对话 Web3 卓越安全服务商：云安全的「攻防之战」

撰文：CrossSpace

Web3 以 Blockchain 底层技术 (Distributed Ledger) 构建的生态正在快速迭代，公链 L1 和 L2 的技术创新使其成下一代底层计算网络具有可行性，各种基础设施就像 「Lego」 组件一样不断完善，Web3 BUIDLers 不断在多个应用赛道构建丰富的 dApps。

云服务作为 Web3 尤为重要的底层设施也是 Web3 整个生态不可或缺的，每年有数以万计的程序运行在云服务器。根据 Immunefi 安全机构的公开报告数据，「 2022 年安全事件中，46.5% 的资金损失来自底层基础设施，其中关于私钥的管理、实践与应急响应计划最为重要。」 Web3 的云安全持续面临挑战，私钥泄露、未授权访问、Smart Contract 分析与审计、DDoS 攻击、内部威胁、合规和稳定性等问题一直困扰着 Web3 BUIDLers，也给云服务商和安全服务商不断带来新的挑战。

作为率先推出云服务的公司，亚马逊云科技 Amazon Web Services (AWS)，一直是云服务领域的引领者，如今 AWS 更是积极拥抱 Web3 生态，联合 Web3 领先社区品牌 CrossSpace 发起「Web3 安全」系列线上线下研讨会，深入云服务安全领域，倾听来自交易所、公链、基础设施和 dApps 的安全实践挑战，探讨实际可行的解决方案。

作为本系列讨论的采访环节，我们荣幸专访到四家 Web3 卓越安全服务机构 Beosin、CertiK， MetaTrust 和 SlowMist（慢雾）及 AWS 云安全方面的专家，一起探讨现时云安全的挑战和解决问题的思路。

为何 Web3 的云安全如此重要？

安全对于任何企业来说都是重中之重。云服务与 Web3 是相辅相成的关系。自 2009 年 Bitcoin 主网上线，2015 年 Ethereum 主网上线，安全事件和资产损失逐年增加，因此安全作为 Web3 世界的基石更加需要重视。无论是中心化交易所，还是去中心化的 DeFi、GameFi、NFT、DAO、Social、Bridge 等场景，都会涉及基于 token 的各种应用场景。如何确保整个 token 处理流程的安全成为 Web3 BUDLers 需要仔细考虑的问题。AWS 作为云安全领域的专家和服务了众多 Web3 项目方的机构，一直紧密关注着 Blockchain 和 Web3 领域的安全，积极与项目方沟通，并举办了多种形式的 Web3 安全分享与培训。

接近 2023 年年末，牛市信号逐渐清晰，布局云端服务器的 Web3 项目数量将会快速增加，云作为基础设施层的角色越来越重要，因此云安全是每个开发者和 BUDLers 都必须关注的安全要素。

现时云安全面临哪些重大挑战？

安全公司 Beosin 在本次专访中表示，「云服务数据商的攻击是近期主要的攻击类型之一，主要是通过 DDoS 攻击、账户劫持、恶意植入等多种手段，针对云服务数据商提供的计算和存储服务的攻击，其后果是敏感数据泄露和服务中断。 」 团队分享道：「近期 Mixin Network 和 Fortress IO 因云服务商被攻击分别损失了 2 亿美元和 1500 万美元。」

敏感数据的泄露，尤其是私钥的泄露是本次采访过程中各安全专家多次提到的安全事件起因。CertiK 三季度安全季报也表示，「私钥泄露是该季度发生重要损失的原因之一。14 起私钥被盗事件造成了总计 2.04 亿美元的损失。」

除了数据泄露，SlowMist 慢雾团队也给出了涉及云安全威胁的其他几大类别，包括：

1. 账号泄露和未授权访问: 黑客可以通过密码破解、社交工程或弱密码攻击获得用户账号和凭证，从而获取未授权的访问权限。

2. DDoS 攻击: 分布式拒绝服务（DDoS）攻击可以使云服务不可用，通过占用资源或淹没网络流量来瘫痪服务，导致业务中断。

3. 恶意内部威胁: 内部用户或员工可能会滥用其权限，盗窃数据、销毁信息或者进行其他恶意行为。

4. 合规性和数据管理: 项目方在云服务提供商的平台上，处理数据的过程中没有有效的利用各种工具来进行数据保护，从而导致数据混淆或丢失」

面对黑客多维度的攻击角度及潜在的内部安全风险，Web3 安全专家们呼吁大家意识到云安全需要综合的安全策略，因而不能仅采取单维度简单的安全防范。

云安全的「攻防之战」，如何破局？

面对云安全的持续挑战，如何做好 「防守」，助力用户的隐私数据和资金安全？各安全机构的专家和团队给出了他们的看法。

Beosin 团队：

「敏感数据泄露事件频繁发生，建议技术人员在存储数据和传输数据时对数据进行加密，避免被未经授权的第三方访问。对于私钥等敏感数据，建议使用隐私计算以及同态加密技术，避免私钥泄露。

