SlowMist Technology는 블록체인 생태 보안에 주력하는 회사로서 10년 이상 최전선에서 네트워크 보안 공방전을 벌여온 팀에 의해 2018년 1월 설립되었습니다. SlowMist Technology는 업계에서 흔히 발생하는 여러 가지 고위험 블록체인 보안 취약점을 독립적으로 발견하고 발표했으며, 이는 업계로부터 광범위한 관심과 인정을 받았습니다.
오늘날 블록체인 보안 문제는 빈번하게 발생하며, Web3er 역시 오랫동안 이로 인해 어려움을 겪어 왔습니다. 따라서 두 번째 대화에서는 SlowMist 보안 팀을 초대하여 블록체인 보안에 대한 건조물을 공유하고 체인의 세계를 보다 안전하게 탐색할 수 있도록 도와드리게 되어 매우 기쁩니다. 이제 시작해보자~
1. 먼저 슬로우 미스트를 여러분께 소개해주세요.
답변: 안녕하세요 여러분, SlowMist는 블록체인 생태 보안에 중점을 두고 있는 회사입니다. 당사의 블록체인 생태 보안 기능은 세 개의 링으로 구성됩니다: 가장 안쪽 계층은 규정 준수 보안, 두 번째 계층은 기술 보안, 세 번째 계층은 보안입니다. 계층은 다음과 같습니다. 생태학적 안보. 기술 보안에는 주로 보안 감사와 자금 세탁 방지라는 두 가지 주요 비즈니스 라인이 포함됩니다. 보안 감사 내용에는 DeFi 프로젝트의 스마트 계약 코드, 중앙 집중식 거래소, 지갑 앱, 브라우저 플러그인 지갑, 기본 공개 체인이 포함되며 우리는 또한 다음 중 하나인 레드팀 테스트 서비스를 보유하고 있습니다. 우리의 장점. 2018년부터 현재까지 5년 이상 동안 우리는 업계에서 유명하고 선도적인 고객에게 서비스를 제공해 왔으며 수천 명의 상업 고객을 보유하고 있으며 높은 평가를 받고 있습니다. 우리는 자금세탁 방지를 위한 온체인 추적 플랫폼을 보유하고 있습니다.MistTrack. 또한 우리는 규정 준수 및 보안에 대해서도 매우 우려하고 있습니다. 규정 준수는 이 업계의 장기적인 발전에 있어 중요한 초석 중 하나입니다. 우리는 보안 감사 또는 자금 세탁 방지 협력의 대상 프로젝트에 대해 엄격한 법적 절차를 갖추고 있습니다. 보안은 전체이고, 보안은 완전한 보안 시스템을 구축해야 한다는 것을 알고 있기 때문에 위협 발견부터 위협 방어까지 현지 상황에 맞는 통합 보안 솔루션을 제공합니다. 쉽게 말하면 군사적 원형방어 체계, 다층방어 체계인 셈이다. 가장 바깥층의 위협 발견은 SlowMist 영역의 파트너와 SlowMist의 자체 위협 인텔리전스 시스템(이것이 우리의 생태학적 보안이기도 함)을 통해 위협을 발견하고 식별한 다음 미디어 채널을 통해 조기 경고를 위해 전체 생태계에 게시하는 것입니다. BTI(Blockchain Threat Intelligence System)부터 현지 실정에 맞는 체계적 방어 솔루션 구축, 핫월렛 및 콜드월렛 보안 강화 구현 등 네트워크 보안, 위험통제 보안, 지갑 보안 등 분야 선택까지 당사의 방어 시스템을 말합니다. 중국의 고품질 보안 솔루션 제공업체는 고객이 비즈니스 개발 과정에서 직면하는 다양한 어려움을 유연하고 쉽게 선택할 수 있도록 하며 업계 및 지역 사회의 고품질 파트너와 협력하여 공동으로 보안 조인트를 구축할 수 있기를 희망합니다. 방어 작업.
2. Web3 보안 문제는 항상 예측할 수 없습니다. 니모닉 문구를 직접 복사하고 웹 사이트의 신뢰성에 주의하는 것과 같은 몇 가지 기본 규칙 외에도 SlowMist는 자주 상호 작용하는 Web3er에 대한 보안 제안을 제공합니까?
