NFTGoの対話スローガン安全チーム:安全保障には完備された安全システムの構築が必要です。
慢雾セキュリティチームがブロックチェーンセキュリティに関する有益な情報を共有し、皆さんがより安心してオンチェーンの世界を探索できるようサポートします。
ブロックチェーンエコシステムのセキュリティに特化した企業である慢雾科技は、2018年1月に設立され、10年以上の実戦経験を持つチームによって創立されました。慢雾科技は、業界内で数多くの一般的な高リスクのブロックチェーンセキュリティ脆弱性を独自に発見し、公表しており、業界から広く注目と認識を得ています。
現在、ブロックチェーンのセキュリティ問題は頻発しており、Web3erも長い間この問題に悩まされています。そこで、第2期の対話では、慢雾セキュリティチームをお招きし、ブロックチェーンセキュリティに関する実用的な情報を共有していただき、皆さんがより安全にチェーン上の世界を探索できるようサポートします。それでは、正式に始めましょう〜
1、まずは慢雾について紹介してください。
答:皆さんこんにちは、慢雾はブロックチェーンエコシステムのセキュリティに特化した企業です。私たちのブロックチェーンエコシステムのセキュリティ能力は、3つの環から成り立っています。最内層はコンプライアンスセキュリティ、2層目は技術セキュリティ、3層目はエコシステムセキュリティです。技術セキュリティは主に2つのビジネスライン、セキュリティ監査とマネーロンダリング対策を含みます。
セキュリティ監査の内容には、DeFiプロジェクトのスマートコントラクトコード、中央集権型取引所、ウォレットアプリ、ブラウザプラグインウォレット、基盤となるパブリックチェーンが含まれ、さらにレッドチームテストサービスも提供しています。これは私たちの強みの一つです。2018年から現在までの5年以上の間に、業界内の多くの著名なクライアントにサービスを提供しており、商業クライアントは千社以上で、高い評価を得ています。マネーロンダリング対策に関しては、オンチェーン追跡プラットフォームミストトラックを持っています。それに加えて、コンプライアンスセキュリティにも非常に注目しており、コンプライアンスはこの業界の長期的な発展の重要な基盤の一つです。私たちは、セキュリティ監査やマネーロンダリング対策の協力対象プロジェクトに対して厳格な法務プロセスを設けています。
私たちは、安全が全体であることを深く理解しており、安全保障には完備された安全システムの構築が必要です。そのため、脅威の発見から脅威の防御まで、地域に応じた統合的な安全ソリューションを提供しています。
簡単に言えば、これは軍事的な環状防御システムのようなもので、層別防御です。最外層の脅威発見は、慢雾のパートナーや慢雾独自の脅威情報システム(これも私たちのエコシステムセキュリティです)を通じて脅威を発見し、識別し、その後メディアチャネルを通じて全エコシステムに警告を発信します。脅威防御は、私たちの防御システムを指し、BTI(ブロックチェーン脅威情報システム)から地域に応じた体系的な防御策の展開、コールド・ウォーム・ホットウォレットの安全強化などを実施し、クライアントにネットワークセキュリティ、リスク管理セキュリティ、ウォレットセキュリティなどの分野で優れた安全ソリューションプロバイダーを厳選して提供し、クライアントが柔軟に選択し、ビジネスの発展過程で直面するさまざまな問題に簡単に対処できるようにしています。私たちは、業界の優れたパートナーやコミュニティと共に安全な共同防御作業を構築することを望んでいます。
2、Web3のセキュリティ問題は常に防ぎきれません。手書きの助記詞やウェブサイトの真偽を確認する基本的なルールを除いて、慢雾は頻繁にインタラクションを行うWeb3erに対してどのような安全上のアドバイスがありますか?
