这篇文章探讨了在区块链协议部署后如何进行有效的监控,以提高安全性。通过对过往攻击的分析,作者提出了一些检测恶意交易的策略,并介绍了sec3 WatchTower监控服务,旨在帮助开发者在智能合约部署后保持安全,降低被攻击的风险。
在过去几个月中,我们非常高兴地看到开发者们越来越关注安全威胁和最佳实践。除了严格的内部代码审查和外部审计外,我们的客户经常问我们:一旦在链上部署了协议,我们应该如何保持其安全性。事实上,我们也一直在问自己同样的问题。我们相信链上监控可能是完整生命周期安全中的缺失部分。
请不要误解我们。代码审查和审计仍然对在部署之前发现关键漏洞至关重要。实际上,大多数攻击利用了缺乏适当的账户验证。由于这一点相对知名,并且针对的是部署之前的安全威胁,我们将在本帖子中跳过这一主题。
在分析以往攻击中的步骤时,我们做出了几个非常令人兴奋的共同观察,这些观察区分了恶意攻击和正常交易:
- 使用闪电贷。例如,闪电贷曾在CremaFinance和Nirvana攻击中被用于放大损害。如果一个交易包含来自任何已知闪电贷指令的大额代币转账,请中止交易!事实上,Metaplex Candy machine已经实现了一种基于交易范围信息的反机器人防御。了解Metaplex Candy machine如何工作。
- 涉及新的和任意的虚假账户。攻击者希望隐藏他们的网络踪迹,并在仔细准备这些账户以方便攻击上花费大量精力。因此,这些账户是新的,可能是任意的。
- 重复的攻击指令周期。例如,如果一个交易涉及多次往返交易(如存款-索赔-取款)和/或存在多个此类交易,这就是一个警示信号。
- 通常跨度为几小时的合理长流程。例如,在wormhole攻击中,创建第一个虚假sysvar账户的交易和完成转账的交易之间的时间窗口长达六小时。同样,黑客的第一个虚假账户在针对CashioApp的攻击交易前五天创建。对于CremaFinance,虚假tick账户在第一次攻击前超过一小时创建。在Nirvana攻击中,两个交易之间的时间窗口(部署闪电贷接收者和调用Solend闪电贷)跨度为四分钟。因此,如果有一个服务可以提醒协议,可能就有很好的机会采取一些措施来减轻损害。
受到这些观察的启发,我们一直在默默进行开发,创建一种监控服务,可以识别常见攻击场景,从正常交互中学习,检测异常交易并警报/停止可疑转账。
最近,我们自豪地宣布sec3 WatchTower: 智能合约的智能监控,提供主动的、可定制的监控服务,以检测几种内置攻击场景,并扩展到异常交易。我们希望sec3 WatchTower可以为部署后的安全性做出贡献,并为开发者提供一些安心。
关于sec3(前身为Soteria)
sec3是一家安全研究公司,为Solana项目准备了数百万用户。sec3的启动审计是一项严格的、由研究人员主导的代码检查,调查和认证主网级智能合约;sec3的持续审计软件平台X-ray与GitHub集成,逐步扫描拉取请求,帮助项目在部署之前加强代码;而sec3的部署后安全解决方案WatchTower,确保资金的安全。sec3正在为Web3项目构建基于技术的可扩展解决方案,以确保协议在扩展时保持安全。
要了解更多关于sec3的信息,请访问https://www.sec3.dev
