Back to Blog

Web3易受攻击的因素与防范策略

August 30, 2023
5 min read

在一个似乎每周都会发生区块链黑客攻击和资本剥削的世界里,一个问题出现了:我们能否有效预防这些安全漏洞?

区块链安全领域的专家 BlockSec 提供了宝贵的见解。我们认识到问题的复杂性,并积极致力于加强安全措施。我们的一款产品 BlockSec Phalcon 可以在攻击交易执行之前提供精确的警报,并采取自动措施反击黑客。

以下是 BlockSec 的创始人 Yajin Zhou 教授在一个监控小组中分享他对区块链安全主动方法的看法。

鉴于几乎每周都会频繁发生区块链上的黑客攻击和资本剥削,有效阻止它们是否现实?

在区块链安全的世界里,答案有点复杂。我们的团队一直在努力寻找识别 DeFi 黑客攻击的方法。如果你问我们能否抓住所有正在进行的攻击,答案是可以。然而,问题在于:如果我们把每一笔交易都标记为可疑或攻击,我们就能找到所有黑客攻击,但这会产生一个问题。我们需要在误报和漏报真实威胁之间取得谨慎的平衡。

当我们为客户创建产品并设置监控系统时,我们必须确保我们的警报有意义。如果我们的系统产生过多的警报,例如每天 50、100 甚至 200 条,大多数用户会忽略它们,因为其中大多数最终都是误报。所以,我们的挑战在于有效地维持这种平衡。

在 Blocksec,我们正在积极制定策略,以在识别攻击的同时减少误报。展望未来,在安全社区的帮助下,我们希望能识别出大部分攻击。虽然我们可能无法阻止所有攻击,但我们肯定可以显着提高我们的检测能力。

Web3 的哪些特定因素使其比 Web2 更容易受到安全攻击?

在 Web3 安全的世界里,有几个因素尤为突出,这些因素可能使 Web3 比 Web2 更容易受到攻击。

  • 首先,Web3 非常开放。一切,比如智能合约和源代码,都是公开的,供大家查看。这种开放性使得普通人和攻击者都更容易发现漏洞。相比之下,Web2 系统,如传统银行的系统,会隐藏其代码,使得发现漏洞更加困难。

  • 其次,区块链的某些部分,例如闪电贷,实际上为攻击者提供了便利。在常规金融系统中,攻击者通常需要大量资金,比如一百万美元,才能执行攻击。但在区块链世界里,他们可以使用闪电贷借入巨额资金,比如一千万美元,并将其用于攻击。

  • 最后,Web3 缺乏有效的工具来发现漏洞。我是一名大学教授,我曾看到学生们为 Web2 创建工具来查找常规软件中的棘手问题。但就 Web3 和智能合约而言,还有很多工作要做。查找与业务规则相关的逻辑错误尤其困难。它涉及到改变输入、理解不同输入之间的关系以及使用可靠的信息来源——这些挑战我们尚未完全解决。

因此,所有这些因素共同作用,使得 Web3 成为攻击者的诱人目标,但对于协议来说,要保持安全却是一个艰难的环境。

您如何看待 Web3 安全监控之间的联系?它是否会赋予攻击者权力,同时也提供集成可选监控解决方案的机会?

我在 Blocksec 中遇到了与音频剥削和隐私交易相关的挑战。与 Flashbots 类似,这些服务容易被攻击者滥用。一位同事提出的一个解决方案建议将闪电贷中的交易进行投资,以防止其被滥用。然而,我认为这个解决方案在去中心化世界中可能不切实际或难以实现。

防止攻击者滥用此类服务仍然是一个悬而未决的问题。尽管如此,我们可以采取一些行动。

  • 首先,如果识别出攻击者,与当局合作共享信息有助于核实攻击者的身份。与当局的这种合作可以成为缓解问题的一步。

  • 此外,未来在交易中实施基于社区的事件系统可能会很有用。通过纳入基于社区的去中心化机制,我们可以延迟看似恶意的交易。

虽然这些措施可能无法完全解决问题,但它们可以帮助应对我们目前面临的挑战。

您能否推荐任何专门用于检测 Web3 应用程序安全漏洞的工具或资源?

在推荐方面,我认为探索 DeFi Hack Labs 是从 Web2 转向 Web3 安全的一个绝佳起点。

该资源提供了大量的历史黑客攻击交易,可以对其进行分析,以深入了解这些攻击的动机和方法。通过理解这些黑客攻击的根本原因和触发因素,人们可以开发工具来分析和检测 Web3 生态系统中的类似攻击。可以考虑使用静态和动态分析工具,这些工具可以独立开发,也可以在现有解决方案的基础上进行构建。在此领域不断提高和扩展您的知识至关重要。

您能否解释一下抢跑恶意交易的过程,其基础设施设置会是怎样的?

根据我们对抢跑攻击交易的经验,该过程涉及设置基础设施来监控内存池交易。

一个关键方面是开发一个能够迅速合成抢跑交易的自动化系统。这涉及到在您自己的智能合约中复制恶意合约中的攻击行为。替换关键变量变得至关重要,例如将攻击地址替换为您自己的黑帽地址。此外,拥有一个响应迅速的基础设施至关重要,以确保在您的交易一旦上线区块链时能够立即执行。

总而言之,BlockSec 在区块链安全领域的专业知识体现了我们致力于应对 Web3 日新月异的挑战。BlockSec 的方法结合了技术创新与合作和社区参与,确保为所有用户提供更安全的区块链生态系统。

加入我们的候补名单,率先体验我们卓越的服务!

Sign up for the latest updates
Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.