【#區(qū)塊鏈# #干貨滿滿!AWS Web3 Developer Camp 2023 精華回顧#】
AWS 一直關(guān)注并積極探索 Web3 行業(yè)的安全實踐����。參與本次安全主題研討會的專家和嘉賓來自多個業(yè)內(nèi)領(lǐng)先機構(gòu),包括:Beosin�、Conflux、Hashkey Exchange�����、 OKX Wallet��、 Polkadot�����、Scroll �、SlowMist�、 SNZ Capital 和 Taiko��。
整理:CrossSpace
?
12 月 7 日��,由亞馬遜云科技 Amazon Web Services (AWS) 牽頭, CrossSpace 社區(qū)獨家支持的 Web3 Developer Camp 在 AWS 銅鑼灣活動場地成功舉辦�。本次活動作為「Web3 安全」系列研討會的線下分享環(huán)節(jié),成功邀請到來自 Web3 安全�、錢包、L1/L2 公鏈�����、云服務(wù)����、交易所和投資機構(gòu)的專家及高管現(xiàn)場分享,為大家呈現(xiàn)了一場場干貨滿滿及討論度頗高的 Web3 安全會議���。
?
作為全球云服務(wù)市場的領(lǐng)軍企業(yè), AWS 一直關(guān)注并積極探索 Web3 行業(yè)的安全實踐。本次牽頭舉辦安全系列活動, AWS 希望能幫助提升行業(yè)從業(yè)者對安全的認知, 打造可持續(xù)發(fā)展的 Web3 生態(tài), 為 2024 年各賽道的健康發(fā)展奠定基礎(chǔ)�。參與本次安全主題研討會的專家和嘉賓來自多個業(yè)內(nèi)領(lǐng)先機構(gòu), 包括 ( 排名不分先后 ):Beosin、Conflux�����、Hashkey Exchange、 OKX Wallet�、 Polkadot、Scroll ����、SlowMist、 SNZ Capital 和 Taiko���。
?
文章開頭�����,讓我們一起回顧本次活動的圓桌熱議話題��。 該環(huán)節(jié)邀請到 Web3 領(lǐng)先機構(gòu) Taiko�、Hashkey Exchange����、Beosin 和 SNZ Capital 的高管和專家, 暢聊他們項目是如何實踐 Web3 安全使命的, 我們也有幸聽到近期熱門 L1/L2 公鏈 Conflux 和 Scroll 在線下首次分享他們 2024 年的技術(shù)和生態(tài)發(fā)展路線。
?
左起: CrossSpace 聯(lián)創(chuàng)和首席執(zhí)行官 Leon( 主持 )����、SNZ Capital 投資經(jīng)理 Michael、Taiko 聯(lián)創(chuàng)和首席戰(zhàn)略官 Terence��、Conflux 首席技術(shù)官 Ming Wu、Scroll 亞太區(qū)增長負責(zé)人 Marcus Liu���、Hashkey Exchange 交易所產(chǎn)品總監(jiān) Vincent Wong��、Beosin 安全研究員 Eaton����。
?
圓桌熱話: Web3 項目應(yīng)留意哪些安全事項?
?
Web3 項目在發(fā)展過程中容易盲目追求市場拓展而忽略基礎(chǔ)安全, 今年多起大額鏈上資金被盜事件給 Web3 從業(yè)者敲響了安全的警鐘�����。作為一直深耕在安全領(lǐng)域的 Beosin, 其安全研究員 Eaton 給項目方提出這些建議:「項目團隊在運行初期需要學(xué)會利用 AI 和審計工具來加快審核過程和檢測合同漏洞,從而節(jié)省審計時間并解決復(fù)雜的業(yè)務(wù)邏輯問題�����。在項目開發(fā)階段, 團隊需要確保商業(yè)邏輯的準確性, 注重測試和使用測試驅(qū)動的開發(fā)方法��。同時,要謹慎處理集成第三方應(yīng)用, 以預(yù)防引入未知的安全漏洞�����。 在項目完成后, 強烈建議項目團隊聘請專業(yè)的審計團隊審計, 以幫助發(fā)現(xiàn)和解決潛在的漏洞, 從而確保項目的安全性�����?�!?/p>
?
