预判攻击者的预判,CertiK发起移动端保卫战
原创|Waylandbrand.com未蓝加密
作者|夫如何
编辑| 郝方舟
近日,一则新闻在Web3行业内引起了关注:一家名为CertiK的安全审计公司发现了苹果公司在移动端的安全漏洞,并因此获得苹果公司公开致谢。
据苹果公司官方安全更新页面信息显示,CertiK所发现的这些漏洞,会影响内核、GPU驱动程序和ProRes驱动程序,并允许“一个应用程序以内核权限执行任意代码”。换言之,用户或许会丢失保存在手机里的钱包私钥,这对Web3用户意味着什么,令人细思恐极。
苹果公司随即表示,已通过改进内存处理来解决这些漏洞。
据悉,此前CertiK也曾发现过韩国三星集团移动端的安全漏洞。
CertiK是Web3行业内颇具口碑的头部安全机构,但在Web2世界则鲜有人知,苹果、三星这样的Web2巨头忽然与CertiK的名字一起出现,令人不免好奇,这是否预言Web2与Web3两个世界间的“破壁”,共同提升系统安全的新场景?
从科技应用发展史来看,用户操作习惯必将从电脑端向移动端迁移。Web2时代如是,Web3未来亦遵从这样的规律。
而从安全审计角度来讲,网络安全无界限,Web2和Web3的安全是相通。虽然两者在细分领域的关注点不同,但去**化产品服务的用户、背后的协议依然重度依赖**化的设备及系统。Web2的风险防控同样构成了Web3应用的安全底线。
正如CertiK创始人兼CEO顾荣辉所说:“如果预期未来Web3用户出现巨量增长,那么用户的Web3应用**会从移动端Dapp接入。”
攻防复杂,风险蔓延
随着Web3高速发展,恶意攻击也愈加**。根据DefiLlama数据显示,加密货币被盗总价值以超过70亿美元。
按事故对象,Web3风险可粗略分为以下三种:
●项目自身机制安全问题:如智能合约、51%攻击、交易延展性攻击、双花攻击和垃圾交易攻击等自身机制漏洞造成的安全风险。圈内人记忆犹新的严重案例就有:CurveVyper编译器中的潜在漏洞导致多个Curve流动性池被攻击,叠加创始人不健康的借贷仓位,从而引发一连串的清算危机。
●生态系统安全问题:如交易所被盗、**跑路、网站数据泄露、场外操纵、拒绝服务攻击、交易地址篡改和矿池被攻击等外在因素攻击行为。近期案例有:9月份的加密交易所CoinEx热钱包被盗7000万美元等。
●用户端安全问题:如帐号失窃、钱包失窃、欺诈,也包含用户被钓鱼和私钥保管问题等自身产生的问题。10月12日,前Alameda工程师Adi(e/acc)在X平台披露,某Alameda交易员因进行DeFi操作时点击了钓鱼链接,使Alameda损失超1亿美元。
在上述案例,我们会发现,Web2中的安全隐患极易对Web3造成重大影响,且无法**拆分讨论。
实际上,大家常用的Chrome浏览器的历次升级中,就包含排查各项漏洞的工作,Web3钱包等扩展程序一旦没跟上“母体”的迭代,很容易遭受攻击。
文初,CertiK发现关于苹果系统的多个移动端漏洞;MacStealer、ShadowVault、AMOS和Realst等恶意软件攻击热门加密钱包并窃取密钥串数据库;SeaFlower则会分发带有后门的加密钱包应用版本,以窃取助记词;CookieMiner恶意软件可以访问包含短信的iTunes备份,获取绕过双因素身份验证所需的信息,进而访问受害者的加密钱包并窃取加密货币。
魔高一尺,道高一丈
由于Web3安全风险日益严重,安全也成为了项目方可持续发展的基石,除了自身提高风险意识,选择靠谱的安全审计公司也成为了做项目的标配。来自外部的审计报告既将项目安保交予“市场上更专精的角色”,**安全审计公司的背书也构成了项目面向用户宣传的一块金牌。
在这样的背景下,Web3安全审计公司从上一轮牛市开始快速发展,像CertiK、派盾和慢雾等公司逐渐走入大家视野。Web3安全审计公司的业务也逐渐延展,从合约开发到后期监控全流程对项目方把控风险。
