุร้าย" ของกองทัพบ็อตเน็ต ส่งขยะไปยังเป้าหมายการโจมตีด้วยต้นทุนที่ต่ำกว่า ปริมาณการใช้งาน แต่ยังคงเป็นปัญหาหลักสำหรับเว็บแอปพลิเคชันแบบเดิม ในทางตรงกันข้าม แอปพลิเคชัน Web3 จะไม่ประสบปัญหานี้ เนื่องจากบล็อกเชนได้กำหนดค่าธรรมเนียมการทำธุรกรรมสูงเพื่อป้องกันการใช้งานที่มากเกินไป ดังนั้นผู้โจมตี DoS จึงไม่มีทางเริ่มต้นได้

นอกจากประเด็นข้างต้นแล้ว Web3 ยังแสดงให้เห็นถึงความปลอดภัยที่ดีในด้านอื่นๆ (เช่น ในการตอบสนองต่อการโจมตีของห่วงโซ่อุปทานของซอฟต์แวร์) อย่างไรก็ตาม แค่ทำตามจุดข้างต้นก็มีพลังมากแล้ว

อย่างไรก็ตาม นอกเหนือจากข้อได้เปรียบทางเทคนิคที่กล่าวถึงข้างต้นแล้ว Web3 ยังมีข้อได้เปรียบด้านความปลอดภัยบางประการในแง่ของแนวคิด เนื่องจากความเปิดกว้างและความโปร่งใสอย่างสมบูรณ์ ก่อนการเกิดขึ้นของ Web3 แนวคิดของการรักษาความปลอดภัยแบบเปิดมีผู้สนับสนุนมากมายในสาขาความปลอดภัย ซึ่งเชื่อว่ามีข้อดีมากกว่า "การรักษาความปลอดภัยที่ซ่อนอยู่" Web3 ใช้แนวคิดของการรักษาความปลอดภัยแบบเปิดจนถึงขีดสุด: ใน Web3 ไม่เพียงแต่เป็นโค้ดโอเพ่นซอร์สตามแบบแผนเท่านั้น แต่ไบนารียังเป็นตามคำจำกัดความสาธารณะบนบล็อกเชนและตรวจสอบได้จากการเผยแพร่ซอร์สโค้ด นอกจากนี้ ตามคำจำกัดความ การดำเนินการโค้ดทั้งหมด (ธุรกรรม) เป็นแบบสาธารณะและทุกคนสามารถตรวจสอบและตรวจสอบได้

ข้อได้เปรียบทางทฤษฎีไม่ใช่ข้อได้เปรียบทางปฏิบัติ

หากความปลอดภัยของ Web3 ดีกว่าแอปพลิเคชันแบบดั้งเดิมในทางทฤษฎี ทำไมในทางปฏิบัติ แอปพลิเคชัน DeFI ถึงยังไม่ปลอดภัยเท่ากับแอปพลิเคชันธนาคารแบบดั้งเดิม

ฉันไม่คิดว่าเป็นเพราะการรักษาความปลอดภัย Web3 ที่ไม่ดี แต่เพราะมันทำงานในสภาพแวดล้อมที่ไม่เป็นมิตรซึ่งผู้โจมตีสามารถทำรายได้จากการแฮ็กได้ง่ายขึ้น แอปพลิเคชัน Web3 กำลังติดต่อกับ "กองทุนสภาพคล่อง" ตลอดเวลา เนื่องจากการโอนเงินบนบล็อกเชนนั้นเกือบจะทันทีและไม่เปลี่ยนรูป ขณะที่ในระบบธนาคารแบบดั้งเดิม แม้ว่าแอปพลิเคชันธนาคารจะถูกแฮ็ก ทรัพย์สินที่เกี่ยวข้องกับธุรกรรมที่เป็นอันตรายเหล่านี้ สามารถกู้คืนได้ก่อนที่ผู้โจมตีจะถอนเงินออกไป

โดยเฉพาะอย่างยิ่ง เราสามารถดูการแฮ็กธนาคารที่ใหญ่ที่สุดรายการหนึ่ง นั่นคือการแฮ็กธนาคารบังคลาเทศในปี 2559 ผู้โจมตีใช้มัลแวร์เพื่อแทรกซึมธนาคารและส่งสาย SWIFT ที่ฉ้อฉลเพื่อพยายามขโมยเงิน 1 พันล้านดอลลาร์ เพื่อให้ได้รับเงิน 1 พันล้านดอลลาร์ ผู้โจมตีจำเป็นต้องกำหนดเป้าหมายวันที่เจาะจง ซึ่งตรงกับวันหยุดธนาคาร เพื่อให้มีเวลาเพียงพอในการถอนเงิน พวกเขายังต้องเตรียมพร้อมล่วงหน้าที่ธนาคารของฟิลิปปินส์ที่สามารถจัดการการโอนเงินผ่านธนาคารจำนวนมากเพื่อนำเงินออกก่อนที่จะมีการโอนเงินกลับ ในท้ายที่สุด ผู้โจมตีได้รับเงินเพียง 60 ล้านดอลลาร์จาก 1 พันล้านดอลลาร์ ไม่ใช่เพราะซอฟต์แวร์ของธนาคารมีความปลอดภัยมากกว่า แต่เป็นเพราะสภาพแวดล้อมที่เอื้ออำนวยมากกว่า ทำให้ฝ่ายป้องกันมีเวลาเพียงพอในการกู้คืนการโอนเงินผ่านธนาคาร

