
AWS Web3 Developer Camp 2023 精華回顧
TechFlow Selected深潮精選

AWS Web3 Developer Camp 2023 精華回顧
參與本次安全主題研討會的專家和嘉賓來自多個業內領先機構,包括:Beosin、Conflux、Hashkey Exchange、 OKX Wallet、 Polkadot、Scroll 、SlowMist、 SNZ Capital 和 Taiko。
整理:CrossSpace
12 月 7 日,由亞馬遜雲科技 Amazon Web Services (AWS) 牽頭, CrossSpace 社區獨家支持的 Web3 Developer Camp 在 AWS 銅鑼灣活動場地成功舉辦。本次活動作為「Web3 安全」系列研討會的線下分享環節,成功邀請到來自 Web3 安全、錢包、L1/L2 公鏈、雲服務、交易所和投資機構的專家及高管現場分享,為大家呈現了一場場乾貨滿滿及討論度頗高的 Web3 安全會議。
作為全球雲服務市場的領軍企業, AWS 一直關注並積極探索 Web3 行業的安全實踐。本次牽頭舉辦安全系列活動, AWS 希望能幫助提升行業從業者對安全的認知, 打造可持續發展的 Web3 生態, 為 2024 年各賽道的健康發展奠定基礎。參與本次安全主題研討會的專家和嘉賓來自多個業內領先機構, 包括 ( 排名不分先後 ):Beosin、Conflux、Hashkey Exchange、 OKX Wallet、 Polkadot、Scroll 、SlowMist、 SNZ Capital 和 Taiko。
文章開頭,讓我們一起回顧本次活動的圓桌熱議話題。 該環節邀請到 Web3 領先機構 Taiko、Hashkey Exchange、Beosin 和 SNZ Capital 的高管和專家, 暢聊他們項目是如何實踐 Web3 安全使命的, 我們也有幸聽到近期熱門 L1/L2 公鏈 Conflux 和 Scroll 在線下首次分享他們 2024 年的技術和生態發展路線。

左起: CrossSpace 聯創和首席執行官 Leon( 主持 )、SNZ Capital 投資經理 Michael、Taiko 聯創和首席戰略官 Terence、Conflux 首席技術官 Ming Wu、Scroll 亞太區增長負責人 Marcus Liu、Hashkey Exchange 交易所產品總監 Vincent Wong、Beosin 安全研究員 Eaton。
圓桌熱話: Web3 項目應留意哪些安全事項?
Web3 項目在發展過程中容易盲目追求市場拓展而忽略基礎安全, 今年多起大額鏈上資金被盜事件給 Web3 從業者敲響了安全的警鐘。作為一直深耕在安全領域的 Beosin, 其安全研究員 Eaton 給項目方提出這些建議:「項目團隊在運行初期需要學會利用 AI 和審計工具來加快審核過程和檢測合同漏洞,從而節省審計時間並解決複雜的業務邏輯問題。在項目開發階段, 團隊需要確保商業邏輯的準確性, 注重測試和使用測試驅動的開發方法。同時,要謹慎處理集成第三方應用, 以預防引入未知的安全漏洞。 在項目完成後, 強烈建議項目團隊聘請專業的審計團隊審計, 以幫助發現和解決潛在的漏洞, 從而確保項目的安全性。」
SNZ Capital 擁有豐富的 Web3 基礎設施和應用類項目投資經驗。 其投資經理 Michael 也表達了 SNZ 對其投資組合公司安全性的重視:「安全性對於 SNZ 至關重要, 是我們投資策略中的一個重要考量因素。為此, 我們與安全公司建立了合作關係, 為投資組合項目的開發團隊提供全方位的安全服務。 除了基礎設施和中間件領域的安全管理, 我們還為這些公司提供後期管理服務, 確保他們獲得我們熟悉的安全供應商的服務。 我們要求投資組合的公司在其商業戰略中將安全放置於首位, 瞭解安全審計的重要性, 包括實時欺詐、漏洞監測以及兼容性評估等, 確保安全設計。」
圓桌熱話: 運作嫻熟的 Web3 項目是如何進行安全實踐的?