SNZ Capital 擁有豐富的 Web3 基礎(chǔ)設(shè)施和應(yīng)用類項目投資經(jīng)驗��。 其投資經(jīng)理 Michael 也表達了 SNZ 對其投資組合公司安全性的重視:「安全性對于 SNZ 至關(guān)重要, 是我們投資策略中的一個重要考量因素��。為此, 我們與安全公司建立了合作關(guān)系, 為投資組合項目的開發(fā)團隊提供全方位的安全服務(wù)����。 除了基礎(chǔ)設(shè)施和中間件領(lǐng)域的安全管理, 我們還為這些公司提供后期管理服務(wù), 確保他們獲得我們熟悉的安全供應(yīng)商的服務(wù)。 我們要求投資組合的公司在其商業(yè)戰(zhàn)略中將安全放置于首位, 了解安全審計的重要性, 包括實時欺詐��、漏洞監(jiān)測以及兼容性評估等, 確保安全設(shè)計���?��!?/p>
?
圓桌熱話: 運作嫻熟的 Web3 項目是如何進行安全實踐的?
?
Taiko 作為以太坊生態(tài)中增長迅速的開源 ZK-rollup, 通過其完全去中心化的架構(gòu)和多重驗證者參與驗證來確保其安全性。 Taiko 聯(lián)創(chuàng)和首席戰(zhàn)略官 Terence 在圓桌會中表示: 「Taiko 是一個等效于以太坊的 Rollup 二層網(wǎng)絡(luò), 具有完全去中心化的架構(gòu)�。 其優(yōu)勢包括開源性、社區(qū)建設(shè)和安全性, 致力于通過全球貢獻者的參與保證代碼的質(zhì)量和安全性���。目前 Taiko 處于測試網(wǎng), 測試網(wǎng)中有 10000 多個提案和驗證者節(jié)點, 這個數(shù)字預(yù)計還將持續(xù)增長�����。這意味著用戶無需信任 Taiko, 我們沒有中心化的排序器, 是我們區(qū)別于其他二層網(wǎng)絡(luò)的一個重要特點��?����!?/p>
?
Hashkey 作為直接與投資用戶打交道的香港持牌虛擬資產(chǎn)交易所, 近期不斷拓展其產(chǎn)品類別, 如何確??蛻舻男判暮托湃?是其首要考慮的命題之一?�!窰ashkey Exchange 一直致力嚴格遵守證監(jiān)會規(guī)定的托管政策��。 98% 的資產(chǎn)被安全地存放在冷錢包中, 而僅有 2% 存放在熱錢包中, 以確保資產(chǎn)的高度安全性����。為了進一步保障投資者的權(quán)益, 我們與保險公司, 如 AON 和 OneDegree 建立了合作關(guān)系, 為用戶提供額外的保險保障?����!?Hashkey Exchange 產(chǎn)品總監(jiān) Vincent Wong 進一步分享表示: 「Hashkey Exchange 從 KYC 驗證開始, 確保我們的客戶都是合法和真實的��。同時, 我們提供密碼提醒功能, 并要求用戶定期修改密碼, 以增強賬戶的安全性�。 除此之外, 我們還會向客戶提供教育材料, 邀請他們多學(xué)習(xí)�、研究理解區(qū)塊鏈知識及相關(guān)設(shè)施�����。通過這些方式, 我們希望能夠與客戶建立長期的信任和合作關(guān)系, 確保他們在使用我們的平臺進行交易時感到安全和受保護�?����!?/p>
?
圓桌熱話: Layer1/2 領(lǐng)先公鏈的技術(shù)發(fā)展和生態(tài)支持
?
作為 Layer1 的領(lǐng)先公鏈代表, Conflux 近期公布了其 2024 年的開發(fā)者路線圖�。 首席技術(shù)官 Ming Wu 在現(xiàn)場分享了 Conflux 計劃改善開發(fā)者體驗的幾個方向, 包括積極尋找可編程的數(shù)據(jù)可用性 (Data Availability) 解決方案, 使智能合約能夠與獨立的 DA 層進行互動, 以實現(xiàn)大規(guī)模狀態(tài)的高效存儲和檢索; 努力將人工智能平臺整合到 Conflux 并將其定位為激勵層; 積極探索異構(gòu)虛擬機架構(gòu), 以提高可擴展性并拓展生態(tài)系統(tǒng)以及研究集成多方計算 (MPC) 以增強隱私保護和抗 MEV 能力等。Ming Wu 表示: 「我們期待在未來幾年內(nèi), 通過提升系統(tǒng)性能適應(yīng)更多應(yīng)用場景, 使我們的技術(shù)更加成熟和實用�����?�!?/p>
?
