Web3安全 —— 隱藏的千億市場
本文從當前市場所面臨的安全挑戰出發,探討了隨着 Web3 用戶快速增長所帶來的安全風險。通過分析 Goplus 等公司提出的安全解決方案,我們進一步了解了如何從合規和安全等方面支持 Web3 的大規模應用。作者說✍🏻
曾經,希臘人以巨木構馬,獻於特洛伊之城。城中人以爲是和平的象徵,不知其中潛藏着威脅。
隨着比特幣 ETF 的成功推出,越來越多的新用戶和資金正重新湧向 Web3 ,行情的預熱似乎預示着 Web3 往大規模應用的未來更近了一步。然而,政策的缺乏以及安全隱患依然是阻礙加密貨幣廣泛普及的主要障礙。
在加密世界裏,黑客通過攻擊鏈上漏洞便可以直接獲利百萬乃至上億美元,同時加密貨幣的匿名性爲黑客的全身而退創造了條件。截至 2023 年年底,所有去中心化金融(DeFi)協議的總鎖定價值(TVL)約爲 40 億美元(目前爲100億美元),而僅 2022 年,DeFi 協議被盜的代幣總價值就達到了 3.1 億美元,佔上述價值的 7 %。這一數字充分說明了安全問題在 Web3 行業中的嚴重性,如同達摩克利斯之劍懸掛在我們的頭頂。
不僅是鏈上環境,Web3 用戶端的安全問題同樣不容小覷。從 Scam Sniffer 公開的數據來看,2023 年就有 32.4 萬名用戶因爲網絡釣魚導致資產被盜,被盜金額總值高達 2.95 億美元,無論是從影響範圍還是金額數量來看都十分嚴重。但是從用戶的角度出發,安全事故本身具有滯後性——在事故真正發生之前,用戶往往難以充分意識到潛在風險的嚴重性。因此,人們常常陷入“幸存者誤差”,從而忽視了安全的重要性。
本文從當前市場所面臨的安全挑戰出發,探討了隨着 Web3 用戶快速增長所帶來的安全風險。通過分析 Goplus 等公司提出的安全解決方案,我們進一步了解了如何從合規和安全等方面支持 Web3 的大規模應用。我們認爲 Web3 安全是一個未被充分挖掘的千億級市場,並且隨着 Web3 用戶羣體的持續擴大,對用戶端安全服務的需求呈現出指數級增長趨勢。
文章早知道 👀
1.隱藏的威脅與千億市場
1.1 資產安全
1.2 行爲安全
1.3 協議安全
- Web3 安全賽道分析
- 下一代安全產品:爲 Web3 大規模應用護航
- 結語
全文5400字,預計閱讀時間12分鍾
隱藏的威脅與千億市場
目前 Web3 安全的產品形態主要以 ToB , ToC , ToD 爲主。B 端主要爲產品的安全審計,針對產品進行滲透測試並輸出審計報告,主要在產品側進行安全防護。C 端主要針對用戶安全環境的保護,基於對威脅情報的實時捕獲和分析,通過 API 的方式輸出檢測服務,在用戶側進行安全防護。而 ToD ( Developer ) 主要面向的就是開發者工具,爲 Web3 開發者提供的自動化安全審計工具和服務。
安全審計是一種必要的靜態安全措施。幾乎每個 Web3 產品都會進行安全審計,並對審計報告進行公示。安全審計不僅使社區能夠二次驗證協議的安全性,同時也是用戶對產品建立信任的基礎之一。
不過,安全審計並非是萬能的。鑑於市場的發展趨勢和當前敘事,我們預見到用戶安全環境的挑戰將持續上升,主要體現在以下幾個方面:
資產安全
每輪市場的啓動,一定伴隨着新資產的發行。隨着 ERC404 的火熱和 FT 與 NFT 混合型 Token 的興起,未來鏈上資產的發行不斷創新和復雜化。對新型資產安全的挑戰與日俱增。隨着不同資產類型之間通過智能合約進行映射和融合,系統的復雜度增加,相應的,其安全性也面臨更大挑戰。這種復雜性給攻擊者提供了更廣闊的攻擊空間,例如,通過設計特定的回調機制或收稅機制,攻擊者可以對資產轉移進行幹擾,甚至發起直接的 DoS 攻擊。這使得傳統的資產發行合約安全審計與形式化驗證這類 Pre-Chain 的方法變得困難。具有實時監測,警告,動態攔截的解決方案迫在眉睫。
