慢雾出品 | Web3 项目安全手册
随着 Web3 的快速发展,区块链技术和加密货币逐渐成为全球金融体系的重要组成部分。然而,伴随而来的安全问题也给这个新兴领域带来了诸多挑战。因此,慢雾安全团队特别推出「Web3项目安全手册」(https://www.slowmist.com/redhandbook/),简称“红手册”,旨在为 Web3 项目和开发者提供全面的安全指导和实用技能。红手册为中英双语版本,主要包括四部分:Web3 项目安全实践要求、慢雾智能合约审计技能树、基于区块链的加密货币安全审计指南以及加密资产安全解决方案。
Web3 项目安全实践要求
现如今针对 Web3 项目的攻击手法层出不穷,且项目之间的交互也越发复杂,在各个项目之间的交互经常会引入新的安全问题,而大部分 Web3 项目研发团队普遍缺少的一线的安全攻防经验,并且在进行 Web3 项目研发的时候,重点关注的是项目整体的商业论证以及业务功能的实现,而没有更多的精力完成安全体系的建设。因此,在缺失安全体系的情况下很难保证 Web3 项目在整个生命周期的安全性。
通常项目方团队为了确保 Web3 项目的安全会聘请优秀的区块链安全团队对其代码进行安全审计,但是区块链安全团队的审计仅仅是短期的引导,并不能让项目方团队建立属于自己的安全体系。
因此,慢雾安全团队开源 Web3 项目安全实践要求,以持续帮助区块链生态中的项目方团队掌握相应的安全技能,希望项目方团队能够基于 Web3 项目安全实践要求建立和完善属于自己的安全体系,在审计之后也能具备一定的安全能力。
Web3 项目安全实践要求包含如下内容:
Web3 项目安全实践要求目前属于 v0.1 版本,可通过该链接阅读完整内容:
https://github.com/slowmist/Web3-Project-Security-Practice-Requirements。
智能合约安全审计技能树
该技能树是慢雾安全团队智能合约安全审计工程师的技能集合,旨在为团队成员列出智能合约安全审计的所需技能并驱动团队成员形成研究、创造、工程的自我进化思维,主要分为四个部分:寻门而入、倚门而歌、融会贯通、破门而出,由浅至深地列出在各个阶段所需掌握的专业技能,具体如下图:
可通过该链接阅读完整内容:https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor。
基于区块链的加密货币安全审计指南
加密资产作为一种具有内在价值的资产,具有不可逆、难溯源等特点,这让黑客有了强烈的作案动机。红手册中的这一部分不仅涵盖了常见的安全漏洞,还提供了详细的安全研究,包括以下内容:
加密货币威胁建模
慢雾安全团队使用多种模型来识别加密货币系统存在的威胁,如 CIA 三元组、STRIDE 模型、DREAD 模型和 PASTA。
测试方法
在黑盒测试和灰盒测试中,我们使用模糊测试、脚本测试等方法,通过提供随机数据或构建特定结构的数据来测试接口或组件的鲁棒性,挖掘一些边界条件下的系统异常行为,如 bug 或性能异常。在白盒测试中,我们通过代码审查等方法分析代码的对象定义和逻辑实现,结合安全团队在已知区块链安全漏洞上的相关经验,确保代码中的关键逻辑和关键组件没有已知漏洞;同时,进入新场景和新技术的漏洞挖掘模式,发现可能的 0day 错误。
漏洞严重性
根据 CVSS 方法,慢雾安全团队开发了区块链漏洞严重性级别:
公链安全研究
-
慢雾科技的区块链威胁情报系统(https://bti.slowmist.com/) 持续追踪正在发生的安全事件,并将威胁情报应用于安全咨询与审计服务。
-
慢雾安全团队对公开已知的区块链安全漏洞进行分析研究,汇编整理出了区块链常见漏洞列表(https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide/blob/main/Blockchain-Common-Vulnerability-List.md)。
公链安全审计
慢雾安全团队的公链安全审计综合使用了黑盒、灰盒、白盒三种测试方法,根据审计需求不同,推出了以黑灰盒审计为主的主网安全审计、layer2 安全审计,和以白盒审计为主的源代码安全审计,同时还为一些开发框架定制应用链安全审计方案。
区块链应用审计
-
智能合约安全审计
-
其他应用
可通过该链接阅读完整内容:https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide。
