Nota do autor ✍🏻

Uma vez, os gregos construíram um cavalo de madeira e ofereceram-no à cidade de Troia. O povo da cidade viu-o como um símbolo de paz, sem saber da ameaça escondida dentro.

Com o lançamento bem-sucedido do Bitcoin ETF, cada vez mais novos utilizadores e fundos estão a voltar para o Web3, e o mercado aquecido parece indicar que o futuro do Web3 em direção à aplicação generalizada está um passo mais perto. No entanto, a falta de políticas e vulnerabilidades de segurança continuam a ser os principais obstáculos à adoção generalizada das criptomoedas.

No mundo das criptomoedas, os hackers podem lucrar diretamente atacando vulnerabilidades on-chain, às vezes ganhando milhões ou até bilhões de dólares. Entretanto, o anonimato das criptomoedas cria condições para que os hackers evitem captura. Até o final de 2023, o valor total bloqueado (TVL) de todos os protocolos de finanças descentralizadas (DeFi) era cerca de $4 bilhões (atualmente $10 bilhões), enquanto somente em 2022, o valor total dos tokens roubados dos protocolos DeFi atingiu $310 milhões, representando 7% do valor acima mencionado. Este número ilustra totalmente a gravidade dos problemas de segurança na indústria Web3, como a espada de Dâmocles pairando sobre nossas cabeças.

Não é apenas o ambiente on-chain; as questões de segurança no final do usuário Web3 também são significativas. De acordo com dados do Scam Sniffer, em 2023, 324.000 usuários tiveram seus ativos roubados devido a ataques de phishing, com um montante total roubado de $295 milhões. Tanto em termos de alcance quanto de montante, o impacto é severo. Mas do ponto de vista dos usuários, os próprios incidentes de segurança têm um atraso — os usuários muitas vezes acham difícil perceber totalmente a seriedade dos riscos potenciais antes que acidentes ocorram. Portanto, as pessoas frequentemente caem no “viés de sobrevivência”, negligenciando a importância da segurança.

Este artigo explora os desafios de segurança prementes que enfrenta o mercado atual, especialmente à luz do rápido crescimento dos utilizadores da Web3. Ao dissecar as soluções de segurança propostas por empresas como Goplus, ganhamos uma compreensão mais profunda de como fortalecer a adoção generalizada da Web3 através do cumprimento e medidas de segurança aprimoradas. Argumentamos que a segurança da Web3 representa um mercado vasto, mas ainda inexplorado, que vale bilhões, e à medida que a base de utilizadores da Web3 continua a expandir, a demanda por serviços de segurança centrados no utilizador está posicionada para um crescimento exponencial.

Primeiras Impressões:

1. Revelar Ameaças na Segurança Web3: Explorando um Mercado Lucrativo

1.1 Proteção de Ativos

1.2 Garantindo Segurança Comportamental

1.3 Melhorar a Segurança do Protocolo

1. Analisando o panorama de segurança da Web3
2. Soluções de Segurança de Próxima Geração: Salvaguardando o Futuro do Web3
3. Conclusão

Com um total de 5400 palavras, este artigo deve demorar aproximadamente 12 minutos a ler.

Revelação de Ameaças na Segurança Web3: Explorando um Mercado Lucrativo:

Atualmente, os produtos de segurança Web3 predominantemente se enquadram em três categorias: ToB, ToC e ToD. As soluções B2B focam principalmente em auditorias de segurança de produtos, realizando testes de penetração e fornecendo relatórios de auditoria para fortalecer as defesas do produto. Por outro lado, as soluções B2C visam proteger os ambientes de segurança dos utilizadores, capturando e analisando inteligência de ameaças em tempo real e fornecendo serviços de detecção através de APIs. Adicionalmente, as ferramentas ToD (Desenvolvedor) atendem aos desenvolvedores Web3, oferecendo ferramentas e serviços de auditoria de segurança automatizados.

