Web 2.5 即將到來(還有新的漏洞)
source : https://medium.com/coinmonks/web-2-5-is-approaching-and-new-exploits-too-b0603d6e8f94 by SmartState.tech
Web 2.5 即將到來(還有新的利用)
加密貨幣大規模採用的曙光以及 Web2 和 Web3 的融合
多年來,大規模採用一直是加密行業的基石。雖然每個人都意識到,讓加密貨幣蓬勃發展的唯一方法是儘早為最廣泛的受眾提供其服務和利益,但這說起來容易做起來難,因為使用該技術所需的知識水平(有點太高了)對於普通人來說)。
但現在,隨著 Web 2.5(Web2 和 Web3 技術的和諧融合,實際上介於 Web2 和 Web3 之間)的出現,這個夢想更接近成為現實。
Web 2.5:兩全其美
Web 2.5 的核心概念巧妙而簡單:提供熟悉的 Web2 服務,但在 Web3 基礎設施上運行它們。這樣,用戶可以體驗到用戶友好的界面,而所有後端操作都發生在去中心化的區塊鍊網絡上。
想像一下,一個銀行應用程序與任何現代移動應用程序一樣時尚且用戶友好,但在區塊鏈上運行,增加了安全性和去中心化層。或者考慮一款具有令人驚嘆的圖形和大量炫酷交互、機制和季節性活動的手機遊戲,它還無縫地結合了 NFT 和智能合約。
那麼新領域呢?從交付到勤雜工請求,從點對點銷售到 ERP 或會計服務等企業解決方案 — 加密貨幣開發人員可以輕鬆獲取一切。
新的可能性,新的漏洞
作為所有加密事物的狂熱支持者,我們總是對這個領域的新發展感到興奮。Web3 和 Web2 最佳元素的融合似乎是完美的結合,預示著許多人開始稱之為“Web 2.5”。
然而,與所有技術飛躍一樣,這一飛躍也有其獨特的挑戰和潛在陷阱。為了充分披露信息,我們的使命是強調其中一些挑戰,以便您可以更安全地應對這一不斷變化的形勢。
破解漏洞:逐步深入探討 Web2 和 Web3 安全挑戰
Web2 的致命弱點
我們已經討論了很多困擾 Web3 的問題,所以讓我們換個角度來探討 Web2 固有的一些問題。
您是否聽說過最近對銀行系統和社交網絡應用程序的成功攻擊,導致大量私人個人數據被洩露?您可能會摸不著頭腦,想知道這怎麼可能發生。畢竟,這些公司投入巨資為其數據創建隔離、安全的環境(注:這在專業語言中稱為“數字湖”)。他們擁有內部 IT 安全部門,並投入大量預算來確保一切正常運行。那麼每次都會出什麼問題呢?
令人驚訝的是,這些數據洩露的最常見原因相當簡單:為了更有效地進行調試,開發人員有時會直接使用日誌搜索工具,例如 ElasticSearch。日誌是系統及其用戶產生的事件序列的技術記錄。它們幫助開發人員重現有問題的情況,以確定出了什麼問題。
雙刃劍
日誌在調試中的作用是不可否認的。然而,日誌通常不僅僅包含技術上下文;還包含技術上下文。他們還可以保存敏感信息。開發人員在記錄數據時可能會過度使用,使得該工具不僅對診斷問題有用,而且在安全方面也存在風險。
當像 ElasticSearch 這樣最初供內部使用的日誌搜索工具變得可公開訪問時,情況就變得不穩定。為了更有效地排除故障,開發人員有時會在故意隔離的數字湖之外提供此類服務。這為惡意行為者(即我們業內所說的黑客)打開了方便搜索私人客戶數據的大門。
第一道防線:定期掃描
對於任何項目(尤其是那些包含 Web 2.0 元素的項目)來說,第一個強制操作是定期掃描公共可用資源。範圍可能從 AWS S3 存儲桶到無意暴露到 Internet 的數據庫。此類失誤可能成為惡意行為者的切入點。
此外,監控從應用程序客戶端發送到後端的日誌也至關重要。這些日誌有時會攜帶過多的信息,從而成為數據洩露的潛在熱點。
Web3 也未能倖免
現在,您可能想知道,“這也適用於 Web3 世界嗎?” 不幸的是,答案是肯定的。
還記得臭名昭著的 Slope 錢包黑客事件嗎?Slope 一直在將包含私鑰(是的,私鑰)的日誌傳輸到其後端,未加密。隨之而來的是 Solana 和 Phantom 賬戶的 2000 多個私鑰被洩露。
最初,Solana 社區陷入混亂,認為問題是區塊鏈本身的漏洞。然而,問題不在於區塊鏈,而在於錢包數據傳輸的安全措施不力。
一些未解答的問題
現在,如果您感興趣,您可能已經註意到一個奇怪的細節:惡意行為者是如何設法收集如此大量的憑據的?在加密貨幣會議上使用被黑的熱點來收集 200–400 個憑據幾乎是不可能的。其他方法可能效率更低。那麼攻擊者的攔截點在哪裡呢?
