Nota do Autor ✍🏻

Uma vez, os gregos construíram um cavalo de madeira e o ofereceram à cidade de Troia. O povo da cidade viu-o como um símbolo de paz, sem perceber a ameaça escondida dentro.

Com o lançamento bem-sucedido do Bitcoin ETF, mais e mais novos usuários e fundos estão voltando para o Web3, e o mercado aquecido parece indicar que o futuro do Web3 rumo à aplicação generalizada está mais próximo. No entanto, a falta de políticas e vulnerabilidades de segurança continuam a ser os principais obstáculos para a adoção generalizada das criptomoedas.

No mundo das criptomoedas, os hackers podem lucrar diretamente atacando vulnerabilidades on-chain, às vezes ganhando milhões ou até bilhões de dólares. Enquanto isso, o anonimato das criptomoedas cria condições para os hackers evitarem a captura. Até o final de 2023, o valor total bloqueado (TVL) de todos os protocolos de finanças descentralizadas (DeFi) era de cerca de $4 bilhões (atualmente $10 bilhões), enquanto somente em 2022, o valor total dos tokens roubados dos protocolos DeFi atingiu $310 milhões, representando 7% desse valor. Esse número ilustra completamente a gravidade dos problemas de segurança na indústria Web3, como a espada de Dâmocles pairando sobre nossas cabeças.

Não é apenas o ambiente on-chain; problemas de segurança no final do usuário Web3 também são significativos. De acordo com dados da Scam Sniffer, em 2023, 324 mil usuários tiveram seus ativos roubados devido a ataques de phishing, com um valor total roubado de US$ 295 milhões. Tanto em termos de escopo quanto de quantidade, o impacto é severo. Mas, do ponto de vista dos usuários, os próprios incidentes de segurança têm um atraso – os usuários muitas vezes têm dificuldade em perceber completamente a gravidade dos riscos potenciais antes que os acidentes ocorram. Portanto, as pessoas muitas vezes caem no "viés de sobrevivência", ignorando a importância da segurança.

Este artigo aborda os desafios de segurança urgentes enfrentados pelo mercado atual, especialmente diante do rápido crescimento de usuários da Web3. Ao dissecar as soluções de segurança propostas por empresas como Goplus, obtemos uma compreensão mais profunda de como fortalecer a adoção generalizada da Web3 por meio de conformidade e medidas de segurança aprimoradas. Argumentamos que a segurança da Web3 representa um mercado vasto, porém inexplorado, com valor de bilhões, e à medida que a base de usuários da Web3 continua a se expandir, a demanda por serviços de segurança centrados no usuário está preparada para um crescimento exponencial.

Visões Iniciais:

1. Revelando Ameaças na Segurança Web3: Explorando um Mercado Lucrativo

1.1 Proteção de Ativos

1.2 Garantindo Segurança Comportamental

1.3 Melhorando a Segurança do Protocolo

1. Analisando o cenário de segurança da Web3
2. Soluções de Segurança da Próxima Geração: Protegendo o Futuro do Web3
3. Conclusão

Com um total de 5400 palavras, este artigo deve levar aproximadamente 12 minutos para ler.

Revelando Ameaças na Segurança da Web3: Explorando um Mercado Lucrativo:

Atualmente, os produtos de segurança da Web3 predominantemente se enquadram em três categorias: ToB, ToC e ToD. As soluções B2B focam principalmente em auditorias de segurança de produtos, realizando testes de penetração e fornecendo relatórios de auditoria para fortalecer as defesas do produto. Por outro lado, as soluções B2C visam proteger os ambientes de segurança dos usuários, capturando e analisando inteligência de ameaças em tempo real e fornecendo serviços de detecção por meio de APIs. Além disso, as ferramentas ToD (Desenvolvedor) atendem aos desenvolvedores da Web3, oferecendo ferramentas e serviços automatizados de auditoria de segurança.