另一條近期上線主網(wǎng)的 Layer2 公鏈代表 Scroll 亦分享了近期生態(tài)安全實踐���。 Scroll 亞太區(qū)增長負責(zé)人 Marcus Liu 表示: 「在安全方面, Scroll 最主要的安全來源于我們的 ZKP, 利用 ZK 的數(shù)學(xué)原理保證了 ZKEVM 是安全可信的運行結(jié)果, 并會上傳到 ETH 作為一層鏈進行 ZK Proof 的驗證����。Scroll 目前除了對所有合約以及電路有嚴格的審計之外, 也開放了 Bug bounty 計劃, 和社區(qū)的成員們一起以開源精神加強安全���。Roadmap 中接下來對去中心化 Prover 以及去中心化的 Sequencer 達成也能增強 Scroll 去中心化程度以及安全����。」
?
當(dāng)日活動,除了圓桌環(huán)節(jié)�,AWS 的【W(wǎng)eb3 道德黑客和最佳安全實踐】培訓(xùn),和來自安全機構(gòu) SlowMist���、新一代公鏈 Polkadot 和 Web3 應(yīng)用 OKX Wallet 專家的干貨分享也值得回味��。接下來�,就讓我們通過記錄走近安全一線����,了解安全風(fēng)險類別、實用安全策略����、應(yīng)用端安全和生態(tài)開發(fā)安全等方面的知識與經(jīng)驗。
?
智能合約漏洞繼續(xù)霸榜成 2023 前三黑客攻擊類別
?
智能合約漏洞在 2023 年繼續(xù)成為最常見的黑客攻擊類型之一���。據(jù)安全公司 Beosin 今年第三季度的安全報告, 合約漏洞利用是排名僅次于私鑰泄露和數(shù)據(jù)庫攻擊排名第三的攻擊類別���。 「 22 次合約漏洞利用共造成損失約 9327 萬美元����。 而按照漏洞細分, 造成損失最多的為重入漏洞, 合約漏洞事件里約有 82.8% 的損失金額來自重入漏洞��?�!?/p>
?
AWS Web3 解決方案架構(gòu)師 David Sung 和 Gong Tao 在現(xiàn)場分享了智能合約?����?吹降娜惡诳褪录? 其中就包括重入漏洞攻擊�。在該攻擊類別中, 攻擊者利用合約中的安全漏洞, 在一筆交易未完成之前反復(fù)調(diào)用同一個函數(shù), 導(dǎo)致合約的資金被多次轉(zhuǎn)移或消耗��。 這種攻擊往往是因為合約的設(shè)計存在缺陷, 或者沒有采取足夠的防御策略��。 由于重入攻擊對智能合約的安全性和穩(wěn)定性構(gòu)成了嚴重威脅, 因此在開發(fā)智能合約時, 防御重入攻擊應(yīng)被視為一項關(guān)鍵任務(wù)��。
?
另外兩類較為常見的攻擊方式包括委托調(diào)用攻擊, 及整數(shù)溢出和下溢攻擊�����。 委托調(diào)用攻擊是為了促進代碼重用, EVM 提供了一個操作碼 DELEGATECALL, 用于將被調(diào)用方契約的字節(jié)碼插入到調(diào)用方契約的字節(jié)碼中����。 因此, 惡意目標合約可以直接修改 ( 或操縱 ) 調(diào)用方合約的狀態(tài)變量�。整數(shù)溢出和下溢攻擊是當(dāng)算術(shù)運算的結(jié)果超出了 Solidity 數(shù)據(jù)類型的范圍時會發(fā)生的攻擊事件, 進而導(dǎo)致對其狀態(tài)變量進行未經(jīng)授權(quán)的操作�����。
?
如想了解如何應(yīng)對黑客攻擊, 可參考 AWS【W(wǎng)eb3 道德黑客和最佳安全實踐】安全實操課程,訪問相關(guān)專題頁面��。?
?
Web3 項目運行前����、中、后的安全策略
?
Web3 項目從運行伊始就需要重視潛在安全風(fēng)險, 安全事件常發(fā)生在智能合約����、區(qū)塊鏈錢包和交易所方面。SlowMist 香港社區(qū)負責(zé)人 Tony 現(xiàn)場分享表示: 「在面對區(qū)塊鏈的安全事件中, SlowMist 會從事件發(fā)生前��、事件發(fā)生期間以及事件發(fā)生后三個階段來提供解決方案��?!?項目方可以根據(jù)自身的發(fā)展階段評估安全方面的潛在風(fēng)險。
?
在安全事件發(fā)生前, 項目方可以就潛在的安全風(fēng)險進行全方位測試�����。在此階段, SlowMist 的紅隊測試 (Red Teaming) 能幫助項目方從企業(yè)人員����、企業(yè)業(yè)務(wù)系統(tǒng)����、企業(yè)供應(yīng)鏈��、企業(yè)辦公系統(tǒng)���、企業(yè)物理安全等真實漏洞進行潛在攻擊評估, 提供定制化的安全防御方案, 優(yōu)先保護容易遭受攻擊的節(jié)點, 增加攻擊者的成本。
?