到目前為止,這仍然是一個未解之謎。然而,如果您一直在關注,您可能會對可能發生的情況有一兩個推測性想法。
混合移動開發的隱患
混合技術的魅力
現在讓我們深入探討另一個令人興奮但又充滿挑戰的領域:移動開發的混合技術,例如 React Native 和 Flutter。這個承諾很誘人:適用於 iOS、Android 甚至 Web 平台的單一代碼庫、降低的開發成本以及啟動具有原生感覺的 Web 邏輯的能力。傳統上需要專門的 iOS、Android 和 Web 開發人員來完成的工作,只需一個團隊即可完成。
聽起來像一個夢,不是嗎?但正如他們所說,天下沒有免費的午餐。
成本效益的隱藏權衡
Web2 的用戶體驗 (UX) 要求無疑很高,這促使渴望過渡到 Web2.5 的 Web3 項目探索削減成本的途徑。這些項目的自然選擇是採用混合技術,例如 React Native 和 Flutter。這使他們能夠開發在 Android 和 iOS 上運行的應用程序,從而更有效地服務於更大的客戶群。然而,這種方法也有其自身的一系列挑戰和風險,特別是在安全領域。
為什麼大公司正在放棄混合技術
像 Airbnb 這樣的公司已經公開了他們從混合解決方案轉向原生開發技術(例如適用於 Android 的 Kotlin 和適用於 iOS 的 Swift/SwiftUI)的歷程。儘管其原因多種多樣且複雜,但安全問題確實在這一轉變中發揮了作用。這些本機平台提供更強大的安全措施,特別是對於以客戶為中心的終端應用程序。
為什麼混合堆棧是一項危險的業務
您可能沒有意識到,通常不建議將這些混合堆棧用於以最終消費者為中心的應用程序。原因有很多,而且往往是技術性的。
其中的關鍵是以可接受的精度檢測已取得 root 權限或已越獄的設備的挑戰。這不僅涉及設備識別,還涉及安全性。已 root 或越獄的手機是漏洞利用的沃土。雖然存在用於在 React Native 環境中檢測越獄或 root 設備的庫,但它們通常更新滯後,導致它們無效。如果您認為這微不足道,請記住過時的安全庫是黑客的遊樂場。
另一方面是混合應用程序對逆向工程的敏感性。與本機開發的應用程序不同,這些混合堆棧更加暴露,使惡意行為者更容易對您的應用程序進行逆向工程,弄清楚它的工作原理,並可能利用它。
錯誤的安全感
那麼安全存儲客戶身份數據又如何呢?使用 PLIST?這不是一個好主意。PLIST 文件易於訪問和編輯。鑰匙鏈?它還可能帶來一些不受歡迎的意外。與普遍的看法相反,鑰匙串通常不會加密存儲的數據。所有這些都要求您特別注意實現存儲安全數據邏輯的部分。
但用於安全數據存儲的常用 React Native 庫通常沒有深入探討該主題,從而向開發人員錯誤地承諾一切都好。這種安全錯覺比承認自己的局限性更危險,因為它會讓開發人員陷入自滿,為安全漏洞敞開大門。
法律後果
無法檢測越獄或取得 root 權限的設備不僅會帶來安全風險,而且還會帶來安全風險。它還使公司處於不穩定的法律地位。一些國家/地區的法規規定,如果用戶因設備受損而遭受經濟損失,應用程序所有者將承擔責任,但前提是應用程序沒有警告客戶使用越獄或 root 設備的潛在風險。例如,在金融領域,檢測越獄和 root 訪問是旨在減輕這種法律風險的常規安全措施。
沒有意識到和沒有準備的人
這只是表面現象。急切地採用這些混合框架來推出“超級棒的應用程序”的公司可能完全沒有意識到這種錯綜複雜的挑戰。雖然我們的目標不是成為末日預言家,但意識和準備對於駕馭不斷發展的 Web2.5 和 Web3 技術格局至關重要。
大多數組織可能沒有能力應對多層複雜性和漏洞。一家公司可能會出於打造時尚、多平台應用程序的願景而深入研究混合技術,但卻發現自己陷入了不可預見的安全挑戰。
因此,當我們越來越接近 Web 2.5 及更高版本的現實時,公司了解他們所承諾的全部內容至關重要。此時此刻走捷徑可能會導致代價高昂且可能是災難性的挫折。
後端困境
成本效益分析
加密貨幣和區塊鏈的世界裡充斥著卸載 dApp 邏輯以降低交易費用的想法。事實上,這個概念聽起來很棒。想像一下將業務邏輯推送到您自己的服務器,並且僅將最終的批量數據上傳到區塊鏈。成本節省可能呈指數級增長,將佣金費用削減十倍或更多。
但有一個問題:安全性
不過,還是放馬吧。這種方法可能會降低成本,但也為惡意行為者敞開了大門。金融機構大力投資於復雜的系統來處理每筆交易,並在反欺詐監視器的監視下進行。這一層安全至關重要,尤其是在處理涉及資金易手的交易時。
在區塊鏈生態系統中,每一筆交易都可以被追踪,每一條消息簽名都可以被驗證。這創建了一個安全層,使得偽造交易變得極其困難。但是,如果您要卸載處理邏輯並直接從客戶端接受消息,那麼您就進入了一個必須對這些消息給予極大信任的領域。這帶來了不容忽視的風險。
底線:它真的便宜嗎?