A auditoria de segurança é uma medida de segurança estática necessária. Quase todos os produtos Web3 passam por auditorias de segurança, e os relatórios de auditoria são tornados públicos. As auditorias de segurança não apenas permitem que a comunidade verifique a segurança dos protocolos pela segunda vez, mas também servem como uma das bases para os usuários confiarem nos produtos.

No entanto, as auditorias de segurança não são onipotentes. Dadas as tendências do mercado e a narrativa atual, prevemos que os desafios aos ambientes de segurança do usuário continuarão a aumentar, principalmente manifestados nos seguintes aspectos:

Protegendo Ativos:

Cada ciclo de mercado nos lança a emissão de novos ativos. Com o surgimento do ERC404 e tokens híbridos como FT e NFT, a emissão de ativos on-chain continua a evoluir, apresentando desafios crescentes para a segurança dos ativos. A complexidade introduzida pela mapeamento e integração de diferentes tipos de ativos por meio de contratos inteligentes expande a superfície de ataque para os hackers. Por exemplo, os atacantes podem interromper as transferências de ativos explorando mecanismos de callback específicos ou de impostos, potencialmente levando a ataques diretos de DoS. As auditorias de segurança tradicionais lutam para lidar com essas complexidades, exigindo monitoramento em tempo real, alertas e soluções de interceptação dinâmica.

Garantindo Segurança Comportamental:

Estatísticas da CSIA revelam que 90% dos ataques de rede têm origem em tentativas de phishing. Essa tendência se mantém no âmbito da Web3, onde os atacantes visam as chaves privadas dos usuários ou os fundos on-chain por meio de links de phishing ou mensagens de golpe em plataformas como Discord, X e Telegram.

As interações on-chain têm uma curva de aprendizado acentuada, o que é inerentemente contra intuitivo. Mesmo uma assinatura offline pode resultar em perdas de milhões de dólares. Será que sabemos o que estamos autorizando quando clicamos naquela assinatura? Em 22 de janeiro de 2024, um usuário de criptomoeda foi vítima de um ataque de phishing, assinando uma assinatura de Permissão com parâmetros incorretos. Após obter a assinatura, o hacker usou o endereço da carteira autorizada para transferir $4.2 milhões em tokens da conta do usuário.

Fraquezas no ambiente de segurança do lado do usuário também podem levar à perda de ativos. Por exemplo, quando um usuário importa uma chave privada para um aplicativo de carteira baseado em Android, a chave privada frequentemente permanece na área de transferência do telefone após a cópia. Nesse cenário, ao abrir um software malicioso, a chave privada pode ser lida e usada automaticamente para transferir ativos da carteira ou roubar os ativos do usuário após um período de latência.

À medida que mais e mais novos usuários entram na Web3, as questões de segurança no ambiente do lado do usuário se tornarão uma preocupação significativa.

Aprimorando a Segurança do Protocolo:

Os ataques de reentrância continuam a ser um dos maiores desafios para a segurança do protocolo. Apesar da adoção de inúmeras estratégias de controle de risco, eventos envolvendo tais ataques ainda ocorrem com frequência. Por exemplo, em julho passado, a Curve sofreu um severo ataque de reentrância devido a uma falha no compilador em sua linguagem de programação de contrato Vyper, resultando em perdas de até $60 milhões, o que levantou dúvidas generalizadas sobre a segurança do DeFi.

Embora existam muitas soluções de “caixa branca” para lógica do código-fonte do contrato, eventos como o hack do Curve revelam um problema significativo: mesmo que o código-fonte do contrato seja impecável, problemas de compilador podem levar a diferenças entre o tempo de execução final e o design esperado. A conversão de contratos do código-fonte para o tempo de execução real é um processo desafiador, com cada etapa potencialmente levando a problemas inesperados, e o próprio código-fonte pode não cobrir completamente todos os cenários potenciais. Portanto, confiar apenas na segurança do código-fonte e no nível do compilador está longe de ser suficiente; vulnerabilidades ainda podem surgir devido a problemas de compilador.