与此同时，项目方需确认客户端仅通过安全的 API 访问云服务，避免注入攻击、跨站点脚本等恶意活动。使用 API 还可以在访问云服务之前对客户端进行身份验证和数据检验，以保证访问安全和数据安全。考虑到个人电脑作为客户端的安全防护能力较弱，不建议通过个人电脑直接调用 API 对系统进行数据访问和运维，而是通过云上虚拟桌面或者安全的跳板机来完成相关的访问。」

CertiK 首席安全官李康教授：

「我们主要观察到两类使用云平台时面临的常见风险，分别是用户对云数据的配置不当以及用户将云后台的服务隐藏到 dApp 导致的风险 。 大部分时候云是提供了很多资源的保护和数据的控制，但是往往由于用户对配置的使用不当，让外部人员有机会进入用户的后台。而另一类风险则是来源于项目方的开发者将云后台的服务隐藏到 dApp——部分开发者为了方便自身使用，会为整个项目设计一个自认为只在内部使用的接口，使得 dApp 能在移动端的 App 直接访问，而无需对外公开。尽管项目方的云端 API 有专门的管控，但这仍然导致 dApp 和后台进行了很多交互。

面对这两类风险，CertiK 建立了对云和基于云运行的 dApp 的安全服务，包括代码审计、风险评估、团队身份验证和背景调查等。李康教授补充道：「如果你无法保证开发团队绝对值得信任，让审计专家对 dApp 进行一次完善的审计还是非常必要的。」

MetaTrust 联合创始人刘杨教授：

「云安全作为基础设施层，需要做好数据安全和用户的隐私保护。构建端到端的全栈的安全防护，尤其注意针对数据的保护。针对不同类型的数据设置对应的访问权限，防止未经授权的访问。云服务的机制较为复杂，不同类别的数据都需要有独立的访问机制。

此外，数据合规也需要重视。现在云里面很多数据在同一个云里，可能因为地域不一样，导致数据受到访问限制。如果对这种情况不了解的话，很容易导致数据跨境泄露带来的合规问题。因此，访问控制和身份验证，这一块其实也是很重要的。我们需要搭建比较严格和细颗粒度的访问控制和身份验证机制，防止未经授权的访问。 」

SlowMist 慢雾团队：

「云安全需要综合的安全策略，包括合适的访问控制、加密、持续监控，请专业的安全机构进行全方位的审计、教育培训等方面的措施，以确保云环境的安全性和稳定性。例如对关键数据进行端到端加密，如果要使用加密，加密密钥的安全管理至关重要，保留密钥备份，最好不要保存在云端。例如预防配置错误这样的基本漏洞，云安全风险将大大降低。最后，无论是个人用户、中小企业用户或者企业级云用户，确保网络和设备尽可能安全是非常重要的。」

AWS：安全是一个洋葱型的多层防护

无论在 Web2 还是在 Web3，AWS 都积极的在为多类项目提供云计算和安全服务。作为云计算的引领企业和积极参与者，AWS Web3 技术专家认为，安全不是鸡蛋模型的单层防护，而是多层防护的洋葱模型，层层递进，层层展开。具体来说，第一层是威胁检测与事件响应，第二层是身份认证与访问控制，第三层是网络与基础设施安全，第四层是数据保护与隐私，第五层是风险管控及合规。AWS 针对每一层，都提供了完整的解决方案，帮助 Web3 的项目方更安全的管理整个应用系统。

结论：Web3 云安全的攻防之战要取得胜利，需要依靠各方的共同努力

Web3 生态的安全离不开云基础设施的安全，而与云基础设施相关的各参与方包括项目方、云服务商和安全服务商都需要建立起综合的安全策略，定期进行审计、自我安全排查，以确保最大的安全性。

对于 Web3 的开发者来说，除了增强自身的道德水平，也需持续精进安全相关的技能，可以积极参与 AWS 针对开发者的活动及培训，比如 Web3 Ethical Hacking and Security Best Practice，鉴别常见的合约风险。

我们共同的目标是打造安全的 Web3 生态，实现行业的可持续发展，希望您能从本次采访中得到启示，并积极运用于日常实践中。

如 Web3 项目方需要了解如何建立安全的云端应用，可点击链接了解更多。