行爲安全
CSIA 提供的數據顯示,90 %的網路攻擊始於釣魚( Phishing )。這同樣適用於 web3 ,攻擊者們以用戶的私鑰或者鏈上資金爲目標,通過 Discord , X , Telegram 等平台發送釣魚連結或者詐騙信息,引導不知情的用戶進行錯誤轉帳,錯誤的智能合約交互,或安裝病毒文件等行爲。
鏈上交互具有高昂的學習成本,這本身是反人性的。哪怕一個離線的籤名也可以導致數百萬美元的損失,試問當我們點擊籤名的時候,面對着各種輸入參數,我們真的知道自己在授權什麼嘛?2024 年 1月 22 日,某加密貨幣用戶遭遇釣魚攻擊,籤署了帶有錯誤參數的 Permit 籤名。黑客在獲取了籤名後,利用籤名授權的錢包地址從用戶帳上提走了價值 420 萬美元的代幣。
用戶端安全環境的薄弱也會導致資產丟失。比如當用戶將私鑰導入到安卓端的 App 錢包時,私鑰在復制後往往一直保留在手機的剪貼板上未被覆蓋。這種情況下,在打開惡意軟件時私鑰會被讀取,並自動檢測該錢包擁有的鏈上資產後自動轉帳,或經過潛伏期後盜走用戶資產。
隨着越來越多的新用戶進入到 Web3 ,用戶端環境的安全問題將成爲一個巨大的隱患。
協議安全
重入攻擊仍然是目前協議安全面臨的最大挑戰之一。盡管採取了衆多風險控制策略,但涉及這種攻擊的事件還是頻頻發生。例如,去年 7 月,Curve 就因爲其合約編程語言 Vyper 的編譯器缺陷而遭受了一次嚴重的重入攻擊,導致損失高達 6000 萬美元,這一事件也使得 DeFi 的安全性遭到了廣泛質疑。
雖然存在許多針對合約源碼邏輯的“白盒”解決方案,但像 Curve 這樣的黑客事件揭示了一個重要問題:即使合約的源碼是正確無誤的,編譯器的問題也可能導致最終的運行結果與預期設計存在差異。將合約從原始碼“轉化”爲實際 Runtime 是個充滿挑戰的過程,每步都可能帶來預料之外的問題,而且原始碼本身可能無法完全覆蓋所有潛在的場景。因此,僅僅依賴於源碼和編譯層面的安全性遠遠不夠;即便源碼看似完美無瑕,由於編譯器的問題,漏洞仍有可能悄然出現。
因此,運行時(Runtime)保護將變得必要。與現有的風險控制措施集中在協議原始碼層面並在運行前生效不同,運行時保護涉及協議開發人員編寫運行時保護規則和操作,以處理運行時的未預料情況。 這有助於對運行時執行結果進行實時評估及應對。
根據加密資產管理公司 Bitwise 的預測,2030 年加密貨幣資產總額將達到 16 萬億美元。如果我們從安全成本風險評估( Security Cost Risk Assessment)的角度定量分析,鏈上安全事故的發生帶來幾乎是 100 % 資產損失,因此暴露因子( Exposure Factor,EF)可以設置爲 1 ,因此單一損失期望(Single Loss Expectancy,SLE)爲 16 萬億美元。當年度發生率(Annualized Rate of Occurrence,ARO)爲 1 % 時,我們可以得到年度損失期望(Annualized Loss Expectancy,ALE)爲 1600 億美元,即加密貨幣資產安全投入成本的最大值。
基於加密貨幣安全故事的嚴重性,頻發性和市場規模的高速增長,我們可以預見 Web3 安全將會是一個千億美元市場,伴隨着 Web3 市場和用戶規模的增長而高速增長。更進一步,考慮到個人用戶數量的巨大增長和對資產安全性的日益關注,我們可以預見 C 端市場對於 Web3 安全服務和產品的需求將呈現幾何級數增長,是一個尚待深挖的藍海市場。
Web3 安全賽道分析
