Anmerkung des Autors ✍🏻

Einmal bauten die Griechen ein hölzernes Pferd und boten es der Stadt Troja an. Die Bewohner der Stadt sahen es als Symbol des Friedens, ohne die verborgene Bedrohung darin zu erkennen.

Mit dem erfolgreichen Start des Bitcoin ETF strömen immer mehr neue Benutzer und Gelder zurück in Web3, und der aufgeheizte Markt deutet darauf hin, dass die Zukunft von Web3 in Richtung weit verbreiteter Anwendung einen Schritt näher rückt. Allerdings bleiben der Mangel an Richtlinien und Sicherheitslücken die Haupt Hindernisse für die weit verbreitete Annahme von Kryptowährungen.

In der Kryptowelt können Hacker direkt von Angriffen auf On-Chain-Schwachstellen profitieren und manchmal Millionen oder sogar Milliarden von Dollar verdienen. In der Zwischenzeit schafft die Anonymität von Kryptowährungen Bedingungen, unter denen Hacker der Festnahme entgehen können. Bis Ende 2023 betrug der Gesamtwert aller dezentralen Finanzprotokolle (DeFi) etwa 4 Milliarden Dollar (derzeit 10 Milliarden Dollar), während allein im Jahr 2022 der Gesamtwert der von DeFi-Protokollen gestohlenen Token 310 Millionen Dollar erreichte, was 7% des obigen Werts entsprach. Diese Zahl verdeutlicht vollständig die Schwere der Sicherheitsprobleme in der Web3-Branche, wie das Schwert des Damokles, das über unseren Köpfen schwebt.

Nicht nur die On-Chain-Umgebung ist wichtig; Sicherheitsprobleme am Web3-Benutzerende sind ebenfalls erheblich. Laut Daten von Scam Sniffer wurden 2023 aufgrund von Phishing-Angriffen 324.000 Benutzer Opfer von Assetdiebstählen, wobei insgesamt $295 Millionen gestohlen wurden. Sowohl in Bezug auf den Umfang als auch den Betrag ist der Einfluss schwerwiegend. Aber aus der Sicht der Benutzer haben Sicherheitsvorfälle selbst eine Verzögerung - Benutzer finden es oft schwierig, die Ernsthaftigkeit potenzieller Risiken vollständig zu erkennen, bevor Unfälle eintreten. Daher geraten Menschen oft in den „Survivorship Bias“ und übersehen die Bedeutung von Sicherheit.

Dieser Artikel geht auf die drängenden Sicherheitsherausforderungen ein, mit denen der heutige Markt konfrontiert ist, insbesondere vor dem Hintergrund des rapiden Wachstums der Web3-Nutzer. Durch die detaillierte Untersuchung der von Unternehmen wie Goplus vorgeschlagenen Sicherheitslösungen gewinnen wir ein tieferes Verständnis dafür, wie die weit verbreitete Akzeptanz von Web3 durch Einhaltung und verbesserte Sicherheitsmaßnahmen gestärkt werden kann. Wir argumentieren, dass die Sicherheit von Web3 einen riesigen, aber noch unerschlossenen Markt im Wert von Milliarden repräsentiert und da die Web3-Nutzerbasis weiter wächst, ist die Nachfrage nach benutzerzentrierten Sicherheitsdiensten für ein exponentielles Wachstum bereit.

Frühe Einblicke:

1. Enthüllung von Bedrohungen in der Web3-Sicherheit: Erforschung eines lukrativen Marktes

1.1 Sicherung von Vermögenswerten

1.2 Gewährleistung der Verhaltenssicherheit

1.3 Verbesserung der Protokollsicherheit

1. Analyse der Web3-Sicherheitslandschaft
2. Next-Gen Security Solutions: Sicherung der Zukunft von Web3
3. Fazit

Mit insgesamt 5400 Wörtern sollte es etwa 12 Minuten dauern, diesen Artikel zu lesen.