在安全事件發(fā)生過程中, 項目方應(yīng)加強鏈上和鏈下的安全實時監(jiān)測, 與安全公司合作及時發(fā)現(xiàn)并應(yīng)對潛在的安全威脅; 在安全事件發(fā)生之后, 則應(yīng)馬上采取防御行動, 比如利用 SlowMist 的應(yīng)急響應(yīng)支撐服務(wù)和鏈上鏈下追蹤調(diào)查服務(wù)等功能, 及時抵御攻擊, 并找出事件發(fā)生的根本原因��。
?
考慮到很多 Web3 項目團隊在代碼設(shè)計階段就需要考慮安全性, 而不能僅依靠安全公司的短期指導(dǎo), SlowMist 在 Github 開源了其 Web3 項目安全實踐要求, 詳細列舉了在開發(fā)環(huán)境下需要留意的安全隱患��。此舉將能有效鼓勵項目團隊基于 Web3 項目安全實踐要求建立和完善自己的安全系統(tǒng), 并在安全審計后具備一定的安全能力�。
?
SlowMist 呼吁項目方全方位提升安全能力
?
積極擁抱前沿技術(shù),打造安全的 Web3 應(yīng)用
?
隨著區(qū)塊鏈底層技術(shù)的成熟, 越來越多的 Web3 前端應(yīng)用接連出現(xiàn), OKX Wallet 無疑是一款用戶體驗極佳的產(chǎn)品���。作為直面終端用戶的應(yīng)用程序,如何提升用戶體驗的同時保證用戶資金和數(shù)據(jù)的安全? OKX Wallet 的產(chǎn)品經(jīng)理 Darrel Wang 現(xiàn)場分享他們的秘訣來自系統(tǒng)底層的安全強化�、全棧安全能力和積極擁抱前沿安全技術(shù)��。下面展開分享:
?
首先, OKX Wallet 進行了系統(tǒng)級的強化, 確保與用戶資產(chǎn)相關(guān)的產(chǎn)品具備金融機構(gòu)級別的安全性�����。 通過加強應(yīng)用程序的安全性,努力防止黑客入侵, 確保用戶在一個安全的環(huán)境中交易。
?
其次, OKX Wallet 注重全棧的安全能力��。從節(jié)點服務(wù)����、區(qū)塊瀏覽器到用戶終端, 完整的上下游服務(wù)能力, 保障了產(chǎn)品在全流程的合規(guī)性和卓越安全性能。 例如, 產(chǎn)品提供的主動風(fēng)險提示功能, 積極防止釣魚網(wǎng)站的出現(xiàn), 進一步保障了用戶的資產(chǎn)安全���。
?
再次, OKX Wallet 強調(diào)創(chuàng)新, 積極擁抱前沿技術(shù)���。其今年推出基于賬戶抽象協(xié)議 (EIP-4337) 的智能合約賬戶, 可恢復(fù)的特性將大大提高錢包的安全管理能力; 而其上線的 MPC 無私鑰錢包, 則利用多方安全計算技術(shù), 減少了單點故障造成的私鑰安全風(fēng)險, 讓用戶無懼私鑰丟失。
?
OKX Wallet 定位自身為科技公司, 而非金融公司��。 他們目標從產(chǎn)品核心原則和技術(shù)角度出發(fā)解決問題, 為用戶帶來安全和便捷的數(shù)字交易體驗��。
?
OKX Wallet 于 2023 年 4 月上線 MPC 無私鑰錢包
?
Substrate 框架助力開發(fā)者打造更安全的區(qū)塊鏈
?
很多開發(fā)者對 Substrate 不陌生, 它是一個用于構(gòu)建區(qū)塊鏈的開源的��、模塊化的和可擴展的區(qū)塊鏈開發(fā)框架�。 Polkadot 中繼鏈 (Relay Chain) 的底層區(qū)塊鏈框架便是用 Substrate 構(gòu)建的。 那么, Substrate 是如何為該生態(tài)的開發(fā)者提供安全性呢??Polkadot 生態(tài)的核心開發(fā)者 Jimmy 在活動現(xiàn)場指出 Substrate 框架下, 開發(fā)者可預(yù)先構(gòu)建由 Parity 專業(yè)工程師提供的組件 (Pallets), 在運行時可升級����、無需鏈分叉, 并且由多種共識機制可供選擇, 實現(xiàn)了不同鏈間的互操作性和安全性。
?