Portanto, a proteção em tempo de execução se tornará necessária. Ao contrário das medidas de controle de risco existentes que se concentram no nível do código-fonte do protocolo e têm efeito antes do tempo de execução, a proteção em tempo de execução envolve os desenvolvedores do protocolo escrevendo regras e operações de proteção em tempo de execução para lidar com situações imprevistas durante o tempo de execução. Isso ajuda na avaliação e resposta em tempo real aos resultados da execução em tempo de execução.

De acordo com as previsões da Bitwise, uma empresa de gestão de ativos de criptomoedas, o valor total dos ativos de criptomoedas alcançará $16 trilhões até 2030. Se analisarmos quantitativamente do ponto de vista da avaliação de riscos de custos de segurança, a ocorrência de incidentes de segurança on-chain quase leva a uma perda de 100% dos ativos, então o fator de exposição (EF) pode ser definido como 1 e, assim, a expectativa de perda única (SLE) é de $16 trilhões. Com uma taxa de ocorrência anualizada (ARO) de 1%, podemos obter uma expectativa de perda anualizada (ALE) de $160 bilhões, que é o valor máximo do custo do investimento em segurança em ativos de criptomoedas.

Dada a gravidade, frequência e crescimento em alta velocidade da escala de mercado de incidentes de segurança de criptomoedas, podemos prever que a segurança da Web3 será um mercado de cem bilhões de dólares, crescendo rapidamente com a expansão do mercado e da base de usuários da Web3. Além disso, considerando o crescimento maciço de usuários individuais e a crescente preocupação com a segurança de ativos, podemos antecipar um crescimento geométrico na demanda por serviços e produtos de segurança da Web3 no mercado C-side, representando um mercado oceano azul que ainda não foi totalmente explorado.

Analisando o panorama de segurança da Web3

Com o contínuo surgimento de problemas de segurança no Web3, há um aumento perceptível na demanda por ferramentas avançadas que possam proteger ativos digitais, verificar a autenticidade de NFTs, monitorar aplicativos descentralizados e garantir conformidade com regulamentações de combate à lavagem de dinheiro. As estatísticas indicam que as principais fontes de ameaças à segurança enfrentadas pelo Web3 atualmente incluem:

• Ataques de hackers direcionados a protocolos
• Scams direcionados aos usuários, phishing e roubo de chaves privadas
• Ataques de segurança direcionados à própria blockchain

Para enfrentar esses riscos, as empresas no mercado atualmente se concentram principalmente em oferecer serviços e ferramentas em duas principais vertentes: testes e auditorias ToB (pré-chain) e monitoramento ToC (on-chain). Em comparação com ToC, os players na vertente ToB estão no mercado há mais tempo e continuam a ver novos entrantes. No entanto, à medida que o ambiente de mercado Web3 se torna mais complexo, as auditorias ToB estão gradualmente lutando para lidar com várias ameaças de segurança, destacando a crescente importância do monitoramento ToC e, assim, impulsionando sua demanda.

• ParaB:

Empresas representativas no mercado atual, como Certik e Beosin, oferecem serviços de teste e auditoria ToB. Essas empresas geralmente fornecem serviços no nível de contrato inteligente, conduzindo auditorias de segurança e verificação formal de contratos inteligentes. Através de métodos pré-cadeia, como análise de visualização de carteira, análise de vulnerabilidades de contratos inteligentes e auditorias de segurança de código-fonte, essas empresas podem detectar vulnerabilidades de contratos inteligentes em certa medida e mitigar riscos.

• ToC

O monitoramento ToC é executado on-chain, envolvendo análise de risco do código do contrato inteligente, estados on-chain, metadados de transação do usuário, simulação de transação e monitoramento de estado. Em comparação com ToB, as empresas de segurança C-side no espaço Web3 foram estabelecidas relativamente mais tarde, mas testemunharam um crescimento notável. Os serviços fornecidos por empresas de segurança Web3 como GoPlus estão sendo gradualmente aplicados em vários ecossistemas dentro do Web3.

