预判攻击者的预判，CertiK发起移动端保卫战

原创 | Odaily星球日报

作者 | 夫如何

编辑 | 郝方舟

近日，一则新闻在Web3行业内引起了关注：一家名为CertiK的安全审计公司发现了苹果公司在移动端的安全漏洞，并因此获得苹果公司公开致谢。

据苹果公司官方安全更新页面信息显示，CertiK 所发现的这些漏洞，会影响内核、GPU 驱动程序和 ProRes 驱动程序，并允许“一个应用程序以内核权限执行任意代码”。换言之，用户或许会丢失保存在手机里的钱包私钥，这对web3用户意味着什么，令人细思恐极。

苹果公司随即表示，已通过改进内存处理来解决这些漏洞。

据悉，此前 CertiK 也曾发现过韩国三星集团移动端的安全漏洞。

CertiK 是Web3行业内颇具口碑的头部安全机构，但在Web2世界则鲜有人知，苹果、三星这样的Web2巨头忽然与 CertiK 的名字一起出现，令人不免好奇，这是否预言Web2与Web3两个世界间的“破壁”，共同提升系统安全的新场景？

从科技应用发展史来看，用户操作习惯必将从电脑端向移动端迁移。Web2时代如是，Web3未来亦遵从这样的规律。

而从安全审计角度来讲，网络安全无界限，Web2和Web3的安全是相通。虽然两者在细分领域的关注点不同，但去中心化产品服务的用户、背后的协议依然重度依赖中心化的设备及系统。Web2的风险防控同样构成了Web3应用的安全底线。

正如 CertiK 创始人兼 CEO 顾荣辉所说：“如果预期未来Web3用户出现巨量增长，那么用户的Web3应用一定会从移动端 Dapp 接入。”

攻防复杂，风险蔓延

随着Web3高速发展，恶意攻击也愈加频繁。根据DefiLlama 数据显示，加密货币被盗总价值以超过 70 亿美元。

按事故对象，Web3风险可粗略分为以下三种：

● 项目自身机制安全问题：如智能合约、 51% 攻击、交易延展性攻击、双花攻击和垃圾交易攻击等自身机制漏洞造成的安全风险。圈内人记忆犹新的严重案例就有：Curve Vyper 编译器中的潜在漏洞导致多个 Curve 流动性池被攻击，叠加创始人不健康的借贷仓位，从而引发一连串的清算危机。

● 生态系统安全问题：如交易所被盗、暴雷跑路、网站数据泄露、场外操纵、拒绝服务攻击、交易地址篡改和矿池被攻击等外在因素攻击行为。近期案例有： 9 月份的加密交易所 CoinEx 热钱包被盗 7000 万美元等。

● 用户端安全问题：如帐号失窃、钱包失窃、欺诈，也包含用户被钓鱼和私钥保管问题等自身产生的问题。10 月 12 日，前 Alameda 工程师 Adi (e/acc)在 X 平台披露，某 Alameda 交易员因进行 DeFi 操作时点击了钓鱼链接，使 Alameda 损失超 1 亿美元。

在上述案例，我们会发现，Web2中的安全隐患极易对Web3造成重大影响，且无法完全拆分讨论。

实际上，大家常用的 Chrome 浏览器的历次升级中，就包含排查各项漏洞的工作，Web3钱包等扩展程序一旦没跟上“母体”的迭代，很容易遭受攻击。

文初，CertiK 发现关于苹果系统的多个移动端漏洞；MacStealer、ShadowVault、AMOS 和 Realst 等恶意软件攻击热门加密钱包并窃取密钥串数据库；SeaFlower 则会分发带有后门的加密钱包应用版本，以窃取助记词；CookieMiner 恶意软件可以访问包含短信的 iTunes 备份，获取绕过双因素身份验证所需的信息，进而访问受害者的加密钱包并窃取加密货币。

魔高一尺，道高一丈

由于Web3安全风险日益严重，安全也成为了项目方可持续发展的基石，除了自身提高风险意识，选择靠谱的安全审计公司也成为了做项目的标配。来自外部的审计报告既将项目安保交予“市场上更专精的角色”，顶级安全审计公司的背书也构成了项目面向用户宣传的一块金牌。

在这样的背景下，Web3安全审计公司从上一轮牛市开始快速发展，像 CertiK、派盾和慢雾等公司逐渐走入大家视野。Web3安全审计公司的业务也逐渐延展，从合约开发到后期监控全流程对项目方把控风险。

以 CertiK 为例，其为项目方和个人提供全流程的安全防护组件，包括Web3.0 安全审计和渗透测试，以发现和解决风险隐患；Skylnsights、KYC 尽调、紧急事件响应和漏洞赏金计划等措施，维护加密生态系统安全；以及 Skynet 天网系统和咨询服务等服务，搭建一体化的Web3安全分析平台，帮助使用者规避风险并提升安全风险意识。