답변: 질문은 상호 작용의 보안에 관한 것이므로 먼저 일반적인 공격이 사용자의 자산을 훔치는 방법을 정리하겠습니다.
공격자는 일반적으로 다음 두 가지 방법으로 사용자 자산을 훔칩니다.
첫째, 사용자를 속여 자산을 승인하거나 공격자에게 이전하도록 속이는 등 자산을 훔치는 악의적인 거래 데이터에 서명하도록 사용자를 속입니다. 둘째, 악성 웹사이트나 앱에서 사용자를 속여 지갑의 니모닉 문구를 입력하도록 합니다.
공격자가 지갑 자산을 훔치는 방법을 파악한 후에는 가능한 위험을 방지해야 합니다.
서명하기 전에 서명된 데이터를 식별하고 서명한 거래가 무엇인지 알아야 하며 서명된 개체가 정확한지, 승인 금액이 너무 큰지 주의 깊게 확인해야 합니다.
가능한 한 하드웨어 지갑을 사용하십시오. 하드웨어 지갑은 일반적으로 니모닉 단어나 개인 키를 직접 내보낼 수 없기 때문에 니모닉 단어의 개인 키가 도난당하는 임계 값이 높아질 수 있습니다.
다양한 피싱 수법과 사건이 끊임없이 등장하는데, 사용자는 다양한 피싱 수법을 스스로 식별하는 방법, 보안 인식 제고, 사기를 당하지 않도록 자기 교육을 실시하고 자기 구조 기술을 익히는 방법을 배워야 합니다. 물론 저는 모든 분들이 Slow Mist가 제작한 책을 읽어보실 것을 적극 권장합니다.블록체인 어둠의 숲 자조 매뉴얼, 건조품으로 가득 차 있습니다.
자산의 위험을 통제하기 위해 사용자는 다양한 시나리오에 대해 서로 다른 지갑을 유지하는 것이 좋습니다. 예를 들어, 대량의 자산은 일반적으로 자주 사용되지 않으므로 콜드 지갑에 보관하고 사용 시 네트워크 환경과 물리적 환경이 안전한지 확인하는 것이 좋습니다. 에어드랍 등의 활동에 참여하는 지갑은 사용 빈도가 높기 때문에 소액 자산을 보관하는 것이 좋습니다. 지갑은 위험을 통제할 수 있도록 다양한 자산과 사용 빈도에 따라 계층적으로 관리될 수 있습니다.
3. 8월 16일, 코사인 사장은 흥미로운 트윗을 보냈습니다. Mac이 Win 컴퓨터보다 더 안전하다는 환상은 어디서 나온 것입니까? Web3 사용자의 경우 SlowMist는 Mac 및 Win 컴퓨터의 장점과 단점이 무엇이라고 생각합니까?
답변: 네, 이 트윗 역시 많은 논의를 불러일으켰습니다. 반대로 Win이 Mac 컴퓨터보다 더 안전하다는 환상은 어디에서 왔습니까?라고 질문한 것도 비슷한 각도와 답변입니다. 단일 시스템 침입 방지 측면에서 볼 때 Mac의 폐쇄적 특성과 엄격한 권한 제어는 실제로 Windows보다 우수하며 Mac의 글로벌 PC 시장 점유율은 매우 낮은 반면 Win은 높은 비율을 차지하므로 공격이 더 많습니다. Win에서 발생합니다. 공격 표면이 너무 성숙합니다. 현재 침투, 침입, APT를 수행하는 보안 인력의 99%는 Mac을 타겟으로 하지 않고, 오히려 100% Win을 타겟으로 한다고 해도 과언이 아닙니다. 위에서 말한 것 외에, 킬링 방지 트로이 목마로 Mac과 Win을 공격하면 기본 결과는 같고, 맞을 것입니다. 일반적으로 장비의 절반은 개인의 절반인데, 사용자의 보안 인식이 부족하면 속이기 쉽고 컴퓨터에 악성 프로그램이 심어지게 되어 컴퓨터의 민감한 데이터를 도난당할 수 있습니다. 컴퓨터(예: 니모닉). 맬웨어는 이메일 첨부 파일에 숨어 있거나 장치의 카메라를 사용하여 감시하는 등 다양한 방식으로 작동할 수 있습니다. 예를 들어, 네티즌이 제공하는 프로그램을 쉽게 다운로드 및 실행하지 말고, 신뢰할 수 있는 사이트에서만 애플리케이션, 소프트웨어, 미디어 파일을 다운로드하고, 낯선 이메일의 첨부 파일을 쉽게 열지 말고, 정기적으로 운영 체제를 업데이트하는 등 모든 사람이 보안 의식을 높일 것을 권장합니다. 최신 보안 보호를 받으려면 시스템에 Kaspersky와 같은 바이러스 백신 소프트웨어를 설치하십시오.
