从一篇AMA揭幕单慢雾安全技术
一、对区块链项目进行安全审计时,需要做哪些事情,是一个怎样的流程?
首先我们会调研项目方的背景,保证项目方是正规的团队,并且项目遵守各项法规。接着会对代码进行评估审计的工作量,然后开始代码上的审计工作,根据审计项来发掘代码上的漏洞风险,并给出相关的修复方案,最后联系项目方修复对应的风险后再次经过检查,来给出最终的审计报告,大致是这么一个流程。
二、慢雾与行业内其他安全审计团队相比,有哪些独特的优势?
首先,慢雾安全团队拥有丰富的链上+链下安全经验,关注的是目标项目的整体安全架构(不仅仅是智能合约安全)及安全生命周期(这包括项目从安全设计到研发、运维、新版本迭代、威胁情报、应急响应、追踪溯源等,简而言之就是从威胁的发现到威胁防御,是慢雾安全的技术闭环做法)
另外,慢雾不仅关注技术安全,也很关注合规安全及生态安全,合规安全是确保目标项目能更安全合规运营(比如FATF及各国监管有关的反洗钱要求),生态安全是希望联合行业优质伙伴及社区一起(比如慢雾有慢雾区,一个白帽黑客安全社区)共同建设安全联防工作。
三、MistTrack 链上追踪服务,它是以什么方式展开的链上追踪行为?
MistTrack链上追踪分析主要分为资金转移分析和黑客痕迹分析两大部分
然后其他分析(例如受害者画像分析等)视情况而定
首先说说资金转移分析,大家也知道我们最近推出了反洗钱追踪平台 MistTrack,这也是目前我们比较常用的链上分析工具
这是一个很强大的工具,数据集成有数量众多的标签地址和恶意地址,最大程度的链上链下信息关联。
最近还在免费试用阶段,感兴趣可以自己做一次链上福尔摩斯试试看。网址是这个:MistTrack - A Crypto Tracking and Compliance Platform for Everyone
那既然右手拿工具,左手拿方法论,MistTrack内部成体系的方法论也是分析过程中至关重要的一环,例如黑客ETH链洗钱常用的Tornado.Cash如何分析转出,黑客BTC链洗钱常用的ChipMixer如何分析转出等等
非公开事件分析过程不好多说,那针对已公开的事件,刚好我们最近发布了《2022 上半年区块链安全与反洗钱分析报告》,
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
四、针对 APT(Advanced Persistent Threat:高级持续性威胁)攻击,可否简单描述一下这个攻击手段?
APT 其实并不是特指某一种攻击手段,而是指一种高级、持续性的攻击模式。通过先进的攻击手段对特定目标进行长期持续性的网络攻击。相对于普通网络攻击,更像是一种蓄谋已久的“网络间谍”行为。
然后APT攻击主要有几个特点:首先目的性极强,专门是对于窃取商业或国家机密、勒索、破坏重要基础设施等展开的,其次,该攻击行为隐蔽性极强,通常攻击周期长达几个月,以此来做到毫无痕迹的达成攻击目的,最后,其攻击手法多样且先进,常见使用的手法为社工、钓鱼、未公开补丁的未知漏洞等,攻击技术先进且高效。
APT 组织针对区块链行业主要采用的手法也是类似,通过社工或钓鱼骗取开发人员的信任或取得开发人员的相关权限账号后,对项目开发人员发放恶意木马病毒进行攻击。
那慢雾这边建议行业从业人员随时关注国内外各大安全威胁平台的安全情报,最好自我排查。开发人员在运行第三方的软件或文档时要做好必要的安全检查,开启防病毒程序并随时更新。
五、在区块链行业,资金被盗后有找回的可能性吗?是否可以列举一下,慢雾安全团队协助区块链项目方或其它团队找回被盗资金的案例。
如果你要按公开或非公开的加起来那还挺多的,那只说公开的事件,比如 SIL.Finance、Poly Network 等等都是我们协助追回。那涉及到非公开或者说是个人被盗,我自己也处理过好几起,还是有找回的案例,只是说这个比例不算高。
然后我就这边重点说一下被盗了应该怎么办?首先肯定要及时止损,及时转移剩余财产,有条件的话可以联系交易所或者其他平台先冻结账户,那接着就准备写一份被盗事件的文档,不需要很详细,地址资金被盗情况就够,最后可以联系我们这样的安全公司做一些链上追踪,去协助执法单位等等。
当然,你也可以使用刚刚说过的 MistTrack自己先进行一些追踪分析,看看有没有到交易所或者钱包使用痕迹的情况
六、能否从专业的角度讲一下,普通用户该如何防范?以及如何养成更好的链上交互习惯?