A auditoria de segurança é uma medida de segurança estática necessária. Quase todos os produtos Web3 passam por auditorias de segurança e os relatórios de auditoria são tornados públicos. As auditorias de segurança não só permitem que a comunidade verifique a segurança dos protocolos pela segunda vez, mas também servem como uma das bases para os utilizadores confiarem nos produtos.

No entanto, as auditorias de segurança não são omnipotentes. Dadas as tendências do mercado e a narrativa atual, prevemos que os desafios aos ambientes de segurança do utilizador continuarão a aumentar, principalmente manifestados nos seguintes aspetos:

Proteção de Ativos:

Cada ciclo de mercado lança a emissão de novos ativos. Com o aumento do ERC404 e dos tokens híbridos como FT e NFT, a emissão de ativos on-chain continua a evoluir, colocando desafios crescentes à segurança dos ativos. A complexidade introduzida pela mapeamento e integração de diferentes tipos de ativos através de contratos inteligentes expande a superfície de ataque para hackers. Por exemplo, os atacantes podem interromper transferências de ativos explorando mecanismos de callback ou impostos específicos, potencialmente levando a ataques diretos de DoS. As auditorias de segurança tradicionais lutam para lidar com essas complexidades, necessitando de monitorização em tempo real, avisos e soluções de interceção dinâmicas.

Garantindo Segurança Comportamental:

As estatísticas da CSIA revelam que 90% dos ataques à rede têm origem em tentativas de phishing. Esta tendência mantém-se no domínio da Web3, onde os atacantes visam as chaves privadas dos utilizadores ou fundos on-chain através de links de phishing ou mensagens fraudulentas em plataformas como Discord, X e Telegram.

As interações on-chain têm uma curva de aprendizagem acentuada, o que é intrinsecamente contra-intuitivo. Mesmo uma assinatura offline pode resultar em perdas de milhões de dólares. Será que sabemos o que estamos autorizando quando clicamos nessa assinatura? Em 22 de janeiro de 2024, um utilizador de criptomoedas caiu vítima de um ataque de phishing, assinando uma assinatura de Permissão com parâmetros incorretos. Após obter a assinatura, o hacker usou o endereço da carteira autorizada para transferir tokens no valor de 4,2 milhões de dólares da conta do utilizador.

As fragilidades no ambiente de segurança do lado do utilizador também podem levar à perda de ativos. Por exemplo, quando um utilizador importa uma chave privada para uma aplicação de carteira baseada em Android, a chave privada muitas vezes permanece na área de transferência do telefone após a cópia. Neste cenário, ao abrir software malicioso, a chave privada pode ser lida e automaticamente usada para transferir ativos da carteira ou roubar os ativos do utilizador após um período de latência.

À medida que mais e mais novos utilizadores entram na Web3, as questões de segurança no ambiente do utilizador tornar-se-ão uma preocupação significativa.

Aumentando a Segurança do Protocolo:

Os ataques de reentrância continuam a ser um dos maiores desafios para a segurança do protocolo. Apesar da adoção de inúmeras estratégias de controle de risco, eventos envolvendo tais ataques ainda ocorrem com frequência. Por exemplo, em julho passado, a Curve sofreu um severo ataque de reentrância devido a uma falha no compilador de sua linguagem de programação de contrato Vyper, resultando em perdas de até $60 milhões, o que levantou dúvidas generalizadas sobre a segurança do DeFi.

Embora existam muitas soluções "white-box" para a lógica do código-fonte do contrato, eventos como o hack do Curve revelam um problema significativo: mesmo que o código-fonte do contrato seja impecável, problemas do compilador podem levar a diferenças entre o tempo de execução final e o design esperado. Converter contratos do código-fonte para o tempo de execução real é um processo desafiador, com cada etapa potencialmente levando a problemas inesperados, e o próprio código-fonte pode não cobrir totalmente todos os cenários potenciais. Portanto, depender exclusivamente da segurança do código-fonte e do nível do compilador está longe de ser suficiente; vulnerabilidades ainda podem surgir devido a problemas do compilador.