Enthüllung von Bedrohungen in der Web3-Sicherheit: Erkundung eines lukrativen Marktes:

Derzeit lassen sich Web3-Sicherheitsprodukte hauptsächlich in drei Kategorien einteilen: ToB, ToC und ToD. B2B-Lösungen konzentrieren sich in erster Linie auf Sicherheitsprüfungen von Produkten, führen Penetrationstests durch und erstellen Prüfberichte, um die Produktsicherheit zu stärken. Andererseits zielen B2C-Lösungen darauf ab, die Sicherheitsumgebungen der Benutzer zu schützen, indem sie Echtzeit-Bedrohungsdaten erfassen und analysieren und Erkennungsdienste über APIs bereitstellen. Darüber hinaus richten sich ToD (Developer)-Tools an Web3-Entwickler und bieten automatisierte Sicherheitsprüfungstools und -dienste an.

Sicherheitsaudits sind eine notwendige statische Sicherheitsmaßnahme. Fast jedes Web3-Produkt durchläuft Sicherheitsaudits, und die Audit-Berichte werden veröffentlicht. Sicherheitsaudits ermöglichen es der Community nicht nur, die Sicherheit von Protokollen ein zweites Mal zu überprüfen, sondern dienen auch als eine der Grundlagen dafür, dass Benutzer Produkten vertrauen.

Allerdings sind Sicherheitsaudits nicht allmächtig. Angesichts der Markttrends und der aktuellen Erzählung gehen wir davon aus, dass die Herausforderungen für die Sicherheitsumgebungen der Benutzer weiterhin zunehmen werden, hauptsächlich manifestiert in den folgenden Aspekten:

Vermögenssicherung:

Jeder Marktzyklus führt zur Einführung neuer Vermögenswerte. Mit dem Aufstieg von ERC404 und Hybrid-Token wie FT und NFT entwickelt sich die Emission von On-Chain-Vermögenswerten weiter und bringt zunehmende Herausforderungen für die Sicherheit von Vermögenswerten mit sich. Die Komplexität, die durch das Abbilden und Integrieren verschiedener Vermögenswerttypen über Smart Contracts eingeführt wird, erweitert die Angriffsfläche für Hacker. Zum Beispiel können Angreifer Vermögenswerttransfers stören, indem sie bestimmte Callback- oder Steuermechanismen ausnutzen, was potenziell zu direkten DoS-Angriffen führt. Traditionelle Sicherheitsaudits haben Schwierigkeiten, mit diesen Komplexitäten umzugehen, was eine Echtzeitüberwachung, Warnungen und dynamische Eingriffslösungen notwendig macht.

Die Sicherstellung der Verhaltenssicherheit:

Statistiken des CSIA zeigen, dass 90% der Netzwerkangriffe von Phishing-Versuchen ausgehen. Dieser Trend hält im Bereich von Web3 an, wo Angreifer Benutzerprivate Schlüssel oder On-Chain-Fonds durch Phishing-Links oder Betrugsnachrichten auf Plattformen wie Discord, X und Telegram ins Visier nehmen.

On-Chain-Interaktionen haben eine steile Lernkurve, die von Natur aus kontraintuitiv ist. Selbst eine Offline-Signatur kann zu Verlusten in Millionenhöhe führen. Wissen wir, was wir autorisieren, wenn wir auf diese Signatur klicken? Am 22. Januar 2024 wurde ein Kryptowährungsbenutzer Opfer eines Phishing-Angriffs und unterzeichnete eine Permit-Signatur mit falschen Parametern. Nachdem der Hacker die Signatur erhalten hatte, verwendete er die autorisierte Wallet-Adresse, um Token im Wert von 4,2 Millionen Dollar vom Konto des Benutzers zu übertragen.

Schwächen in der Sicherheitsumgebung auf Benutzerseite können auch zu Vermögensverlust führen. Wenn ein Benutzer beispielsweise einen privaten Schlüssel in eine auf Android basierende Wallet-App importiert, bleibt der private Schlüssel häufig nach dem Kopieren im Zwischenspeicher des Telefons. In diesem Szenario kann bei Öffnen von bösartiger Software der private Schlüssel gelesen und automatisch verwendet werden, um Vermögenswerte aus der Brieftasche zu übertragen oder die Vermögenswerte des Benutzers nach einer Latenzzeit zu stehlen.

Mit dem zunehmenden Eintritt neuer Benutzer in Web3 werden Sicherheitsprobleme in der Benutzerumgebung zu einer bedeutenden Sorge.

