导致 Web3 更易受攻击的因素及我们的缓解策略

导致 Web3 更易受攻击的因素及我们的缓解策略

在一个几乎每周都会发生区块链黑客攻击和资本掠夺的世界里,人们不禁要问:我们能否有效预防这些安全漏洞?

区块链安全领域的专家 BlockSec 提供了宝贵的见解。我们认识到问题的复杂性,并积极致力于加强安全措施。BlockSec Phalcon 是我们的产品之一,可以在攻击交易执行之前提供精确的警报,并自动采取行动反击黑客。

以下是我们的 BlockSec 创始人 Yajin Zhou 教授在一次监控小组讨论中分享的关于主动应对区块链安全的观点。

考虑到区块链几乎每周都会发生频繁的黑客攻击和资本掠夺,有效预防它们是否现实?

在区块链安全领域,答案有些复杂。我们的团队正在不断研究发现 DeFi 黑客攻击的方法。如果您问我们是否能发现所有正在进行的攻击,答案是肯定的。但是,关键在于:如果我们把每一笔交易都标记为可疑或攻击,我们就能发现所有黑客攻击,但这会产生一个问题。我们需要仔细平衡误报和漏报。

当我们为客户创建产品并设置监控系统时,我们必须确保我们的警报是有意义的。如果我们的系统产生过多的警报,比如每天 50、100 甚至 200 个,大多数用户会忽略它们,因为其中大部分最终会被证明是误报。所以,我们的挑战在于有效地维持这种平衡。

在 Blocksec,我们正积极致力于制定策略,以发现攻击同时减少误报。展望未来,在安全社区的帮助下,我们希望能够发现大部分攻击。虽然我们可能无法完全阻止所有攻击,但我们绝对可以显著提高我们的检测能力。

Web3 中有哪些特定因素使其比 Web2 更容易受到安全攻击?

在 Web3 安全领域,有几个因素脱颖而出,使得 Web3 比 Web2 更容易受到攻击。

  • 首先,Web3 非常开放。一切,如智能合约和源代码,都公开可见。这种开放性使得普通用户和攻击者都更容易发现漏洞。相比之下,Web2 系统,如传统银行的系统,会隐藏其代码,使得发现弱点更加困难。

  • 其次,区块链的一些部分,如闪电贷,实际上使攻击者更容易得逞。在常规金融系统中,攻击者通常需要大量资金,比如一百万美元,才能发动攻击。但在区块链世界,他们可以使用闪电贷借入大量现金,比如一千万美元,并将其用于攻击。

  • 最后,Web3 缺乏发现漏洞的良好工具。我是一名大学教授,我看到学生们在 Web2 的常规软件中创建工具来发现棘手的问题。但对于 Web3 和智能合约,还有很多工作要做。发现与业务规则相关的逻辑错误尤其困难。这涉及到改变输入、理解不同输入之间的关系以及使用可靠的信息来源——这些挑战我们尚未完全解决。

因此,所有这些因素加在一起,使得 Web3 成为攻击者的诱人目标,但也成为协议难以保持安全的地方。

您如何看待 Web3 安全中的监控之间的联系?它是否会赋能攻击者,同时也提供整合可选监控解决方案的机会?

我在 Blocksec 遇到过与音频混淆和隐私交易相关的挑战。与 Flashbots 类似,这些服务容易被攻击者滥用。一位同事提出的一个建议是,在闪电贷中投资交易以防止其被滥用。然而,我认为这个解决方案在一个去中心化的世界里可能不切实际或无法实现。

阻止攻击者滥用这些服务仍然是一个悬而未决的问题。尽管如此,我们可以采取一些行动。

  • 首先,如果识别出攻击者,与当局合作共享信息可以帮助验证攻击者的身份。与当局合作是缓解该问题的一步。

  • 此外,未来,在交易中实施基于社区的事件系统可能会很有用。通过纳入基于社区的去中心化机制,我们可以延迟那些看起来恶意的交易。

虽然这些措施可能无法完全解决问题,但它们可以帮助应对我们目前面临的挑战。

您能否推荐任何专门用于检测 Web3 应用程序安全漏洞的工具或资源?

在推荐方面,我认为探索 DeFi Hack Labs 是从 Web2 过渡到 Web3 安全的一个绝佳起点。

该资源提供了大量的过往黑客攻击交易,可以进行分析,以深入了解这些攻击的动机和方法。通过理解这些黑客攻击的根本原因和触发因素,可以开发工具来分析和检测 Web3 生态系统中的类似攻击。可以考虑使用静态和动态分析工具,这些工具可以独立开发,也可以基于现有解决方案进行构建。在此领域不断提高和扩展您的知识至关重要。

您能否解释一下抢先交易恶意交易的过程,以及基础设施的设置?

根据我们处理抢先交易攻击的经验,该过程涉及设置基础设施来监控内存池中的交易。

一个关键方面是开发一个能够迅速合成抢先交易的自动化系统。这涉及到在您自己的智能合约中复制恶意合约的攻击行为。至关重要的是替换关键变量,例如用您自己的黑帽地址替换攻击地址。此外,拥有一个响应迅速的基础设施对于确保您的交易一进入区块链就能立即执行至关重要。

总而言之,BlockSec 在区块链安全领域的专业知识体现了我们致力于应对 Web3 不断发展的挑战。BlockSec 的方法结合了技术创新与协作和社区参与,确保为所有用户提供更安全的区块链生态系统。

加入我们的候补名单,成为体验我们卓越服务的 first one!

Sign up for the latest updates
#1 Cetus Incident: One Unchecked Shift Drains $223M in the Largest DeFi Hack of 2025

#1 Cetus Incident: One Unchecked Shift Drains $223M in the Largest DeFi Hack of 2025

Cetus Protocol, the largest concentrated-liquidity DEX on Sui, was exploited on May 22, 2025, resulting in an estimated ~$223M loss across multiple liquidity pools. The attacker leveraged a flaw in checked_shlw(), a custom overflow-prevention helper used in fixed-point u256 math, where an incorrect constant and comparison failed to block unsafe left shifts and caused silent truncation of high bits during liquidity delta calculations. By crafting specific liquidity and tick/price-range parameters, the exploit made required deposits appear near-zero while minting an oversized liquidity position, which was later withdrawn to drain real pool reserves.

#2 Bybit Incident: A Web2 Breach Enables the Largest Crypto Hack in History

#2 Bybit Incident: A Web2 Breach Enables the Largest Crypto Hack in History

The largest crypto hack ever, the February 21, 2025 Bybit breach stole about $1.5B after attackers used social engineering to compromise a Safe{Wallet} workflow, injected malicious JavaScript into an AWS S3 bucket, tampered with the transaction signing process, and upgraded Bybit’s Safe{Wallet} contract to a malicious implementation that drained funds across multiple chains.

Weekly Web3 Security Incident Roundup | Jan 25 – Feb 1, 2026

Weekly Web3 Security Incident Roundup | Jan 25 – Feb 1, 2026

During the week of January 25 to February 1, 2026, six blockchain security incidents were reported with total losses of ~$18.05M. These involved improper input validation, token design flaws, key compromises, and business logic errors across DeFi protocols on multiple chains. The primary causes included unchecked user inputs enabling arbitrary calls, flawed burn mechanisms allowing price manipulation, compromised developer tools, and missing solvency checks in lending functions.