SharkTeam：如何在「Web3 黑暗森林」中安全前行？

在 Web3 领域，安全漏洞、黑客攻击已愈发成为用户和投资者重点关注的领域。如何保障加密资产的安全，Web3 黑暗森林中又有哪些新的攻击模式产生，SharkTeam 将从一线进行分享和讨论。

我们先来看一下 2023 年 1 月到 8 月的安全事件数量和损失的数据统计。

由于熊市影响，加密领域的资产总量降低，因安全问题产生的损失同比去年下降了 59%。但这并不代表 Web3 领域的安全环境在变好，相反我们看到今年 1 月到 8 月，安全事件的数量达到 693 次，同比去年增加了 87%，平均每个月有近 90 起安全事件，其中频率最高的是 7 月份，发生了 187 起安全事件。

目前，智能合约安全漏洞、Rug Pull、Web2 类型的安全事件（钓鱼攻击、社会工程学）是 Web3 最主要的三大安全风险。

智能合约安全漏洞事件发生 85 起，其中 47% 是逻辑漏洞，主要原因是开发者安全意识薄弱，开发过程不够严谨，引入计算错误、业务逻辑错误等较低级的安全问题。此外，闪电贷攻击、权限管理等常见合约漏洞仍占比较高，均超过 10%。总体表明，项目方在进行合约开发的过程中缺少必须的安全意识和技能，导致常见漏洞和初级问题不断发生。

Rugpull 欺诈事件数量呈快速增长趋势，发生了 110 次。其中 73% 发生在 BNBChain 上，这与 BNBChain 上的交易成本低、用户基数大以及新出现的 Rugpull 黑色产业链有直接关系。

Web2 类型的安全事件也呈现高速增长的趋势，这类钓鱼攻击、社会工程学等黑客攻击手法在 Web2 时代已非常成熟，Web3 项目方和机构容易忽视，这类安全事件通常会窃取钱包账户授权或直接窃取助记词、私钥，盗取用户加密资产。

那么，从 Web3 普通用户的角度应该如何提高自己的安全能力呢？

首先，就是要重视去中心化钱包、私钥的安全，重视中心化交易账户和密码的安全，重视设备、软件、网络环境的安全。

此外，为了防范 Rugpull 欺诈类项目，要注意避免投机、侥幸心理，客观分析拟投资项目的基本面和数据表现，金融的本质是风控。

最后，时刻保持安全和防范意识，不要随意点击链接或随意授权，防范熟人作案。

从 Web3 项目方和机构角度，要保护好加密资产的安全需要做到如下几个方面：

首先，在项目设计和开发阶段，要有意识的引入威胁建模、安全编码、安全测试的机制和服务，让安全建设与业务开发同步进行。

此外，在上线前不仅要进行智能合约的安全审计，Web 端、Api 端、App 端都需要进行安全渗透测试，这些业务载体在黑客眼中都可能成为攻击的突破口。

最后，在项目运营期间就要建立明确的安全运营机制，例如攻击监测、应急响应计划等，在业务代码需要升级时要重新进行合约审计和渗透测试。在发生安全事件后，能第一时间感知到攻击并快速做出响应，及时对黑客进行身份追踪和资产冻结。

如上，是 SharkTeam 在 Web3 安全服务过程中总结的几点基础但有用的安全建设方案，希望对大家有帮助。但更重要的是，Web3 的攻防实际上正在不断升级，新的攻击方式也在不断出现，Web3 黑暗森林在不断进化，面对这种情况，我们又该怎样应对呢？未知攻焉知防，我们先看两个典型的例子。

RugPull 工厂：在 BNBChain 上我们发现了多个 Rugpull 工厂，并已形成了新型的链上欺诈黑色产业链。欺诈团队分工明确：

（1）情报收集：专门负责收集行业里的热门话题，例如近期热门的 Cyber、TIP、HTX 等。

（2）自动发币：基于热门事件，迅速发布同名 Token，我们监测到某个 Rugpull 工厂地址一个月可发布 70 至 80 个虚假 Token。

（3）虚假交易量：欺诈团伙对同名 Token 在链上进行频繁的买卖，制造交易量，提高隐蔽性，用户难以分辨真伪。

（4）钓鱼 / 资金盘：制作钓鱼网站或土狗骗局，骗取用户信任，获得用户授权或真实购买。

（5）收割：获得授权或收益后，程序会自动的将用户资产进行转移或自动 Rugpull。

（6）布局：获得的收益投入下一个 Rugpull 项目上，滚雪球一样，越滚越大。

新型 APT 攻击（Advanced Persistent Theft）：Web3 黑暗森林中开始出现越来越多的高等级黑客，有些甚至是国家黑客。他们在 Web3 行业中获得的资金会经过一系列新型的洗钱模式变成现实资产，为后续不法行为提供资金。这一类黑客的资金转移方式非常复杂和隐蔽，通常会经过 30 至 50 个中间地址进行中转，并通过「混币」或「套壳」的方式进行洗钱，追踪难度很大。

Web3 安全已进入高等级、持续性的网络对抗阶段，那对于 Rugpull 工厂和新型 APT 攻击的威胁，我们应该如何应对？