对话Web3卓越安全服务商：云安全的“攻防之战”

Web3优秀安全服务商的对话：云安全中的攻防较量

“攻防之战”：对话Web3卓越安全服务商

Web3生态正以Blockchain底层技术（Distributed Ledger）为基础迅速发展，公链L1和L2的技术创新使其成为下一代底层计算网络，各种基础设施就像不断完善的”Lego”组件一样。Web3的砌砖大师们（BUIDLers）正在为多个应用赛道构建丰富的dApps。

在Web3中，云服务是至关重要的基础设施，每年有数以万计的程序运行在云服务器上。根据Immunefi安全机构的公开报告数据，2022年安全事件中46.5%的资金损失来自底层基础设施，其中关于私钥的管理、实践和应急响应计划最为重要。Web3的云安全一直面临挑战，私钥泄露、未授权访问、智能合约分析与审计、DDoS攻击、内部威胁、合规和稳定性等问题一直困扰着Web3砌砖大师们，也给云服务商和安全服务商带来新的挑战。

作为云服务的先驱者，亚马逊云科技（AWS）一直是云服务领域的引领者。如今，AWS积极拥抱Web3生态，与Web3领先社区品牌CrossSLianGuaice发起了“Web3安全”系列线上线下研讨会，深入探讨云服务安全领域，倾听来自交易所、公链、基础设施和dApps的安全实践挑战，并探讨实际可行的解决方案。

现在，我们有幸采访到四家Web3卓越安全服务机构，包括Beosin、CertiK、MetaTrust和SlowMist慢雾，以及AWS云安全方面的专家，一起探讨现时云安全的挑战和解决问题的思路。

• 「币安新 CEO AMA 要点：铭文争议，上币原则，SEC 诉讼等详解」
• Web3公司创建了全球隐私联盟，以保护数字隐私权利
• 中国监管红线：Web3 从业者保护指南

为何Web3的云安全如此重要？

安全对于任何企业来说都是重中之重。云服务与Web3是相辅相成的关系。Bitcoin于2009年上线，Ethereum于2015年上线，安全事件和资产损失逐年增加，因此安全作为Web3世界的基石更加需要重视。无论是中心化交易所还是去中心化的DeFi、GameFi、NFT、DAO、Social、Bridge等场景，都会涉及基于token的各种应用场景。如何确保整个token处理流程的安全成为Web3砌砖大师们需要仔细考虑的问题。AWS作为云安全领域的专家和服务了众多Web3项目方的机构，一直紧密关注着Blockchain和Web3领域的安全，并举办了多种形式的Web3安全分享与培训。

接近2023年年末，牛市信号逐渐清晰，布局云端服务器的Web3项目数量将会快速增加，云作为基础设施层的角色越来越重要，因此云安全是每个开发者和砌砖大师们都必须关注的安全要素。

现时云安全面临哪些重大挑战？

安全公司Beosin在本次采访中表示，云服务数据商的攻击是近期主要的攻击类型之一，通过DDoS攻击、账户劫持、恶意植入等多种手段针对云服务数据商提供的计算和存储服务进行攻击，可能导致敏感数据泄露和服务中断。团队分享道：近期Mixin Network和Fortress IO因云服务商被攻击分别损失了2亿美元和1500万美元。

敏感数据的泄露，尤其是私钥的泄露，是本次采访过程中各安全专家多次提到的安全事件起因。CertiK三季度安全季报也表示，在该季度发生的14起私钥被盗事件造成了总计2.04亿美元的损失。

除了数据泄露，SlowMist慢雾团队还提出了涉及云安全威胁的其他几大类别，包括账号泄露和未授权访问、DDoS攻击、恶意内部威胁以及合规性和数据管理。面对黑客的多维度攻击和潜在的内部安全风险，Web3安全专家们呼吁大家意识到云安全需要综合的安全策略，不能仅采取单维度简单的安全防范。

云安全的“攻防之战”，如何破局？

面对云安全的持续挑战，如何做好“防守”，助力用户的隐私数据和资金安全？各安全机构的专家和团队给出了他们的看法。

Beosin团队：

“敏感数据泄露事件频繁发生，建议技术人员在存储和传输数据时对数据进行加密，避免未经授权的第三方访问。对于私钥等敏感数据，建议使用隐私计算和同态加密技术，避免私钥泄露。