Portanto, a proteção em tempo de execução tornar-se-á necessária. Ao contrário das medidas de controle de risco existentes que se concentram no nível do código-fonte do protocolo e têm efeito antes do tempo de execução, a proteção em tempo de execução envolve os desenvolvedores do protocolo escrevendo regras de proteção em tempo de execução e operações para lidar com situações imprevistas durante a execução. Isso ajuda na avaliação e resposta em tempo real aos resultados da execução em tempo de execução.

De acordo com as previsões da Bitwise, uma empresa de gestão de ativos de criptomoedas, o valor total dos ativos de criptomoeda atingirá $16 trilhões até 2030. Se analisarmos quantitativamente a partir da perspectiva da avaliação de risco de custo de segurança, a ocorrência de incidentes de segurança on-chain quase leva a uma perda de ativos de 100%, então o fator de exposição (EF) pode ser definido como 1, e assim o expectativa de perda única (SLE) é $16 trilhões. Com uma taxa anualizada de ocorrência (ARO) de 1%, podemos obter uma expectativa de perda anualizada (ALE) de $160 bilhões, que é o valor máximo do custo do investimento em segurança em ativos de criptomoeda.

Dada a gravidade, frequência e crescimento de alta velocidade da escala de mercado de incidentes de segurança de criptomoedas, podemos prever que a segurança Web3 será um mercado de cem bilhões de dólares, crescendo rapidamente com a expansão do mercado Web3 e da base de usuários. Além disso, considerando o crescimento massivo de usuários individuais e a crescente preocupação com a segurança de ativos, podemos antecipar um crescimento geométrico na demanda por serviços e produtos de segurança Web3 no mercado C-side, representando um mercado de oceano azul que ainda não foi totalmente explorado.

Analisando o panorama da segurança da Web3

Com o contínuo surgimento de questões de segurança no Web3, há um aumento notável na demanda por ferramentas avançadas que possam proteger ativos digitais, verificar a autenticidade de NFTs, monitorizar aplicações descentralizadas e garantir conformidade com regulamentos de combate à lavagem de dinheiro. As estatísticas indicam que as principais fontes de ameaças de segurança enfrentando o Web3 atualmente incluem:

• Ataques de hackers direcionados ao protocolo
• Esquemas direcionados ao utilizador, phishing e roubo de chave privada
• Ataques de segurança direcionados à própria blockchain

Para enfrentar esses riscos, as empresas no mercado atualmente focam principalmente em oferecer serviços e ferramentas em duas principais vertentes: testes e auditorias ToB (Pré-Chain) e monitorização ToC (On-Chain). Comparado ao ToC, os players na vertente ToB têm estado no mercado por mais tempo e continuam a ver novos entrantes. No entanto, à medida que o ambiente de mercado Web3 se torna mais complexo, as auditorias ToB estão gradualmente a lutar para lidar com várias ameaças de segurança, destacando a crescente importância da monitorização ToC e impulsionando assim a sua procura.

• ToB:

Empresas representativas no mercado atual, como Certik e Beosin, oferecem serviços de teste e auditoria ToB. Estas empresas fornecem principalmente serviços ao nível do contrato inteligente, realizando auditorias de segurança e verificação formal de contratos inteligentes. Através de métodos pré-cadeia, como análise de visualização da carteira, análise de vulnerabilidades de contratos inteligentes e auditorias de segurança de código-fonte, estas empresas conseguem detetar vulnerabilidades de contratos inteligentes até certo ponto e mitigar riscos.

• ToC

A monitorização ToC é executada on-chain, envolvendo análise de risco do código do contrato inteligente, estados on-chain, metadados de transações do utilizador, simulação de transações e monitorização de estados. Comparado com ToB, as empresas de segurança do lado do C no espaço Web3 foram estabelecidas relativamente mais tarde, mas testemunharam um crescimento notável. Os serviços fornecidos por empresas de segurança Web3 como GoPlus estão gradualmente a ser aplicados em vários ecossistemas dentro do Web3.

