「 深蓝洞察 」2022 年度最具含金量漏洞
2023-2-19 20:0:12 Author: mp.weixin.qq.com(查看原文) 阅读量:21 收藏

2022 年,世界逐渐进入后疫情时代。

与传统行业受到疫情强大冲击不同,漏洞研究在疫情最严重的前三年里迎来了高速发展。
2023 年,传统行业已开始探寻重振发展之路,漏洞研究又将面临何等机遇与挑战?

DarkNavy 深蓝,作为漏洞与利用研究领域长期的见证和推动者,首次公开发布《深蓝洞察 | 2022 年度十大安全漏洞与利用》报告

通过报告中的十个案例,回顾行业痼疾、剖析领域突破、洞察未来趋势。

本篇为《深蓝洞察 | 2022 年度十大安全漏洞与利用》报告的第一篇。

漏洞价值几何,一直是业内争论的焦点。
2022 年,巨额漏洞奖金的出现,刷新了人们对漏洞价值的认知。

虚拟货币市场在 2022 年过得并不开心。
行情已经不能用跌宕起伏来形容,崩盘和清零成了常态。
就在这个最血雨腥风的行情里,白帽子黑客给币圈带来了一缕生机。

iOS 越狱应用商店 Cydia 之父 @saurik——一位公认不能再纯粹的传统安全研究人员,在 2022 年 2 月 11 日发表推文,公布其在以太坊二层扩容方案 Optimism 中发现漏洞并获得两百多万美金奖金的消息,在当时引起了激烈讨论。

以太坊二层扩容方案有很多种,基本都是为了解决以太坊本身交易处理能力不足而产生的。以太坊目前在其基础层(Layer1)上每秒仅仅可以处理约 15 笔交易。因此在币圈行情火热的时候,常常会出现大量的交易拥堵,交易费用狂飙的现象。

而 Optimism 使用了一种称为 Rollup 的技术,这种技术可以使所有的交易状态和执行都在侧链中处理,而以太坊主链只存储交易数据。这样就可以使交易量达到每秒 4,000 到 5,000 左右。

可见,二层扩容方案对于以太坊的意义非常重大,发现其中漏洞的意义也就不言而喻。

@saurik 的推文及公布的 exploit

200 万奖金的确是个新纪录,只不过这个记录并没有保持很久。

不到两周后,2022 年 2 月 24 日,@immunefi 区块链漏洞奖金平台上,@satya0x 凭借在跨链桥 Wormhole 上发现的一个漏洞,获得1000 万美金的漏洞奖金

这个奖金额度应该是目前为止最大的单笔漏洞奖金。

跨链桥是区块链的基础设施之一,所实现的功能是允许用户将自己的资产从一条链转移至另外一条链上,是连接不同的区块链的关键桥梁。由于跨链桥自身往往存储了用户所质押的巨额资产,因此很容易成为黑客热衷攻击的目标。前文提到的 Optimism,也同样可看作是跨链桥,因为其连接了以太坊主链和本身的侧链。

satya0x 发现的漏洞实际上是 Wormhole 跨链项目以太坊侧的代理合约未初始化导致的。利用该漏洞,黑客可以提前控制代理合约背后实际的实现合约,并调用更新函数迫使实现合约自毁,使得 Wormhole 项目所有的以太币都被冻结在原地址中。用户已经转移至 Wormhole 的资产也将会被永久冻结、再也无法取出。

Wormhole 之所以乐于出这个奖金,与它吃过的苦头是密不可分的。

就在月初,2022 年 2 月 3 日 Wormhole 遭受攻击,损失高达 3.3 亿美金。

与如此高昂的攻击损失相比,1000 万的漏洞奖金简直是九牛之一毛。

实际上,@saurik 在第二的位置上也没待多久。

2022 年 6 月 15 日,传奇黑客@pwningeth 横空出世。

暗夜蝙蝠侠” @pwningeth 的分享

如同蝙蝠侠在黑夜中不断救赎 Gotham City,@pwningeth 以一己之力守护了多个区块链项目。@pwningeth 先是在 Aurora Engine 中发现洞获得 600 万美金的奖金,此后相继在 Moonbeam、Moonwell Artemis、Moonwell Apollo、Interlay 等项目中发现漏洞,短时间内斩获的漏洞奖金总额高达 800 万美金。