答:インタラクションに関する安全について尋ねられたので、まずは一般的な攻撃がどのようにユーザーの資産を盗むかを整理しましょう。
攻撃者は一般的に2つの方法でユーザーの資産を盗みます:
第一に、ユーザーに対して盗まれた資産の悪意のある取引データに署名させること、つまりユーザーを騙して資産を攻撃者に許可または移転させることです。第二に、悪意のあるウェブサイトやアプリでユーザーにウォレットの助記詞を入力させることです。
攻撃者がどのようにウォレットの資産を盗むかを理解したら、次に可能なリスクを防ぐ必要があります:
- 署名の前に署名データを識別し、自分が署名している取引が何であるかを理解し、署名の対象が正しいか、許可の額が過大でないかを慎重に確認すること;
- できるだけハードウェアウォレットを使用すること。ハードウェアウォレットは一般的に助記詞や秘密鍵を直接エクスポートできないため、助記詞や秘密鍵が盗まれるハードルを高くすることができます;
- 様々なフィッシング手法や事件が次々と発生しているため、ユーザーは自ら様々なフィッシング手法を識別し、安全意識を高め、自分自身を教育して騙されないようにし、自救能力を身につける必要があります。例えば、慢雾などのセキュリティ企業のメディア動向に注目し、最新の詐欺やフィッシング手法をリアルタイムで把握することをお勧めします。もちろん、慢雾が制作した《ブロックチェーン暗黒森林自救マニュアル》を読むことを非常にお勧めします。内容が豊富です;
- ユーザーは様々なシーンに応じて異なるウォレットを維持し、資産のリスクをコントロール可能にすることをお勧めします。例えば、大額の資産は一般的に頻繁には使用しないため、コールドウォレットに保管し、使用時にはネットワーク環境や物理環境が安全であることを確認することが推奨されます。エアドロップなどの活動に参加するウォレットは使用頻度が高いため、小額の資産を保管することをお勧めします。異なる資産や使用頻度に応じてウォレットを階層的に管理することで、リスクをコントロール可能にすることができます。
3、8月16日に余弦大佬が非常に興味深いツイートをしました------あなたたちの「MacはWinコンピュータよりも安全だ」という錯覚はどこから来たのでしょうか?Web3ユーザーにとって、慢雾はMacとWinコンピュータの利点と欠点をそれぞれどのように考えていますか?
答:はい、このツイートはかなりの議論を引き起こしました。逆に、私たちは「WinはMacコンピュータよりも安全だという錯覚はどこから来たのか?」と問い返します。これは似たような視点と答えです。単一システムの侵入防止の観点から見ると、Macの閉鎖性や権限の厳格な管理は確かにWindowsよりも優れています。また、世界のPC市場におけるMacのシェアは非常に低く、Winのシェアが高いため、より多くの攻撃がWinに対して発生しています。Winは誕生以来、様々な攻撃面が非常に成熟しています。誇張して言えば、現在、侵入やAPTを行うセキュリティ専門家の99%はMacをターゲットにせず、逆に100%の人がWinをターゲットにします。上記のことを除けば、もし免疫を持ったマルウェアでMacとWinを攻撃した場合、基本的に結果は同じで、どちらも感染します。全体的に見て、半分はデバイス、半分は個人です。ユーザーの安全意識が不足していると、簡単に騙されてコンピュータに悪意のあるプログラムが植え付けられ、結果としてコンピュータ上の敏感なデータ(例えば助記詞)が盗まれる可能性があります。悪意のあるソフトウェアの行動には多くの異なる方法があり、電子メールの添付ファイルに隠れていることもあれば、デバイスのカメラを使用して監視することもあります。皆さんには安全意識を高めることをお勧めします。例えば、他人が提供するプログラムを軽々しくダウンロードして実行しないこと、信頼できるサイトからのみアプリケーション、ソフトウェア、またはメディアファイルをダウンロードすること、見知らぬメールの添付ファイルを軽々しく開かないこと、定期的にオペレーティングシステムを更新し、最新のセキュリティ保護を受けること、カスペルスキーなどのアンチウイルスソフトウェアをデバイスにインストールすることをお勧めします。
4、多くのプロジェクトで「資金庫」が盗まれる事例が発生しています。慢雾は、セキュリティ問題の一般的な原因は何だと考えていますか?内部犯行の可能性は高いのでしょうか?
