Web3安全意识

观前FAQ

Q:我不知道关于Web3的任何信息,本文的Web3内容对我有帮助吗?

  • A:我不能保证本文的帮助效用,但是它应该能帮你提高安全意识

Q:本文具有专业性 or 准确性吗?

  • A:专业性和准确性只有链上安全审计公司(例如SlowMist)能保证,世上没有绝对,只能相对。我想安全意识应该不存在所谓的“专业性”,虽然本文旨在提高安全意识,但是我们都不能保证下一个被盗的不是自己(防不胜防)。

Q:看起来内容不是很多的样子

  • A:本贴打算做成以后会不定时更新,因此目前没有计划填充所有内容

引入

从近期多发的各种安全事故(无论是Web3还是传统Web) 包括以下事件:

  • 币圈地震事件(史上最大盗窃案):ByBit被盗15亿美元(原因是操作恶意合约盗取资产,这里不做详细概述,感兴趣的朋友可以自行查阅相关资料)

  • Infini官方被盗近5000万美元链上资产(盗走后被迅速转换为DAI(稳定币))

  • Chris Larsen (Ripple的联合创始人) 被盗2.83亿XRP(一个热门币,价值约合1.5亿美元,原因是把私钥存在了LastPass密码管理器中(22年泄露过数据))

虽然这些看似宏观叙事的事件,却反映了Web3普遍用户的一个问题:安全意识不足而导致自己的数字资产丢失。

数字资产的安全性

从设计之初,区块链本意是想避免第三方机构的介入(详见BTC白皮书),实现更安全 / 匿名 / 去中心化的交易系统

但是这就能说明它是不惧任何风险的吗? 答案肯定是否定的。

Uniswap闪电贷攻击

Uniswap采用自动化做市商(AMM模型),在一个流动性池,通过闪电贷协议进行套利交易。 可以让其他协议损失资产

闪电贷:可以不抵押任何资产进行借入资金,但是在交易结束时必须归还(本意是为了提供更多的流动性)

省流版:通过多个流动性池来回倒进行套利

这里假设存在1 / 2流动性市场,以及ABC 可以这样理解为:

  • 你在1号市场借出了都为50个的A币和B币(这里假设A币是稳定币,并且使用闪电贷)

  • 在2号市场用25个A币购买了10个B币(这时候推动了B币的价格上涨)

  • 然后再用60个B币去购买30个C币(这时候我们还有25个A币和30个C币)

  • 卖出剩余的25个A币(导致A币价格下跌)

  • 然后可以用30个C币买入比原来更多的B币

  • 重复操作完成套利

Poly Network丢失6亿美元资产

省流版:智能合约出现了漏洞

智能合约:如果不知道的是什么的话可以理解成一个沙箱,区块链用于执行代码的载体

智能合约真的安全吗?

我们的数字资产和智能合约有什么关系? 可以这么说,智能合约是区块链生态和DeFi的基石。 通过 质押再质押 等协议,你可以通过DeFi来赚取收益 通过智能合约,你可以做出各种各样的Dapp

但是智能合约终究是存在“一定”的漏洞(因为是人为编写的) 无论是代码漏洞还是逻辑漏洞,他总是有问题的。

所以没有绝对的安全。

那上面的内容和我们又有什么关系?

就像闪电贷和Poly Network一样,他们跟我们又有什么关系呢?

  1. 从事DeFi活动的时候,肯定会接触这些协议和链,比如你质押了一些币在流动性池中赚取收益,但是有一天这个池如果被闪电贷攻击了,那么损失的资产最终还是进行质押的人的亏损。(即自己的亏损)

  2. 通过理解原理提高自己的安全意识

  3. 在自己编写智能合约或者某个协议的时候,通过学习其他项目的问题来保证自己的项目稳定运行

经典骗局&陷阱

如果说上面的内容都是空讲和宏大叙事,那么现在开始讲点实际的了。

波场多签钱包

朋友们可能经常会见到这样的人在求救:

  • 救命,有没有币圈大佬,我的巨款提现不出来

  • 不玩币圈了,助记词放这里了,送给有缘人

乍一看是那种天上掉馅饼的好事。 不过一切免费的事物在背后早已被标注了价格。

什么是多签?

波场区块链提供了一种多签钱包,这种多签多签是一种更高安全性的钱包。 一般的钱包只需要持有者私钥的授权,即可进行交易(这就诞生了一个问题:如果私钥丢失或者交给别人用一下,那么是不是我就失去了对钱包的控制权了?) 所以多签钱包诞生了。

那么问题在哪里呢? 那么还原一下,你确实相信了他的言论,并且导入了私钥或助记词,打开一看也许还确实有点资金。 这时候你可能会很惊喜,然后开始向钱包中转账(提供Gas费用) 然后等你高高兴兴地想转出资金时你才会发现你上当了!

在没有绝对的控制权下,不要想去掌握一个别人的钱包。

那么其他链我是不是可以直接用呢?

这还真不一定,有些地址是监控了你的资金,当你一转入,他的自动化程序就会转出到他真正的钱包。

所以这些“掉馅饼”的事情还是别相信为好。

空气币

又称:貔貅币

这个也是广为流传的”骗局”之一。 原理是什么呢?

比如我发了M币 10万枚,这个时候将其中1w枚进行公共空投等操作。 然后为M币添加A币(假设为稳定币或热门币)的流动性,让它拥有了第一个”价值”。 这时候对其他人拥有了1W枚的持有,更多人或者部分持仓者如果认为它具备潜力 会进行购买,这时候因为这类币缺乏 流动性,价格会冲击很高。

从而产生巨大的收益(看到了1000%+的涨幅,这不用我多说了吧)

但是没有天上掉馅饼的事情,那么古尔丹,代价是什么呢?

代价是你花费了部分财力和精力进入它的所谓的“空投” 在你心心念念的时候大额买入 最后砸在自己手里的最后也是这些“无价值”的空气币。

空气在哪里?

答案是:归零的风险 币的开发者可以通过”增发” / “代理机制” / “冻结权限“等操作控制币的流通等 甚至可以在大家用某币大量买入等待暴涨的时候 — 开发者用它的 LP ( 流动性池的权益证明 ),直接提取池中的全部资产和撤销流动性池 还可以通过最开始持有的9w个M币,直接在市场进行大宗交易,让币价大跌(几乎为0)

甚至极端一点的,会直接对所有代币进行”锁定”,让你无法进行出售,烂在手里

这类币的特征?

  • 缺乏流动性,滑点高

  • 无融资,机构背书

  • 智能合约不公开,无法进行安全审计

钓鱼攻击

这个是Web时代的老骗局了 攻击方式:通过发恶意邮件 / 发送链接 对输入进行窃取的钓鱼操作,泄露自己的信息,密钥等

私钥触网

我们都知道加密钱包在创建钱包时会提示你不要打开摄像头 / 网络环境下进行操作 触网操作会导致你的私钥被网络传输,最后丢失资产。

MEV攻击

这个词汇比较陌生,但是在没有”防御 MEV“的情况下可能遭受资产的损失

攻击原理一般是由 Gas交易顺序 导致的。 比如以下几个 前向攻击:在你提交一笔交易购买某币时,攻击者会支付更高的 Gas 来进行购买,等到处理你的交易时,会以更高的价格成交。 后向攻击:你在 CEX 中提交交易大量购买某币后,攻击者会用 Gas 来在 DEX 上购买大量相同的币,转入 CEX 后直接卖出,赚取套利利润。

夹击(又称被夹,是上面两个的结合体) 通过在你购买某币后先比你成交,再你交易成功后再进行卖出,你亏损了,他得到利润了

无限授权

在授权交易时,切记不要授权”无限”。 并且在授权时,审计相关智能合约的代码,否则遇到了恶意合约,很可能导致你的钱包权限丢失等资产损失。

其他的网络安全

在CEX交易,我不得不使用梯子,那我的信息会丢失或者说被传输给第三方吗?

一般来说,使用开源并审计后的软件以及普遍采用的协议是不会被盗取的。 HTTPS = HTTP + TLS 在 SSL证书HTTP地址 是正确(即你真正要访问的服务的地址)的情况下,在传输过程中不会有人能看到数据。 过程: 你的加密数据包 <-> 代理 <-> 服务器节点 而加密的数据是由 端到端 的,所以不必太担心这个问题. (特别注意:上文强调的正确的SSL证书是指,指向的域名是你要访问的地址,而不是搜索栏那个地址)

附录

这里放了一些参考资料和相关链接,感兴趣的朋友可以继续进行阅读

一位佬在TG中被提到用TON交易: https://linux.do/t/topic/494798/10

infini资金丢失后的官方发言:https://x.com/0xinfini/status/1894401496508502099

TLS加密: https://en.wikipedia.org/wiki/Transport_Layer_Security