隨着 Web3 安全問題的不斷出現,人們對能夠保護數字資產、驗證 NFT 真實性、監控去中心化應用以及確保遵守反洗錢法規的先進工具等需求明顯增加。據統計,當前 Web3 所面臨的安全威脅主要來源於:
- 面向協議的黑客攻擊
- 面向用戶的詐騙、釣魚、私鑰盜竊
- 面向鏈本身的安全攻擊
而爲了應對這些風險,當前市場中的公司主要以 ToB的測試與審計(Pre-Chain)、ToC的監測(On-Chain) 爲重點推出相應的服務與工具。相比 ToC , ToB 賽道的玩家推出的時間較早,並且持續有新玩家入場。但隨着 Web3 市場環境的復雜化,ToB 審計逐漸難以應對各類安全威脅,ToC 監測的重要性也隨之凸顯,其需求量也因此不斷增長。
- ToB
當前市場中以 Certik 、Beosin 爲代表的的公司提供ToB 測試與審計服務。此類公司所提供的服務大多爲智能合約級別,進行智能合約的安全審計與形式化驗證。經過這類上鏈前(Pre-Chain)的方法,通過錢包可視化分析、智能合約漏洞安全分析、原始碼安全審計等方式,可以在一定程度上對智能合約進行檢測,降低風險。
- ToC
ToC 監測在鏈上(On-Chain)過程執行,通過對智能合約代碼、鏈上狀態、用戶交易元信息進行的風險分析、交易模擬以及狀態監控完成。相比 ToB , Web3 的 C 端安全公司創立時間普遍較晚,但是增速十分可觀。以 GoPlus 爲代表的 Web3 安全公司所提供的服務正逐漸應用到 Web3 各個生態中。
GoPlus 自 2021 年 5 月創立以來,其所推出的應用程序 API 日調用量飛速漲,從最初的每天幾百次查詢,到如今市場高峯期每天兩千萬次調用。下圖展示了 Token 風險 API 從 2022 年到 2024 年的調用量變化,其增長速度展現了 GoPlus 在 Web3 領域重要性的增長。
其所推出的用戶數據模塊已逐漸成爲各類 Web3 應用程序的重要組成部分,在 CoinMarketCap (CMC)、CoinGecko 、Dexscreener 、Dextools 等頂級市場網站,Sushiswap 、Kyber Network 等領先的去中心化交易所,以及 Metamask Snap、Bitget Wallet、Safepal 等錢包中發揮着關鍵作用。
此外,該模塊也被 Blowfish、Webacy、Kekkai 等用戶安全服務公司所採用。這表明了 GoPlus 用戶安全數據模塊在定義 Web3 生態系統的安全基礎架構方面的重要作用,也證明了它在當代去中心化平台中的重要地位。
GoPlus 主要提供以下 API 服務,通過對多個關鍵模塊的有針對性數據分析,提供了對用戶安全數據的全面洞察,以防範不斷演化的安全威脅,應對 Web3 安全的多方面挑戰。
- Token 風險 API :用於評估與不同加密貨幣相關的風險
- NFT 風險 API :用於評估各種NFT的風險概括
- 惡意地址 API:用於識別並標記欺詐、網絡釣魚和其他惡意活動相關的 Address
- dApp 安全 API :爲去中心化應用程式提供實時監控和威脅檢測
- 審批合約 API :用於管理和審核智能合約調用權限
在C端賽道我們同時也注意到了 Harpie。Harpie 以保護以太坊錢包免遭竊取爲重點,與OpenSea、Coinbase 等公司合作,已經保護了成千上萬的用戶免遭詐騙、黑客攻擊、私鑰盜竊等安全威脅。該公司推出的產品從“監控”與“恢復”兩方面入手,通過監控錢包查找漏洞或威脅,並在發現漏洞後立即通知並幫助用戶進行修復;在用戶成爲黑客攻擊或詐騙的受害者之後及時響應,挽救資產。既能防止攻擊,又能應對安全緊急情況,在以太坊錢包安全方面取得了巨大成效。
