慢雾出品 | Web3 项目安全手册
随着 Web3 的快速发展,区块链技术和加密货币逐渐成为全球金融体系的重要组成部分。然而,伴随而来的安全问题也给这个新兴领域带来了诸多挑战。因此,慢雾安全团队特别推出「Web3项目安全手册」(https://www.slowmist.com/redhandbook/),简称“红手册”,旨在为 Web3 项目和开发者提供全面的安全指导和实用技能。红手册为中英双语版本,主要包括四部分:Web3 项目安全实践要求、慢雾智能合约审计技能树、基于区块链的加密货币安全审计指南以及加密资产安全解决方案。
Web3 项目安全实践要求
现如今针对 Web3 项目的攻击手法层出不穷,且项目之间的交互也越发复杂,在各个项目之间的交互经常会引入新的安全问题,而大部分 Web3 项目研发团队普遍缺少的一线的安全攻防经验,并且在进行 Web3 项目研发的时候,重点关注的是项目整体的商业论证以及业务功能的实现,而没有更多的精力完成安全体系的建设。因此,在缺失安全体系的情况下很难保证 Web3 项目在整个生命周期的安全性。
通常项目方团队为了确保 Web3 项目的安全会聘请优秀的区块链安全团队对其代码进行安全审计,但是区块链安全团队的审计仅仅是短期的引导,并不能让项目方团队建立属于自己的安全体系。
因此,慢雾安全团队开源 Web3 项目安全实践要求,以持续帮助区块链生态中的项目方团队掌握相应的安全技能,希望项目方团队能够基于 Web3 项目安全实践要求建立和完善属于自己的安全体系,在审计之后也能具备一定的安全能力。
Web3 项目安全实践要求包含如下内容:
Web3 项目安全实践要求目前属于 v0.1 版本,可通过该链接阅读完整内容:
https://github.com/slowmist/Web3-Project-Security-Practice-Requirements。
智能合约安全审计技能树
该技能树是慢雾安全团队智能合约安全审计工程师的技能集合,旨在为团队成员列出智能合约安全审计的所需技能并驱动团队成员形成研究、创造、工程的自我进化思维,主要分为四个部分:寻门而入、倚门而歌、融会贯通、破门而出,由浅至深地列出在各个阶段所需掌握的专业技能,具体如下图:
可通过该链接阅读完整内容:https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor。
基于区块链的加密货币安全审计指南
加密资产作为一种具有内在价值的资产,具有不可逆、难溯源等特点,这让黑客有了强烈的作案动机。红手册中的这一部分不仅涵盖了常见的安全漏洞,还提供了详细的安全研究,包括以下内容:
加密货币威胁建模
慢雾安全团队使用多种模型来识别加密货币系统存在的威胁,如 CIA 三元组、STRIDE 模型、DREAD 模型和 PASTA。
测试方法
在黑盒测试和灰盒测试中,我们使用模糊测试、脚本测试等方法,通过提供随机数据或构建特定结构的数据来测试接口或组件的鲁棒性,挖掘一些边界条件下的系统异常行为,如 bug 或性能异常。在白盒测试中,我们通过代码审查等方法分析代码的对象定义和逻辑实现,结合安全团队在已知区块链安全漏洞上的相关经验,确保代码中的关键逻辑和关键组件没有已知漏洞;同时,进入新场景和新技术的漏洞挖掘模式,发现可能的 0day 错误。
漏洞严重性
根据 CVSS 方法,慢雾安全团队开发了区块链漏洞严重性级别:
公链安全研究
-
慢雾科技的区块链威胁情报系统(https://bti.slowmist.com/) 持续追踪正在发生的安全事件,并将威胁情报应用于安全咨询与审计服务。
-
慢雾安全团队对公开已知的区块链安全漏洞进行分析研究,汇编整理出了区块链常见漏洞列表(https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide/blob/main/Blockchain-Common-Vulnerability-List.md)。
公链安全审计
慢雾安全团队的公链安全审计综合使用了黑盒、灰盒、白盒三种测试方法,根据审计需求不同,推出了以黑灰盒审计为主的主网安全审计、layer2 安全审计,和以白盒审计为主的源代码安全审计,同时还为一些开发框架定制应用链安全审计方案。
区块链应用审计
-
智能合约安全审计
-
其他应用
可通过该链接阅读完整内容:https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide。