Desde a sua criação em maio de 2021, a GoPlus experimentou um crescimento rápido nas chamadas diárias de API, de algumas centenas de consultas por dia inicialmente para vinte milhões de chamadas por dia durante os picos de mercado. O gráfico a seguir ilustra a mudança nas chamadas de API de Risco de Token de 2022 a 2024, mostrando a taxa de crescimento da importância da GoPlus no domínio Web3.

O módulo de dados do usuário introduzido pela GoPlus tornou-se uma parte integrante de várias aplicações Web3, desempenhando um papel crucial em sites de mercado líderes como CoinMarketCap (CMC), CoinGecko, Dexscreener, Dextools, principais exchanges descentralizadas como Sushiswap, Kyber Network, e carteiras como Metamask Snap, Carteira Bitget, Safepal.

Além disso, este módulo foi adotado por empresas de serviços de segurança de usuários como Blowfish, Webacy e Kekkai, indicando o papel crucial do módulo de dados de segurança do usuário da GoPlus na definição da infraestrutura de segurança do ecossistema Web3 e sua posição significativa nas plataformas descentralizadas contemporâneas.

GoPlus oferece principalmente os seguintes serviços de API, fornecendo insights abrangentes sobre os dados de segurança do usuário por meio da análise de dados direcionada de vários módulos-chave. Isso visa antecipar ameaças de segurança em evolução e enfrentar os desafios multifacetados da segurança Web3.

• API de Risco de Tokens: Avalia os riscos associados a diferentes criptomoedas.
• API de Risco de NFT: Avalia os riscos associados a vários NFTs.
• API de Endereço Malicioso: Identifica e sinaliza endereços associados a fraudes, phishing e outras atividades maliciosas.
• API de Segurança dApp: Fornece monitoramento em tempo real e detecção de ameaças para aplicações descentralizadas.
• API de Contrato de Aprovação: Gerencia e audita as permissões de invocação de contrato inteligente.

Na faixa do lado C, também observamos Harpie. Harpie concentra-se na proteção de carteiras Ethereum contra roubo e colabora com empresas como OpenSea e Coinbase. Eles salvaguardaram milhares de usuários de golpes, ataques de hackers e roubo de chaves privadas. Sua abordagem de produto engloba tanto monitoramento quanto recuperação. Eles monitoram carteiras para identificar vulnerabilidades ou ameaças, notificam prontamente os usuários ao descobri-las e ajudam na remediação. Eles respondem prontamente aos usuários que foram vítimas de ataques de hackers ou golpes, ajudando a recuperar seus ativos. Seus esforços têm sido altamente eficazes na melhoria da segurança da carteira Ethereum.

Além disso, o ScamSniffer fornece serviços na forma de um plugin de navegador. Este produto realiza verificações em tempo real através de um mecanismo de detecção de sites maliciosos e múltiplas fontes de dados em lista negra antes que os usuários abram links, protegendo-os dos impactos de sites maliciosos. Durante transações online, detecta golpes como phishing para proteger a segurança dos ativos do usuário.

Soluções de segurança de próxima geração: Protegendo o futuro do Web3

Para abordar questões como segurança de ativos, segurança comportamental, segurança de protocolo e necessidades de conformidade on-chain, mergulhamos nas soluções oferecidas pela GoPlus e Artela. Estes têm como objetivo entender como eles apoiam aplicações Web3 em larga escala mantendo ambientes de segurança do usuário e ambientes operacionais on-chain.

1. Ambiente de Segurança de Usuário Infraestrutura

A segurança da transação blockchain forma a base da segurança para aplicativos Web3 em grande escala. Com ataques frequentes de hackers on-chain, ataques de phishing e rug pulls, garantir a rastreabilidade de transações on-chain, identificação de comportamentos suspeitos on-chain e garantia de segurança de perfis de usuários são cruciais. Com base nisso, a GoPlus lançou a plataforma SecWareX, a primeira plataforma abrangente de detecção de segurança pessoal para Web3.