此外,ScamSniffer 以瀏覽器插件的形式提供服務。該產品可以在用戶打開連結之前,通過惡意網站檢測引擎和多個黑名單數據源進行實時檢測,保護用戶免受惡意網站影響。在用戶進行在線交易時,提供針對網絡釣魚等詐騙手段的檢測,保護用戶資產安全。
下一代安全產品:爲 Web3 大規模應用護航
針對上文中提到的資產安全、行爲安全、協議安全等問題,以及鏈上合規性的需求,我們深入研究了 GoPlus 和 Artela 的解決方案,旨在於了解他們是如何通過維護用戶安全環境和鏈上運行環境來支持 Web3 的大規模應用。
- 用戶安全環境 Infra
區塊鏈交易安全是 Web3 大規模應用安全性的基石。鏈上黑客攻擊、釣魚攻擊和 Rug Pulls 頻發,鏈上的交易溯源、鏈上可疑行爲識別、以及用戶畫像能力的安全保障至關重要。基於此, GoPlus 推出了第一個全場景個人安全檢測平台 SecWareX。
SecWareX 是基於 SecWare 用戶安全協議構建的 Web3 個人安全產品,提供完整包含實時識別鏈上運行時攻擊,搶先告警,及時攔截,事後糾紛的一站式、全方位安全解決方案,並支持資產發行合約針對特定場景定制化安全攔截策略。
針對用戶行爲安全的教育,SecWareX 通過推出 Learn2Earn 計劃,巧妙地將學習安全知識與獲得代幣激勵結合起來,讓用戶在增強安全意識的同時也能獲得實際的獎勵。
- 資金合規解決方案
反洗錢(AML)是當前公共區塊鏈上最迫切的需求之一。在公鏈上,通過分析交易的來源、預期行爲、金額、頻率等因素,可以及時識別可疑或異常行爲,有助於去中心化交易所、錢包和監管機構檢測洗錢、欺詐、賭博等潛在的非法活動,並及時採取警告、凍結資產或向執法部門報告等措施,加強 DeFi 的合規性和大規模應用。
隨着鏈上行爲的不斷豐富,去中心化應用的 Know Your Transaction 將成爲大規模應用不可或缺的必要條件。GoPlus 的惡意地址 API 對於在 Web3 中運營的交易所、錢包和金融服務遵守監管要求並保障其運營至關重要,凸顯了 Web3 領域的監管合規性與技術進步之間的內在聯系,並強調了持續監控和適應以保障生態系統完整性及其用戶安全的重要性。
- 鏈上安全協議
Artela 是首個原生支持運行時保護的公鏈 Layer1 。通過 EVM++ 設計,Artela 動態集成的原生擴展模塊 Aspect 支持在交易生命週期的各個切點添加擴展邏輯,記錄每個函數調用的執行狀態。
當在回調函數執行期間發生威脅性重入調用時,Aspect 會檢測到並立即回撤該交易,防止攻擊者利用重入漏洞。以復現 Curve 合約的重入攻擊保護爲例,Artela 爲各類 DeFi 應用提供了鏈原生級別的協議安全解決方案。
隨着協議復雜性和底層編譯器的多樣性的增加,鏈上運行時保護的“黑盒”解決方案,相較於僅對合約代碼邏輯進行靜態檢查的“白盒”解決方案,其重要性愈發凸顯。
結語
2024 年 1 月 10 日,SEC 官宣批準現貨比特幣ETF的上市和交易,代表着加密資產類別獲得主流採用的最重要一步。隨着政策環境的日趨成熟以及安全防護措施的不斷強化,我們終將看到 Web3 大規模應用的到來。如果說 Web3 的大規模應用是激蕩的海浪,那麼Web3 安全則是爲用戶資產構築的堅固堤壩,抵御外來的風浪,確保大家能平穩渡過每一個浪潮。
聲明:
- 本文轉載自[ BuidlerDAO],著作權歸屬原作者[ BuidlerDAO ],如對轉載有異議,請聯系Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得復制、傳播或抄襲經翻譯文章。
Partager
Articles connexes
什麼是穩定幣 USDT?
