GCC公共物品系列 | 如何用DAO的方式做安全?
- SunSec, lurenbian
- Security
- 02 Sep, 2024
层出不穷的链上安全事故一直在刺激人们脆弱的神经。慢雾科技创始人余弦曾将链上世界比喻为“黑暗森林”,并建议用户们牢记两大安全法则,一是“零信任”,始终保持怀疑,二是“持续验证”,要将验证的能力养成习惯。
但是,黑客攻击的巨大获利总会吸引人绞尽脑汁、铤而走险,设计出花样翻新的骗局,将黑手伸进人们的钱包。如果我们不能及时吸取经验教训,就很容易一而再再而三地踏入类似的陷阱,也无法防微杜渐,在问题没有造成重大损害时及时止损。
这就是DeFi HackLabs试图改进的现状。如同它的创始人、来自台湾的安全领域OG SunSec所介绍的那样,DeFi HackLabs“最大的贡献”是“根据过去DeFi 被黑事件,模拟黑客是如何攻击,做 Proof of Concept 的复现”——收录的案例自2017年发生的算起,已经有500多条,其Repo在Github上收获了5000 多star。
而做到这一切的DeFi HackLabs,并非一个中心化的安全公司或机构,而是一个开源社区。截止发稿,DeFi HackLabs在Discord拥有3833名社区成员,其中有200名白帽子,来自世界各地,这一数字还在不断增长。
今年5月,DeFi HackLabs成功获得来自华语公共物品基金的3.5万美金捐赠。在此之前,DeFi HackLabs将更多精力专注于build,也更多依赖于自有资金,并未过多思考公共物品项目可以得到哪些资金支持实现更大跨越的发展。也是在获得GCC资助前后,DeFi HackLabs相继获得了来自区块链安全公司慢雾科技、以太坊生态系统基金(ESP)的支持。
这是GCC捐赠公共物品回访报告的第一篇。我们希望能够更多向华语区的读者介绍更多优秀的公共物品项目,启迪更多的人思考如何在这个行业创造更多的正向外部价值,也希望了解GCC等一系列外部资金资助后给社区带来的“化学反应”,思考我们要如何能在未来更好地发现好的公共物品及其建设者,支持公共物品事业的可持续发展。
(lurenbian:GCC Operator; SunSec: DeFi HackLabs创始人)
lurenbian: SunSec老师您好,久仰久仰。我看到你们这个社区的活动安排得很充实。可以简单介绍一下您进入区块链安全领域以及社区发展的经历吗?
SunSec:我在安全领域工作了15、16年,早期一直从事渗透测试,恶意程式以及威胁研究等等。在2018年注意到Web3,最开始关注过智能合約的安全和防御。Web3领域的安全漏洞其实挺可怕的,以前有NFT summer,Defi summer,我印象深刻的是2022年被叫做 hack summer,其中一天出现6个大型被骇事件。并且涉及的金额非常庞大,常常是百万千万级别的损失。这种风险与损失金额之间的不匹配正是Web2与Web3之间网络安全的差异所在。
当时开始系统性学习安全协议,发现能用的资料相对于传统网络安全领域仍然较少——当时的 Web3 安全从业者一般都倾向于办审计公司面向项目放做服务,行业缺少类似 OWASP 这样的公共性的资源贡献。所以我就开始想来做一些安全资源的补齐。
22年我写了二十多个案例复现并在七月左右开源了两个 repo ,十月份成立了DeFiHackLabs开源社区。我们希望能够借助社区的力量提高整个区块链生态的安全性。从刚成立时不到10位白帽,到现在超过200位白帽,其中40%的成员来自亚洲各地。我们一起致力于将传统安全领域的专家引进Web3,提升Web3安全开发者的技术,提升Web3生态安全。
lurenbian: 能否分享一下您和社区目前的成果和未来的计划?
SunSec:对 Web3 生态最大的贡献是 DeFiHackLabs repo 库,根据过去DeFi 被骇事件,去模拟黑客是如何攻击的,做 Proof of Concept 的复现。开发者可以根据这个 POC 研究攻击者的方式,发现项目本身的漏洞所在,并最终做出防范措施。这个repo 库已经收集500多条,现在已经在 github 上有5000 多star。
目前 Web3 行业的会议上对安全问题有一定关注度的,但Web2 网络安全会议上对区块链领域的关注还是比较少,这也是我们关注、在做的事情之一——在Web2 网络安全竞赛上出各种Web3 的竞赛题目,吸引更多人参与Web3安全的讨论。
9月我们将举办一个面向台湾地区的以太坊安全开发者训练营,计划是最多招募50人,培养一些Web3安全领域的新兴技术人才。主要以以太坊为支柱,占80%左右。
lurenbian: 您提到了与传统网络安全相比,Web3生态中风险与损失错配,请问具体有哪些表现形式?您曾在交易所负责安全防范,所面临的安全问题相较于传统金融银行业又有哪些异同?
SunSec:首要的就是损失规模:传统网络安全事故中往往是运营方损失资料,用户隐私泄露,直接的财产损失并不多。而 Web3 中每次安全事故基本都会造成较大规模的财产损失。比如22年上海公安在阿里巴巴的数据库遭入侵1,涉及逾十亿居民的个人资料泄露,而黑客只勒索10枚比特币。Web3 中的各类型被盗案所涉及的金额大家都有目共睹,然而与之相对应的却是在安全方面投入显然不成正比。
第二是Web3会比传统行业更容易受到攻击:Ronin chain 因为假招聘等社会工程学手段被盗6亿美元,在传统金融业或银行业基本是不可能的。相比于传统银行来说,银行的系统是绝不会直接开源的,而Web3的代码几乎都是开源的,这已经给黑客提供了许多便利。传统安全领域中如果黑客尝试攻击银行,一定会有 api call 的 log,常常可以提前预警做出防范。而Web3中黑客可以直接将协议下载到本地进行不断调试找到漏洞,不会提前暴露攻击意图,直到成功写出可以利用漏洞的脚本再去主网上攻击。最后,即使你的银行账户被盗,银行也可以在各环节很快将账户冻结使被盗资金不会立刻被提走。Web3中黑客一旦能把钱转到自己的钱包当中,找回的希望就已十分渺茫了。
lurenbian: 在您看来Web3在安全领域还有哪些不足之处?