4. 많은 프로젝트에서 자금이 도난당하는 일이 발생했습니다. SlowMist는 보안 문제의 주요 원인이 무엇이라고 생각합니까? 보호받고 도난당하는 것이 가능합니까?
답: 에 따르면Slow Mist 블록체인 해킹 아카이브 (SlowMist Hacked)통계에 따르면 8월 24일 기준으로 2023년에는 총 253건의 보안 사고가 발생하고 최대 14억 5천만 달러의 손실이 발생할 것으로 예상됩니다. 블록체인의 악의적인 방법의 관점에서 보면 피싱 공격, 트로이 목마 공격, 컴퓨팅 파워 공격, 스마트 계약 공격, 인프라 공격, 공급망 공격, 내부 범죄 등 주로 여러 측면이 있습니다. 일반적인 스마트 계약 공격을 예로 들면, 공격 방법에는 플래시 론 공격, 계약 허점, 호환성 또는 아키텍처 문제 등이 있고, 일부 방법에는 프런트 엔드 악성 공격 및 개발자를 위한 피싱이 있습니다. 게다가 셀프 스틸링에 관해서라면 개인 키 유출도 언급하지 않을 수 없다. 개인키 유출은 상황에 따라 다르며, 개인과 거래소의 개인키 유출은 매우 다릅니다. 개인 개인 키가 유출되는 경우 일반적으로 개인 키나 니모닉은 WeChat 수집, 163 사서함, 메모, Youdao 메모 및 기타 클라우드 스토리지 서비스와 같은 인터넷에 저장됩니다. 해커들은 수년 전 일반 텍스트로 된 CSDN 계정 비밀번호 등 인터넷에 유출된 계정 비밀번호 데이터베이스를 수집한 후 이들 클라우드 스토리지 및 클라우드 서비스 웹사이트에 접속해 로그인을 시도하는 경우가 많다. 암호화 관련 콘텐츠입니다. 거래소는 더 복잡합니다.일반적으로 거래소의 보안 보호 계층을 뚫고 단계적으로 침입하여 거래소 서버에 있는 핫 지갑의 개인 키를 얻을 수 있는 능력을 갖춘 대규모 해커 조직입니다. . 이는 불법 행위이므로 모방해서는 안 된다는 점을 특별히 상기시켜 드립니다. 프로젝트 당사자는 프로젝트의 보안 수준을 향상시키기 위해 자체 프로젝트의 코드에 대한 보안 감사를 수행할 보안 회사를 찾는 데 최선을 다할 것을 제안하며, 지속적인 운영 중에 보안 문제를 방지하기 위해 Bug Bounty를 출시할 수도 있습니다. 프로젝트 개발과 동시에 모든 프로젝트 Fang은 내부 관리 및 기술 메커니즘을 개선하고 다중 서명 메커니즘과 제로 트러스트 메커니즘을 도입하여 자산 보호 강도를 높이는 것이 좋습니다.
5. 크로스체인 브리지는 한때 해커 현금 지급기라고도 불렸습니다. 비교적 기술에 익숙하지 않은 Web3er의 경우 크로스체인 브리지를 사용할 때 어떤 점에 주의해야 합니까?