Jimmy 進一步指出, Polkadot 的核心目標是實現(xiàn)區(qū)塊鏈的跨鏈互操作性和可擴展性。 Polkadot 將不同的區(qū)塊鏈連接起來, 使它們可以相互通信并協(xié)調(diào)工作��。 這種架構(gòu)允許不同的區(qū)塊鏈之間進行數(shù)據(jù)交換和價值轉(zhuǎn)移, 從而提高了整個網(wǎng)絡(luò)的效率和可擴展性�。 其架構(gòu)包括中繼鏈和平行鏈, 其中中繼鏈負責(zé)驗證和安全性, 平行鏈提供特定功能。 此外, Polkadot 注重可擴展性�、安全性和去中心化三個關(guān)鍵屬性之間的權(quán)衡, 采用獨特架構(gòu)方法和橋接技術(shù)實現(xiàn)資產(chǎn)的安全高效轉(zhuǎn)移。
?
Polkadot 核心構(gòu)成組件, 中繼鏈負責(zé)提供安全性
?
Web3 項目方需擅用云服務(wù)基礎(chǔ)設(shè)施, 關(guān)注服務(wù)類別�����、安全性和靈活度
?
云服務(wù)是 Web3 尤為重要的底層設(shè)施, 從交易所�、公鏈到前端應(yīng)用程序, 都離不開云服務(wù)。對 Web3 項目來說, 云服務(wù)平臺的服務(wù)范圍��、安全性和靈活度尤為重要�。AWS 在 Web3 可謂是「家喻戶曉」的云服務(wù)提供商, 在活動現(xiàn)場, AWS 解決方案架構(gòu)師 David 對這三方面給予了回應(yīng)����。
?
從服務(wù)類別來說, AWS 是全球廣泛采用的云平臺, 提供超過 200 個功能豐富的服務(wù), 包括分布在全球的數(shù)據(jù)中心, 可以滿足各類 Web3 公司獨特的基礎(chǔ)設(shè)施需求。AWS 服務(wù)了眾多的 Web3 項目, 大家最廣泛使用的七個 AWS 服務(wù)包括: EC2(Nitro Enclaves)�����、KMS/CloudHSM���、API Gateway��、S3����、Elastic Block Store、Shield Advanced�、WAF。
?
在安全性方面, AWS 一直致力于為項目方提供安全���、合規(guī)���、治理等方面的服務(wù)。 通過 AWS Nitro 系統(tǒng), 安全性在芯片級別內(nèi)置, 持續(xù)監(jiān)視�、保護和驗證實例硬件, 最小化潛在的攻擊面。AWS 還支持比其他任何云提供商更多的安全標準和認證����。其中 Nitro Enclaves 結(jié)合 KMS/CloudHSM 為 Web3 BUIDLers 提供了最佳的云上私鑰安全管理方案并在業(yè)界被廣泛采用, Shield Advanced 和 WAF 則為 dApps、Node 和各種 Web3 基礎(chǔ)設(shè)施層提供了安全防護�����。
?
在靈活度方面,?AWS 在給項目方提供多種服務(wù)類別的同時, 也提供不同產(chǎn)品的定價選項, 以幫助他們優(yōu)化成本����。David 補充道: 「我們提供廣泛的分析和機器學(xué)習(xí)服務(wù)選擇, 基本能滿足項目所有數(shù)據(jù)分析需求��。從數(shù)據(jù)移動�、數(shù)據(jù)存儲�����、大數(shù)據(jù)分析���、日志分析�、流式分析����、商業(yè)智能和機器學(xué)習(xí) (ML) 等等, 同時我們讓大家靈活的選擇服務(wù)以降低成本?����!?/p>
?AWS 為 Web3 項目提供豐富的服務(wù)類別
?
如項目方需要了解如何在 AWS 建立安全的云端應(yīng)用和 AWS 提供的 Web3 生態(tài)支持, 可點擊鏈接了解更多����。
?
以上即為此次活動的精華干貨內(nèi)容分享, 希望對 Web3 的 BUIDLers 和開發(fā)者們有所啟發(fā)��。 我們由衷希望在行業(yè)各方不斷凝聚的安全共識下,Web3 生態(tài)能迎來下一階段的迅速增長�����,而 CrossSpace 將繼續(xù)聯(lián)合 AWS�����、業(yè)內(nèi)優(yōu)質(zhì)的安全公司和 Web3 生態(tài)參與方����,為大家?guī)砀喾窒砘顒印?
