夏傑：無聲戰爭，Web3.0時代安全挑戰與應對 | 世界區塊鏈大會

7月25日，“2021世界區塊鏈大會·杭州”在杭州未來科技城學術交流中心舉行。本次大會由杭州時戳信息科技有限公司（巴比特）主辦。

在Web3.0與分佈式存儲論壇， 網安信創始人夏傑分享稱，Web3.0最核心的是分佈式，點對點的網絡的構成。在Web3.0時有一些安全挑戰，比如外部安全挑戰有“假提幣”、掛馬攻擊、熱錢包攻擊和女巫攻擊。內部挑戰比如有不安全操作，社會工程學問題和內鬼監守自盜。而鏈上的挑戰包括API漏洞攻擊和利用公鏈懲罰機制的攻擊等。所有攻擊不是一蹴而就，而是有過程的，IPFS企業針對黑客入侵最佳策略：早發現，早預警，早處理！

以下內容來自夏傑，經巴比特整理。

各位大家好，我是一個從事安全超過17年的紅客，在加拿大工作期間，我是加拿大第二大安全信息提供商的安全負責人，服務過IBM、微軟、加拿大政府，以及加拿大四大銀行的三家。現在，我們主要是服務IPFS服務商，為他們提供安全服務。

今天我們想從三個方面分享“Web3.0時代安全挑戰與應對”的最新思考。第一，什麼是Web3.0？第二，Web3.0時代我們碰到怎樣的安全問題？第三，我們怎樣應對這些安全問題。

Web3.0：新變化，新機會

關於Web3.0很多人有不同的想法和概念。

Web1.0時代是我們可以從一個地方獲取數據，Web2.0是我們可以分享數據，數據從可讀方式變成讀寫方式。

Web3.0我認為最重要的一點就是基於分佈式的，點對點的網絡構成。在3.0時代，所有網絡的構成都有一些新的應用和新的基本構成的變化，比如說服務器，我們就從傳統的中心式服務變成了現在的一些分佈式存儲。

攻防大戰！Web3.0時代我們碰到怎樣安的全問題？

3.0時代我們碰到了怎樣的安全挑戰？我們大概會從三個方面來闡述。

首先，從外部面臨的安全挑戰。有“假提幣”，有掛馬攻擊，熱錢包攻擊，女巫攻擊。其中，女巫攻擊是針對整個P2P結構的攻擊模式，簡單的來講就是可以讓你在分佈式存儲當中的節點失去所有功能，不能發揮正常作用，這樣就失去了跟外部世界溝通的過程，就沒法獲得任何因素。

其次，從內部角度看安全挑戰。比如有比較常見的不安全操作，社會工程學挑戰，簡單來講就是你可以被欺騙的點擊下載一個文件，下載一個圖片，這個圖片會發起一些你想不到的危害。監守自盜，這個我們看到就比較多了，特別是有資產的企業，往往他們存在大量資產，如果企業員工沒有一個忠實的履行義務的話，很有可能把一些有價值的資產拿走。

Web3.0時代有一個特點，還有基於鏈上的安全挑戰。我們常見的模式就是API漏洞攻擊。所有鏈實現的時候都有一個調試接口，這個接口沒有被保護起來，資產被轉移，被偷盜都是非常常見的狀況。利用公鏈的懲罰機制也是比較常見的安全挑戰，比如Filecoin，180天的質押有可能會被扣罰，那就得不到實際的收益。

我和大家分享幾個我們碰見的一些典型安全事件。

第一個，在Filecoin正式上線之前有一個太空競賽，我們看到一個長期在算力排行上非常領先的企業，在進入太空競賽后，他整整有十天時間沒有產出，他們最開始判斷是不是出現了DDOS攻擊，在我們的協助下，我們發現它的數據量非常低，請求也都平穩，說明服務器是在非常正常的狀態運行，但就是一直沒有響應。

我們深入分析了他們的日誌，發現他們得到了大量的請求，是之前沒有看見過的節點，而這些節點發給我們數據實際上都是錯誤的，我懷疑是不是典型的女巫攻擊。之後順着推導就發現他們通常一個節點可以連接十五六個節點，這十五六個節點通通發給我們有害數據，也就是說他是陷入了被孤立的狀況，沒有任何可能和外界發生交互，從而實現他正常的功能，因為它能收到的數據都是從不可信路徑來的，既然這樣就要找到可信的。