普通用户参与链上生态的项目的时候最好需要自己判断与调研项目的背景,以及查看该项目是否有正规安全公司的审计报告。
然后,在点击各种链接时需警惕钓鱼网站的风险,判断链接是否是官方的,最好是从官方媒体平台进去到官网。对于授权、签名等操作需要敏感,细心观察钱包弹出的提示消息。
最后就是做好隔离,分散管理资金,不要把资金都放在同一个钱包里。可以专门建一个钱包,放很少的资金,去玩你想玩的项目。
说到钱包安全,那我这里就要推荐下慢雾出品的区块链黑暗森林自救手册,大部分针对用户的资产安全都有涉及到。非常推荐大家阅读。
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
七、MistTrack有办法追踪Monero、Tornado、Zcash这些隐私币吗?
从一篇AMA揭幕单慢雾安全技术相关推荐
- 【前端学习之HTMLCSS进阶篇】-- HTML第四篇 -- 美化表单
[前端学习之HTML&CSS进阶篇]-- HTML第四篇 – 美化表单 文章目录 [前端学习之HTML&CSS进阶篇]-- HTML第四篇 -- 美化表单 前言 一.新的伪类 1. f ...
- 那些酷炫的网页你也可以做到——第六篇(表单标签)
前情回顾(不断复习): HTML第一篇 HTML第二篇 HTML第三篇 HTML第四篇 HTML第五篇 表单标签 我们每天都在使用QQ,那你知道QQ这个登录界面是怎么实现的吗?今天就教你做一个登录界面 ...
- 第十篇 Form表单
Form表单 阅读目录(Content) Form介绍 普通的登录 使用form组件 Form那些事儿 常用字段演示 校验 使用Django Form流程 补充进阶 应用Bootstrap样式 批量添 ...
- 第四篇 HTML 表单深入了解、注释和a标签的运用
表单深入了解.注释和a标签的运用 注释,HTML中的注释格式: 开头 <!-- 结束 --> 例子: <!-- <div>我被注释了</div> - ...
- 服务搭建篇(七) Elasticsearch单节点部署以及多节点集群部署
感兴趣的话大家可以关注一下公众号 : 猿人刘先生 , 欢迎大家一起学习 , 一起进步 , 一起来交流吧! 1.Elasticsearch Elasticsearch(简称ES) 是一个分布式 , RE ...
- spring boot 学习(七)小工具篇:表单重复提交
注解 + 拦截器:解决表单重复提交 前言 学习 Spring Boot 中,我想将我在项目中添加几个我在 SpringMVC 框架中常用的工具类(主要都是涉及到 Spring AOP 部分知识).比如 ...
- 网络安全篇(数据表单的创建 SQL命令拾遗 数据的SQL注入的防护)
SQL注入五孔不入,尽管是老技术了,但是依然是重点防护的手段,更多的需要我们数据库开发者细心!! 数据表的演练 1 创建数据表 create database jing_dong charset=ut ...
- 深入浅出SharePoint2010——请假系统无代码篇之表单设计
转载于:https://www.cnblogs.com/mingle/p/SharePoint2010_WithoutCode_FormDesign.html
- 【技术类】【ArcGIS对国产卫星的支持2:高分一号卫星】篇3、单景影像的几何校正
资源卫星应用中心分发的Level 1级产品是没有坐标的原始影像,高分一号的PMS和WFV数据也不例外.用户拿到这些原始影像,需要先进行几何校正才能够和现有数据叠加,继续后续的应用.你可以使用原始数据中 ...
最新文章
- 【软件工程】VB版机房文档总结
- Zeppelin:用于区块链应用的开源安全智能合约架构
- couldn't register *** with the bootstrap server. Error: unknown error code.
- mysql 日志的存放形式_mysql日志详细解析
- js中常用的正则表达式
- MAKEWORD(2,2)解释
- Delphi XE7中新并行库
- [数据结构]树、森林与二叉树之间的相互转换方法
- NOIP模拟测试16「Drink·blue·weed」
- matlab漂亮图表,漂亮,美观的图表之Matlab强势回归~~~~走你8
- ubuntu下创建软件图标和直接点文件打开
- 【Gamma】 Phylab 发布说明
- sae php api,api.php · silenceper/saeApi - Gitee.com
- opencv cv2.copyMakeBorder()函数详解
- 嵌入式文件系统固件img制作与解包
- MapReduce论文中文翻译
- 经纬度差和米单位的换算
- 如何在线打开Xmind文件 — 百度脑图在线工具
- 《袁老师访谈录》第一期|吴恩柏教授/香港科大协理副校长:【成功,说到底要非常专注!】...
- 如何使用Amos做调节效应和有调节的中介作用模型?