
對話 Web3 卓越安全服務商:雲安全的「攻防之戰」
TechFlow Selected深潮精選

對話 Web3 卓越安全服務商:雲安全的「攻防之戰」
接近 2023 年年末,牛市信號逐漸清晰,佈局雲端服務器的 Web3 項目數量將會快速增加,雲作為基礎設施層的角色越來越重要。
撰文:CrossSpace
Web3 以 Blockchain 底層技術 (Distributed Ledger) 構建的生態正在快速迭代,公鏈 L1 和 L2 的技術創新使其成下一代底層計算網絡具有可行性,各種基礎設施就像 「Lego」 組件一樣不斷完善,Web3 BUIDLers 不斷在多個應用賽道構建豐富的 dApps。

雲服務作為 Web3 尤為重要的底層設施也是 Web3 整個生態不可或缺的,每年有數以萬計的程序運行在雲服務器。根據 Immunefi 安全機構的公開報告數據,「 2022 年安全事件中,46.5% 的資金損失來自底層基礎設施,其中關於私鑰的管理、實踐與應急響應計劃最為重要。」 Web3 的雲安全持續面臨挑戰,私鑰洩露、未授權訪問、Smart Contract 分析與審計、DDoS 攻擊、內部威脅、合規和穩定性等問題一直困擾著 Web3 BUIDLers,也給雲服務商和安全服務商不斷帶來新的挑戰。
作為率先推出雲服務的公司,亞馬遜雲科技 Amazon Web Services (AWS),一直是雲服務領域的引領者,如今 AWS 更是積極擁抱 Web3 生態,聯合 Web3 領先社區品牌 CrossSpace 發起「Web3 安全」系列線上線下研討會,深入雲服務安全領域,傾聽來自交易所、公鏈、基礎設施和 dApps 的安全實踐挑戰,探討實際可行的解決方案。
作為本系列討論的採訪環節,我們榮幸專訪到四家 Web3 卓越安全服務機構 Beosin、CertiK, MetaTrust 和 SlowMist(慢霧)及 AWS 雲安全方面的專家,一起探討現時雲安全的挑戰和解決問題的思路。
為何 Web3 的雲安全如此重要?
安全對於任何企業來說都是重中之重。雲服務與 Web3 是相輔相成的關係。自 2009 年 Bitcoin 主網上線,2015 年 Ethereum 主網上線,安全事件和資產損失逐年增加,因此安全作為 Web3 世界的基石更加需要重視。無論是中心化交易所,還是去中心化的 DeFi、GameFi、NFT、DAO、Social、Bridge 等場景,都會涉及基於 token 的各種應用場景。如何確保整個 token 處理流程的安全成為 Web3 BUDLers 需要仔細考慮的問題。AWS 作為雲安全領域的專家和服務了眾多 Web3 項目方的機構,一直緊密關注著 Blockchain 和 Web3 領域的安全,積極與項目方溝通,並舉辦了多種形式的 Web3 安全分享與培訓。
接近 2023 年年末,牛市信號逐漸清晰,佈局雲端服務器的 Web3 項目數量將會快速增加,雲作為基礎設施層的角色越來越重要,因此雲安全是每個開發者和 BUDLers 都必須關注的安全要素。
現時雲安全面臨哪些重大挑戰?
安全公司 Beosin 在本次專訪中表示,「雲服務數據商的攻擊是近期主要的攻擊類型之一,主要是通過 DDoS 攻擊、賬戶劫持、惡意植入等多種手段,針對雲服務數據商提供的計算和存儲服務的攻擊,其後果是敏感數據洩露和服務中斷。 」 團隊分享道:「近期 Mixin Network 和 Fortress IO 因雲服務商被攻擊分別損失了 2 億美元和 1500 萬美元。」
敏感數據的洩露,尤其是私鑰的洩露是本次採訪過程中各安全專家多次提到的安全事件起因。CertiK 三季度安全季報也表示,「私鑰洩露是該季度發生重要損失的原因之一。14 起私鑰被盜事件造成了總計 2.04 億美元的損失。」
除了數據洩露,SlowMist 慢霧團隊也給出了涉及雲安全威脅的其他幾大類別,包括:
-
賬號洩露和未授權訪問: 黑客可以通過密碼破解、社交工程或弱密碼攻擊獲得用戶賬號和憑證,從而獲取未授權的訪問權限。
-
DDoS 攻擊: 分佈式拒絕服務(DDoS)攻擊可以使雲服務不可用,通過佔用資源或淹沒網絡流量來癱瘓服務,導致業務中斷。
-
惡意內部威脅: 內部用戶或員工可能會濫用其權限,盜竊數據、銷燬信息或者進行其他惡意行為。
-
合規性和數據管理: 項目方在雲服務提供商的平臺上,處理數據的過程中沒有有效的利用各種工具來進行數據保護,從而導致數據混淆或丟失」
面對黑客多維度的攻擊角度及潛在的內部安全風險,Web3 安全專家們呼籲大家意識到雲安全需要綜合的安全策略,因而不能僅採取單維度簡單的安全防範。
雲安全的「攻防之戰」,如何破局?