与此同时，项目方需确保客户端仅通过安全的API访问云服务，避免注入攻击、跨站点脚本等恶意活动。使用API可以在访问云服务之前对客户端进行身份验证和数据检验，以保证访问安全和数据安全。考虑到个人电脑的安全防护能力相对较弱，不建议通过个人电脑直接调用API对系统进行数据访问和运维，而是通过云上虚拟桌面或者安全的跳板机来完成相关的访问。”

CertiK首席安全官李康教授：

“我们主要观察到两类使用云平台时面临的常见风险，一是用户对云数据的配置不当，二是用户将云后台的服务隐藏到dApp导致的风险。云虽然提供了很多资源保护和数据控制，但由于用户使用配置的不当，往往让外部人员有机会进入用户的后台。另一类风险则是来源于项目方的开发者将云后台的服务隐藏到dApp，某些开发者为了方便自身使用，会为整个项目设计一个只在内部使用的接口，使得dApp可以直接访问移动端的App，而无需对外公开。尽管项目方的云端API有专门的管控，但这仍然导致dApp和后台进行了许多交互。

面对这两类风险，CertiK建立了对云和基于云运行的dApp的安全服务，包括代码审计、风险评估、团队身份验证和背景调查等。如果你无法保证开发团队的绝对值得信任，让审计专家对dApp进行一次完善的审计是非常必要的。”

MetaTrust联合创始人刘杨教授：

“云安全作为基础设施层，需要做好数据安全和用户隐私的保护。构建端到端的全栈安全防护，特别注意针对数据的保护。对不同类型的数据设置相应的访问权限，防止未经授权的访问。因为云服务的机制较复杂，不同类别的数据都需要独立的访问机制。

此外，数据合规也需要重视。现在云中的许多数据可能因地域不同而受到访问限制，如果对这种情况缺乏了解，很容易导致数据跨境泄露引发合规问题。访问控制和身份验证也是非常重要。我们需要建立严格而细颗粒度的访问控制和身份验证机制，防止未经授权的访问。”

SlowMist慢雾团队：

“云安全需要综合的安全策略，包括合适的访问控制、加密和持续监控。请专业的安全机构进行全方位的审计和教育培训，以确保云环境的安全性和稳定性。例如，对关键数据进行端到端加密，如果要使用加密，加密密钥的安全管理至关重要，最好不要保存在云端。预防配置错误等基本漏洞也能大幅降低云安全风险。无论是个人用户、中小企业还是企业级云用户，确保网络和设备尽可能安全是非常重要的。”

AWS：安全是一个洋葱型的多层防护

无论在Web2还是在Web3上，AWS一直致力于为多类项目提供云计算和安全服务。作为云计算的引领企业和积极参与者，AWS Web3技术专家认为，安全不是单层防护，而是一个洋葱模型的多层防护，层层递进，层层展开。具体来说，第一层是威胁检测与事件响应，第二层是身份认证与访问控制，第三层是网络与基础设施安全，第四层是数据保护与隐私，第五层是风险管控及合规。AWS针对每一层，都提供了完整的解决方案，帮助Web3的项目方更安全地管理整个应用系统。

结论：Web3云安全的攻防之战要取得胜利，需要依靠各方的共同努力

Web3生态的安全性离不开云基础设施的安全，而与云基础设施相关的各参与方，包括项目方、云服务商和安全服务商都需要建立起综合的安全策略，定期进行审计和自我安全排查，以确保最大的安全性。

对于Web3的开发者来说，除了增强自身的道德水平，也需不断提升安全相关的技能。可以积极参与AWS针对开发者的活动和培训，比如Web3 Ethical Hacking and Security Best Practice，以识别常见的合约风险。

我们共同的目标是打造安全的Web3生态，实现行业的可持续发展。希望您能从本次采访中得到启示，并将其积极应用于日常实践中。

如您是Web3项目方，想了解如何构建安全的云端应用，请点击链接了解更多详情。

We will continue to update 算娘; if you have any questions or suggestions, please contact us!