引言:
0day 漏洞對傳統網絡安全的破壞力毋庸置疑。但在當前的Web3 領域中,對於傳統網絡安全漏洞並沒有引起足夠的重視。
這其中有兩方面原因,一是Web3 行業方興未艾,技術人員與安全設施都處於探索完善中;一是網絡安全相關法規已迫使Web2 企業注重自身安全建設以最大限度降低安全事件可能性。
這些原因使得當下Web3 領域更重視鏈上安全,以及區塊鏈生態自身的安全性,對於更底層的漏洞,如係統級漏洞、瀏覽器漏洞、移動安全、硬件安全等領域的漏洞缺乏足夠的認知(下文中對於傳統網絡安全中的0day 漏洞簡稱為Web2 0day)。
脆弱的底層安全範式如何支撐Web3 生態?
Web2 是Web3 的基礎設施
不可忽視的是,Web3 是建立在Web2 的基礎設施之上的。 Web2 底座如果產生安全漏洞,那麼對於Web3 生態來說就是大廈將傾,會對用戶資產安全會造成極大的威脅。
比如瀏覽器漏洞、移動端漏洞(iOS/Android),可以在用戶無感知的情況下竊取用戶資產。
黑客如何通過Chrome 0day 竊取你的個人數字資產(圖標僅為示意)
下面是一些利用Web2 0day 或者漏洞竊取數字資產的真實案例:
1. Hackers steal crypto from Bitcoin ATMs by exploiting zero-daybug
https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/
2. North Korean hackers exploited Chrome zero-day for 6 week
https://www.techtarget.com/searchsecurity/news/252515092/North-Korean-hackers-exploited-Chrome-zero-day-bug-for-six-weeks
3. Microsoft Word Vulnerability Could Steal Your Cryptocurrencies
https://thenationview.com/cryptocurrency/43279.html
4. Report: Android Vulnerability Allows Hackers to Steal Crypto Wallet Info
https://cointelegraph.com/news/report-android-vulnerability-allows-hackers-to-steal-crypto-wallet-info
從上述案例可以看出Web2 漏洞對數字資產的危害是真實存在的,危害以及影響也是非常大的。
Web2 漏洞不僅可以對個人資產造成影響,也會對交易所、資產託管企業、“礦”業等造成嚴重威脅。
Numen 為什麼要研究底層安全
從前文可知,當前Web2 對Web3 有著極大的影響力,沒有Web2 底層的安全,就沒有Web3 領域的安全。
而Numen 團隊恰好由來自全球的頂級安全專家組成,具備Web2+Web3 全方位全生態覆蓋的技術能力。 Numen 團隊已經發現過微軟、谷歌、蘋果產品的Web2 高危漏洞,以及如Aptos,Sui,EoS,Ripple,Tron 等知名Web3 生態的安全漏洞。
此外, Numen 認為,Web3 領域的安全措施僅通過單一代碼審計等方式並不充足,Web3 領域需要更多的安全設施,如實時檢測與響應惡意交易等。
安全技術是一件嚴肅其直接關乎用戶資產的事情,安全研究能力也是一家安全公司的水平體現,這也是為什麼Numen 從剛開始成立就去做Web2 漏洞研究的目的,因為“未知攻,焉知防”。
https://www.leiphone.com/category/gbsecurity/CT5us5IC3Fpdu4SX.html
以下是Numen 發現的一些安全漏洞的技術細節(點擊文章名即可跳轉):
1. 《HTTP提權漏洞CVE-2023-23410分析及PoC》
2. 《DHCP服務遠程代碼執行漏洞CVE-2023-28231分析及PoC》
3. 《獨家揭秘通過洩露Sentinel Value繞過Chrome v8 HardenProtect》
4. 《Javaweb框架ZK CVE-2022-36537漏洞分析附exp》
5. 《From Leak TheHole to Chrome Render RCE》
6. 《0day漏洞: Chromium v8引擎最新UAF代碼執行漏洞分析》
Numen 會持續堅持並擴大對底層安全技術的研究,並以兼容並蓄的態度,歡迎友商同行、技術同袍們的溝通交流,Web3 機構,交易所,錢包廠商與我們交流合作,一起將Web3 領域打造得更為安全。
END.