答:慢雾ブロックチェーンハッキング事件アーカイブ(SlowMist Hacked)の統計によると、8月24日までに2023年のセキュリティ事件は253件発生し、損失は145億ドルに達しました。ブロックチェーンにおける悪行の方法を見てみると、主にいくつかの側面があります:フィッシング攻撃、マルウェア攻撃、算力攻撃、スマートコントラクト攻撃、インフラ攻撃、サプライチェーン攻撃、内部犯行などです。一般的なスマートコントラクト攻撃を例に挙げると、以下の攻撃方法が存在します:フラッシュローン攻撃、コントラクトの脆弱性、互換性やアーキテクチャの問題、さらにフロントエンドの悪意のある攻撃や開発者へのフィッシングもあります。
また、内部犯行について言及する際には、秘密鍵の漏洩を避けて通れません。秘密鍵の漏洩は状況によって異なります。個人と取引所の秘密鍵の漏洩には大きな違いがあります。個人の秘密鍵の漏洩は、一般的には秘密鍵や助記詞をオンラインに保存してしまうこと、例えばWeChatのコレクション、163メール、メモ帳、有道ノートなどのクラウドストレージサービスに保存することが原因です。ハッカーはしばしばオンラインで漏洩したアカウントとパスワードのデータベースを収集し、例えば数年前のCSDNの平文アカウントとパスワードを使って、これらのクラウドストレージやクラウドサービスのウェブサイトで試みます。セキュリティ業界の俗語では「撞庫」と呼ばれ、これは確率的なもので、成功した場合はその中からCrypto関連の内容を探し出します。
取引所の秘密鍵の漏洩はより複雑です。一般的には、大規模なハッカー組織が取引所の層をなすセキュリティ防護を突破し、段階的に侵入して取引所のサーバー内のホットウォレットの秘密鍵を取得する能力を持っています。
ここで特に注意を促したいのは、これは違法行為であり、決して模倣しないでください。私たちはプロジェクト側に対して、できるだけ安全会社に自プロジェクトのコードのセキュリティ監査を依頼し、プロジェクトのセキュリティレベルを向上させることを強くお勧めします。また、バグバウンティを発表して、プロジェクトの継続的な運営と発展過程におけるセキュリティ問題を回避することをお勧めします。同時に、各プロジェクト側には内部管理と技術メカニズムを整備し、マルチシグ機構やゼロトラスト機構を導入して資産保護の強化を図ることをお勧めします。
5、クロスチェーンブリッジは「ハッカーの引き出し機」と揶揄されることがあります。技術レベルが比較的初心者のWeb3erにとって、クロスチェーンブリッジを使用する際に注意すべき点は何ですか?
答:クロスチェーンブリッジについて言及すると、まずクロスチェーンブリッジの業務は複雑で、コード量が多く、コーディング実装時に脆弱性が発生しやすいです。次に、プロジェクトで引用されるサードパーティコンポーネントのセキュリティも、セキュリティ脆弱性の重要な原因の一つです。最後に、クロスチェーンブリッジはより大きな開発コミュニティが不足しているため、コードが広くかつ注意深く検索されて潜在的なバグが発見されることがありません。
ユーザーにとって、クロスチェーンブリッジを使用する際に重要なのは、資金がどのように保護されているかを理解することです。いくつかの次元からクロスチェーンブリッジのリスクレベルを確認できます。例えば:プロジェクトのコントラクトはオープンソースですか?プロジェクトには複数の安全監査がありますか?秘密鍵の管理方案はMPC(マルチパーティ計算)ですか?それともマルチノードのマルチシグですか?それともプロジェクト側が統一して秘密鍵を保管していますか?ユーザーは、選択するクロスチェーンブリッジが安全性の高いクロスチェーンチームであることを確認すべきです。まず、すべてのバージョンのコードに対する安全監査が行われていること、次にチームに専任のセキュリティ担当者がいることを確認します。また、クロスチェーンブリッジ関連チームがより透明に運営できるようにすることをお勧めします。そうすることで、ユーザーからの疑問や提案をより多く受け取り、迅速に不足を補うことができます。
6、一般的なスキャムやフィッシング以外に、慢雾はあまり知られていない、対処が難しい事例を挙げることができますか?
答:以前、攻撃者がWeb3ウォレットのWalletConnectの実装上の欠陥を利用してフィッシング攻撃の成功率を高めた事件を公表しました。具体的には、一部のWeb3ウォレットがWalletConnectをサポートする際に、WalletConnectの取引ポップアップがどの領域に表示されるかを制限しておらず、ウォレットの任意の画面に署名要求がポップアップすることがありました。攻撃者はこの欠陥を利用して、フィッシングサイトにユーザーを誘導し、WalletConnectを使用してフィッシングページに接続させ、その後、悪意のあるeth_sign署名要求を構築し続けました。
ユーザーがethsignが安全でない可能性があると認識し、署名を拒否した場合、WalletConnectはwssの方式で接続を行うため、ユーザーが接続を迅速に閉じなければ、フィッシングページは悪意のあるethsign署名要求を繰り返し発起し、ユーザーがウォレットを使用する際に誤って署名ボタンをクリックする可能性が高くなり、結果としてユーザーの資産が盗まれることになります。実際、DAppブラウザを離れるか閉じるだけで、WalletConnectの接続は一時停止されるべきです。そうでなければ、ユーザーがウォレットを使用しているときに突然署名がポップアップすると、混乱しやすく、盗まれるリスクが生じます。
ここでethsignについて再度言及します。ethsignはオープンな署名方法であり、最近2年間、攻撃者によってフィッシングに頻繁に使用されています。これは任意のハッシュ、つまり任意の取引やデータに署名することを許可し、危険なフィッシングリスクを構成します。皆さんは署名やログインを行う際に、使用しているアプリケーションやウェブサイトを注意深く確認し、あまり明確でない場合にはパスワードや取引に署名しないことをお勧めします。盲目的な署名を拒否することで、多くのセキュリティリスクを回避できます。
7、慢雾がブロックチェーンセキュリティに従事してきた中で、最も印象深いセキュリティ事件は何ですか?