Web3安全 —— 隱藏的千億市場
作者說✍🏻
曾經,希臘人以巨木構馬,獻於特洛伊之城。城中人以爲是和平的象徵,不知其中潛藏着威脅。
隨着比特幣 ETF 的成功推出,越來越多的新用戶和資金正重新湧向 Web3 ,行情的預熱似乎預示着 Web3 往大規模應用的未來更近了一步。然而,政策的缺乏以及安全隱患依然是阻礙加密貨幣廣泛普及的主要障礙。
在加密世界裏,黑客通過攻擊鏈上漏洞便可以直接獲利百萬乃至上億美元,同時加密貨幣的匿名性爲黑客的全身而退創造了條件。截至 2023 年年底,所有去中心化金融(DeFi)協議的總鎖定價值(TVL)約爲 40 億美元(目前爲100億美元),而僅 2022 年,DeFi 協議被盜的代幣總價值就達到了 3.1 億美元,佔上述價值的 7 %。這一數字充分說明了安全問題在 Web3 行業中的嚴重性,如同達摩克利斯之劍懸掛在我們的頭頂。
不僅是鏈上環境,Web3 用戶端的安全問題同樣不容小覷。從 Scam Sniffer 公開的數據來看,2023 年就有 32.4 萬名用戶因爲網絡釣魚導致資產被盜,被盜金額總值高達 2.95 億美元,無論是從影響範圍還是金額數量來看都十分嚴重。但是從用戶的角度出發,安全事故本身具有滯後性——在事故真正發生之前,用戶往往難以充分意識到潛在風險的嚴重性。因此,人們常常陷入“幸存者誤差”,從而忽視了安全的重要性。
本文從當前市場所面臨的安全挑戰出發,探討了隨着 Web3 用戶快速增長所帶來的安全風險。通過分析 Goplus 等公司提出的安全解決方案,我們進一步了解了如何從合規和安全等方面支持 Web3 的大規模應用。我們認爲 Web3 安全是一個未被充分挖掘的千億級市場,並且隨着 Web3 用戶羣體的持續擴大,對用戶端安全服務的需求呈現出指數級增長趨勢。
文章早知道 👀
1.隱藏的威脅與千億市場
1.1 資產安全
1.2 行爲安全
1.3 協議安全
- Web3 安全賽道分析
- 下一代安全產品:爲 Web3 大規模應用護航
- 結語
全文5400字,預計閱讀時間12分鍾
隱藏的威脅與千億市場
目前 Web3 安全的產品形態主要以 ToB , ToC , ToD 爲主。B 端主要爲產品的安全審計,針對產品進行滲透測試並輸出審計報告,主要在產品側進行安全防護。C 端主要針對用戶安全環境的保護,基於對威脅情報的實時捕獲和分析,通過 API 的方式輸出檢測服務,在用戶側進行安全防護。而 ToD ( Developer ) 主要面向的就是開發者工具,爲 Web3 開發者提供的自動化安全審計工具和服務。
安全審計是一種必要的靜態安全措施。幾乎每個 Web3 產品都會進行安全審計,並對審計報告進行公示。安全審計不僅使社區能夠二次驗證協議的安全性,同時也是用戶對產品建立信任的基礎之一。
不過,安全審計並非是萬能的。鑑於市場的發展趨勢和當前敘事,我們預見到用戶安全環境的挑戰將持續上升,主要體現在以下幾個方面:
資產安全
每輪市場的啓動,一定伴隨着新資產的發行。隨着 ERC404 的火熱和 FT 與 NFT 混合型 Token 的興起,未來鏈上資產的發行不斷創新和復雜化。對新型資產安全的挑戰與日俱增。隨着不同資產類型之間通過智能合約進行映射和融合,系統的復雜度增加,相應的,其安全性也面臨更大挑戰。這種復雜性給攻擊者提供了更廣闊的攻擊空間,例如,通過設計特定的回調機制或收稅機制,攻擊者可以對資產轉移進行幹擾,甚至發起直接的 DoS 攻擊。這使得傳統的資產發行合約安全審計與形式化驗證這類 Pre-Chain 的方法變得困難。具有實時監測,警告,動態攔截的解決方案迫在眉睫。
行爲安全