面對雲安全的持續挑戰,如何做好 「防守」,助力用戶的隱私數據和資金安全?各安全機構的專家和團隊給出了他們的看法。
Beosin 團隊:
「敏感數據洩露事件頻繁發生,建議技術人員在存儲數據和傳輸數據時對數據進行加密,避免被未經授權的第三方訪問。對於私鑰等敏感數據,建議使用隱私計算以及同態加密技術,避免私鑰洩露。
與此同時,項目方需確認客戶端僅通過安全的 API 訪問雲服務,避免注入攻擊、跨站點腳本等惡意活動。使用 API 還可以在訪問雲服務之前對客戶端進行身份驗證和數據檢驗,以保證訪問安全和數據安全。考慮到個人電腦作為客戶端的安全防護能力較弱,不建議通過個人電腦直接調用 API 對系統進行數據訪問和運維,而是通過雲上虛擬桌面或者安全的跳板機來完成相關的訪問。」
CertiK 首席安全官李康教授:
「我們主要觀察到兩類使用雲平臺時面臨的常見風險,分別是用戶對雲數據的配置不當以及用戶將雲後臺的服務隱藏到 dApp 導致的風險 。 大部分時候雲是提供了很多資源的保護和數據的控制,但是往往由於用戶對配置的使用不當,讓外部人員有機會進入用戶的後臺。而另一類風險則是來源於項目方的開發者將雲後臺的服務隱藏到 dApp——部分開發者為了方便自身使用,會為整個項目設計一個自認為只在內部使用的接口,使得 dApp 能在移動端的 App 直接訪問,而無需對外公開。儘管項目方的雲端 API 有專門的管控,但這仍然導致 dApp 和後臺進行了很多交互。
面對這兩類風險,CertiK 建立了對雲和基於雲運行的 dApp 的安全服務,包括代碼審計、風險評估、團隊身份驗證和背景調查等。李康教授補充道:「如果你無法保證開發團隊絕對值得信任,讓審計專家對 dApp 進行一次完善的審計還是非常必要的。」
MetaTrust 聯合創始人劉楊教授:
「雲安全作為基礎設施層,需要做好數據安全和用戶的隱私保護。構建端到端的全棧的安全防護,尤其注意針對數據的保護。針對不同類型的數據設置對應的訪問權限,防止未經授權的訪問。雲服務的機制較為複雜,不同類別的數據都需要有獨立的訪問機制。
此外,數據合規也需要重視。現在雲裡面很多數據在同一個雲裡,可能因為地域不一樣,導致數據受到訪問限制。如果對這種情況不瞭解的話,很容易導致數據跨境洩露帶來的合規問題。因此,訪問控制和身份驗證,這一塊其實也是很重要的。我們需要搭建比較嚴格和細顆粒度的訪問控制和身份驗證機制,防止未經授權的訪問。 」
SlowMist 慢霧團隊:
「雲安全需要綜合的安全策略,包括合適的訪問控制、加密、持續監控,請專業的安全機構進行全方位的審計、教育培訓等方面的措施,以確保雲環境的安全性和穩定性。例如對關鍵數據進行端到端加密,如果要使用加密,加密密鑰的安全管理至關重要,保留密鑰備份,最好不要保存在雲端。例如預防配置錯誤這樣的基本漏洞,雲安全風險將大大降低。最後,無論是個人用戶、中小企業用戶或者企業級雲用戶,確保網絡和設備儘可能安全是非常重要的。」
AWS:安全是一個洋蔥型的多層防護
無論在 Web2 還是在 Web3,AWS 都積極的在為多類項目提供雲計算和安全服務。作為雲計算的引領企業和積極參與者,AWS Web3 技術專家認為,安全不是雞蛋模型的單層防護,而是多層防護的洋蔥模型,層層遞進,層層展開。具體來說,第一層是威脅檢測與事件響應,第二層是身份認證與訪問控制,第三層是網絡與基礎設施安全,第四層是數據保護與隱私,第五層是風險管控及合規。AWS 針對每一層,都提供了完整的解決方案,幫助 Web3 的項目方更安全的管理整個應用系統。
結論:Web3 雲安全的攻防之戰要取得勝利,需要依靠各方的共同努力
Web3 生態的安全離不開雲基礎設施的安全,而與雲基礎設施相關的各參與方包括項目方、雲服務商和安全服務商都需要建立起綜合的安全策略,定期進行審計、自我安全排查,以確保最大的安全性。
對於 Web3 的開發者來說,除了增強自身的道德水平,也需持續精進安全相關的技能,可以積極參與 AWS 針對開發者的活動及培訓,比如 Web3 Ethical Hacking and Security Best Practice,鑑別常見的合約風險。
我們共同的目標是打造安全的 Web3 生態,實現行業的可持續發展,希望您能從本次採訪中得到啟示,並積極運用於日常實踐中。
如 Web3 項目方需要了解如何建立安全的雲端應用,可點擊鏈接瞭解更多。
歡迎加入深潮 TechFlow 官方社群
Telegram 訂閱群:https://t.me/TechFlowDaily
Twitter 官方帳號:https://x.com/TechFlowPost
Twitter 英文帳號:https://x.com/BlockFlow_News