Taiko 作為以太坊生態中增長迅速的開源 ZK-rollup, 通過其完全去中心化的架構和多重驗證者參與驗證來確保其安全性。 Taiko 聯創和首席戰略官 Terence 在圓桌會中表示: 「Taiko 是一個等效於以太坊的 Rollup 二層網絡, 具有完全去中心化的架構。 其優勢包括開源性、社區建設和安全性, 致力於通過全球貢獻者的參與保證代碼的質量和安全性。目前 Taiko 處於測試網, 測試網中有 10000 多個提案和驗證者節點, 這個數字預計還將持續增長。這意味著用戶無需信任 Taiko, 我們沒有中心化的排序器, 是我們區別於其他二層網絡的一個重要特點。」
Hashkey 作為直接與投資用戶打交道的香港持牌虛擬資產交易所, 近期不斷拓展其產品類別, 如何確保客戶的信心和信任,是其首要考慮的命題之一。「Hashkey Exchange 一直致力嚴格遵守證監會規定的託管政策。 98% 的資產被安全地存放在冷錢包中, 而僅有 2% 存放在熱錢包中, 以確保資產的高度安全性。為了進一步保障投資者的權益, 我們與保險公司, 如 AON 和 OneDegree 建立了合作關係, 為用戶提供額外的保險保障。」 Hashkey Exchange 產品總監 Vincent Wong 進一步分享表示: 「Hashkey Exchange 從 KYC 驗證開始, 確保我們的客戶都是合法和真實的。同時, 我們提供密碼提醒功能, 並要求用戶定期修改密碼, 以增強賬戶的安全性。 除此之外, 我們還會向客戶提供教育材料, 邀請他們多學習、研究理解區塊鏈知識及相關設施。通過這些方式, 我們希望能夠與客戶建立長期的信任和合作關係, 確保他們在使用我們的平臺進行交易時感到安全和受保護。」
圓桌熱話: Layer1/2 領先公鏈的技術發展和生態支持
作為 Layer1 的領先公鏈代表, Conflux 近期公佈了其 2024 年的開發者路線圖。 首席技術官 Ming Wu 在現場分享了 Conflux 計劃改善開發者體驗的幾個方向, 包括積極尋找可編程的數據可用性 (Data Availability) 解決方案, 使智能合約能夠與獨立的 DA 層進行互動, 以實現大規模狀態的高效存儲和檢索; 努力將人工智能平臺整合到 Conflux 並將其定位為激勵層; 積極探索異構虛擬機架構, 以提高可擴展性並拓展生態系統以及研究集成多方計算 (MPC) 以增強隱私保護和抗 MEV 能力等。Ming Wu 表示: 「我們期待在未來幾年內, 通過提升系統性能適應更多應用場景, 使我們的技術更加成熟和實用。」
另一條近期上線主網的 Layer2 公鏈代表 Scroll 亦分享了近期生態安全實踐。 Scroll 亞太區增長負責人 Marcus Liu 表示: 「在安全方面, Scroll 最主要的安全來源於我們的 ZKP, 利用 ZK 的數學原理保證了 ZKEVM 是安全可信的運行結果, 並會上傳到 ETH 作為一層鏈進行 ZK Proof 的驗證。Scroll 目前除了對所有合約以及電路有嚴格的審計之外, 也開放了 Bug bounty 計劃, 和社區的成員們一起以開源精神加強安全。Roadmap 中接下來對去中心化 Prover 以及去中心化的 Sequencer 達成也能增強 Scroll 去中心化程度以及安全。」
當日活動,除了圓桌環節,AWS 的【Web3 道德黑客和最佳安全實踐】培訓,和來自安全機構 SlowMist、新一代公鏈 Polkadot 和 Web3 應用 OKX Wallet 專家的乾貨分享也值得回味。接下來,就讓我們通過記錄走近安全一線,瞭解安全風險類別、實用安全策略、應用端安全和生態開發安全等方面的知識與經驗。
智能合約漏洞繼續霸榜成 2023 前三黑客攻擊類別
智能合約漏洞在 2023 年繼續成為最常見的黑客攻擊類型之一。據安全公司 Beosin 今年第三季度的安全報告, 合約漏洞利用是排名僅次於私鑰洩露和數據庫攻擊排名第三的攻擊類別。 「 22 次合約漏洞利用共造成損失約 9327 萬美元。 而按照漏洞細分, 造成損失最多的為重入漏洞, 合約漏洞事件里約有 82.8% 的損失金額來自重入漏洞。」