답변: 크로스체인 브릿지의 경우, 우선 크로스체인 브릿지 사업이 복잡하고 코드의 양이 많아 코딩 및 구현 시 허점이 발생하기 쉽습니다. 프로젝트에서 참조된 파티 구성 요소도 보안 취약성의 중요한 이유 중 하나입니다. 마지막으로 크로스 체인 브리지에 대한 대규모 개발 커뮤니티가 부족하다는 것은 잠재적인 버그에 대해 코드가 광범위하고 주의 깊게 검색되지 않았다는 것을 의미합니다. 사용자의 경우 크로스 체인 브리지를 사용할 때 자금이 어떻게 보호되는지 이해하는 것이 중요합니다.예를 들어 프로젝트 계약이 오픈 소스입니까?와 같은 일부 차원에서 크로스 체인 브리지의 위험 수준을 볼 수 있습니다. 프로젝트는 다자간 보안 감사인가요? 개인 키 관리 체계는 MPC 다자간 계산입니까? 아니면 다중 노드 다중 서명? 아니면 프로젝트 당사자가 개인 키를 보관하고 있습니까? 크로스체인 브릿지를 선택할 때 사용자는 강력한 보안 기능을 갖춘 크로스체인 팀을 선택해야 하며, 첫째, 모든 버전의 코드 보안 감사를 받아야 하고, 둘째, 팀에 풀타임 보안 인력이 있어야 합니다. 크로스체인 브릿지의 관련 팀이 운영할 수 있도록 권장합니다. 투명성을 높여 사용자로부터 더 많은 질문과 제안을 받을 수 있고, 부족한 부분을 적시에 확인하고 채울 수 있습니다.
6. 일반적인 사기 및 피싱 외에도 SlowMist는 상대적으로 흔하지 않고 방어하기 어려운 몇 가지 예를 제시할 수 있습니까?
답변: 우리는 공격자가 피싱 공격의 성공률을 높이기 위해 Web3 지갑의 WalletConncet 구현에 있는 결함을 사용한 사건을 이전에 공개했습니다. 구체적으로 일부 Web3 지갑이 WalletConncet 지원을 제공하는 경우 WalletConncet 거래 팝업창이 어느 영역에 팝업되는지에 대한 제한은 없지만 지갑의 모든 인터페이스에서 서명 요청이 팝업됩니다. 공격자는 이 결함을 이용하여 사용자를 안내합니다. 피싱 웹사이트 WalletConncet은 피싱 페이지에 연결한 후 지속적으로 악의적인 eth_sign 서명 요청을 구성합니다. 사용자가 eth_sign이 안전하지 않을 수 있음을 인식하고 서명을 거부한 후 WalletConncet은 wss를 사용하여 연결하므로 사용자가 제때에 연결을 닫지 않으면 피싱 페이지는 계속해서 악의적인 eth_sign 서명 요청을 시작하고 사용자는 지갑 사용 시 많은 문제가 발생하며, 실수로 서명 버튼을 클릭하여 사용자의 자산을 도난당할 가능성이 있습니다. 실제로 DApp 브라우저를 종료하거나 닫는 한 WalletConncet 연결은 일시 중단되어야 합니다. 그렇지 않으면 사용자가 지갑 사용 시 갑자기 서명에서 튀어나오면 혼동되기 쉽고 도난의 위험이 있습니다. 그렇긴 하지만, eth_sign에 대해 다시 언급하겠습니다. eth_sign은 지난 2년 동안 공격자들이 피싱 공격에 자주 사용한 공개 서명 방법으로, 임의의 해시, 즉 모든 거래나 데이터에 서명이 가능하므로 위험한 피싱 위험이 있습니다. 로그인 또는 로그인 시 사용 중인 애플리케이션이나 웹사이트를 주의 깊게 확인해야 하며, 비밀번호가 명확하지 않은 경우 비밀번호를 입력하거나 거래에 서명하지 마세요.맹인 서명을 거부하면 많은 보안 위험을 피할 수 있습니다.
7. SlowMist가 수년간 블록체인 보안 분야에서 겪은 가장 심각한 보안 사고는 무엇인지 듣고 싶습니다.
답: 지난 2~3년 동안 가장 인상 깊었던 것은 2021년 발생한 폴리네트워크 사건이다. 공격이 발생한 8월 10일 오후 20시경, 공격 과정을 분석하고 자금 흐름을 추적하고 도난당한 손실액을 계산하는 등 높은 주의력을 유지하면서 약간 최전선에 있는 느낌을 받았습니다. . 그리고 6억 1천만 달러의 손실은 당시 공격으로 인해 특히 큰 손실로 간주되었습니다. 우리 팀은 11일 오전 5시 발견한 공격 분석 내용과 공격자의 IP 신원 정보를 즉시 공개했고, 11일 16시부터 해커들은 강력한 압박을 받아 자산 반환에 나섰다. 후속 조치에서 체인에 해커들이 남긴 댓글 중 일부도 더 재미있었다고 전 과정이 보안업체로서 매우 만족스러웠다.