SunSec:18年、19年时智能合约安全领域最为脆弱,现在已经在各方面有了一定进步。目前行业沉淀下了一些经受考验的项目,很多新项目直接 Fork 这些代码一般风险可控,但很多本身机制有创新的就可能更容易出现问题。上线前最好还是要经过审计。而很多项目常常为了赶活动或赶和 VC 承诺的时间未经审计就上线。另外新项目审计费用一般在3万美元以上,很多草根一点的新项目可能根本都出不起这个钱。也许有些公司会收币权做审计,但代币价值本身不稳定,审计公司很难同时扮演一个一级投资人的角色。这种项目可能就是被盗的高发地,而出现被盗损失的很多时候也不是项目方的钱,而是用户的钱。
这种情况下用户本应该是自己资产的第一责任人,应该对DeFi 协议的审计提出更高要求。在之前 DeFi summer 中,市场和散户本身也要求项目方至少提供一家审计公司的报告后,才会将自己的资金放进这些DeFi 协议中,KOL 也不会推荐没有审计的项目,这种趋势反而越来越差了。目前都是安全公司来提供安全订阅业务,有的项目其实对安全不太关注,觉得对安全投入的钱看不到收益。如果一个协议损失100m,和黑客或白客谈判很多时候就是以10% 总被盗资产作为奖励换取对方还款。可能至少拨出协议所负责的资产 5% 做保护做安全强化可能才算负责任。很多项目在网络安全中的投入完全不足。
在美国传统行业中网络安全投入一般会占到整个信息系统建设成本的15% 左右2,Web3 现在的 “安全投入跟不上资产规模增长” 的情况也是很多人对投身加密世界的一大顾虑。
在DeFi 协议中,很多TVL 也是从自己熟悉的大户或巨鲸手里借来的,不是项目方的钱。DeFi 协议赚的钱和其总体TVL 有时候关系不是那么密切,而且DeFi 协议本就追求一旦上线就快速推高TVL,而TVL 最高的时候往往就是最脆弱的时候。区块链安全需要更多研究者投身其中,不只是保护各大协议,还有保护用户和行业本身。
另外,Web3除了合约代码安全,基础架构安全也是很重要。很多东西都要从基础架构开始。比如solidity作为一个编程语言,本身就有一定不成熟的地方,但市场对它安全性的研究相比于它所保护的庞大的资产量来说相对不成比例。这就回到了不可能三角,区块链的特性就是公开透明,所以很难像传统安全防御不断迭代。从防火墙到入侵侦测IDS、入侵防御IPS,在区块链里面都没有这些产品沉淀下来。区块链行业还是很缺各类安全防御基础设施的。
lurenbian: 对其他的安全领域贡献者以及公共物品提供者,您有什么保持长期投入的建议?
SunSec:区块链产业有很多针对公共物品的捐赠,比如 GCC 和 Gitcoin等等。另外也可以通过撰写提案获得长期安全维护资金来源,无论是发现协议漏洞,还是贡献证明,都可以尝试向项目方提交申请获取资金。Arbitrum 或 OP 这种成熟的生态对这种提案会相对比较友好。还有像 Protocol Guild 3这样受以太坊官方支持的公会就是请各大在以太坊上的项目方一同拨出总代币的 1% 来激励以太坊核心贡献者,来增强以太坊协议本身的安全性和底层发展。
lurenbian: 您觉得GCC等机构提供的公共物品捐赠,对DeFi HackLabs的发展起到了哪些促进作用呢?
嗯这个是多方面的。DeFi HackLabs今年举办和参与了很多安全类相关的活动,包括台湾駭客年會HITCON 2024,我们就有去“摆摊”、投稿和出题,以及举办线上和线下的安全培训workshop和课程,这些都会有一定成本需要资金覆盖,为了鼓励社区成员参与我们也会设置一定的奖金。公共物品不光是为爱发电,我们要给到贡献者回报,哪怕钱并不多,也是一种鼓励。9月份我们会举办一个为期三个半月的以太坊安全开发训练营,同时得到了ESP的资助,旨在培育更多的区块链安全专才,提升开发者安全开发技能。
GCC除了捐赠我们之外,还有一系列针对优秀的公共物品建设者资助活动,我们都会积极分享给社区成员,比如EDCON的机票资助、以太坊协议奖学金(EPF)项目的配捐等等。尤其是以太坊协议奖学金项目,DeFi HackLabs有两位今年成功入选,其中一位华人入选者还得到了来自GCC的配捐支持。这些都是非常好的机会,社区成员因此得到了更多的激励,可以更多地去和国际上顶尖的开发者切磋交流。也是通过GCC我们更多地了解到了Gitcoin Grants、OP Retro PGF的相关信息—GCC今年在Gitcoin Grants 21发起了第一届Asia Round,支持亚洲范围内的数字公共物品,此前也捐赠成立了OP中文力量,推动提升华语地区项目 RetroPGF 获奖数量和资助总额。我们很开心华语世界有GCC这样的基金可以正向推动这个行业的发展。
参考资料
3.走近神秘组织Protocol Guild:为何Ether.Fi、LayerZero等项目都会向其捐款? - BlockBeats