难能可贵的是,@pwningeth 详细分享了漏洞挖掘思路、漏洞成因和漏洞验证代码,这对其他漏洞研究人员而言是一笔巨大财富。

通过学习 @pwningeth 的方法,就可以挖掘类似漏洞,从而获得高额奖金。

从 Web2 到 Web3 的迁移过程中,漏洞形态和成因发生了重大变化,漏洞背后的技术含金量也达到了 Web3 安全研究的一个高峰。

与智能合约中简单的编程逻辑错误不同,这些天价漏洞的产生,与智能合约虚拟机 EVM 的底层实现密不可分。

只有深入研究 EVM 指令的底层实现,同时深入理解智能合约的业务场景,才能发现合约业务逻辑与底层实现逻辑冲突。

这些安全研究成果,对智能合约领域的影响不仅限于单一的漏洞修复,更在于新安全认知的发现。

互联网/软件行业还在与安全研究人员为一个漏洞到底值一千还是一万争论不休,币圈的漏洞奖金却已经高达百万。

在 @immunefi 平台上,累计斩获千万奖金的漏洞研究人员已经有两人。

当一个漏洞可以让数以亿计甚至更多的虚拟货币顷刻间化为乌有时,“安全第一”自然就不再是一句口号,漏洞的价值评判也就更容易了。

必须肯定的是,越来越多的传统厂商积极建立的漏洞奖励平台,正面促进了社会对漏洞价值的认可,也聚集了越来越多的白帽人才。

但,即使是目前最受欢迎的漏洞奖励平台,关于漏洞定价标准也一直充满了争议,比如,这些定价通常只是由公司预算、业务部门态度所决定,而非从避免可能的损失、获得潜在收益的角度进行考量。 

我们不得不担忧:面对币圈漏洞奖励的冲击,传统漏洞奖励平台如果不对漏洞评判规则做出变革,未来何来信心吸引和留住白帽人才?走向没落会否成为必然?

参  考:

[1] https://www.saurik.com/optimism.html

[2] https://medium.com/immunefi/wormhole-uninitialized-proxy-bugfix-review-90250c41a43a

[3] https://www.theverge.com/2022/2/3/22916111/wormhole-hack-github-error-325-million-theft-ethereum-solana 

[4] https://pwning.mirror.xyz/ 

[5] https://immunefi.com/leaderboard/

下篇预告

当产品的某个功能可能引发安全副作用的时候,如何界定这是漏洞还是产品特性是一件非常棘手的事情。

这是一场持续了几十年的争论。

2022 年,在这样的争议面前,一代“霸主”竟选择了让安全妥协。

当安全不断妥协,还有安全可言吗?

请关注《深蓝洞察 | 2022 年度十大安全漏洞与利用》第二篇:

本期关键词
 价   值 

过去二十年,我们推动并见证了漏洞利用技术价值得到逐步认可。

然而,对于黑客技术研究,究竟什么是公正的价值评判什么是科学的价值创造什么是公平的价值分配,此刻的现实回答依然模糊、偏颇甚至畸形。

加入全新的 DarkNavy,与我们一起,给出正确的“价值”答案。

DarkNavy 深蓝安全分析师 - 利用方向
岗位现开放招募中,简历请至
[email protected]


扫码进 DarkNavy 官方交流群
你的洞见  群里见


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMjM5MTk3NQ==&mid=2247483866&idx=1&sn=286569d4af689caed60251da71463d32&chksm=c1f44512f683cc04bb0b58ac2429474129c97fabe82e4a2066bcb1b2cb28f7a5025d54daac4d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh