前言
慢霧安全團隊開源--?Web3項目安全實踐要求,提供了詳細的實踐要求和建議來幫助Web3項目研發團隊識別和防范這些潛在的安全風險。Web3項目方可以參考本文提供的安全實踐要求,掌握相應的安全技能,提高Web3項目的安全性,以便更好地保護項目和用戶的資產安全。
Web3項目安全實踐要求包含如下的內容:
0x00背景概述
現今針對Web3項目的攻擊手法層出不窮,且項目之間的交互也越發復雜,在各個項目之間的交互經常會引入新的安全問題,而大部分Web3項目研發團隊普遍缺少的一線的安全攻防經驗,并且在進行Web3項目研發的時候重點關注的是項目整體的商業論證以及業務功能的實現,而沒有更多的精力完成安全體系的建設,因此在缺失安全體系的情況下很難保證Web3項目在整個生命周期的安全性。
通常項目方團隊為了確保Web3項目的安全會聘請優秀的區塊鏈安全團隊對其代碼進行安全審計,在進行安全審計的時候,才能夠更好地實現各種安全實踐要求,但是區塊鏈安全團隊的審計僅僅是短期的引導,并不能讓項目方團隊建立屬于自己的安全體系。
因此慢霧安全團隊開源了Web3項目安全實踐要求來持續性幫助區塊鏈生態中的項目方團隊掌握相應的Web3項目的安全技能,希望項目方團隊能夠基于Web3項目安全實踐要求建立和完善屬于自己的安全體系,在審計之后也能具備一定的安全能力。
0x01開發準備
需求分析文檔要求
1.?確保包含項目的詳盡描述
2.?確保包含項目解決的問題
3.?確保包含安全/隱私風險評估
Web3支付基礎設施公司Twig收購法國新創銀行Vybe:1月4日消息,Web3支付基礎設施公司Twig宣布收購面向Z世代年輕人用戶的法國新創銀行Vybe,但具體收購金額暫未對外公開。Twig表示這筆收購交易將使其能夠推出更全面的服務產品,并拓展青少年銀行業務。
Twig聲稱是目前歐洲增長最快的金融科技公司,去年完成3500萬美元A輪融資,Fasanara Capital領投。(AltFi)[2023/1/4 9:52:36]
開發設計文檔要求
1.?確保包含項目的架構設計圖
2.?確保包含代碼中函數的功能描述
3.?確保包含代碼中合約之間的關聯關系描述
4.確保安全/隱私的要求被正確實施
業務流程文檔要求
1.?確保包含項目中每個業務流程的描述
2.?確保包含詳盡的業務流程圖
3.?確保包含詳盡的資金鏈路圖
0x02開發過程
智能合約安全編碼要求
1.確保包含盡可能基于OpenZeppelin等知名library進行開發
2.確保包含使用SafeMath或0.8.x的編譯器來避免絕大部分溢出問題
3.確保遵循函數命名規范,參考:soliditystyleguide
(https://docs.soliditylang.org/en/v0.8.14/style-guide.html)
4.確保函數和變量可見性采用顯性聲明
5.確保函數返回值被顯性賦值
6.確保函數功能和參數注釋完備
7.確保外部調用正確檢查返回值,包含:transfer,transferFrom,send,call,delegatecall等
8.確保interface的參數類型返回值等實現是正確的
Web3架構提供商ZoidPay獲Gem Digital 7500萬美元投資承諾:金色財經報道,Web3架構商ZoidPay宣布獲7500萬美元投資承諾,投資方為數字資產投資公司GEM Digital(“GEM”)。據悉,ZoidPay公司將利用這筆資金構建新一代開放式金融服務架構,開發首個“按需元宇宙”,并推出 Web3超級應用程序。[2022/11/3 12:13:53]
9.確保設置合約關鍵參數時有進行鑒權并使用事件進行記錄
10.確保可升級模型的新的實現合約的數據結構與舊的實現合約的數據結構是兼容的
11.確保代碼中涉及算數運算的邏輯充分考慮到精度問題,避免先除后乘導致可能的精度丟失的問題
12.確保call等lowlevel調用的目標地址和函數是預期內的
13.使用call等lowlevel調用的時候要根據業務需要限制Gas
14.編碼規范進行約束,遵循:先判斷,后寫入變量,再進行外部調用(Checks-Effects-Interactions)