Desde a sua fundação em maio de 2021, o GoPlus tem experimentado um rápido crescimento nas chamadas diárias da API, de algumas centenas de consultas por dia inicialmente para vinte milhões de chamadas por dia durante os picos de mercado. O gráfico a seguir ilustra a mudança nas chamadas da API de Risco do Token de 2022 a 2024, mostrando a taxa de crescimento da importância do GoPlus no domínio Web3.

O módulo de dados do utilizador introduzido pela GoPlus tornou-se uma parte integrante de várias aplicações Web3, desempenhando um papel crucial em websites de topo como o CoinMarketCap (CMC), CoinGecko, Dexscreener, Dextools, principais exchanges descentralizadas como Sushiswap, Kyber Network e carteiras como Metamask Snap, Bitget Wallet, Safepal.

Além disso, este módulo foi adotado por empresas de serviços de segurança de usuários como Blowfish, Webacy e Kekkai, indicando o papel crucial do módulo de dados de segurança do usuário da GoPlus na definição da infraestrutura de segurança do ecossistema Web3 e sua posição significativa nas plataformas descentralizadas contemporâneas.

GoPlus oferece principalmente os seguintes serviços API, fornecendo insights abrangentes sobre dados de segurança do usuário através da análise de dados direcionada de múltiplos módulos-chave. Isso visa antecipar ameaças de segurança em evolução e lidar com os desafios multifacetados da segurança da Web3.

• API de Risco de Token: Avalia os riscos associados a diferentes criptomoedas.
• API de Risco NFT: Avalia os riscos associados a vários NFTs.
• API de Endereço Malicioso: Identifica e assinala endereços associados a fraudes, phishing e outras atividades maliciosas.
• API de Segurança dApp: Fornece monitorização em tempo real e deteção de ameaças para aplicações descentralizadas.
• API de Contrato de Aprovação: Gerencia e audita permissões de invocação de contrato inteligente.

Na faixa C-side, também observamos Harpie. Harpie foca na proteção de carteiras Ethereum contra roubo e colabora com empresas como OpenSea e Coinbase. Eles protegeram milhares de usuários de golpes, ataques de hackers e roubos de chaves privadas. Sua abordagem de produto abrange tanto monitoramento quanto recuperação. Eles monitoram carteiras para identificar vulnerabilidades ou ameaças, notificam prontamente os usuários ao descobri-las e ajudam na remediação. Eles respondem prontamente aos usuários que foram vítimas de ataques de hackers ou golpes, ajudando a recuperar seus ativos. Seus esforços têm sido altamente eficazes na melhoria da segurança da carteira Ethereum.

Além disso, o ScamSniffer fornece serviços na forma de um plugin de navegador. Este produto realiza verificações em tempo real através de um mecanismo de detecção de sites maliciosos e múltiplas fontes de dados em lista negra antes de os utilizadores abrirem ligações, protegendo-os dos impactos de sites maliciosos. Durante as transações online, deteta fraudes como phishing para proteger a segurança dos ativos do utilizador.

Soluções de Segurança de Próxima Geração: Protegendo o Futuro da Web3

Para abordar questões como segurança de ativos, segurança comportamental, segurança de protocolo e necessidades de conformidade on-chain, mergulhámos nas soluções oferecidas pela GoPlus e Artela. Estes visam compreender como apoiam aplicações Web3 em grande escala, mantendo ambientes de segurança do utilizador e ambientes de operação on-chain.

1. Ambiente de Segurança do Utilizador Infraestrutura

A segurança da transação blockchain constitui a pedra angular da segurança para aplicações Web3 em grande escala. Com ataques frequentes de hackers na cadeia, ataques de phishing e golpes, garantir a rastreabilidade da transação na cadeia, identificação de comportamento suspeito na cadeia e a garantia de segurança dos perfis de usuários são cruciais. Com base nisso, a GoPlus lançou a plataforma SecWareX, a primeira plataforma abrangente de detecção de segurança pessoal para Web3.