加密资产安全解决方案
本方案是慢雾安全团队多年一线服务甲方的实践经验沉淀,旨在为加密世界的参与者提供全方位的资产安全解决方案。我们将加密资产安全整理划分为以下五大部分,并针对每一部分做出详细解读,包括各类风险及相关的解决方案。
线上热资产安全解决方案
线上热资产主要是指加密货币私钥放置在线上服务器中对应的资产,需要频繁使用来进行签名交易等操作,如交易所的热、温钱包等都属于线上热资产。这类资产由于放置在线上服务器中,被黑客攻击的可能性大大增加,是需要重点防护的资产。由于私钥的重要性,提高安全存储等级 (如硬件加密芯片保护)、去除单点风险等都是防范攻击的重要手段。慢雾推荐从“协同存管方案”和“私钥/助记词安全配置方案”两个方向来提升线上热资产的安全性。
冷资产安全解决方案
加密世界的冷资产主要是指不会经常进行交易的大额资产,并且私钥保存在断网隔离的状态下。理论上来讲,冷资产越“冷”越好,即保证私钥永不触网,并且尽量少交易,尽量避免暴露地址信息等。我们建议一方面要注意私钥存储的安全性,做到尽可能的“冷”;另一方面要注意使用上的管理流程,尽可能避免私钥泄漏、不在预期内的转账或其他未知行为。
DeFi 资产安全解决方案
当前大多数区块链参与方是参与 DeFi 项目,如挖矿、借贷及理财等。而参与 DeFi 项目本质上是把手中的资产转移或授权给 DeFi 项目方,这存在极大程度上个人不可控的安全风险。本方案列出了 DeFi 项目的风险点,并且整理出规避这些风险的方式。
资产所有权安全备份解决方案
加密资产所有权备份即对私钥或助记词的备份,私钥或助记词承载着对加密货币的完整所有权,一旦被盗或丢失则会损失所有资产。对于加密资产领域来说,私钥/助记词的备份是个短板。
资产异常监控及追踪解决方案
在做好加密资产安全存管系列措施后,为了应对诸如“黑天鹅”之类的意外情况,也需要对相关钱包地址进行监控及异常告警,让每一笔资产转移都能被内部团队确认、验证。
该方案是慢雾科技在区块链生态数年一线安全攻防实践积累下,推出的第一个完整的针对加密资产安全的解决方案。可通过该链接阅读完整内容:https://github.com/slowmist/cryptocurrency-security。
写在最后
「Web3 项目安全手册」是一本内容详实、结构清晰的安全指南,适用于所有 Web3 项目和开发者。在这个快速发展的领域,安全永远是至关重要的一环,掌握这些安全知识和技能,将有助于建设一个更加安全可靠的 Web3 生态系统。未来慢雾会继续输出安全研究内容,专注区块链生态建设,努力为区块链生态构建一个“黑暗森林”中的安全区域。
Ps. 如需购买限量纪念版红手册,请前往 https://1337.slowmist.io/redhandbook.html,点击阅读原文可直接跳转;如需 PDF 版本,请前往 https://www.slowmist.com/redhandbook/RedHandbook.pdf 下载。
比推快讯
更多 >>- 数字商会支持Crypto.com对SEC采取法律行动
- 日本金融厅将非托管钱包服务提供商排除在加密资产交易行业之外
- Sophon拟于12月之前上线主网和部署SOPH代币,但初始不会TGE
- Gunzilla Games 在 PlayStation 5 和 Epic Game Store 上推出了 大逃杀游戏Off the Grid 的抢先体验版
- 前俄罗斯调查员因收 7300 万美元比特币贿赂被判 16 年,为该国史上最大贿赂案
- Coinbase上比特币溢价自10月初以来保持为负值
- 联合国:东南亚使用加密货币进行欺诈和洗钱的情况日益增加
- 比特币协议 Babylon 质押存款增至 15 亿美元
- 前比特币开发者 Peter Todd 在 HBO 纪录片播出前否认自己是中本聪
- Canary Capital 向美SEC提交现货 XRP ETF 申请
- 美股收盘:三大股指齐涨,英伟达涨4%
- 美联储Bostic:经济过于强劲的风险可能会妨碍政策的重新调整
- 数据:Pump.fun 连续 12 天单日收入超过 90 万美元
- Arkham:某最初由以太坊基金会资助的地址向 Bitstamp 转移 300 万美元的ETH
- dApp基础设施开发商 Semantic Layer 完成 300 万美元种子轮融资,Figment Capital 领投