Verbesserung der Protokollsicherheit:

Reentrancy-Angriffe bleiben eine der größten Herausforderungen für die Protokollsicherheit. Trotz der Einführung zahlreicher Risikokontrollstrategien treten Ereignisse, die solche Angriffe beinhalten, immer noch häufig auf. Im Juli letzten Jahres zum Beispiel wurde Curve Opfer eines schwerwiegenden Reentrancy-Angriffs aufgrund eines Compilerfehlers in seiner Vertragssprache Vyper, was zu Verlusten von bis zu 60 Millionen Dollar führte und weit verbreitete Zweifel an der Sicherheit von DeFi aufkommen ließ.

Obwohl es viele „White-Box“-Lösungen für den Logik-Quellcode von Verträgen gibt, zeigen Ereignisse wie der Curve-Hack ein bedeutendes Problem: Selbst wenn der Vertragsquellcode makellos ist, können Compiler-Probleme zu Unterschieden zwischen der endgültigen Laufzeit und dem erwarteten Design führen. Die Umwandlung von Verträgen vom Quellcode zur tatsächlichen Laufzeit ist ein herausfordernder Prozess, bei dem jeder Schritt potenziell zu unerwarteten Problemen führen kann, und der Quellcode selbst deckt möglicherweise nicht alle potenziellen Szenarien vollständig ab. Daher ist es bei weitem nicht ausreichend, sich ausschließlich auf die Sicherheit des Quellcodes und der Compiler-Ebene zu verlassen; Schwachstellen können aufgrund von Compiler-Problemen immer noch auftreten.

Daher wird der Laufzeitschutz erforderlich. Im Gegensatz zu bestehenden Risikokontrollmaßnahmen, die sich auf die Protokollquellebene konzentrieren und vor der Laufzeit in Kraft treten, umfasst der Laufzeitschutz, dass Protokollentwickler Laufzeitschutzregeln und -operationen schreiben, um unvorhergesehene Situationen während der Laufzeit zu bewältigen. Dies hilft bei der Echtzeitbewertung und Reaktion auf Laufzeitausführungsergebnisse.

Laut den Vorhersagen von Bitwise, einem Unternehmen für Kryptowährungsvermögensverwaltung, wird der Gesamtwert der Kryptowährungsvermögenswerte bis 2030 16 Billionen Dollar erreichen. Wenn wir aus der Perspektive der Sicherheitskostenrisikobewertung eine quantitative Analyse durchführen, führt das Auftreten von On-Chain-Sicherheitsvorfällen fast zu einem 100%igen Verlust von Vermögenswerten, so dass der Expositionsgrad (EF) auf 1 festgelegt werden kann und somit die einzelne Verlusterwartung (SLE) 16 Billionen Dollar beträgt. Bei einer jährlichen Ereignisrate (ARO) von 1% können wir eine jährliche Verlusterwartung (ALE) von 160 Mrd. Dollar erzielen, was der maximalen Wert der Kosten für Sicherheitsinvestitionen in Kryptowährungsvermögenswerte ist.

Angesichts der Schwere, Häufigkeit und des schnellen Wachstums des Marktvolumens für Sicherheitsvorfälle im Bereich Kryptowährungen können wir voraussehen, dass die Sicherheit von Web3 ein Markt im Wert von hundert Milliarden Dollar sein wird, der mit der Expansion des Web3-Marktes und der Nutzerbasis schnell wächst. Darüber hinaus, in Anbetracht des massiven Wachstums einzelner Nutzer und des zunehmenden Bedarfs an Vermögenssicherheit, können wir ein geometrisches Wachstum in der Nachfrage nach Web3-Sicherheitsdiensten und -produkten auf dem C-Side-Markt erwarten, was einen noch nicht vollständig erschlossenen Markt darstellt.