AWS Web3 解決方案架構師 David Sung 和 Gong Tao 在現場分享了智能合約常看到的三類黑客事件, 其中就包括重入漏洞攻擊。在該攻擊類別中, 攻擊者利用合約中的安全漏洞, 在一筆交易未完成之前反覆調用同一個函數, 導致合約的資金被多次轉移或消耗。 這種攻擊往往是因為合約的設計存在缺陷, 或者沒有采取足夠的防禦策略。 由於重入攻擊對智能合約的安全性和穩定性構成了嚴重威脅, 因此在開發智能合約時, 防禦重入攻擊應被視為一項關鍵任務。
另外兩類較為常見的攻擊方式包括委託調用攻擊, 及整數溢出和下溢攻擊。 委託調用攻擊是為了促進代碼重用, EVM 提供了一個操作碼 DELEGATECALL, 用於將被調用方契約的字節碼插入到調用方契約的字節碼中。 因此, 惡意目標合約可以直接修改 ( 或操縱 ) 調用方合約的狀態變量。整數溢出和下溢攻擊是當算術運算的結果超出了 Solidity 數據類型的範圍時會發生的攻擊事件, 進而導致對其狀態變量進行未經授權的操作。
如想了解如何應對黑客攻擊, 可參考 AWS【Web3 道德黑客和最佳安全實踐】安全實操課程,訪問相關專題頁面。
Web3 項目運行前、中、後的安全策略
Web3 項目從運行伊始就需要重視潛在安全風險, 安全事件常發生在智能合約、區塊鏈錢包和交易所方面。SlowMist 香港社區負責人 Tony 現場分享表示: 「在面對區塊鏈的安全事件中, SlowMist 會從事件發生前、事件發生期間以及事件發生後三個階段來提供解決方案。」 項目方可以根據自身的發展階段評估安全方面的潛在風險。
在安全事件發生前, 項目方可以就潛在的安全風險進行全方位測試。在此階段, SlowMist 的紅隊測試 (Red Teaming) 能幫助項目方從企業人員、企業業務系統、企業供應鏈、企業辦公系統、企業物理安全等真實漏洞進行潛在攻擊評估, 提供定製化的安全防禦方案, 優先保護容易遭受攻擊的節點, 增加攻擊者的成本。
在安全事件發生過程中, 項目方應加強鏈上和鏈下的安全實時監測, 與安全公司合作及時發現並應對潛在的安全威脅; 在安全事件發生之後, 則應馬上採取防禦行動, 比如利用 SlowMist 的應急響應支撐服務和鏈上鍊下追蹤調查服務等功能, 及時抵禦攻擊, 並找出事件發生的根本原因。
考慮到很多 Web3 項目團隊在代碼設計階段就需要考慮安全性, 而不能僅依靠安全公司的短期指導, SlowMist 在 Github 開源了其 Web3 項目安全實踐要求, 詳細列舉了在開發環境下需要留意的安全隱患。此舉將能有效鼓勵項目團隊基於 Web3 項目安全實踐要求建立和完善自己的安全系統, 並在安全審計後具備一定的安全能力。

SlowMist 呼籲項目方全方位提升安全能力
積極擁抱前沿技術,打造安全的 Web3 應用
隨著區塊鏈底層技術的成熟, 越來越多的 Web3 前端應用接連出現, OKX Wallet 無疑是一款用戶體驗極佳的產品。作為直面終端用戶的應用程序,如何提升用戶體驗的同時保證用戶資金和數據的安全? OKX Wallet 的產品經理 Darrel Wang 現場分享他們的秘訣來自系統底層的安全強化、全棧安全能力和積極擁抱前沿安全技術。下面展開分享:
首先, OKX Wallet 進行了系統級的強化, 確保與用戶資產相關的產品具備金融機構級別的安全性。 通過加強應用程序的安全性,努力防止黑客入侵, 確保用戶在一個安全的環境中交易。
其次, OKX Wallet 注重全棧的安全能力。從節點服務、區塊瀏覽器到用戶終端, 完整的上下游服務能力, 保障了產品在全流程的合規性和卓越安全性能。 例如, 產品提供的主動風險提示功能, 積極防止釣魚網站的出現, 進一步保障了用戶的資產安全。
再次, OKX Wallet 強調創新, 積極擁抱前沿技術。其今年推出基於賬戶抽象協議 (EIP-4337) 的智能合約賬戶, 可恢復的特性將大大提高錢包的安全管理能力; 而其上線的 MPC 無私鑰錢包, 則利用多方安全計算技術, 減少了單點故障造成的私鑰安全風險, 讓用戶無懼私鑰丟失。
OKX Wallet 定位自身為科技公司, 而非金融公司。 他們目標從產品核心原則和技術角度出發解決問題, 為用戶帶來安全和便捷的數字交易體驗。