答:近年、特に印象に残っているのは2021年に発生したPoly Network事件です。攻撃事件が発生した直後の8月10日20時過ぎ、私たちは高度な関心を持ち、攻撃の過程を分析し、資金の流れを追跡し、盗まれた損失を統計するなどしていました。まるで前線にいるような感覚でした。そして、損失は6.1億ドルで、当時の攻撃事件の中では特に大きな損失でした。
私たちのチームは11日の午前5時過ぎに、今回の攻撃事件の分析状況や攻撃者のIP情報などを発表しました。11日の午後4時過ぎ、ハッカーは多くのプレッシャーの中で資産を返還し始めました。その後、ハッカーがブロックチェーン上で発言した内容も「興味深い」ものでした。この全過程を通じて、セキュリティ会社としての達成感を非常に感じました。
8、最後に面白い質問をします。形式的検証やAI監査などの新技術が継続的に進化していますが、慢雾は新技術の発展をどのように考えていますか?
答:新技術について言えば、例えばChatGPTは従来のテキスト作業の効率を向上させ、CodeGPTはコード作成の効率を向上させます。私たちの内部でも、歴史的に一般的な脆弱性コードをテストケースとして使用し、GPTの基本的な脆弱性検出能力を検証したことがあります。テスト結果では、GPTモデルは簡単な脆弱性コードブロックの検出能力が良好であることがわかりましたが、少し複雑な脆弱性コードについてはまだ検出できないことが分かりました。また、テスト中にGPT-4(Web)の全体的な文脈の可読性が非常に高く、出力形式が比較的明確であることも確認できました。
GPTはコントラクトコードの基本的な簡単な脆弱性に対して部分的な検出能力を持ち、脆弱性を検出した後は非常に高い可読性で脆弱性の問題を説明します。この特性は、初級のコントラクト監査作業者の初期トレーニングに迅速な指導と簡単な質問応答を提供するのに適しています。しかし、いくつかの欠点もあります。例えば、GPTは各対話の出力に一定の変動があり、APIインターフェースのパラメータを調整することで変動を抑えることができますが、それでも出力は一定ではありません。このような変動は言語対話には良い方法ですが、コード分析の作業には良くない問題です。
AIが私たちに告げる多様な脆弱性の回答をカバーするためには、同じ問題を何度もリクエストし、比較して選別する必要があり、これが無意識のうちに作業量を増やし、AIが人間の効率を向上させるという基準目標に反します。また、少し複雑な脆弱性を検出する際には、現在の(2024年3月16日)トレーニングモデルが正しく分析し、関連する重要な脆弱性ポイントを見つけることができないことが分かります。
現在のところ、GPTのコントラクト脆弱性の分析および発掘能力は相対的に弱い状態にありますが、普通の脆弱性小コードブロックの分析とレポートテキストの生成能力は依然として使用者を興奮させるものであり、今後数年の間にGPTや他のAIモデルのトレーニング開発が進むにつれて、大型で複雑なコントラクトのより迅速で、よりスマートで、より包括的な支援監査が実現することを信じています。
結語
慢雾セキュリティチームの回答に心から感謝します。光のあるところには影があり、ブロックチェーン業界も例外ではありません。しかし、慢雾科技などのブロックチェーンセキュリティ会社の存在があるからこそ、影の中にも微光が差し込むことができます。発展とともに、ブロックチェーン業界もますます規範化されると信じており、慢雾科技の今後の発展を非常に楽しみにしています〜
今後、NFTGoはWeb3 Builderとのインタビュー対話を継続的に行い、皆さんのフォローをお待ちしています。私たちの中国語Twitter:@NFTGoCNをフォローしてください。皆さんのご意見、見たいBuilder、質問、または自己推薦などがあれば、ぜひ私たちのTwitterのコメントやDMにお寄せください。