加密资产安全解决方案
本方案是慢雾安全团队多年一线服务甲方的实践经验沉淀,旨在为加密世界的参与者提供全方位的资产安全解决方案。我们将加密资产安全整理划分为以下五大部分,并针对每一部分做出详细解读,包括各类风险及相关的解决方案。
线上热资产安全解决方案
线上热资产主要是指加密货币私钥放置在线上服务器中对应的资产,需要频繁使用来进行签名交易等操作,如交易所的热、温钱包等都属于线上热资产。这类资产由于放置在线上服务器中,被黑客攻击的可能性大大增加,是需要重点防护的资产。由于私钥的重要性,提高安全存储等级 (如硬件加密芯片保护)、去除单点风险等都是防范攻击的重要手段。慢雾推荐从“协同存管方案”和“私钥/助记词安全配置方案”两个方向来提升线上热资产的安全性。
冷资产安全解决方案
加密世界的冷资产主要是指不会经常进行交易的大额资产,并且私钥保存在断网隔离的状态下。理论上来讲,冷资产越“冷”越好,即保证私钥永不触网,并且尽量少交易,尽量避免暴露地址信息等。我们建议一方面要注意私钥存储的安全性,做到尽可能的“冷”;另一方面要注意使用上的管理流程,尽可能避免私钥泄漏、不在预期内的转账或其他未知行为。
DeFi 资产安全解决方案
当前大多数区块链参与方是参与 DeFi 项目,如挖矿、借贷及理财等。而参与 DeFi 项目本质上是把手中的资产转移或授权给 DeFi 项目方,这存在极大程度上个人不可控的安全风险。本方案列出了 DeFi 项目的风险点,并且整理出规避这些风险的方式。
资产所有权安全备份解决方案
加密资产所有权备份即对私钥或助记词的备份,私钥或助记词承载着对加密货币的完整所有权,一旦被盗或丢失则会损失所有资产。对于加密资产领域来说,私钥/助记词的备份是个短板。
资产异常监控及追踪解决方案
在做好加密资产安全存管系列措施后,为了应对诸如“黑天鹅”之类的意外情况,也需要对相关钱包地址进行监控及异常告警,让每一笔资产转移都能被内部团队确认、验证。
该方案是慢雾科技在区块链生态数年一线安全攻防实践积累下,推出的第一个完整的针对加密资产安全的解决方案。可通过该链接阅读完整内容:https://github.com/slowmist/cryptocurrency-security。
写在最后
「Web3 项目安全手册」是一本内容详实、结构清晰的安全指南,适用于所有 Web3 项目和开发者。在这个快速发展的领域,安全永远是至关重要的一环,掌握这些安全知识和技能,将有助于建设一个更加安全可靠的 Web3 生态系统。未来慢雾会继续输出安全研究内容,专注区块链生态建设,努力为区块链生态构建一个“黑暗森林”中的安全区域。
Ps. 如需购买限量纪念版红手册,请前往 https://1337.slowmist.io/redhandbook.html,点击阅读原文可直接跳转;如需 PDF 版本,请前往 https://www.slowmist.com/redhandbook/RedHandbook.pdf 下载。
比推快讯
更多 >>- Neiro CTO 回应质疑:选择 Gotbit 为做市商系急于上市之下的权宜之策,愿为此判断失误担责
- Beercoin 和 WaterCoin 在 Gotbit 被起诉后称早已更换做市商,但遭社区质疑
- 专家:OpenAI 或已超出非营利结构限制,面临昂贵重组
- Vitalik:12 个月前讨论的是 L1 从 L2“提取租金”,现在情况正相反
- 特朗普家族加密项目 WLFI 将于 10 月 14 日直播介绍公售详情
- 英国男子因在垃圾填埋场丢失比特币,起诉英国纽波特市议会 6.47 亿美元赔偿
- Murad:本周期 Meme 币的表现将超越一切
- 监狱记录显示前 FTX 高管 Ryan Salame 已开始七年半的服刑
- 哈里斯公布个人体检报告,欲推动公众审视特朗普的健康状况
- 网络安全公司:Python 软件包索引中发现能窃取加密货币的恶意软件
- 律所 Pomerantz 对交易所 Coinbase Global 提起集体诉讼
- 山东法院民法典适用典型案例:目前对数字藏品的发行、交易并未有法律明令禁止
- 链上风投平台 Fission Labs 完成 160 万美元种子轮融资,SALT Fund 和 Kraynos Capital 领投
- 前 FTX 高管 Ryan Salame 入狱前在 LinkedIn 宣布其新职位为囚犯,并新增“清理和削木”技能
- 花旗银行现金代币服务已投入商业使用