SecWareX é um produto de segurança pessoal Web3 construído no protocolo de segurança do usuário SecWare, proporcionando uma solução abrangente de segurança com tudo incluído que inclui identificação em tempo real de ataques de tempo de execução on-chain, alertas precoces, interceptação oportuna e resolução de disputas. Também suporta estratégias de interceptação de segurança personalizadas para contratos de emissão de ativos adaptados a cenários específicos.

Para a educação de segurança do comportamento do utilizador, a SecWareX apresenta o programa Learn2Earn, combinando de forma inteligente a aprendizagem de conhecimentos de segurança com incentivos de tokens, permitindo aos utilizadores aumentar a sua consciencialização de segurança enquanto ganham recompensas tangíveis.

1. Soluções de conformidade de fundos

O combate ao branqueamento de capitais (AML) é uma das necessidades mais prementes nas blockchains públicas. Nas blockchains públicas, a análise de fatores como as fontes das transações, o comportamento esperado, os montantes e as frequências pode ajudar a identificar prontamente comportamentos suspeitos ou anormais. Isto auxilia as bolsas descentralizadas, as carteiras e as agências reguladoras na deteção de potenciais atividades ilegais, como o branqueamento de capitais, a fraude e o jogo, e na tomada atempada de medidas, como avisos, congelamento de ativos ou comunicação às autoridades policiais, para reforçar a conformidade com a DeFi e a aplicação em larga escala.

Com o enriquecimento contínuo dos comportamentos on-chain, o Know Your Transaction (KYT) para aplicações descentralizadas tornar-se-á um pré-requisito indispensável para aplicações em grande escala. A API de Endereços Maliciosos da GoPlus é crucial para que as bolsas, carteiras e serviços financeiros que operam em Web3 cumpram os requisitos regulamentares e garantam as suas operações, destacando a conexão intrínseca entre conformidade regulamentar e progresso tecnológico no campo da Web3. Isso sublinha a importância do monitoramento contínuo e da adaptação para proteger a integridade do ecossistema e a segurança do utilizador.

1. Protocolos de Segurança On-Chain

Artela é a primeira cadeia pública Layer1 nativa a suportar proteção em tempo de execução. Através do design EVM++, o módulo de extensão nativa integrada dinamicamente Aspect do Artela suporta a adição de lógica de extensão em vários pontos no ciclo de vida da transação, gravando o estado de execução de cada chamada de função.

Quando ocorre uma chamada reentrante ameaçadora durante a execução da função de retorno, o Aspect deteta e retira imediatamente a transação para evitar que os atacantes explorem vulnerabilidades de reentrância. Por exemplo, ao proteger contra ataques reentrantes em contratos da Curve, a Artela fornece uma solução de segurança a nível de protocolo nativo da cadeia para várias aplicações DeFi.

À medida que a complexidade do protocolo e a diversidade do compilador aumentam, a importância das soluções de proteção em tempo de execução on-chain, em oposição às verificações estáticas da lógica do código do contrato em soluções de “caixa branca”, torna-se mais pronunciada.

Conclusão

Em 10 de janeiro de 2024, a SEC anunciou oficialmente a aprovação da listagem e negociação de um ETF de Bitcoin à vista, marcando o passo mais significativo em direção à adoção mainstream de ativos de criptomoeda. À medida que os ambientes políticos amadurecem e as medidas de segurança se fortalecem, inevitavelmente testemunharemos a chegada de aplicações Web3 em grande escala. Se as aplicações Web3 em grande escala são as ondas turbulentas, então a segurança do Web3 é a represa robusta construída para proteger os ativos dos usuários, resistir às tempestades externas e garantir que todos naveguem com segurança por cada onda.

Aviso legal：

1. Este artigo é reproduzido a partir de [GateBuidlerDAO], Todos os direitos de autor pertencem ao autor original [BuidlerDAO]. Se houver objeções a esta reimpressão, por favor entre em contato com o Gate Aprenderequipa e eles tratarão do assunto prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.