Web3 中的网络安全 如何安全地赶上潮流

我最近看到 Forrester的一份新报告 称“Web3 应用程序（包括 NFT）不仅容易受到攻击，而且它们通常呈现出比传统应用程序更广泛的攻击面（由于区块链的分布式特性）。”

这一发现促使我与一位 Web3 专家交谈，以更深入地研究 Web3 网络安全领域，看看存在哪些风险，并可能困扰价值近 30 亿美元的市场 （截至 2021 年）。

我已经联系了 Zokyo的创始人兼首席执行官 Hartej Sawhney ， Zokyo是一家建立、保护和资助加密货币、DeFi 和 NFT 公司的风险工作室。作为 Web3 行业的先驱，Hartej 在提升数字资产生态系统标准以及推出为安全性、透明度和合规性设定行业基准的产品和服务方面发挥了关键作用。

特别是，我们讨论了智能合约审计中发现的常见网络安全漏洞、社会工程在与 web3 相关的网络欺诈中的作用、在投资 web3 应用程序开发之前应考虑哪些网络安全风险、如何保护 NFT 以及更多的。

Hartej，你能告诉我更多关于你自己以及你是如何成为区块链/web3 安全专家的吗？

当然2013 年，我在拉斯维加斯生活时认真地接触了加密货币。当时，我正在经营一家名为 Zuldi 的金融科技初创公司——这是一种与食品和饮料传统 PoS 系统集成的移动销售点 (PoS) 解决方案。

2016 年，我与“加密货币 OG”Yo Sub Kwon 共同创立了 Hosho，其愿景是建立一家位于区块链和网络安全交叉领域的公司。

当时，世界上没有一家公司坐在这个十字路口。当然，一些公司确实在其更大的实体中开辟了一个单独的部门，专注于智能合约审计。尽管如此，没有一家公司会称自己为“加密货币/Web3 网络安全公司”，并且不仅仅涵盖源代码和智能合约审计。话虽如此，没有一家公司专门从事信息安全、运营安全、渗透测试和一般合规等方面的工作。

我们很快就建立了 Hosho。总部位于美国拉斯维加斯，我们迅速成长为一个 37 人的团队，仅在公司成立的前 12 个月内就创造了约 400 万美元的收入。我们不是远程优先，我们的大多数员工都在拉斯维加斯。我们从采用这种方法中吸取了很多教训。

我们从未启动过我们的 ICO，因为我们无法找到智能合约审计员需要自己代币的理由。所以，我们从来没有推出自己的代币，也决定不筹集风险投资，尤其是在那个时候。这主要是因为我们没有制造自己的产品。在我们的核心，我们仍然是一家以服务为导向的企业，对硅谷的风险投资家没有太大的吸引力。

2018 年，加密货币市场崩盘，所有对智能合约审计的需求基本消失。我们无法在拉斯维加斯的办公室维持一支由著名且著名的白帽黑客组成的昂贵团队为我们工作。所以，可悲的是，我们不得不让每个人都去解雇我们的团队。

不久之后，我从拉斯维加斯搬到了乌克兰的基辅。在两个月内，我开始建立 Zokyo 并聘请乌克兰的智能合约审计员。我们为 Zokyo 建立了一个登陆页面，并开始审核智能合约。在熊市期间，工作从审核 ICO 的智能合约转向审核第一层区块链的块。

不知不觉中，DeFi 夏天来了，智能合约审计的需求又回来了。当时，我环游世界，在主要的区块链和加密货币会议上发表演讲，并举办私人活动，我们在每个主要地区策划了最好的区块链建设者。由于这一事实，并且由于我在 Hosho 的业绩记录，我很快就被寻求网络安全解决方案的公司联系上了，尤其是智能合约审计。

当你审核智能合约时，你是否经常在其中发现网络安全漏洞？对智能合约最常见的网络攻击类型有哪些？如果/当你发现正在审核的智能合约存在漏洞时，你会怎么做？

当我们审计智能合约时，我们有时会遇到诸如重入、恶意库、ERC20 API 违规、隐式可见性级别、不安全类型推断、具有块气体限制的 DoS 和时间戳依赖性等漏洞。每当我们遇到潜在的漏洞时，我们都会与开发团队分享我们的发现，并为他们提供修复它们的机会。一旦团队修复了所有已识别的漏洞，我们将再次审核智能合约。

大多数情况下，经验丰富的开发人员会从多年来最常见的错误中吸取教训，并尽量不重蹈覆辙。

如今，大多数关键漏洞都来自开发人员在编写代码时没有考虑到的合约底层业务逻辑和边缘案例。这就是为什么进行逐行手动代码审查至关重要的原因。 总的来说，智能合约需要什么才能顺利通过 Zokyo 审核？