但大家都清楚，太空競賽期間唯一可信的源是在非常遙遠的歐洲，連接數據是非常慢的，為了保持這一點，我們通過了幾極搭橋。我們在德國、荷蘭、香港以及在內陸，通過不同節點的轉發，連接了一條安全線路，逐漸的我們相當於安全的節點數，讓我們的服務器僅僅只是連接我們這些可信的安全節點，然後在這個以後差不多花了三天時間去重新部署，部署完成以後我們得到了我們想要的數據。二十天的太空競賽有十三四天沒法正常運行，但我們調試以後他們跑了五天，還是獲得了相當不錯的成績。

第二個事件是被攻擊導致私鑰泄露。我們有個客戶的服務器被黑了。原來是他們新上了一台管理服務器，服務器上有管理的應用程序，有錢包的數據，還有他們對外加固的一套系統，這三個系統是剛剛上的，還沒來得及部署安全系統。

他說服務器反應非常慢，卡頓非常嚴重。他們殺掉了一個跑得非常高的進程，重啟服務器后發現狀態還是一樣，服務器又跑慢了。

我看了以後第一判斷應該是被“掛馬”了，這個馬（木馬病毒）會定時向外部連接，然後去下一些有害的馬回來。我仔細分析了這個馬的狀況，發現它是非常非常新的馬。我去察看這個服務器，裡面全是各種各樣的病毒、木馬。我們把它刪了，誰知道有更恐怖的事情出現，其他服務器也有被感染的狀況，我徵求他們的意見以後，原來他們有個管理服務器，這個服務器可以管理局域網裡面所有的服務器，因為這個服務器被感染，黑客針對他們這個行為腳本專門通過這個管理接口去管理其他服務器，把自己木馬全部放在了局域網絡。於是，我們又去查管理節點和其他的，到這裡，我以為處理的差不多了，因為黑客已經從兩個不同的維度進行了攻擊。

後來我發現這是一個更加專業的黑客，因為我發現它還在打我們錢包節點的主意。他發起了一個提幣請求，意味着只要這個錢包節點裡有錢，它就有可能被提走。我當時下了一個命令，把所有服務器錢包節點停掉，通過冷錢包的方式把裡面資產轉走，轉走以後重新換地址上錢包狀態，經過一系列狀態以後，我們做了一個實驗，拿了少量的錢來印證我的想法，然後把服務器打開，發起一個提幣請求，然後在短短兩分鐘之內，我們放進去大概有0.1左右的幣就被順利的提走了。

經過三個動作我發現了整個服務器算是比較乾淨的狀態了，我想，這是我們經歷的比較有意義的事情。

Web3.0時代，安全挑戰如何應對？

我們講一下針對我們剛才說的問題，我們應該怎麼應對？

所有的攻擊不是一蹴而就的，是有過程、有步驟的，簡單來講就跟我們打仗一樣，我們要做火力偵查、武器配備，然後做重點攻擊，攻擊完以後我們把缺口打開，通過這個缺口擴大我們的戰火，這是一系列的步驟。基於這麼個步驟，我們有很多方案可以解決。

我們現在有EDR方案（終端安全響應系統），最大的優勢是這個攻擊是已知的，我們可以得到很好的防護。此外，我們還有SIEM（安全時間及安全信息管理）和SOC方案（安全運營中心），主要是分析安全事件給出應對，SOC的主要差別是它不僅給出建議，而且還會做出更改。

我們現在牽扯到資產，所以絕大部分企業（IPFS企業）還是選擇定製SIEM方案，我們現在的這些企業到目前為止都沒有發生重大的安全事件。

這個是我們系統的基本防護邏輯，在左手邊我們會收集服務器的狀態，把它放到我們分析中心，實際上採用了大數據，包括我們說的學習模式，會得到的簡單的結果反饋給客戶，最有價值的部分是我們安全團隊的部分，因為我們從IPFS成立到現在，我們有一直跟蹤他們安全發展的安全專家，基於這個專家分析整個剛才說的攻擊流的狀況，從而把數據轉給用戶，用戶解決實際的問題。

同時，其實我們也不僅僅只是把我們的注意力放在IPFS分佈式存儲這個領域，實際上像剛才很多人提到Swarm，我們也有自己的安全節點，也做了準備和研究。包括像很新的NFT、DeFi，這些都是我們做過很詳細的深入分析，提供過解決方案。

我今天的分享就到這裡，謝謝大家！