OKX Wallet 於 2023 年 4 月上線 MPC 無私鑰錢包
Substrate 框架助力開發者打造更安全的區塊鏈
很多開發者對 Substrate 不陌生, 它是一個用於構建區塊鏈的開源的、模塊化的和可擴展的區塊鏈開發框架。 Polkadot 中繼鏈 (Relay Chain) 的底層區塊鏈框架便是用 Substrate 構建的。 那麼, Substrate 是如何為該生態的開發者提供安全性呢? Polkadot 生態的核心開發者 Jimmy 在活動現場指出 Substrate 框架下, 開發者可預先構建由 Parity 專業工程師提供的組件 (Pallets), 在運行時可升級、無需鏈分叉, 並且由多種共識機制可供選擇, 實現了不同鏈間的互操作性和安全性。
Jimmy 進一步指出, Polkadot 的核心目標是實現區塊鏈的跨鏈互操作性和可擴展性。 Polkadot 將不同的區塊鏈連接起來, 使它們可以相互通信並協調工作。 這種架構允許不同的區塊鏈之間進行數據交換和價值轉移, 從而提高了整個網絡的效率和可擴展性。 其架構包括中繼鏈和平行鏈, 其中中繼鏈負責驗證和安全性, 平行鏈提供特定功能。 此外, Polkadot 注重可擴展性、安全性和去中心化三個關鍵屬性之間的權衡, 採用獨特架構方法和橋接技術實現資產的安全高效轉移。

Polkadot 核心構成組件, 中繼鏈負責提供安全性
Web3 項目方需擅用雲服務基礎設施, 關注服務類別、安全性和靈活度
雲服務是 Web3 尤為重要的底層設施, 從交易所、公鏈到前端應用程序, 都離不開雲服務。對 Web3 項目來說, 雲服務平臺的服務範圍、安全性和靈活度尤為重要。AWS 在 Web3 可謂是「家喻戶曉」的雲服務提供商, 在活動現場, AWS 解決方案架構師 David 對這三方面給予了回應。
從服務類別來說, AWS 是全球廣泛採用的雲平臺, 提供超過 200 個功能豐富的服務, 包括分佈在全球的數據中心, 可以滿足各類 Web3 公司獨特的基礎設施需求。AWS 服務了眾多的 Web3 項目, 大家最廣泛使用的七個 AWS 服務包括: EC2(Nitro Enclaves)、KMS/CloudHSM、API Gateway、S3、Elastic Block Store、Shield Advanced、WAF。
在安全性方面, AWS 一直致力於為項目方提供安全、合規、治理等方面的服務。 通過 AWS Nitro 系統, 安全性在芯片級別內置, 持續監視、保護和驗證實例硬件, 最小化潛在的攻擊面。AWS 還支持比其他任何雲提供商更多的安全標準和認證。其中 Nitro Enclaves 結合 KMS/CloudHSM 為 Web3 BUIDLers 提供了最佳的雲上私鑰安全管理方案並在業界被廣泛採用, Shield Advanced 和 WAF 則為 dApps、Node 和各種 Web3 基礎設施層提供了安全防護。
在靈活度方面, AWS 在給項目方提供多種服務類別的同時, 也提供不同產品的定價選項, 以幫助他們優化成本。David 補充道: 「我們提供廣泛的分析和機器學習服務選擇, 基本能滿足項目所有數據分析需求。從數據移動、數據存儲、大數據分析、日誌分析、流式分析、商業智能和機器學習 (ML) 等等, 同時我們讓大家靈活的選擇服務以降低成本。」
AWS 為 Web3 項目提供豐富的服務類別
如項目方需要了解如何在 AWS 建立安全的雲端應用和 AWS 提供的 Web3 生態支持, 可點擊鏈接瞭解更多。
以上即為此次活動的精華乾貨內容分享, 希望對 Web3 的 BUIDLers 和開發者們有所啟發。 我們由衷希望在行業各方不斷凝聚的安全共識下,Web3 生態能迎來下一階段的迅速增長,而 CrossSpace 將繼續聯合 AWS、業內優質的安全公司和 Web3 生態參與方,為大家帶來更多分享活動。
歡迎加入深潮 TechFlow 官方社群
Telegram 訂閱群:https://t.me/TechFlowDaily
Twitter 官方帳號:https://x.com/TechFlowPost
Twitter 英文帳號:https://x.com/BlockFlow_News