ดังนั้นเราจึงสามารถสรุปได้ว่าเพื่อเอาชนะผู้โจมตีเราต้องซื้อเวลาให้กับผู้ป้องกัน

ในการทำเช่นนี้ เราจำเป็นต้องลดเวลาการตรวจจับการโจมตี หรือเพิ่มเวลาก่อนที่จะสามารถย้อนกลับธุรกรรมได้ หรือทั้งสองอย่าง

ฉันมองโลกในแง่ดีเกี่ยวกับความสามารถของชุมชนของเราในการปรับปรุงเวลาในการตรวจจับการโจมตี เนื่องจากมีบริษัทรักษาความปลอดภัยบางแห่งอยู่แล้ว (เช่น peckshield) ที่สามารถใช้ความโปร่งใสของบล็อกเชนและแนวคิด "ความปลอดภัยแบบเปิด" ที่กล่าวถึงข้างต้นตามข้อมูลสาธารณะเพื่อสร้าง การตรวจจับการโจมตีของแฮ็กเกอร์ล่วงหน้า การเตือนล่วงหน้า เมื่อพิจารณาจากการแฮ็กล่าสุดและการวิเคราะห์ภายหลังการชันสูตรแล้ว ไม่มีอะไรขัดขวางการวิเคราะห์จากการดำเนินการตามเวลาจริงเมื่อธุรกรรมถูกดำเนินการ (แม้ว่าธุรกรรมจะถูกดำเนินการในฐานะ "การครอบครอง" ใน mempool ของโหนดก็ตาม) เมื่อเรารวมระบบเตือนภัยล่วงหน้าขั้นสูงเข้ากับสัญญา ก็อาจเพียงพอที่จะป้องกันธุรกรรมที่เป็นอันตรายได้ ดังที่โครงการล่าสุด เช่น Forta.network ได้แสดงไว้

แม้กระทั่งทุกวันนี้ การถอนเงินก็ไม่ง่ายอย่างที่คิด โทเค็น Crypto บางตัวได้ตั้งค่าบัญชีดำของตนเองเพื่ออายัดทรัพย์สินของผู้ใช้ที่ระบุไว้ นอกจากนี้ ในการถอนเงินเป็นสกุลเงินปกติ ผู้โจมตีมักจะต้องพึ่งพาการแลกเปลี่ยนแบบรวมศูนย์ ซึ่งได้รับการควบคุมมากขึ้น และได้เพิ่มฟังก์ชัน KYC (รู้จักลูกค้าของคุณ) และบัญชีดำเพื่อป้องกันการโจมตี ด้วยเหตุนี้ ผู้โจมตีบางรายในปัจจุบันจึงต้องการคืนเงินส่วนใหญ่ที่ถูกแฮ็ก เก็บไว้เพียงส่วนเล็กๆ และฟอกเงินเหล่านี้เป็น "ค่าบั๊ก" ที่ออกโดยแอปพลิเคชันที่ถูกแฮ็ก เช่นเดียวกับเงินที่ถูกแฮ็กของ Bitfinex เมื่อเร็ว ๆ นี้ เป็นเรื่องยากสำหรับแฮ็กเกอร์เหล่านี้ที่จะถอนเงินจาก Crypto จำนวนมาก เพื่อให้แน่ใจว่าการถอนเงินจะยากขึ้นเท่านั้น

สรุป: เราจะประสบความสำเร็จ

แม้ว่าความปลอดภัยของ Web3 นั้นยังห่างไกลจากความเพียงพอ แม้ว่าจะมีการปรับปรุงอย่างต่อเนื่อง แต่ก็มีศักยภาพที่จะกลายเป็นเกราะป้องกันที่ปลอดภัยสำหรับกิจกรรมดิจิทัลของเราในอนาคต เช่นเดียวกับเทคโนโลยีที่ปฏิวัติวงการส่วนใหญ่ ยิ่ง Web3 มีคุณลักษณะหลากหลายมากเท่าใด ปัญหาด้านความปลอดภัยก็จะยิ่งมากขึ้นเท่านั้น และเป็นเช่นนี้มาโดยตลอด อย่างไรก็ตาม ด้วยการสนับสนุนทางการเงินของผู้ร่วมทุนและโครงการ Web3 ที่ประสบความสำเร็จในอนาคต ความสามารถของระบบความปลอดภัยจะยังคงหลั่งไหลเข้าสู่ฟิลด์ Web3 จากผลิตภัณฑ์ความปลอดภัยแบบดั้งเดิม และฉันเชื่อว่าความปลอดภัยของ Web3 จะสามารถใช้งานได้อย่างเต็มที่ภายในตอนนั้น

เทคโนโลยี Web3 และ Crypto เกี่ยวข้องกับหลายสาขาวิชาในวิทยาการคอมพิวเตอร์และเศรษฐศาสตร์ ในขณะที่ฉันเข้าใจเฉพาะสาขาความปลอดภัยเท่านั้น ฉันเชื่อว่า Web3 จะนำมาซึ่งการพัฒนาครั้งสำคัญในด้านความปลอดภัย และฉันก็เชื่อว่าจะสามารถปรับปรุงด้านอื่นๆ ที่ฉันไม่เข้าใจได้

ลิงค์ต้นฉบับ

ลิงค์ต้นฉบับ