预判攻击者的预判，CertiK发起移动端保卫战

原创 | Odaily星球日报

作者 | 夫如何

编辑 | 郝方舟

近日，一则新闻在Web3行业内引起了关注：一家名为 CertiK 的安全审计公司发现了苹果公司在移动端的安全漏洞，并因此获得苹果公司公开致谢。

据苹果公司官方安全更新页面信息显示，CertiK 所发现的这些漏洞，会影响内核、GPU 驱动程序和 ProRes 驱动程序，并允许“一个应用程序以内核权限执行任意代码”。换言之，用户或许会丢失保存在手机里的钱包私钥，这对web3用户意味着什么，令人细思恐极。

苹果公司随即表示，已通过改进内存处理来解决这些漏洞。

据悉，此前 CertiK 也曾发现过韩国三星集团移动端的安全漏洞。

CertiK 是Web3行业内颇具口碑的头部安全机构，但在Web2世界则鲜有人知，苹果、三星这样的Web2巨头忽然与 CertiK 的名字一起出现，令人不免好奇，这是否预言Web2与Web3两个世界间的“破壁”，共同提升系统安全的新场景？

从科技应用发展史来看，用户操作习惯必将从电脑端向移动端迁移。Web2时代如是，Web3未来亦遵从这样的规律。

而从安全审计角度来讲，网络安全无界限，Web2和Web3的安全是相通。虽然两者在细分领域的关注点不同，但去中心化产品服务的用户、背后的协议依然重度依赖中心化的设备及系统。Web2的风险防控同样构成了Web3应用的安全底线。

正如 CertiK 创始人兼 CEO 顾荣辉所说：“如果预期未来Web3用户出现巨量增长，那么用户的Web3应用一定会从移动端 Dapp 接入。”

攻防复杂，风险蔓延

随着Web3高速发展，恶意攻击也愈加频繁。根据 DefiLlama 数据显示 ，加密货币被盗总价值以超过 70 亿美元。

按事故对象，Web3风险可粗略分为以下三种：

● 项目自身机制安全问题 ：如智能合约、 51% 攻击、交易延展性攻击、双花攻击和垃圾交易攻击等自身机制漏洞造成的安全风险。圈内人记忆犹新的严重案例就有： Curve Vyper 编译器中的潜在漏洞导致多个 Curve 流动性池被攻击，叠加创始人不健康的借贷仓位，从而引发一连串的清算危机。

● 生态系统安全问题 ：如交易所被盗、暴雷跑路、网站数据泄露、场外操纵、拒绝服务攻击、交易地址篡改和矿池被攻击等外在因素攻击行为。近期案例有： 9 月份的加密交易所 CoinEx 热钱包被盗 7000 万美元等。

● 用户端安全问题 ：如帐号失窃、钱包失窃、欺诈，也包含用户被钓鱼和私钥保管问题等自身产生的问题。10 月 12 日，前 Alameda 工程师 Adi (e/acc)在 X 平台披露，某 Alameda 交易员因进行 DeFi 操作时点击了钓鱼链接，使 Alameda 损失超 1 亿美元。

在上述案例，我们会发现，Web2中的安全隐患极易对Web3造成重大影响，且无法完全拆分讨论。

实际上，大家常用的 Chrome 浏览器的历次升级中，就包含排查各项漏洞的工作，Web3钱包等扩展程序一旦没跟上“母体”的迭代，很容易遭受攻击。

文初，CertiK 发现关于苹果系统的多个移动端漏洞；MacStealer、ShadowVault、AMOS 和 Realst 等恶意软件攻击热门加密钱包并窃取密钥串数据库；SeaFlower 则会分发带有后门的加密钱包应用版本，以窃取助记词；CookieMiner 恶意软件可以访问包含短信的 iTunes 备份，获取绕过双因素身份验证所需的信息，进而访问受害者的加密钱包并窃取加密货币。

魔高一尺，道高一丈

由于Web3安全风险日益严重，安全也成为了项目方可持续发展的基石，除了自身提高风险意识，选择靠谱的安全审计公司也成为了做项目的标配。来自外部的审计报告既将项目安保交予“市场上更专精的角色”，顶级安全审计公司的背书也构成了项目面向用户宣传的一块金牌。