欺詐活動的質量正在快速發展,黑客使用的方法也變得越來越複雜。將業務邏輯卸載到後端會使系統更容易受到此類攻擊者的攻擊。為了解決這個問題,您需要投資昂貴的反欺詐監視器並加強身份驗證程序。對客戶進行有關潛在欺詐計劃的教育也將成為持續的必要性。
雖然卸載後台邏輯似乎是比在每筆交易中使用區塊鏈更便宜的替代方案,但您需要考慮所涉及的全部成本。強大的安全措施不是可選的;它們是必不可少的。通過選擇這種方法,您需要犧牲區塊鏈固有安全性的一些好處來換取較低的交易費用。然而,增強安全措施、客戶教育和風險管理的隱性成本很容易侵蝕這些最初的節省。
最後的一些想法
透明度的重要性
哇,這是一段漫長的旅程。我們希望您能從本文中獲得一些有價值的東西,並且它將防止您在新興的 Web 2.5 環境中遭受巨大的經濟損失。然而,在您離開之前,我們必須解決一個關鍵點 — — 在瘋狂的大規模採用過程中,這個點很容易被忽視。這就是我們最初傾向於去中心化和區塊鏈技術的原因:透明度。
如今,許多項目在鏈外執行關鍵計算,以提供更流暢、更直觀和用戶友好的體驗。然而,這種效率提高的代價往往是最終用戶失去透明度。通過將這些數據隱藏在後端,我們冒著後退一步的風險,回到我們最初試圖逃離的非常集中的系統。這種透明度的侵蝕可能是漸進的,但其對空間完整性的長期影響是無可爭議的。
透明度不僅僅是一個流行詞;而是一個概念。它是用戶和平台之間信任的關鍵。反過來,信任是我們聚集在這裡的根本原因。它是將去中心化世界的結構粘合在一起的粘合劑。因此,為了處理速度的邊際收益或降低成本而在透明度上做出妥協,就是背叛了使去中心化系統有價值的原則。
因此,當我們站在 Web 2.5(一種融合了 Web 2.0 和 Web 3.0 元素的新範式)的門檻時,讓我們記住明智地進行選擇。我們的目標不應該是不加區別地組合功能,而是整合每個世界所提供的最好的功能。
Web 2.5 不應該是弗蘭肯斯坦的怪物,由其前身的不太理想的特徵拼湊而成。相反,它應該是一種無縫融合,捕捉 Web 3.0 中社區驅動的透明度的本質以及 Web 2.0 的效率和用戶友好性。
總之,我們不要讓創新熱情把我們引向錯誤的道路。互聯網的未來 — — Web 2.5、Web 3.0,或者任何未來的事物 — — 應該體現我們來到這裡的原則:透明、去中心化,以及最重要的信任。
這就是方法。
這就是方法。
關於SmartState
SmartState於 2019 年推出並在迪拜註冊成立,提供企業級區塊鏈安全服務。我們建立了一支由熟練的道德黑客、分析師和開發人員組成的專業團隊。SmartState 創始人和團隊在白帽黑客、信息安全、Web3 開發、金融和經濟領域擁有豐富的經驗。
我們已經對超過 300 個項目進行了安全審計。SmartState 審計的代碼均未遭到黑客攻擊。像 EYWA 和 1inch 這樣的大型項目以及像 Binance 和 KuCoin 這樣的交易所都依賴我們的經驗。
擔心您的項目和資產安全嗎?預訂我們的免費安全諮詢:
- 20分鐘
- SmartState頂級安全專家
- 嚴格關注您的項目
🚀 現在就利用這個機會!讓我們聯繫:info@smartstate.tech
請繼續關注並了解更多關於我們以及我們提供的服務:
迪爾。本文不構成法律、財務或投資建議,我們對基於我們的分析或建議做出的任何決定不承擔任何責任。