Analyse der Web3-Sicherheitslandschaft

Mit dem kontinuierlichen Auftauchen von Sicherheitsproblemen in Web3 gibt es eine spürbare Zunahme der Nachfrage nach fortschrittlichen Tools, die digitale Vermögenswerte schützen, die Echtheit von NFTs überprüfen, dezentrale Anwendungen überwachen und die Einhaltung der Geldwäschevorschriften sicherstellen können. Statistiken zeigen, dass die Hauptquellen von Sicherheitsbedrohungen, denen Web3 derzeit gegenübersteht, umfassen:

• Protokollorientierte Hackerangriffe
• Benutzerorientierte Betrügereien, Phishing und Diebstahl von privaten Schlüsseln
• Sicherheitsangriffe, die auf die Blockchain selbst abzielen

Um diesen Risiken zu begegnen, konzentrieren sich Unternehmen auf dem aktuellen Markt in erster Linie darauf, Dienstleistungen und Tools in zwei Hauptbereichen anzubieten: ToB-Tests und -Prüfungen (Pre-Chain) sowie ToC-Überwachung (On-Chain). Im Vergleich zu ToC sind die Akteure im ToB-Bereich bereits seit längerer Zeit auf dem Markt und verzeichnen weiterhin neue Marktteilnehmer. Allerdings kämpfen ToB-Prüfungen angesichts der zunehmend komplexen Web3-Marktumgebung allmählich damit, mit verschiedenen Sicherheitsbedrohungen umzugehen, was die wachsende Bedeutung der ToC-Überwachung und somit die steigende Nachfrage betont.

• ToB:

Vertretende Unternehmen auf dem aktuellen Markt wie Certik und Beosin bieten ToB-Test- und Prüfdienste an. Diese Unternehmen bieten hauptsächlich Dienstleistungen auf der Smart-Contract-Ebene an, führen Sicherheitsprüfungen und formale Verifizierung von Smart Contracts durch. Durch vorherige Methoden wie Visualisierungsanalyse von Wallets, Analyse von Smart-Contract-Schwachstellen und Sicherheitsprüfungen des Quellcodes können diese Unternehmen Smart-Contract-Schwachstellen in gewissem Maße erkennen und Risiken mindern.

• ToC

Die ToC-Überwachung wird on-chain durchgeführt und umfasst die Risikoanalyse des Smart-Vertragscodes, der On-Chain-Zustände, der Metadaten von Benutzertransaktionen, der Transaktionssimulation und der Zustandsüberwachung. Im Vergleich zu ToB wurden C-Side-Sicherheitsunternehmen im Web3-Raum relativ spät gegründet, haben jedoch ein bemerkenswertes Wachstum verzeichnet. Die von Web3-Sicherheitsunternehmen wie GoPlus bereitgestellten Dienste werden allmählich auf verschiedene Ökosysteme innerhalb von Web3 angewendet.

Seit seiner Gründung im Mai 2021 hat GoPlus ein rapid wachsendes API-Tagesabfragevolumen erlebt, von anfänglich ein paar hundert Abfragen pro Tag bis hin zu zwanzig Millionen Abfragen pro Tag während Marktspitzen. Der folgende Graph veranschaulicht die Veränderung der Token Risk API-Aufrufe von 2022 bis 2024 und zeigt die Wachstumsrate der Bedeutung von GoPlus im Web3-Bereich auf.

Das von GoPlus eingeführte Benutzerdatenmodul ist zu einem integralen Bestandteil verschiedener Web3-Anwendungen geworden und spielt eine entscheidende Rolle in Top-Marktwebsites wie CoinMarketCap (CMC), CoinGecko, Dexscreener, Dextools, führenden dezentralen Börsen wie Sushiswap, Kyber Network und Brieftaschen wie Metamask Snap, Bitget Wallet, Safepal.

Darüber hinaus wurde dieses Modul von Benutzersicherheitsdienstleistungsunternehmen wie Blowfish, Webacy und Kekkai übernommen, was auf die entscheidende Rolle des Benutzersicherheitsdatenmoduls von GoPlus bei der Definition der Sicherheitsinfrastruktur des Web3-Ökosystems und seiner bedeutenden Position in zeitgenössischen dezentralen Plattformen hinweist.

GoPlus bietet hauptsächlich die folgenden API-Services an, die umfassende Einblicke in Benutzersicherheitsdaten durch gezielte Datenanalyse mehrerer Schlüsselmodule bieten. Dies zielt darauf ab, sich entwickelnden Sicherheitsbedrohungen zuvorzukommen und den vielschichtigen Herausforderungen der Web3-Sicherheit zu begegnen.