CSIA 提供的數據顯示,90 %的網路攻擊始於釣魚( Phishing )。這同樣適用於 web3 ,攻擊者們以用戶的私鑰或者鏈上資金爲目標,通過 Discord , X , Telegram 等平台發送釣魚連結或者詐騙信息,引導不知情的用戶進行錯誤轉帳,錯誤的智能合約交互,或安裝病毒文件等行爲。
鏈上交互具有高昂的學習成本,這本身是反人性的。哪怕一個離線的籤名也可以導致數百萬美元的損失,試問當我們點擊籤名的時候,面對着各種輸入參數,我們真的知道自己在授權什麼嘛?2024 年 1月 22 日,某加密貨幣用戶遭遇釣魚攻擊,籤署了帶有錯誤參數的 Permit 籤名。黑客在獲取了籤名後,利用籤名授權的錢包地址從用戶帳上提走了價值 420 萬美元的代幣。
用戶端安全環境的薄弱也會導致資產丟失。比如當用戶將私鑰導入到安卓端的 App 錢包時,私鑰在復制後往往一直保留在手機的剪貼板上未被覆蓋。這種情況下,在打開惡意軟件時私鑰會被讀取,並自動檢測該錢包擁有的鏈上資產後自動轉帳,或經過潛伏期後盜走用戶資產。
隨着越來越多的新用戶進入到 Web3 ,用戶端環境的安全問題將成爲一個巨大的隱患。
協議安全
重入攻擊仍然是目前協議安全面臨的最大挑戰之一。盡管採取了衆多風險控制策略,但涉及這種攻擊的事件還是頻頻發生。例如,去年 7 月,Curve 就因爲其合約編程語言 Vyper 的編譯器缺陷而遭受了一次嚴重的重入攻擊,導致損失高達 6000 萬美元,這一事件也使得 DeFi 的安全性遭到了廣泛質疑。
雖然存在許多針對合約源碼邏輯的“白盒”解決方案,但像 Curve 這樣的黑客事件揭示了一個重要問題:即使合約的源碼是正確無誤的,編譯器的問題也可能導致最終的運行結果與預期設計存在差異。將合約從原始碼“轉化”爲實際 Runtime 是個充滿挑戰的過程,每步都可能帶來預料之外的問題,而且原始碼本身可能無法完全覆蓋所有潛在的場景。因此,僅僅依賴於源碼和編譯層面的安全性遠遠不夠;即便源碼看似完美無瑕,由於編譯器的問題,漏洞仍有可能悄然出現。
因此,運行時(Runtime)保護將變得必要。與現有的風險控制措施集中在協議原始碼層面並在運行前生效不同,運行時保護涉及協議開發人員編寫運行時保護規則和操作,以處理運行時的未預料情況。 這有助於對運行時執行結果進行實時評估及應對。
根據加密資產管理公司 Bitwise 的預測,2030 年加密貨幣資產總額將達到 16 萬億美元。如果我們從安全成本風險評估( Security Cost Risk Assessment)的角度定量分析,鏈上安全事故的發生帶來幾乎是 100 % 資產損失,因此暴露因子( Exposure Factor,EF)可以設置爲 1 ,因此單一損失期望(Single Loss Expectancy,SLE)爲 16 萬億美元。當年度發生率(Annualized Rate of Occurrence,ARO)爲 1 % 時,我們可以得到年度損失期望(Annualized Loss Expectancy,ALE)爲 1600 億美元,即加密貨幣資產安全投入成本的最大值。
基於加密貨幣安全故事的嚴重性,頻發性和市場規模的高速增長,我們可以預見 Web3 安全將會是一個千億美元市場,伴隨着 Web3 市場和用戶規模的增長而高速增長。更進一步,考慮到個人用戶數量的巨大增長和對資產安全性的日益關注,我們可以預見 C 端市場對於 Web3 安全服務和產品的需求將呈現幾何級數增長,是一個尚待深挖的藍海市場。
Web3 安全賽道分析
隨着 Web3 安全問題的不斷出現,人們對能夠保護數字資產、驗證 NFT 真實性、監控去中心化應用以及確保遵守反洗錢法規的先進工具等需求明顯增加。據統計,當前 Web3 所面臨的安全威脅主要來源於:
- 面向協議的黑客攻擊
- 面向用戶的詐騙、釣魚、私鑰盜竊
- 面向鏈本身的安全攻擊
而爲了應對這些風險,當前市場中的公司主要以 ToB的測試與審計(Pre-Chain)、ToC的監測(On-Chain) 爲重點推出相應的服務與工具。相比 ToC , ToB 賽道的玩家推出的時間較早,並且持續有新玩家入場。但隨着 Web3 市場環境的復雜化,ToB 審計逐漸難以應對各類安全威脅,ToC 監測的重要性也隨之凸顯,其需求量也因此不斷增長。
- ToB
當前市場中以 Certik 、Beosin 爲代表的的公司提供ToB 測試與審計服務。此類公司所提供的服務大多爲智能合約級別,進行智能合約的安全審計與形式化驗證。經過這類上鏈前(Pre-Chain)的方法,通過錢包可視化分析、智能合約漏洞安全分析、原始碼安全審計等方式,可以在一定程度上對智能合約進行檢測,降低風險。
- ToC
ToC 監測在鏈上(On-Chain)過程執行,通過對智能合約代碼、鏈上狀態、用戶交易元信息進行的風險分析、交易模擬以及狀態監控完成。相比 ToB , Web3 的 C 端安全公司創立時間普遍較晚,但是增速十分可觀。以 GoPlus 爲代表的 Web3 安全公司所提供的服務正逐漸應用到 Web3 各個生態中。
GoPlus 自 2021 年 5 月創立以來,其所推出的應用程序 API 日調用量飛速漲,從最初的每天幾百次查詢,到如今市場高峯期每天兩千萬次調用。下圖展示了 Token 風險 API 從 2022 年到 2024 年的調用量變化,其增長速度展現了 GoPlus 在 Web3 領域重要性的增長。
其所推出的用戶數據模塊已逐漸成爲各類 Web3 應用程序的重要組成部分,在 CoinMarketCap (CMC)、CoinGecko 、Dexscreener 、Dextools 等頂級市場網站,Sushiswap 、Kyber Network 等領先的去中心化交易所,以及 Metamask Snap、Bitget Wallet、Safepal 等錢包中發揮着關鍵作用。
此外,該模塊也被 Blowfish、Webacy、Kekkai 等用戶安全服務公司所採用。這表明了 GoPlus 用戶安全數據模塊在定義 Web3 生態系統的安全基礎架構方面的重要作用,也證明了它在當代去中心化平台中的重要地位。
GoPlus 主要提供以下 API 服務,通過對多個關鍵模塊的有針對性數據分析,提供了對用戶安全數據的全面洞察,以防範不斷演化的安全威脅,應對 Web3 安全的多方面挑戰。
- Token 風險 API :用於評估與不同加密貨幣相關的風險
- NFT 風險 API :用於評估各種NFT的風險概括
- 惡意地址 API:用於識別並標記欺詐、網絡釣魚和其他惡意活動相關的 Address
- dApp 安全 API :爲去中心化應用程式提供實時監控和威脅檢測
- 審批合約 API :用於管理和審核智能合約調用權限
在C端賽道我們同時也注意到了 Harpie。Harpie 以保護以太坊錢包免遭竊取爲重點,與OpenSea、Coinbase 等公司合作,已經保護了成千上萬的用戶免遭詐騙、黑客攻擊、私鑰盜竊等安全威脅。該公司推出的產品從“監控”與“恢復”兩方面入手,通過監控錢包查找漏洞或威脅,並在發現漏洞後立即通知並幫助用戶進行修復;在用戶成爲黑客攻擊或詐騙的受害者之後及時響應,挽救資產。既能防止攻擊,又能應對安全緊急情況,在以太坊錢包安全方面取得了巨大成效。
