a16z：Web3 的 6 大攻击类型和经验教训

web3的安全性在很大程度上取决于区块链做出承诺的特殊能力和对人类干预的弹性。但相关的最终性特征--交易通常是不可逆的--使这些软件控制的网络成为攻击者的诱人目标。事实上，随着区块链--作为web3基础的分布式计算机网络--及其伴随的技术和应用不断积累价值，它们成为了攻击者越来越垂涎的目标。

尽管web3与早期的互联网不同，但我们已经观察到了与以前的软件安全趋势的共同之处。在许多情况下，最大的问题仍然和以前一样。通过研究这些领域，防御者--无论是建设者、安全团队，还是日常的加密用户--可以更好地保护他们自己、项目和钱包免受潜在黑客的侵害。下面我们将介绍一些共同的主题和基于我们经验的预测。

追逐金钱

攻击者通常以投资回报最大化为目标。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”的协议，因为潜在的回报更大。

资源最丰富的黑客组织更经常地攻击高价值系统。最具价值的新型攻击也更频繁地瞄准这些有价值的目标。

低成本攻击--如网络钓鱼--永远不会消失，而且我们预计在可预见的未来，它们会变得更加普遍。

弥补漏洞

随着开发人员从经过验证的攻击中学习，他们可能会改善Web3软件的状态，使其变得“默认安全”。通常情况下，这涉及到收紧应用程序接口，或API，使人们更难错误引入漏洞。

虽然安全问题始终是一项进展中的工作--而且可以肯定的是，没有什么东西是可以防黑客的--但防御者和开发者可以通过消除攻击者容易实现的目标来提高攻击成本。

PartyDAO完成1640万美元融资，a16z领投:6月10日消息，NFT竞标平台PartyBid运营团队PartyDAO完成1640万美 元融资，a16z领投，参投方包括Standard . Crypto、Compound Crypto、Dragonfly Capital、Uniswap Ventures以及Loot创始人 Dom Hofmann。[2022/6/10 4:15:34]

随着安全实践的改进和工具的成熟，以下攻击的成功率可能会大幅下降：治理攻击、价格预言机操纵和重入错误。。

无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可以通过减少其成本效益分析的“好处”或上行部分来阻止攻击者。

对攻击进行分类

对不同系统的攻击可以根据其共同特征进行分类。定义的特征包括攻击的复杂程度，攻击的自动化程度，以及可以采取什么预防措施来防御它们。

以下是我们在过去一年最大的黑客攻击中看到的攻击类型的一个非详尽的列表。此外，还囊括了我们对当今威胁形势的观察，以及我们对web3安全未来发展的期望。

APT：顶级掠食者

a16z高管：美国国会议员首次通过委员会全体听证会来强调Web3是互联网的未来:12月9日消息，今日在美国国会的加密听证会上，a16z 政策主管 Tomicah Tilleman 表示：这是国会议员首次通过委员会全体听证会这个平台来强调 Web3 是互联网的未来。这是关于去中心化技术的全国性讨论中一个历史性的转折点，委员会成员承认 Web3 平台有潜力解决许多他们关心的问题，包括汇款和金融普惠。迄今为止，所有与会者的发言都是合理且具备建设性的。到目前为止，一切顺利。

众议员 Patrick McHenry 接着向 Bitfury 首席执行官 Brian Brooks 提出了一个关于 Web 3 的问题，Brooks 随后概述了他如何定义 Web1、Web2 和 Web3 之间的区别。[2021/12/9 13:00:23]

专家对手，通常被称为高级持续性威胁，是安全领域的恶魔。他们的动机和能力千差万别，但他们往往很有钱，而且正如其名称所暗示的那样，具有持久性；不幸的是，他们很可能会一直存在。不同的APTs运行许多不同类型的操作，但这些威胁行为者往往最可能直接攻击公司的网络层以实现其目标。

我们知道一些先进的团体正在积极针对web3项目，我们怀疑还有一些人尚未被发现。最令人关注的APTs背后的人往往居住在与美国和欧盟没有引渡条约的地方，使他们更难因其活动而被起诉。最知名的APTs之一是Lazarus，这是一个朝鲜团体，联邦调查局最近认为它进行了迄今为止最大的加密黑客攻击。

