Numen:沒有 Web2 底層的安全性 就沒有 Web3 安全
2023-06-13 17:25 Numen Cyber
引言:
0day 漏洞對傳統網絡安全的破壞力毋庸置疑。但在當前的 Web3 領域中,對於傳統網絡安全漏洞並沒有引起足夠的重視。
這其中有兩方面原因,一是 Web3 行業方興未艾,技術人員與安全設施都處於探索完善中;一是網絡安全相關法規已迫使 Web2 企業注重自身安全建設以最大限度降低安全事件可能性。
這些原因使得當下 Web3 領域更重視鏈上安全,以及區塊鏈生態自身的安全性,對於更底層的漏洞,如系統級漏洞、瀏覽器漏洞、移動安全、硬件安全等領域的漏洞缺乏足夠的認知(下文中對於傳統網絡安全中的 0day 漏洞簡稱爲 Web2 0day)。
脆弱的底層安全範式如何支撐 Web3 生態?
Web2 是 Web3 的基礎設施
不可忽視的是,Web3 是建立在 Web2 的基礎設施之上的。Web2 底座如果產生安全漏洞,那么對於 Web3 生態來說就是大廈將傾,會對用戶資產安全會造成極大的威脅。
比如瀏覽器漏洞、移動端漏洞(iOS/Android),可以在用戶無感知的情況下竊取用戶資產。
黑客如何通過 Chrome 0day 竊取你的個人數字資產(圖標僅爲示意)
下面是一些利用 Web2 0day 或者漏洞竊取數字資產的真實案例:
1.Hackers steal crypto from Bitcoin ATMs by exploiting zero-day bug
https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/
2.North Korean hackers exploited Chrome zero-day for 6 week
https://www.techtarget.com/searchsecurity/news/252515092/North-Korean-hackers-exploited-Chrome-zero-day-bug-for-six-weeks
3.Microsoft Word Vulnerability Could Steal Your Cryptocurrencies
https://thenationview.com/cryptocurrency/43279.html
4.Report: Android Vulnerability Allows Hackers to Steal Crypto Wallet Info
https://cointelegraph.com/news/report-android-vulnerability-allows-hackers-to-steal-crypto-wallet-info
從上述案例可以看出 Web2 漏洞對數字資產的危害是真實存在的,危害以及影響也是非常大的。
Web2 漏洞不僅可以對個人資產造成影響,也會對交易所、資產托管企業、“礦”業等造成嚴重威脅。
Numen 爲什么要研究底層安全
從前文可知,當前 Web2 對 Web3 有着極大的影響力,沒有 Web2 底層的安全,就沒有 Web3 領域的安全。
而 Numen 團隊恰好由來自全球的頂級安全專家組成,具備 Web2+Web3 全方位全生態覆蓋的技術能力。Numen 團隊已經發現過微軟、谷歌、蘋果產品的 Web2 高危漏洞,以及如 Aptos,Sui,EoS,Ripple,Tron 等知名 Web3 生態的安全漏洞。
此外,Numen 認爲,Web3 領域的安全措施僅通過單一代碼審計等方式並不充足,Web3 領域需要更多的安全設施,如實時檢測與響應惡意交易等。
安全技術是一件嚴肅其直接關乎用戶資產的事情,安全研究能力也是一家安全公司的水平體現,這也是爲什么 Numen 從剛开始成立就去做 Web2 漏洞研究的目的,因爲“未知攻,焉知防”。
https://www.leiphone.com/category/gbsecurity/CT5us5IC3Fpdu4SX.html
以下是我們numen自己發現的一些安全漏洞的技術細節:
1.《HTTP提權漏洞CVE-2023-23410分析及PoC》
https://mp.weixin.qq.com/s/wMFrOfL5mTO9BHzGhpKrEA
2.《DHCP服務遠程代碼執行漏洞CVE-2023-28231分析及PoC》
https://mp.weixin.qq.com/s/YqZVlQOMg8WEOrVEbsLGwg
3.《獨家揭祕通過泄露Sentinel Value繞過Chrome v8 HardenProtect》
https://mp.weixin.qq.com/s/61AOj7dVeLpaye8-N3ASKw
4.《Javaweb框架ZK CVE-2022-36537漏洞分析附exp》
https://mp.weixin.qq.com/s/Y2e0sHzmRZPKTZPFubntYg
5.《From Leak TheHole to Chrome Render RCE》
https://mp.weixin.qq.com/s/SjteNZ0t886KLOHdZ5XCeA
6.《0day漏洞: Chromium v8引擎最新UAF代碼執行漏洞分析》
https://mp.weixin.qq.com/s/sM6lEDE7Fxn26ONkgPoB4A
Numen 會持續堅持並擴大對底層安全技術的研究,並以兼容並蓄的態度,歡迎友商同行、技術同袍們的溝通交流,Web3 機構,交易所,錢包廠商與我們交流合作,一起將 Web3 領域打造得更爲安全。
END
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:Numen:沒有 Web2 底層的安全性 就沒有 Web3 安全
地址:https://www.sgitmedia.com/article/2504.html
相關閱讀:
- 1100萬美元持倉曝光 密歇根州養老基金大舉投資以太坊ETF 2024-11-05
- OpenAI強勢出擊!將ChatGPT轉變爲搜索引擎,並斥資50億开發定制版AI芯片 2024-11-05
- 機構進場了?Memecoin能否在Q4繼續撐起主場 2024-11-05
- 特朗普和哈裏斯向战場州發起最後衝刺 有哪些值得關注的信息 2024-11-05
- 爲什么說特朗普交易行情的敘事被誇大了? 2024-11-05
- 決定美帝命運的 竟然是一只松鼠 2024-11-05
- AI+Crypto 結合的機會 2024-11-05
- 硅谷2024最瘋狂投資:押注下一任美國總統 2024-11-05