Numen:沒有 Web2 底層的安全性,就沒有 Web3 安全

引言:

0day 漏洞對傳統網絡安全的破壞力毋庸置疑。但在當前的Web3 領域中,對於傳統網絡安全漏洞並沒有引起足夠的重視。

這其中有兩方面原因,一是Web3 行業方興未艾,技術人員與安全設施都處於探索完善中;一是網絡安全相關法規已迫使Web2 企業注重自身安全建設以最大限度降低安全事件可能性。

這些原因使得當下Web3 領域更重視鏈上安全,以及區塊鏈生態自身的安全性,對於更底層的漏洞,如係統級漏洞、瀏覽器漏洞、移動安全、硬件安全等領域的漏洞缺乏足夠的認知(下文中對於傳統網絡安全中的0day 漏洞簡稱為Web2 0day)。

Numen:沒有 Web2 底層的安全性,就沒有 Web3 安全

脆弱的底層安全範式如何支撐Web3 生態?

Web2 是Web3 的基礎設施

不可忽視的是,Web3 是建立在Web2 的基礎設施之上的。 Web2 底座如果產生安全漏洞,那麼對於Web3 生態來說就是大廈將傾,會對用戶資產安全會造成極大的威脅。

比如瀏覽器漏洞、移動端漏洞(iOS/Android),可以在用戶無感知的情況下竊取用戶資產。

Numen:沒有 Web2 底層的安全性,就沒有 Web3 安全

黑客如何通過Chrome 0day 竊取你的個人數字資產(圖標僅為示意)

下面是一些利用Web2 0day 或者漏洞竊取數字資產的真實案例:

1. Hackers steal crypto from Bitcoin ATMs by exploiting zero-daybug

https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/

2. North Korean hackers exploited Chrome zero-day for 6 week

https://www.techtarget.com/searchsecurity/news/252515092/North-Korean-hackers-exploited-Chrome-zero-day-bug-for-six-weeks

3. Microsoft Word Vulnerability Could Steal Your Cryptocurrencies

https://thenationview.com/cryptocurrency/43279.html

4. Report: Android Vulnerability Allows Hackers to Steal Crypto Wallet Info

https://cointelegraph.com/news/report-android-vulnerability-allows-hackers-to-steal-crypto-wallet-info

從上述案例可以看出Web2 漏洞對數字資產的危害是真實存在的,危害以及影響也是非常大的。

Web2 漏洞不僅可以對個人資產造成影響,也會對交易所、資產託管企業、“礦”業等造成嚴重威脅。

Numen 為什麼要研究底層安全

從前文可知,當前Web2 對Web3 有著極大的影響力,沒有Web2 底層的安全,就沒有Web3 領域的安全。

而Numen 團隊恰好由來自全球的頂級安全專家組成,具備Web2+Web3 全方位全生態覆蓋的技術能力。 Numen 團隊已經發現過微軟、谷歌、蘋果產品的Web2 高危漏洞,以及如Aptos,Sui,EoS,Ripple,Tron 等知名Web3 生態的安全漏洞。

此外, Numen 認為,Web3 領域的安全措施僅通過單一代碼審計等方式並不充足,Web3 領域需要更多的安全設施,如實時檢測與響應惡意交易等。

安全技術是一件嚴肅其直接關乎用戶資產的事情,安全研究能力也是一家安全公司的水平體現,這也是為什麼Numen 從剛開始成立就去做Web2 漏洞研究的目的,因為“未知攻,焉知防”。

https://www.leiphone.com/category/gbsecurity/CT5us5IC3Fpdu4SX.html

以下是Numen 發現的一些安全漏洞的技術細節(點擊文章名即可跳轉):

1. 《HTTP提權漏洞CVE-2023-23410分析及PoC》

2. 《DHCP服務遠程代碼執行漏洞CVE-2023-28231分析及PoC》

3. 《獨家揭秘通過洩露Sentinel Value繞過Chrome v8 HardenProtect》

4. 《Javaweb框架ZK CVE-2022-36537漏洞分析附exp》

5. 《From Leak TheHole to Chrome Render RCE》

6. 《0day漏洞: Chromium v8引擎最新UAF代碼執行漏洞分析》

Numen 會持續堅持並擴大對底層安全技術的研究,並以兼容並蓄的態度,歡迎友商同行、技術同袍們的溝通交流,Web3 機構,交易所,錢包廠商與我們交流合作,一起將Web3 領域打造得更為安全。

END.