例子：

Ronin验证器黑客

a16z合伙人Chris Dixon：NFT正经历比特币早期阶段发生的事:金色财经报道，a16z合伙人Chris Dixon在推特上发文称，NFT现在正经历比特币早期阶段发生的事，在早期比特币时代 ，怀疑论者提出了大量质疑和复杂理论，但结果，比特币早期采用者看到了产品价值，并相信价值会随着时间的推移而不断增加。今天，NFT也在发生同样的事情。如果你不喜欢NFT，那也没关系，简单来说，你其实和其他99%的大多数人一样，而他们并不是NFT和比特币的早期采用者。Chris Dixon说：“就个人而言，我对数字收藏品的兴趣是对线下收藏品兴趣的100倍，我收集过域名，而且早在四年前就购买了加密猫涉足NFT市场。”[2021/12/3 12:47:55]

概况

谁：民族国家、资金雄厚的犯罪组织和其他先进的有组织团体。例子包括Ronin黑客。

复杂程度：高。

自动化程度：低。

对未来的期望：只要APT能够使其活动盈利或达到各种目的，他们就会继续活跃。

针对用户的网络钓鱼：社会工程师

网络钓鱼是一个众所周知、无处不在的问题。钓鱼者试图通过各种渠道发送诱饵信息来诱捕他们的猎物，包括即时通讯工具、电子邮件、Twitter、Telegram、Discord和被黑的网站。如果你浏览你的垃圾邮件信箱，你可能会看到数以百计封邮件，诱使你泄露信息，如密码，或窃取你的金钱。

a16z领投Mainframe Industries 2300万美元B轮融资，用于构建元宇宙:11月30日消息，a16z宣布领投云游戏初创公司Mainframe Industries B轮融资。根据Mainframe Industries新闻稿，该轮融资总额为20.3万欧元（约合2300万美元），其他投资者包括 Riot Games 等所有先前投资者、Twitch 联合创始人 Kevin Lin、Huuuge Games 创始人兼首席执行官 Aton Gauffin和Dreamhaven等。

Mainframe成立于2019年4月，为一家泛欧游戏开发商，目前正在利用云和云流媒体服务，构建一个完全云原生的 MMO游戏（大型多人在线游戏）。a16z曾参与其A轮融资。[2021/11/30 12:40:57]

现在，web3允许人们直接交易资产，如代币或NFT，且几乎是即时的最终结果，网络钓鱼活动正在针对web3用户。这些攻击是没有什么知识或技术专长的人窃取加密货币牟利的最简单方法。即便如此，它们仍然是有组织的团体追求高价值目标的重要方法，或者是高级团体通过网站接管等方式发动广泛的、消耗钱包的攻击。

例子

直接针对用户的?OpenSea网络钓鱼活动

BadgerDAO网络钓鱼攻击

概况

谁：任何人，从脚本新手到有组织的团体。

复杂程度：中低。

自动化程度：中高。

对未来的期望：网络钓鱼很简单，而且网络钓鱼者倾向于适应--并绕过--最新的防御系统，因此我们预计这些攻击的发生率会上升。用户可以通过加强教育和意识、更好的过滤、改进的警告标语和更强大的钱包控制来更好的防御攻击。

a16z聘请瑞生国际律师事务所合伙人担任加密投资总法律顾问:9月3日消息，风险投资巨头a16z已聘请瑞生国际律师事务所（Latham & Watkins）合伙人Miles Jennings担任加密投资总法律顾问，他将帮助a16z投资的公司应对法律和监管挑战，并努力推进和改进适用于加密公司的监管。Jennings将与前联邦检察官Kathryn Haun合作，后者是a16z价值22亿美元的加密投资基金的负责人之一。Jennings在瑞生期间曾与ConsenSys合作推出一种自动可转换票据，为加密初创公司提供融资等帮助。他还曾担任Uniswap和Avalanche等去中心化金融协议的外部顾问。针对行业面临的监管压力，Jennings表示，确保企业家有足够的自由去投资和开发有望改变世界的技术，同时保护投资者，并非易事。他赞扬美国监管机构试图找到适当的平衡点，但也指出持续的模糊性给去中心化平台造成了挑战。他说：“仍然存在大量抑制创新的不确定性。但该行业无疑将从监管机构和业内专家携手制定的明确框架中受益。”（彭博社）[2021/9/3 22:56:50]

供应链的脆弱性：最薄弱的一环

当汽车制造商发现车辆中存在有缺陷的部件时，他们会发布安全召回；这在软件供应链中也是一样的。

第三方软件库会引入巨大的攻击面。在web3之前，这早已是整个系统的安全挑战，例如去年12月的log4j漏洞，影响了大规模的网络服务器软件。攻击者会在互联网上扫描已知的漏洞，找到他们可以利用的未修补的问题。