以CertiK为例,其为项目方和个人提供全流程的安全防护组件,包括Web3安全审计和渗透测试,以发现和解决风险隐患;Skylnsights、KYC尽调、紧急事件响应和漏洞赏金计划等措施,维护加密生态系统安全;以及Skynet天网系统和咨询服务等服务,搭建一体化的Web3安全分析平台,帮助使用者规避风险并提升安全风险意识。
面对移动端日益猖獗的恶意活动,CertiK针对 iOS系统对Web3钱包的开发也做出**的举措。在iOS上,开发人员可以采取以下安全实践来保护钱包应用程序:利用iOS的安全功能、基于硬件的安全机制和AppAttestation等框架;遵循安全编码准则,包括加密存储和传输、输入验证和防御性编程;实施双因素身份验证和生物识别技术;定期更新和修补应用程序;进行安全审计和漏洞扫描。
可见,CertiK正与时俱进,不断提前发觉Web3安全隐患,以应对尚未发生的Web3恶意事件。
安全江湖,静修内功
Web3作为新兴行业,面对众多豺狼虎豹的侵扰,对安全审计公司的能力要求也越来越高。上一轮牛市间,项目数量井喷式增长,能够肩负起Web3安全重任的第三方公司凤毛麟角。
信任度是项目方和加密企业选择Web3安全审计公司最重要的考量。
拆解信任的来源,自离不开第三方安全机构的业务实力、产品覆盖**性、服务深度、业内长期口碑等。
据官网,CertiK从2018年成立至今,共计合作4100多家企业客户,发现了近7万个区块链代码相关漏洞,直接或间接保护了超过3600亿美元的数字资产。
自2021年起,CertiK业务飞速发展,实现了近13倍的收入增长、3320倍的利润增长,以及4倍的员工人数增长。虽然历经熊市,但公司业务在剧烈动荡的市场环境中展现了极强的抗周期性。
反映到市场占有率上,CoinMarketCap数据显示,在使用第三方安全审计的区块链项目中,CertiK的市占率超过70%。
从团队背景来讲,两位创始人是耶鲁大学和哥伦比亚大学的教授,其中顾荣辉因在系统安全领域的贡献,获得了亚马逊研究奖、OSDIJayLepreau**论文奖、SOSP**论文奖、CACM(**计算机协会)ResearchHighlights奖、VMware系统研究奖等众多奖项。同时,顾荣辉也是新加坡金管局**技术咨询委员会委员和香港Web3.0发展专责小组成员。
从融资背景来讲,CertiK受到币安、Coinbase等Web3“大厂”的认可,也得到高盛、红杉资本、Tiger Global 等传统机构的支持,一跃成为估值20亿美元的Web3安全审计公司。
到了今年,CertiK不仅仅满足于在存量市场中占据鳌头,还**帮助苹果和三星等科技巨头提升终端系统的安全性。CertiK凭借对未来发展的眼界,将自身业务覆盖到Web3大规模采用的突破口——移动端。
守护行业,抢先布局
当行业巨头CertiK开始布局移动端安全防护时,这其中不仅仅是业务的扩展,更是创始人对Web3新风向的判断。顾荣辉向Waylandbrand.com未蓝加密表示,安全审计行业的竞争日益激烈,CertiK需要推出有差异化竞争优势的产品,以便占据先机,服务未来更为广阔的市场。
经历上一轮牛市后,Web3的基础配套愈加完善,从而这一轮熊市涌现出更多的builder,他们将目光更多的瞄向应用层。Web3的主基调也从存量市场的生态之争转向以大规模采用为核心的应用之争。
从Web3自身来讲,大规模采用的Dapp是产品内部的可组合和复杂化,更多跨生态、跨协议、跨层、跨域带来更难防范的风险。
从Web2角度来讲,移动端目前依托于苹果、安卓等系统服务商,Web2系统性风险对移动端的Web3项目和使用者容易造成更大的风险。
而光明与黑暗的较量正在此处,无论是Web2终端的系统风险、Web3应用的黑盒都是安全风险的隐患。但秉承着“守护Web3世界”的CertiK蓄力Web3移动应用端已非一日,移动端的安全警戒线已抢先布控,并赢得了主流市场认可,这或将为Web3领域的安全审计公司揭开发展与竞争的序章。
区块链