- 欧盟受监管代币化公司 Midas 向散户交易者开放 mTBILL 和 mBASIS 代币
- 桥水基金创始人Ray Dalio不认为美联储会“大幅”降息
- Kraken调查:83% 的加密投资者使用美元成本平均法来购买加密货币
- Lookonchain:美国政府或可自由出售从丝绸之路“Individual X”没收的 69,370 BTC,价值43.3 亿美元
- Arkham:富达在过去 24 小时内买入价值超过 1 亿美元的比特币
- 24分钟前Antpool向某地址转移1649枚BTC
- Coinbase将在 Solana 网络上增加对 io.net (IO)的支持
- 比特币 Layer 2 Bitlayer 以 3 亿美元估值完成 900万美元A轮融资,Polychain Capital领投
- Morning Consult最新民意调查:哈里斯的支持率为51%,领先特朗普6个百分点
- 过去 40 分钟内某巨鲸向币安存入11456枚ETH,价值2780万美元
- BTC跌破62000美元
- 币安要求加密经纪公司 FalconX 归还其自 2021 年以来持有的 135 万枚SOL
- 随着网络哈希率上升,比特币矿企 9 月份收入连续第三个月下降
- 渣打银行高管:如果特朗普当选总统,到 2025 年底Solana可能上涨五倍
- Jupiter:Jupiter Mobile零平台费 ,可接受 Apple Pay、信用卡等
- Layer-2 网络 Scroll 公布 SCR 空投计划,总代币供应量的 15% 将用于空投
- AI Web3 初创公司Bluwhale拟通过节点销售筹集高达 1000 万美元
- Arkham:除BTC和ETH之外,贝莱德还持有SPX、UBXS和MOG等
- 日本最大电信公司 NTT 加入 Injective 并成为其验证者
- Samsung Pay 通过与 Alchemy Pay 集成支持加密货币支付
- 马斯克:如果特朗普败选,我就完蛋了,你猜我会被判几年?
- 分析:中国投资者转向股票或对 Tether 产生影响
- RWA 发行商 Midas 获得欧洲监管机构批准,拟扩大代币化产品范围
- 某加密 KOL“意外”将 166 万枚 SUNDOG 发送到合约地址
- 美股高开,道指涨 120 点
- Crypto.com:已对美 SEC 提起诉讼
- 加密交易所 Crypto.com 收到美 SEC 的韦尔斯通知
- AI 初创公司 Kiva AI 完成 700 万美元种子轮融资,Coinfund 领投
- AI Web3 初创公司 Bluwhale 拟通过节点销售筹集 1000 万美元资金
- Gate.io 宣布对 TON 区块链投资 1000 万美元,助推 Telegram 项目发展
- Circle:原生 USDC 已正式上线 Sui 网络
- 比特币质押协议 Solv Protocol 已推出质押抽象层 SAL
- Nostra 发起提案,拟将 NSTR 流动性从以太坊迁移至 Starknet
- 做空机构兴登堡表示已做空 Roblox
- Solana Q3 桥接净流入 10 亿美元,市占率达 35%
比推专栏
更多 >>观点
项目
比推热门文章
- 数字商会支持Crypto.com对SEC采取法律行动
- 从小白到 Alpha 高手不能错过的这 50 种 DYOR 工具
- 日本金融厅将非托管钱包服务提供商排除在加密资产交易行业之外
- Sophon拟于12月之前上线主网和部署SOPH代币,但初始不会TGE
- 专访 HashKey 代币化负责人:为什么做这块业务?Tokenisation 与 STO 的难点与潜力
- Gunzilla Games 在 PlayStation 5 和 Epic Game Store 上推出了 大逃杀游戏Off the Grid 的抢先体验版
- 前俄罗斯调查员因收 7300 万美元比特币贿赂被判 16 年,为该国史上最大贿赂案
- Coinbase上比特币溢价自10月初以来保持为负值
- 联合国:东南亚使用加密货币进行欺诈和洗钱的情况日益增加
- 【比推每日新闻精选】渣打银行高管:如果特朗普当选总统,到 2025 年底Solana可能上涨五倍;Canary Capital 向美SEC提交现货 XRP ETF 申请;加密交易所 Crypto.com 收到美 SEC 的韦尔斯通知