导入的代码可能不是你自己的工程团队写的，但它的维护是至关重要的。团队必须监控其软件的组成部分是否存在漏洞，确保部署更新，并随时了解他们所依赖的项目的势头和健康状况。利用web3软件漏洞的真实和即时成本使得负责任地将这些问题传达给用户成为一种挑战。关于团队如何或在哪里以一种不会意外地将用户资金置于风险中的方式相互交流这些信息，目前还没有定论。

例子

Wormhole桥黑客

Multichain漏洞披露黑客

概况

谁：有组织的团体，如APTs，单独行动者，和内部人员。

复杂程度：中等。

自动化程度：中等。

对未来的期望：随着软件系统的相互依赖性和复杂性的提高，供应链的漏洞可能会增加。在为Web3安全开发出良好的、标准化的漏洞披露方法之前，机会性的黑客攻击也可能会增加。

治理攻击：选举窃取者

这是第一个上到该表单的加密具体问题。web3中的许多项目都包括治理，其中代币持有者可以提出并投票决定改变网络的建议。虽然这提供了一个持续发展和改进的机会，但它也为引入恶意建议打开了一扇后门，这些建议一旦实施，可能会破坏网络。

攻击者已经设计了新的方法来规避控制，征用领导权，并掠夺财富。治理攻击曾经是一种理论上的担忧，但现在已被证明可行。攻击者可以通过大规模的“闪电贷”来影响投票，就像最近发生在去中心化金融项目Beanstalk上的那样。导致提案自动执行的治理投票更容易被攻击者利用；而如果提案的颁布有时间延迟或需要多方的手动签署，则较难成功。

例子

Beanstalk资金盗用

概况

谁：任何人，从有组织的团体到独立行为者。

复杂程度：从低到高，取决于协议。。

自动化程度：从低到高，取决于协议。

对未来的期望：这些攻击高度依赖于治理工具和标准，特别是与监测和提案颁布过程有关的。

定价预言机攻击：市场操纵者

准确地为资产定价是很难的。在传统的交易领域，通过操纵市场人为地抬高或压低资产价格是非法的，你可能因此被罚款和/或逮捕。在DeFi中，它使得随机个人有能力“闪电交易”数亿或数十亿美元，造成价格的突然波动，而且这个问题很明显。

许多web3项目依靠“预言机”--提供实时数据的系统，是链下信息的来源。例如，“预言机”经常被用来确定两种资产之间的交换价格。但攻击者已经找到了愚弄这些所谓真相来源的方法。

随着预言机标准化的进展，链下和链上世界之间将有更安全的桥梁可用，我们可以期待市场对操纵企图变得更具弹性。如果运气好的话，有一天这类攻击有可能会完全消失。

例子

Cream市场操纵

概况

谁：有组织的团体、个人行为者和内部人员。

复杂程度：中等。

自动化程度：高。

对未来的期望：随着准确定价的方法变得更加标准，这类攻击可能会减少。

新颖漏洞：未知的不确定因素

“零日”漏洞--又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞--是信息安全领域的一个热点问题，在Web3安全领域也不例外。因为它们是突然出现的，所以是最难抵御的攻击。

如果有的话，web3使这些昂贵的、劳动密集型的攻击更容易获益，因为一旦加密货币资金被盗，人们就很难将其追回。攻击者可以花大量时间研究运行在链上应用程序的代码，找到一个可以证明他们所有努力的漏洞。同时，一些曾经新颖的漏洞继续困扰着毫无戒心的项目；曾使早期以太坊企业TheDAO丧生的重入漏洞，今天依旧在其他地方重新出现。

目前还不清楚这个行业能够多快或多容易地适应这些类型的漏洞，但对安全防御的持续投资，如审计、监控和工具，将增加攻击者寻求利用这些漏洞的成本。

例子

Poly跨链交易漏洞

Qubit无限铸币漏洞

概况

谁：有组织的团体，单一行动者，以及内部人员。

复杂程度：中高。

自动化程度：低。

对未来的期望：更多的关注吸引了更多的白帽，使发现新漏洞的“门槛”更高。同时，随着web3应用的增加，黑客们寻找新漏洞的动机也在增加。这可能仍然是一场猫鼠游戏，就像它在许多其他安全领域一样。?

本文来自?a16z，作者为RiyazFaizullabhoy和MattGleason，以下由DeFi之道编译。

标签：WEBWEB3NFTAPTweb3.0币种怎么提现web3游戏有哪些CNFT币BAPTOS价格

以太坊交易热门资讯