在Web3 这个黑暗森林中,机遇与危险并存。
金融犯罪、黑客攻击、诈骗勒索、洗钱事件频发,金额庞大,影响广泛;合约漏洞利用、闪电贷攻击、钓鱼攻击、Rug pulls等各类型攻击手段层出不穷,且正在快速升级迭代。
可以预见的是,随着Web3生态系统的发展,安全攻防战只会越演越烈。今天的Cointime Web3黑马挖掘机将介绍Web3安全服务商 —— SharkTeam,探讨它是如何从事前的智能合约审计,事中的链上安全分析以及事后的链上资产追踪等多方面来提升Web3生态安全。
智能合约审计
区块链智能合约具备公开、透明的特点,这也使得其安全风险也更加突出。智能合约在部署完成后就不可篡改且不可停止,一旦出现漏洞,黑客将可以实时地根据源代码进行攻击。
SharkTeam旗下链上分析平台ChainAegis发布的2023 年第一季度 Web3 安全报告显示,2023 年第一季度,Web3 领域共发生安全事件 211 起,损失超过 3.83 亿美元。因合约漏洞引发的安全事件共计25起,累计损失超过3.62亿美元。 3月13日,DeFi借贷协议Euler Finance遭到闪电贷攻击,损失高达1.97亿美元,是本季度因合约漏洞造成安全损失最严重的一次。 由此可见,Web3项目方尤其要注重智能合约的安全性。
智能合约审计是SharkTeam的主要业务之一,该项目提供了人工审计及自动化审计服务。其构建的 200 多项智能合约安全漏洞库中,覆盖了典型安全事件原理、攻击检测与阻断技术和反钓鱼攻击等技术。SharkTeam 支持多链智能合约审计,目前已涵盖的主流智能合约语言包括 Solidity、Rust、Move、Cadence 等。
在Q1被攻击的项目中,仅有 41% 的项目经过了审计。但用户需要注意的是,通过安全公司的审计并不代表项目的绝对安全。比如最近zkSync 网络上的DEX Merlin ,就在通过审计不久后遭到了Rug Pull,直接损失了182 万美元。
链上安全分析与资产追踪
在想了解一个Web3项目,有三种类型的分析必不可少:首先,基本面分析,即项目的财务、背后的团队、源代码、公告、功能和代币相关新闻等;其次,技术分析,即基于特定指标观测加密资产的图表和价格走势,以预测市场趋势和未来价格变化的可能性;最后,链上分析,即监测不同项目在区块链商的活动和交易。
我们可以在SharkTeam提供的服务中找到这三类对应的分析服务。
首先,SharkTeam的分析团队会对项目进行人工分析生成研报。借助研报,用户可以更全面的了解项目的基本面和数据表现。
另外,SharkTeam的项目排行榜会按照市值高低对项目进行排序,同时还统计了项目相关代币价格、所藏量、锁仓占比、24H变化率等数据,作为用户观测项目表现的指标,让用户更好的进行技术分析。
最值得关注的是SharkTeam的链上安全分析。无论是在比特币(BTC)、以太坊(ETH)还是其他区块链上,一个核心要求就是要能通过时间追溯状态的变化,对DeFi项目而言,资金的流向是追溯的关键。区块链是透明的,但黑客却能让交易变得扑朔迷离。
去年4月,SharkTeam上线了ChainAegis链上风险分析平台。平台基于人工智能和大数据分析技术,提供了加密资产监控及在线分析服务,覆盖了DeFi、NFT、OTC等多种业态。
一个创新点在于,平台积累了超过10亿的链上风险标签库,可以对链上信息进行多重标签发现识别,对恶意攻击和犯罪进行提前预判和事后追踪。ChainAegis通过关联分析、知识图谱等技术实现资金可实现多链路分析和追踪,结合风险数据标签库,可以对交易路径进行可视化分析,预测资金流向。
此外,ChainAegis还提供了实时风险监测预警服务,可以实时监控链上交易,提供价格波动预警、流动性预警、闪电贷识别、合约漏洞预警、RugPull预警等服务。目前SharkTeam可为比特币(BTC)、以太坊(ETH)、币安智能链(BNBChain)等近 10 条主流公链提供预警服务。
Web3安全服务商共同的挑战
Web3生态圈中的安全服务提供商并不少,Consensys、Certik、Quantstamp等项目也都提供了类似服务。这些安全服务商都面临着一个共同的挑战:随着Web3的迅速发展,安全威胁也在不断升级迭代。
去年我们已经见证针对Web3基础设施的攻击。2022年10月,世界上最大的加密交易所Binance交易所被黑客打劫,200万枚BNB在2小时内被洗劫。
今年,ChatGPT等人工智能工具横空出世,黑客已经迅速将这项新技术为己所用,例如利用其获得入侵网站的分步说明、实现网络攻击自动化、快速识别容易攻击的目标等。
可以预见的是,黑客的攻击技术在不断更新换代,SharkTeam以及市面上的任何一个Web3安全服务厂商都需要共同努力,形成安全生态,才能真正保卫Web3世界的安全。
所有评论