过去几个月里,我们已经看到,众多Web3项目遭黑客攻击,这些黑客利用Web2漏洞窃取了数十万美元的用户资金。其他项目需从中吸取经验教训,引以为戒。我们需要对这些Web2漏洞进行反思,从而携手保护Web3生态系统的安全。
区块链技术已彻底改变了金融领域。用户已能够使用自托管、智能合约和Web3产品,直接管理自己的资金和投资。然而,随着外部环境的不断变化,我们需要在去中心化和安全性之间取得平衡。当涉及到普通用户的资金时,安全性显得尤为重要。由于Web3具有去中心化性质,其通常侧重于确保区块链协议和智能合约稳健、安全且没有漏洞,因为这些协议与合约是不同产品和平台的核心。
然而,为在核心区块链协议之上运行附加功能,许多Web3项目仍然依赖Web2框架和技术。因此,黑客开始利用Web2漏洞作为窃取项目和用户资金的攻击向量。例如,黑客往往从前端代码或系统漏洞入手,而非攻击智能合约本身。
这些Web2漏洞具体是什么?它们如何运作?我们又该采取怎样的应对措施?为解答这些问题,下文将对近几个月中曾遭受过Web2漏洞攻击的两个主要DeFi项目KyberSwap和Curve Finance进行介绍,并从这两个案例中总结出经验教训,确保整体社区的安全性。
Kyberswap因Google标签管理器漏洞损失$265,000
2022年9月1日,去中心化交易平台KyberSwap遭遇前端漏洞攻击,损失了$265,000。这次攻击究竟是如何发生的呢?简而言之,黑客在KyberSwap的Google标签管理器(GTM)中插入了恶意代码,因而得以将用户资金转移至其自身的地址。
Web2漏洞之一:Google标签管理器(GTM)
GTM之所以能成为Web2漏洞,是因为它与KyberSwap的智能合约或区块链协议功能无关。相反,GTM是一个标签管理系统,可用于添加和更新数字营销标签,从而进行转化追踪和站点分析等。黑客可通过网络钓鱼进入KyberSwap的GTM账户,随后在其中插入恶意代码。由于KyberSwap前端受损,犯罪分子便可窃取用户资金,最终引发了高达$265,000的损失。
此种脚本专门针对巨鲸钱包。最终,KyberSwap背后的流动性枢纽Kyber Network设法禁用了GTM并删除了恶意脚本,从而阻止了进一步犯罪活动的发生。附注:KyberSwap宣布将对此次攻击引发的所有损失进行赔偿。然而,如果KyberSwap之前对Web2的安全性给予更多关注,则此类前端攻击完全可以避免。
Curve Finance因DNS漏洞损失$570,000
KyberSwap并非唯一一个近期遭受前端漏洞攻击的DeFi项目。2022年8月9日,一群黑客利用Curve Finance去中心化交易平台的一处漏洞,从用户钱包中窃取了价值$570,000的以太币。此次前端攻击由DNS缓存中毒造成,黑客利用该漏洞将试图访问Curve Finance域的用户重新引导至一个假冒的山寨网站。
Web2漏洞之二:DNS缓存中毒
DNS是域名系统的简称,是让大众能够轻松浏览互联网的一个重要工具。每当有人键入域名时,其设备就会向DNS服务器发送查询请求,以获取相关的IP地址。
通常情况下,该查询请求会辗转多个DNS服务器,直至找到相应的IP地址。我们可以将互联网视为一个巨大而错综复杂的高速公路系统,每条道路均通往不同的网站。在这些道路上,DNS服务器发挥着交通警察的作用,引导车辆向正确的方向行驶。
在Curve Finance案例中,黑客克隆了一个一模一样的Curve DNS服务器,将用户重新引导至一个外观与Curve项目完全相同的山寨网站。犯罪分子因而得以在Curve“主页”中植入恶意合约。当用户在其钱包上批准使用合约时,其资金便被洗劫一空,总损失达$570,000。
DeFi项目该如何保护其用户?经验教训总结
我们可以从这些案例中得出一条最重要的经验,即如果一个Web3项目未将Web2安全放在同等重要的位置,无论您的智能合约有多安全,仍可能存在漏洞风险。因此,项目团队需要考虑Web2和Web3领域之间可能存在的差距,并对整体项目安全承担更大的责任。
GTM漏洞经验总结
在KyberSwap和GTM漏洞的案例中,团队需时刻谨记,务必使用双重身份验证(2FA)来保护GTM账户等辅助工具。此外,对于可在项目网站上部署代码的账户,访问权限应仅分配给少数必要人员。由于下放代码部署权限风险极大,因此需要设置一个合适的访问控制系统。例如,币安平台将访问权限分为三种不同的角色,分别为标签开发者、安全检查员和发布者。单一角色权限均无法添加新的网站代码,只有三种权限同时使用时方可实现。
DNS漏洞经验总结
避免使用已被污染的DNS服务器比事后处理容易得多。普通用户可以做好以下几点,保障自己的资金安全:
-
不要点击可疑的链接。
-
定期清除DNS缓存。
-
定期扫描设备上的有害程序。
在DNS存在漏洞的情况下,普通用户能够采取的自我保护措施非常有限。被破坏的DNS服务器通常会将用户重新引导至一个克隆的主页,用户根本难辨真伪。
因此,加密货币公司应当承担起这份责任。项目团队应选择安全且信誉良好的域名管理供应商。在Curve Finance黑客事件中,币安CEO赵长鹏在Twitter上指出,Curve Finance使用了“不安全的DNS,所有Web3项目均需引以为戒,因为不安全的DNS非常容易受到社交工程的攻击。”
项目团队不应为削减成本而试图选择低端的DNS供应商。可靠的供应商支持自定义协议,可避免黑客更改域名设置。
尽管Web3提供了大量机会,但我们不应忽视前一个互联网时代以来便一直存在的安全威胁。让我们时刻保持警惕,携手全面保护我们的生态系统。
本文链接地址:https://www.wwsww.cn/qkl/15349.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。