• Token Risiko-API: Bewertet Risiken, die mit verschiedenen Kryptowährungen verbunden sind.
• NFT Risk API: Bewertet Risiken im Zusammenhang mit verschiedenen NFTs.
• Bösartige Adress-API: Identifiziert und kennzeichnet Adressen, die mit Betrug, Phishing und anderen bösartigen Aktivitäten in Verbindung stehen.
• dApp Security-API: Bietet Echtzeitüberwachung und Bedrohungserkennung für dezentrale Anwendungen.
• Genehmigungsvertrags-API: Verwaltet und überprüft die Berechtigungen für die Ausführung von Smart Contracts.

Auf der C-Seite haben wir auch Harpie beobachtet. Harpie konzentriert sich darauf, Ethereum Wallets vor Diebstahl zu schützen und arbeitet mit Unternehmen wie OpenSea und Coinbase zusammen. Sie haben Tausende von Benutzern vor Betrug, Hackerangriffen und Diebstahl privater Schlüssel geschützt. Ihr Produktansatz umfasst sowohl Überwachung als auch Wiederherstellung. Sie überwachen Wallets, um Schwachstellen oder Bedrohungen zu identifizieren, benachrichtigen Benutzer sofort nach der Entdeckung und helfen bei der Behebung. Sie reagieren umgehend auf Benutzer, die Opfer von Hackerangriffen oder Betrug geworden sind, und helfen dabei, ihre Vermögenswerte zu retten. Ihre Bemühungen haben sich als äußerst wirksam erwiesen, um die Sicherheit von Ethereum Wallets zu verbessern.

Zusätzlich bietet ScamSniffer Dienstleistungen in Form eines Browser-Plugins an. Dieses Produkt führt Echtzeitprüfungen durch eine Engine zur Erkennung bösartiger Websites und mehrere Datenquellen mit schwarzer Liste durch, bevor Benutzer Links öffnen, um sie vor den Auswirkungen bösartiger Websites zu schützen. Während Online-Transaktionen erkennt es Betrügereien wie Phishing, um die Sicherheit der Benutzerassets zu schützen.

Next-Gen Sicherheitslösungen: Schutz der Zukunft von Web3

Um Probleme wie Vermögenssicherheit, Verhaltenssicherheit, Protokollsicherheit und On-Chain-Compliance-Bedürfnisse anzugehen, haben wir uns mit den von GoPlus und Artela angebotenen Lösungen befasst. Diese zielen darauf ab, zu verstehen, wie sie große Web3-Anwendungen unterstützen, indem sie Benutzersicherheitsumgebungen und On-Chain-Betriebsumgebungen aufrechterhalten.

1. Benutzer Sicherheits Umgebung Infrastruktur

Die Sicherheit von Blockchain-Transaktionen bildet das Fundament der Sicherheit für groß angelegte Web3-Anwendungen. Angesichts häufiger Hackerangriffe, Phishing-Angriffe und rug pulls auf der Blockchain ist es entscheidend, die Nachverfolgbarkeit von On-Chain-Transaktionen, die Identifizierung verdächtigen On-Chain-Verhaltens und die Sicherheitsgewährleistung von Benutzerprofilen zu gewährleisten. Vor diesem Hintergrund hat GoPlus die SecWareX-Plattform eingeführt, die erste umfassende persönliche Sicherheitserkennungsplattform für Web3.

SecWareX ist ein Web3-Personalsicherheitsprodukt, das auf dem SecWare-Benutzersicherheitsprotokoll basiert und eine umfassende Sicherheitslösung bietet, die die Echtzeitidentifizierung von On-Chain-Laufzeitangriffen, Frühwarnungen, rechtzeitige Abfangmaßnahmen und Streitbeilegung umfasst. Es unterstützt auch maßgeschneiderte Sicherheitsinterzeptstrategien für Vermögensausgabeverträge, die auf spezifische Szenarien zugeschnitten sind.

Zur Sicherheitserziehung für Benutzerverhalten führt SecWareX das Learn2Earn-Programm ein, das das Lernen von Sicherheitskenntnissen clever mit Token-Anreizen kombiniert und es Benutzern ermöglicht, ihr Sicherheitsbewusstsein zu stärken und dabei greifbare Belohnungen zu verdienen.