15.確保業務上交互的外部合約是互相兼容的,如:通縮/通脹型代幣,ERC-777,ERC-677,ERC-721等可重入的代幣,參考:重入漏洞案例
(https://medium.com/amber-group/preventing-re-entrancy-attacks-lessons-from-history-c2d96480fac3)
16.確保外部調用充分考慮了重入的風險
17.避免使用大量循環對合約的storage變量進行賦值/讀取
18.盡可能避免權限過度集中的問題,特別是修改合約關鍵參數部分的權限,要做權限分離,并盡可能采用治理,timelock合約或多簽合約進行管理
19.合約的繼承關系要保持線性繼承,并確保繼承的合約業務上確實需要
20.避免使用鏈上的區塊數據作為隨機數的種子來源
Web3社交協議Orbis宣布SDK和Web App已支持Solana鏈:10月7日消息,Web3社交協議Orbis宣布其SDK和Web App已支持Solana鏈。Solara開發人員可以使用Orbis的開源SDK,在其應用程序中集成去中心化社交體驗。用戶可以使用Phantom等Solana錢包登錄Orbis Web App,并以完全去中心化的方式與使用EVM錢包的用戶進行社交互動,包括可以跨鏈使用的加密私聊功能。
在10月份,Orbis將進一步支持Solana生態,例如添加NFT以及Bonfida的.sol用戶名。[2022/10/7 18:41:44]
21.確保隨機數的獲取和使用充分考慮回滾攻擊的可能
22.盡量使用Chainlink的VRF來獲取可靠的隨機數,參考:ChainlinkVRF
(https://docs.chain.link/vrf/v2/introduction)
23.避免使用第三方合約的token數量直接計算LPToken價格,參考:如何正確獲取LP的價
(https://blog.alphaventuredao.io/fair-lp-token-pricing/)
24.通過第三方合約獲取價格的時候避免單一的價格來源,建議采用至少3個價格來源
25.盡可能在關鍵的業務流程中使用事件記錄執行的狀態用于對項目運行時的數據分析
26.預留全局與核心業務緊急暫停的開關,便于發生黑天鵝事件的時候及時止損
測試用例代碼要求
1.?確保包含業務流程/函數功能可用性測試
2.確保包含單元測試覆蓋率95%以上,核心代碼覆蓋率要達到100%
基礎安全配置要求
1.?確保官方郵箱使用知名服務商,如Gmail
2.確保官方郵箱賬號強制開啟MFA功能
上海已研發完成面向web3.0技術的互聯網操作系統:金色財經報道,今日下午,上海市政府舉行“奮進新征程 建功新時代”黨委專題系列第二場新聞發布會——科技創新專場。記者從發布會上獲悉,近年來,上海支撐引領新興產業創新發展,已研發完成面向web3.0技術的互聯網操作系統(Conflux OS)。(上證報)[2022/9/20 7:08:29]
3.確保使用知名域名服務商,如GoDaddy
4.確保域名服務商平臺的賬號開啟MFA安全配置
5.確保使用優秀的CDN服務提供商,如Akamai、Cloudflare
6.確保DNS配置開啟了DNSSec,在域名服務管理平臺上為管理賬號設置強口令并開啟MFA認證
7.確保全員的手機和電腦設備使用殺軟件,如卡巴斯基、AVG等
Web前端安全配置要求
1.?確保全站的HTTP通訊采用HTTPS
2.確保配置了HSTS,以防止中間人攻擊,如:DNShijacking,BGPhijacking,參考:HSTS配置介紹
(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security)
3.確保配置了X-FRAME-OPTIONS,以防止Clickjacking攻擊,參考:X-FRAME-OPTIONS配置介紹
(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options)
4.確保配置了X-Content-Type-Options,以對抗瀏覽器sniff?為導致的?險,參考:X-Content-Type-Options配置介紹
(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options)