此外,ScamSniffer 以瀏覽器插件的形式提供服務。該產品可以在用戶打開連結之前,通過惡意網站檢測引擎和多個黑名單數據源進行實時檢測,保護用戶免受惡意網站影響。在用戶進行在線交易時,提供針對網絡釣魚等詐騙手段的檢測,保護用戶資產安全。
下一代安全產品:爲 Web3 大規模應用護航
針對上文中提到的資產安全、行爲安全、協議安全等問題,以及鏈上合規性的需求,我們深入研究了 GoPlus 和 Artela 的解決方案,旨在於了解他們是如何通過維護用戶安全環境和鏈上運行環境來支持 Web3 的大規模應用。
- 用戶安全環境 Infra
區塊鏈交易安全是 Web3 大規模應用安全性的基石。鏈上黑客攻擊、釣魚攻擊和 Rug Pulls 頻發,鏈上的交易溯源、鏈上可疑行爲識別、以及用戶畫像能力的安全保障至關重要。基於此, GoPlus 推出了第一個全場景個人安全檢測平台 SecWareX。
SecWareX 是基於 SecWare 用戶安全協議構建的 Web3 個人安全產品,提供完整包含實時識別鏈上運行時攻擊,搶先告警,及時攔截,事後糾紛的一站式、全方位安全解決方案,並支持資產發行合約針對特定場景定制化安全攔截策略。
針對用戶行爲安全的教育,SecWareX 通過推出 Learn2Earn 計劃,巧妙地將學習安全知識與獲得代幣激勵結合起來,讓用戶在增強安全意識的同時也能獲得實際的獎勵。
- 資金合規解決方案
反洗錢(AML)是當前公共區塊鏈上最迫切的需求之一。在公鏈上,通過分析交易的來源、預期行爲、金額、頻率等因素,可以及時識別可疑或異常行爲,有助於去中心化交易所、錢包和監管機構檢測洗錢、欺詐、賭博等潛在的非法活動,並及時採取警告、凍結資產或向執法部門報告等措施,加強 DeFi 的合規性和大規模應用。
隨着鏈上行爲的不斷豐富,去中心化應用的 Know Your Transaction 將成爲大規模應用不可或缺的必要條件。GoPlus 的惡意地址 API 對於在 Web3 中運營的交易所、錢包和金融服務遵守監管要求並保障其運營至關重要,凸顯了 Web3 領域的監管合規性與技術進步之間的內在聯系,並強調了持續監控和適應以保障生態系統完整性及其用戶安全的重要性。
- 鏈上安全協議
Artela 是首個原生支持運行時保護的公鏈 Layer1 。通過 EVM++ 設計,Artela 動態集成的原生擴展模塊 Aspect 支持在交易生命週期的各個切點添加擴展邏輯,記錄每個函數調用的執行狀態。
當在回調函數執行期間發生威脅性重入調用時,Aspect 會檢測到並立即回撤該交易,防止攻擊者利用重入漏洞。以復現 Curve 合約的重入攻擊保護爲例,Artela 爲各類 DeFi 應用提供了鏈原生級別的協議安全解決方案。
隨着協議復雜性和底層編譯器的多樣性的增加,鏈上運行時保護的“黑盒”解決方案,相較於僅對合約代碼邏輯進行靜態檢查的“白盒”解決方案,其重要性愈發凸顯。
結語
2024 年 1 月 10 日,SEC 官宣批準現貨比特幣ETF的上市和交易,代表着加密資產類別獲得主流採用的最重要一步。隨着政策環境的日趨成熟以及安全防護措施的不斷強化,我們終將看到 Web3 大規模應用的到來。如果說 Web3 的大規模應用是激蕩的海浪,那麼Web3 安全則是爲用戶資產構築的堅固堤壩,抵御外來的風浪,確保大家能平穩渡過每一個浪潮。
聲明:
- 本文轉載自[ BuidlerDAO],著作權歸屬原作者[ BuidlerDAO ],如對轉載有異議,請聯系Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得復制、傳播或抄襲經翻譯文章。
Articles connexes
什麼是穩定幣 USDT?