1. Fonds-Compliance-Lösungen

Anti-Geldwäsche (AML) ist eines der dringendsten Bedürfnisse auf öffentlichen Blockchains. Auf öffentlichen Ketten kann die Analyse von Faktoren wie Transaktionsquellen, erwartetem Verhalten, Beträgen und Häufigkeiten dazu beitragen, verdächtiges oder abnormales Verhalten schnell zu identifizieren. Dies unterstützt dezentralisierte Börsen, Geldbörsen und Regulierungsbehörden dabei, potenzielle illegale Aktivitäten wie Geldwäsche, Betrug und Glücksspiel zu erkennen und rechtzeitig Maßnahmen wie Warnungen, die Sperrung von Vermögenswerten oder die Meldung an die Strafverfolgungsbehörden zu ergreifen, um die DeFi-Compliance und die groß angelegte Anwendung zu stärken.

Mit der kontinuierlichen Anreicherung von On-Chain-Verhalten wird das Know Your Transaction (KYT) für dezentrale Anwendungen zu einer unverzichtbaren Voraussetzung für großangelegte Anwendungen werden. Die bösartige Adress-API von GoPlus ist für Börsen, Geldbörsen und Finanzdienstleister, die im Web3 tätig sind, von entscheidender Bedeutung, um die regulatorischen Anforderungen zu erfüllen und ihre Operationen zu gewährleisten, was die intrinsische Verbindung zwischen regulatorischer Einhaltung und technologischem Fortschritt im Web3-Bereich hervorhebt. Dies unterstreicht die Bedeutung einer kontinuierlichen Überwachung und Anpassung, um die Integrität des Ökosystems und die Benutzersicherheit zu schützen.

1. On-Chain-Sicherheitsprotokolle

Artela ist die erste Layer1-Public-Chain, die nativ die Laufzeitschutz unterstützt. Durch das EVM++-Design unterstützt Artelas dynamisch integriertes natives Erweiterungsmodul Aspect das Hinzufügen von Erweiterungslogik an verschiedenen Punkten im Transaktionslebenszyklus und das Aufzeichnen des Ausführungszustands jedes Funktionsaufrufs.

Wenn ein bedrohlicher reentrant-Aufruf während der Ausführung der Rückruffunktion auftritt, erkennt Aspect dies und zieht die Transaktion sofort zurück, um zu verhindern, dass Angreifer reentrancy-Schwachstellen ausnutzen. Beispielsweise bietet Artela einen ketteninternen Protokoll-Ebene-Sicherheitslösung für verschiedene DeFi-Anwendungen zum Schutz vor reentrant-Angriffen auf Curve-Verträge.

Mit zunehmender Komplexität des Protokolls und Vielfalt der Compiler nimmt die Bedeutung von On-Chain-Laufzeitschutzlösungen im Gegensatz zu statischen Überprüfungen der Vertragslogik in "White-Box"-Lösungen zu.

Fazit

Am 10. Januar 2024 gab die SEC offiziell die Genehmigung für die Auflistung und den Handel eines Spot-Bitcoin-ETF bekannt, was den bedeutendsten Schritt zur Mainstream-Adoption von Kryptowährungsanlagen markiert. Mit der Reife der politischen Umgebungen und der Stärkung der Sicherheitsmaßnahmen werden wir zwangsläufig das Eintreffen von Web3-Anwendungen im großen Maßstab erleben. Wenn große Web3-Anwendungen die turbulenten Wellen sind, dann ist die Web3-Sicherheit der robuste Damm, der gebaut wurde, um Benutzeranlagen zu schützen, externen Stürmen standzuhalten und sicherzustellen, dass alle sicher durch jede Welle navigieren.

Haftungsausschluss：

1. Dieser Artikel wurde aus [ wieder abgedrucktBuidlerDAO], Alle Urheberrechte liegen beim ursprünglichen Autor [BuidlerDAO]. Wenn es Einwände gegen diesen Nachdruck gibt, wenden Sie sich bitte an den Gate LearnTeam und sie werden es umgehend bearbeiten.
2. Haftungsausschluss: Die Ansichten und Meinungen, die in diesem Artikel zum Ausdruck gebracht werden, sind ausschließlich die des Autors und stellen keine Anlageberatung dar.
3. Übersetzungen des Artikels in andere Sprachen werden vom Gate Learn-Team durchgeführt. Sofern nicht anders angegeben, ist das Kopieren, Verteilen oder Plagiieren der übersetzten Artikel untersagt.