SecWareX é um produto de segurança pessoal Web3 construído no protocolo de segurança do usuário SecWare, fornecendo uma solução de segurança abrangente em um único local que inclui a identificação em tempo real de ataques em tempo de execução on-chain, alertas precoces, interceptação oportuna e resolução de disputas. Ele também suporta estratégias de interceptação de segurança personalizadas para contratos de emissão de ativos adaptados a cenários específicos.

Para a educação em segurança de comportamento do usuário, a SecWareX introduz o programa Learn2Earn, combinando habilmente o aprendizado de conhecimento de segurança com incentivos de tokens, permitindo aos usuários aprimorar sua consciência de segurança enquanto ganham recompensas tangíveis.

1. Soluções de Conformidade de Fundos

O combate à lavagem de dinheiro (AML) é uma das necessidades mais urgentes nas blockchains públicas. Nas cadeias públicas, a análise de fatores como fontes de transações, comportamento esperado, quantias e frequências pode ajudar a identificar prontamente comportamentos suspeitos ou anormais. Isso auxilia as exchanges descentralizadas, carteiras e agências reguladoras na detecção de atividades ilegais potenciais, como lavagem de dinheiro, fraude e jogos de azar, e na adoção de medidas oportunas, como alertas, congelamento de ativos ou relatórios às autoridades policiais, para fortalecer a conformidade com DeFi e a aplicação em larga escala.

Com o enriquecimento contínuo dos comportamentos on-chain, o Conheça Sua Transação (KYT) para aplicativos descentralizados se tornará um pré-requisito indispensável para aplicativos em larga escala. A API de Endereços Maliciosos da GoPlus é crucial para que as exchanges, carteiras e serviços financeiros que operam na Web3 cumpram os requisitos regulatórios e garantam suas operações, destacando a conexão intrínseca entre conformidade regulatória e progresso tecnológico no campo da Web3. Isso destaca a importância do monitoramento contínuo e da adaptação para salvaguardar a integridade do ecossistema e a segurança do usuário.

1. Protocolos de Segurança On-Chain

Artela é a primeira cadeia pública Layer1 nativa a suportar proteção em tempo de execução. Através do design EVM++, o módulo de extensão nativo dinamicamente integrado Aspect do Artela suporta adicionar lógica de extensão em vários pontos no ciclo de vida da transação, registrando o estado de execução de cada chamada de função.

Quando ocorre uma chamada reentrante ameaçadora durante a execução da função de retorno, o Aspect detecta e retira imediatamente a transação para evitar que os atacantes explorem vulnerabilidades de reentrância. Por exemplo, ao proteger contra ataques reentrantes em contratos Curve, a Artela fornece uma solução de segurança em nível de protocolo nativo da cadeia para várias aplicações DeFi.

À medida que a complexidade do protocolo e a diversidade do compilador aumentam, a importância de soluções de proteção de tempo de execução on-chain, em oposição a verificações estáticas da lógica do código do contrato em soluções de "caixa branca", torna-se mais pronunciada.

Conclusão

Em 10 de janeiro de 2024, a SEC anunciou oficialmente a aprovação da listagem e negociação de um ETF de Bitcoin à vista, marcando o passo mais significativo em direção à adoção mainstream de ativos de criptomoeda. À medida que os ambientes políticos amadurecem e as medidas de segurança se fortalecem, testemunharemos inevitavelmente a chegada de aplicativos Web3 em grande escala. Se os aplicativos Web3 em grande escala são as ondas turbulentas, então a segurança do Web3 é a represa robusta construída para proteger os ativos dos usuários, resistir às tempestades externas e garantir que todos naveguem com segurança por cada onda.

Aviso Legal:

1. Este artigo é reproduzido a partir de [ BuidlerDAO], Todos os direitos autorais pertencem ao autor original [BuidlerDAO]. Se houver objeções a essa reprodução, entre em contato com o Gate Learnequipe e eles vão lidar com isso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.