- Arbitrum 社区成员质疑“游戏催化计划”进展,发起提案要求返还 2.2 亿枚 ARB 至 DAO 国库
- 穆长春:数字人民币价值模式下可在区块链上提供智能支付,未来将在智能合约等领域深化发展
- 涉嫌参与1.8亿美元加密货币诈骗的嫌疑人在篡改脚踝监控器后逃亡
- 美 SEC 将对现货以太坊 ETF 期权的决定推迟至12月
- 美国参议员Bill Hagerty提出改进版的支付稳定币法案
- 加密货币交易所 Fairdesk 因监管问题将于 11 月 30 日关闭所有服务
- 美股收盘:三大股指全体上涨,特斯拉跌8.78%
- BTC突破63000美元
- 特朗普家族 DeFi 项目 World Liberty Financial 将于10 月 15 日开始公开代币销售
- 前 FTX Digital Markets 联席CEO Ryan Salame 或即将入狱
- 拜登表示已授权特朗普关于人身安全问题的一切需求
- Arkham CEO证实其公司将迁至多米尼加共和国
- Airdrop Farmer批评 Scroll 的空投分配比例
- Fox记者:Ripple联创Chris Larsen向支持哈里斯的PAC捐赠 100 万美元的 XRP
- QCP Capital 分析师:比特币若能维持在6万美元上方,“Uptober”仍有希望
- 某巨鲸近20分钟内从币安提取价值101万美元的PEPE和148万美元的SHIB
- 灰度公布未来可能纳入 Grayscale 投资产品的代币列表,包含KAS、APT、ARB等
- 某巨鲸卖出7月建仓的1600万枚PEOPLE,亏损25万美元
- Coinbase 分析师:Mt. Gox 还款期限推迟短期内或缓解BTC抛压担忧
- 比特币向上触及62000美元,日内涨2.82%
- Paradigm向其分拆公司Ithaca投资2000万美元,旨在开发 Layer 2 区块链 Odyssey
- Karate Combat将于 2025 年Q1在 Hedera 上推出L2链“UP”
- 模块化 DPoS 网络Elixir新推文暗示或已进行空投快照
- Mango Network V2.0 白皮书发布,同时支持EVM和MoveEVM
- 币安高管 Tigran Gambaryan 再次被尼日利亚法院拒绝保释
- 密歇根大学调查:美国消费者信心走软
- Arkham Intelligence 计划下个月推出衍生品交易所
- USDC Treasury 再次在以太坊区块链上新增铸造 5000 万枚 USDC
- 灰度向 Coinbase Prime 转移 4384 枚 ETH,价值约 1062 万美元
- Worldcoin 与 Dune 合作,在 World Chain 主网启动之前提高透明度
- Jupiter 推出电子邮件新闻通讯,以便用户及时了解最新产品动态
- 索尼 Layer2 项目 Soneium 将于月底进行两次重大升级,以提高安全性和效率
- FTX 债权人起诉对冲基金 Olympus Peak,指控其违反额外破产索赔收益协议
- 神鱼呼吁 dApp 和插件钱包起码要有 Permit 签名开关
- Michael Saylor:未来的车辆将由比特币提供动力
比推专栏
更多 >>观点
项目
比推热门文章
- 【比推一周web3新闻精选】摩根大通:未来几个月或影响加密市场的关键催化剂包括“Uptober”趋势、美联储降息以及以太坊“Pectra”升级;加密“微型国家”Liberland选举孙宇晨为其新任代理总理;特朗普家族 DeFi 项目 World Liberty Financial将于10 月 15 日开始公开代币销售
- Neiro CTO 回应质疑:选择 Gotbit 为做市商系急于上市之下的权宜之策,愿为此判断失误担责
- Beercoin 和 WaterCoin 在 Gotbit 被起诉后称早已更换做市商,但遭社区质疑
- 专家:OpenAI 或已超出非营利结构限制,面临昂贵重组
- Vitalik:12 个月前讨论的是 L1 从 L2“提取租金”,现在情况正相反
- 特朗普家族加密项目 WLFI 将于 10 月 14 日直播介绍公售详情
- 英国男子因在垃圾填埋场丢失比特币,起诉英国纽波特市议会 6.47 亿美元赔偿
- Murad:本周期 Meme 币的表现将超越一切
- 监狱记录显示前 FTX 高管 Ryan Salame 已开始七年半的服刑
- 哈里斯公布个人体检报告,欲推动公众审视特朗普的健康状况