以太坊開發平臺Tenderly新增自動化無服務器等4個新功能,以簡化Web3開發:6月14日信息,以太坊開發平臺 Tenderly 新增 4 個新功能以簡化 Web3 開發,分別為 Web3 Actions(自動化的無服務器功能,允許團隊執行自定義代碼)、War Room Aid Kit(即時防御漏洞并檢測漏洞)、Tenderly Sandbox(瀏覽器內置編輯器,使所有技能水平的開發人員能夠共享代碼片段并立即查看正在構建的結果)、調試 Chrome 擴展(可在 20 多個 Tenderly 支持的網絡上的任何交易上運行此功能)。[2022/6/14 4:25:49]
5.確保配置了CSP策略,以防止XSS攻擊,參考:CSP內容安全策略介紹
(https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP)
6.確保與權限和用戶憑證相關的Cookie配置了HttpOnly,Secure,Expires,SameSite標志,參考:Cookie配置介紹
(https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies)
7.確保不同業務的子域嚴格劃分開,避免子域的XSS問題互相影響
8.確保引用的第三方資源使用了integrity屬性進行限制,避免第三方被黑導致項目方的站點受到影響,參考:SRI配置介紹
(https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity)
9.確保正確配置CORS,僅允許指定origin域,協議和端口訪問項目的資源,參考:CORS配置介紹
(https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS)
10.確保業務中實現的addEventListener/postMessage有檢查消息的origin和target,參考:postMessage安全介紹?
(https://developer.mozilla.org/zh-CN/docs/Web/API/Window/postMessage)
后端環境安全配置要求
1.確保選用優秀的云服務器提供商,如:AWS、Google云等
2.確保項目使用到的云平臺管理賬號使用強口令并開啟MFA認證
3.確保項目代碼部署到服務器前對服務器進行安全加固,如:安裝HIDS,采用SSHKey進行登錄,設置SSH登錄alert,設置SSH登錄google-auth等
4.確保使用專業軟件監控服務、服務器可用性,如APM、Zabbix
5.確保使用專業的機構定期測試項目安全性,如SlowMist、TrailofBits等
0x03發布過程
需要有完備的安全上線發布流程,可以參考如下的內容進行細化:
代碼凍結要求
在預計的上線時間倒推2天,即上線2天前必須凍結代碼不再做任何代碼改動
單元測試要求
1.?確保單元測試覆蓋率95%以上,核心代碼覆蓋率100%
2.確保輸出單元測試的覆蓋率報告
回歸測試要求
在上線1天前執行單元測試并進行回歸測試
測試報告要求
上線前0.5天由開發及測試共同完成測試報告,如果不通過,則推遲上線時間,開發完成修改后重新進入代碼凍結階段
安全審計要求
1.?安全審計人員在代碼凍結后進入整體安全回歸,如發現任一漏洞或安全隱患,則推遲上線時間,開發完成修改后重新進入代碼凍結
2.安全審計需要至少三個團隊進行獨立的審計,可以采用1個內部團隊+?2個外部團隊
0x04運行期間
運行時安全監控
盡可能的通過關鍵業務流程中觸發的事件來發現項目運行時的安全問題,如:
1.合約關鍵權限/參數變更:監控管理角色發生變更的事件,管理角色修改合約關鍵參數的事件,及時發現私鑰可能被盜的情況
2.合約資金變化:監控價格變動及合約資金變動的情況,及時發現可能的閃電貸等攻擊
3.周期性對賬:周期性對鏈上的事件與交易進行對賬,及時發現可能的業務邏輯上的問題
運行環境安全加固