通过我们审核的智能合约实施最佳实践，并且没有具有特殊权力的合约所有者。例如，稳健的设计可以在黑天鹅事件的情况下缓解问题——在所有权方面去中心化，不允许任何参与者对实施或逻辑拥有过多的权力或控制权。

以 95% 甚至 100% 的覆盖率进行单元测试非常重要。无论严重程度如何，团队都会根据我们的建议修复所有错误。我们还将就未来的开发计划以及它们如何影响实际产品进行公开讨论。

在投资构建 web3 应用程序、去中心化平台或代币 之前，应考虑哪些网络安全风险？

在投资之前，与信誉良好的团队成员一起进行多次并发审计非常重要。你必须研究审计报告，从高层次了解产品的设计或逻辑。首先，审计报告是为社区创建的，第二是为投资者创建的，第三是为开发团队创建的。

与 Web2 相比，Web3 是否要求安全性更具预防性而不是响应性？为什么？

Web3 事务是不可变的。因此，它们一旦发生就无法逆转。这使得预防性安全对 web3 至关重要，因为财务影响可能很大。因此，它背离了 web2 的反应式检测和响应安全模型。

区块链网络是网络犯罪分子特别有吸引力的目标，因为它们管理着数字资产，通常是有形资产。根据你在 Zokyo 的第一手经验，你是否发现在 web3 中越来越多地使用社会工程诈骗，例如冰网络钓鱼？如果是的话——你能告诉我们更多关于它们对 web3 安全的影响以及应该如何对抗它们吗？

社会工程攻击继续困扰着这个行业。然而，web3 中的社会工程有点不同。除了发送网络钓鱼电子邮件之外，威胁参与者还可能会破坏一个流行的 Twitter 帐户，并向毫无戒心的用户推广加密货币赠品计划和 NFT项目。

网络钓鱼是最近导致黑客访问 Sky Mavis 的四个 Ronin 验证器和由 Axie DAO 运行的第三方验证器的原因。

Web3 公司负担不起实施被动和事件驱动的安全方法。

公司，即使是处于早期阶段的公司，也需要聘请首席创新安全官 (CISO)，利用CISO 委员会手册制定网络法规的最佳标准和方法。CISO 手册涵盖了最重要的框架之一——美国商务部的 NIST（国家标准与技术研究院）。

我在第一层加密货币基金中看到了 Zokyo，他们投资了诸如 Layer Zero 等著名项目。你如何选择你投资的公司？哪个 web3 领域目前最蓬勃发展？

Zokyo 与许多顶级投资公司密切合作，并增持了内部专业知识和资源来进行项目的技术和安全投资尽职调查。我们投资的公司通过了定性和定量的尽职调查。我们支持了一系列具有技术架构、工程智能合约、设计和审查代币经济学以及网络安全的早期公司。我们的大部分投资重点都放在核心加密货币基础设施上。

Hartej，在 LinkedIn，你称自己为“NFT 囤积者”。在保留 NFT 收藏时，你个人最关心哪些网络安全风险？以及如何保护他们免受 web3 欺诈？

可悲的是，在 2022 年，我们看到 NFT 犯罪造成的损失增加了 6 倍以上。我见过的大多数 NFT 犯罪都是与存储或助记词无关的恶意签名/错误。

NFT 的问题在于它们是交互式的。你不能只是把它们拱起来。人们经常被建议使用硬件钱包。尽管如此，当你签署恶意交易时，诸如 Ledger 之类的硬件钱包仍无法拯救你。

为了保护你的 NFT 投资组合，你需要在使用热钱包、冷钱包和保险库（第二个硬件钱包）时具有分层结构。使用热钱包铸造 NFT 并与合约交互。你只想拥有在特定时间段内铸造/购买 NFT 所需的资金。在冷钱包中，你将存储你列出的待售资产。第三，你有一个仅进行输入/输出交易的保险库。尽管如此，你永远不会将此钱包连接到任何网站或与任何合约进行交互。

当谈到 web3 中用户维护的空间时，有一种说法是，如果用户未能实施适当的网络卫生并保护自己的数据和隐私，则可能很少有其他执行机制到位。这对 web3 基础设施本身的安全性来说是一个内在风险。这是真的吗？

作为用户，你必须确保遵循网络安全最佳实践，尤其是在这个领域。web3 的全部意义在于赋予用户权力并赋予他们完全的控制权。然而，这是一把双刃剑，因为它让用户对自己的数据更加负责。因此，在 web3 中（比在 web2 中更多），网络钓鱼、键盘记录器和恶意软件等社会工程攻击可能比 web2 中更具破坏性，因为它们可能导致显着更高的经济损失。