8. 마지막에 흥미로운 질문을 해보세요. 정식 검증, AI 감사 등 신기술이 계속해서 반복되고 있는데, 슬로우미스트는 신기술 개발을 어떻게 바라보고 있나요?
답변: 예를 들어 새로운 기술에 관해 말하면 ChatGPT는 기존 텍스트 작업의 효율성을 향상시키고 CodeGPT는 코드 작성의 효율성을 향상시킵니다. 또한 GPT의 기본 취약점 감지 기능을 검증하기 위해 내부적으로 역사적으로 일반적인 취약점 코드를 테스트 사례로 사용했습니다. 테스트 결과, GPT 모델은 단순한 취약 코드 블록에 대해서는 좋은 탐지 능력을 갖고 있으나, 조금 더 복잡한 취약 코드에 대해서는 여전히 탐지하지 못하는 것으로 나타났습니다. 높을수록 출력 형식이 더 명확해집니다. GPT는 계약 코드의 기본적인 단순 취약점에 대한 부분 탐지 기능을 갖추고 있으며, 취약점 탐지 후 취약점 문제를 읽기 쉽게 설명합니다. 이 기능은 하급 계약 감사원의 조기 교육을 위한 빠른 지침을 제공하는 데 더 적합합니다. .그리고 간단한 QA도 있습니다. 그러나 몇 가지 단점도 있습니다. 예를 들어 GPT에는 API 인터페이스 매개변수를 통해 조정할 수 있는 각 대화의 출력에 특정 변동이 있지만 여전히 일정한 출력이 아닙니다. 이러한 변동성은 언어 대화에 좋은 방법이지만, 큰 문제는 아니지만 이는 코드 분석 작업에 있어서 나쁜 문제입니다. AI가 우리에게 알려줄 수 있는 다양한 취약점 답변을 다루기 위해서는 동일한 질문을 여러 번 요청하고 비교 및 심사를 수행해야 하기 때문에 이는 사실상 작업량을 증가시키고 AI가 인간을 지원하여 효율성을 향상시키는 기본 목표에 어긋납니다. 또한, 약간 복잡한 취약점을 탐지할 경우 현재(2024.3.16) 훈련 모델로는 관련 핵심 취약점 지점을 올바르게 분석하고 찾을 수 없다는 점을 발견하게 됩니다. 계약 취약점을 분석하고 마이닝하는 GPT의 능력은 현재 상대적으로 약하지만, 일반적인 취약점에 대한 작은 코드 블록을 분석하고 보고서 텍스트를 생성하는 능력은 여전히 사용자를 흥분시킵니다. 가까운 미래에는 GPT 및 기타 AI 모델의 교육 및 개발로, 크고 복잡한 계약에 대한 보다 빠르고, 보다 스마트하고, 보다 포괄적인 보조 감사가 반드시 실현될 것이라고 믿습니다.
발문
SlowMist 보안팀의 답변에 진심으로 감사드립니다. 빛이 있으면 그림자도 있고, 블록체인 산업도 예외는 아니지만, 빛도 그림자 속에 들어갈 수 있는 것은 바로 SlowMist Technology와 같은 블록체인 보안업체의 존재 때문입니다. 발전과 함께 블록체인 산업도 더욱 표준화될 것이라 믿으며, 앞으로 슬로우미스트 기술의 발전도 기대됩니다~
그 후에도 NFTGo는 계속해서 Web3 Builder를 초대해 인터뷰와 대화를 진행할 예정이며, 중국 트위터(@NFTGoCN)를 팔로우하는 것도 환영합니다. 제안사항, 보고 싶은 빌더, 묻고 싶은 질문, 직접 추천하고 싶은 사항이 있으시면 저희 트위터나 DM으로 편하게 댓글 남겨주세요.
다음 Web3 Builder 대화에서는 거기서 뵙겠습니다~