1.確保實施前端代碼所在服務器的安全加固,如:安裝HIDS(https://www.aliyun.com/product/aegis),采用SSHKey?進行登錄,設置SSH登錄alert(https://medium.com/@alessandrocuda/ssh-login-alerts-with-sendmail-and-pam-3ef53aca1381),設置SSH登錄google-auth(https://goteleport.com/blog/ssh-2fa-tutorial/)?等
2.確保DNS配置開啟了DNSSec,在域名服務管理平臺上為管理賬號設置強口令并開啟2次認證
3.確保項目使用到的云平臺管理賬號使用了強口令并開啟了2次認證
發布漏洞賞金計劃
發布漏洞賞金計劃或入駐知名的漏洞賞金平臺,?吸引社區白帽子為項目保駕護航;可以選擇?BugRap?(https://bugrap.io/),?code4rena?(https://code4rena.com/),?immunefi?(https://immunefi.com/)
成立名義應急小組
成立名義應急小組并對外提供聯系方式,由應急小組負責處理白帽子發現的問題或在黑天鵝事件爆發時主導團隊成員進行應急處置
0x05應急處置
完備的應急處置流程
盡可能地制定完備地應急處置流程,有條不紊地根據應急處置流程來處置黑天鵝事件
止損處置要求
1.?根據問題影響的范圍和危害程度,及時通過緊急暫停開關進行止損
2.通知社區成員發生黑天鵝事件,避免用戶繼續與項目進行交互導致虧損
黑客追蹤要求
1.迅速分析黑客的獲利地址,并留存PC/Web/服務器的訪問日志
2.對服務器進行快照,及時保留被黑現場
3.聯系專業的安全團隊協助進行追蹤,如:?MistTrack追蹤分析平臺?(https://misttrack.io/),?Chainalysis?(https://www.chainalysis.com/)
修復問題要求
1.與專業安全團隊討論問題的最佳修復方案
2.正確實施修復方案并請專業的安全團隊進行驗證
安全發布要求
執行發布過程要求,確保一切代碼的變更均有經過測試和安全審計
復盤分析要求
1.?披露驗尸報告并與社區成員同步修復方案及補救措施
2.驗尸報告需要同步問題的本質原因,問題的影響范圍,具體的損失,問題的修復情況,黑客的追蹤等相關進展
總結
安全是動態管理的過程,僅依賴于第三方安全團隊的短期審計并不能真正保障項目長期安全穩定地運行。因此,建立和完善Web3項目的安全體系是至關重要的,項目方團隊自身具備一定的安全能力才能更好的保障Web3項目安全穩定地運行。
除此之外,我們建議項目方團隊還應該積極參與安全社區,學習最新的安全攻防技術和經驗,與其他項目方團隊和安全專家進行交流和合作,共同提高整個生態的安全性。同時,加強內部安全培訓和知識普及,提高全員的安全意識和能力,也是建立和完善安全體系的重要步驟。
最后,Web3項目安全實踐要求目前屬于v0.1版本,并且還在持續的完善,如果你有更好的建議,歡迎提交反饋。
原文:《將零知識證明引入比特幣,ZeroSync要做什么?》作者:Karen,ForesightNews如果在比特幣上引入零知識證明.
1900/1/1 0:00:00原文:《3月發生較典型安全事件超21起,各類攻擊事件損失總金額約2.18億美元!》 作者:Beosin 本月損失的主要金額來自于3月13日EulerFinance遭受攻擊損失的1.97億美元.
1900/1/1 0:00:00金色財經記者Jessy 近日,社區內正在為一項為新成立的去中心化自治組織(DAO)引入管理機構的提案——?Arbitrum改進提案1(AIP-1)引發了熱議,4月4日.
1900/1/1 0:00:0021:00-7:00關鍵詞:推特、貝萊德、USDT、美SEC、MagicEden1.推特將首頁Logo更換為原來的藍色鴿子圖案;2.投資公司Bitkraft第二只代幣基金完成2.
1900/1/1 0:00:003月29日消息,Meta全球事務總裁、英國前副首相尼克克萊格周三表示,Meta會繼續發展元宇宙,計算的未來將出現在這個仍未被充分定義的虛擬世界中.
1900/1/1 0:00:00作者:starzq,RubyWangTwitter:@starzqeth,@rubywxt1接下來要進入web3的千萬和上億的用戶.
1900/1/1 0:00:00