在这样的背景下，Web3安全审计公司从上一轮牛市开始快速发展，像 CertiK、派盾和慢雾等公司逐渐走入大家视野。 Web3安全审计公司的业务也逐渐延展，从合约开发到后期监控全流程对项目方把控风险。

以 CertiK 为例，其为项目方和个人提供全流程的安全防护组件，包括Web3.0 安全审计和渗透测试，以发现和解决风险隐患；Skylnsights、KYC 尽调、紧急事件响应和漏洞赏金计划等措施，维护加密生态系统安全；以及 Skynet 天网系统和咨询服务等服务，搭建一体化的Web3安全分析平台，帮助使用者规避风险并提升安全风险意识。

面对移动端日益猖獗的恶意活动，CertiK 针对 IOS 系统对Web3钱包的开发也做出一定的举措。 在 iOS 上，开发人员可以采取以下安全实践来保护钱包应用程序：利用 iOS 的安全功能、基于硬件的安全机制和 App Attestation 等框架；遵循安全编码准则，包括加密存储和传输、输入验证和防御性编程；实施双因素身份验证和生物识别技术；定期更新和修补应用程序；进行安全审计和漏洞扫描。

可见，CertiK 正与时俱进，不断提前发觉Web3安全隐患，以应对尚未发生的Web3恶意事件。

安全江湖，静修内功

Web3作为新兴行业，面对众多豺狼虎豹的侵扰，对安全审计公司的能力要求也越来越高。上一轮牛市间，项目数量井喷式增长，能够肩负起Web3安全重任的第三方公司凤毛麟角。

信任度是项目方和加密企业选择Web3安全审计公司最重要的考量。

拆解信任的来源，自离不开第三方安全机构的业务实力、产品覆盖全面性、服务深度、业内长期口碑等。

据官网，CertiK 从 2018 年成立至今，共计合作 4100 多家企业客户，发现了近 7 万个区块链代码相关漏洞，直接或间接保护了超过 3600 亿美元的数字资产。

自 2021 年起，CertiK 业务飞速发展，实现了近 13 倍的收入增长、 3320 倍的利润增长，以及 4 倍的员工人数增长。虽然历经熊市，但公司业务在剧烈动荡的市场环境中展现了极强的抗周期性。

反映到市场占有率上，CoinMarketCap 数据显示，在使用第三方安全审计的区块链项目中，CertiK 的市占率超过 70% 。

从团队背景来讲，两位创始人是耶鲁大学和哥伦比亚大学的教授，其中顾荣辉因在系统安全领域的贡献，获得了亚马逊研究奖、OSDI Jay Lepreau 最佳论文奖、SOSP 最佳论文奖、 CACM（国际计算机协会）Research Highlights 奖、 VMware 系统研究奖等众多奖项。同时，顾荣辉也是新加坡金管局国际技术咨询委员会委员和香港 Web 3.0 发展专责小组成员。

从融资背景来讲，CertiK 受到币安、 Coinbase 等Web3“大厂”的认可，也得到高盛、软银等传统机构的支持，一跃成为估值 20 亿美元的Web3安全审计公司。

到了今年，CertiK 不仅仅满足于在存量市场中占据鳌头，还频繁帮助苹果和三星等科技巨头提升终端系统的安全性。CertiK 凭借对未来发展的眼界，将自身业务覆盖到Web3大规模采用的突破口——移动端。

守护行业，抢先布局

当行业巨头 CertiK 开始布局移动端安全防护时，这其中不仅仅是业务的扩展，更是创始人对Web3新风向的判断。 顾荣辉向Odaily星球日报表示，安全审计行业的竞争日益激烈，CertiK 需要推出有差异化竞争优势的产品，以便占据先机，服务未来更为广阔的市场。

经历上一轮牛市后，Web3的基础配套愈加完善，从而这一轮熊市涌现出更多的 builder，他们将目光更多的瞄向应用层。 Web3的主基调也从存量市场的生态之争转向以大规模采用为核心的应用之争。

从Web3自身来讲，大规模采用的 Dapp 是产品内部的可组合和复杂化，更多跨生态、跨协议、跨层、跨域带来更难防范的风险。

从Web2角度来讲，移动端目前依托于苹果、安卓等系统服务商，Web2系统性风险对移动端的Web3项目和使用者容易造成更大的风险。

而光明与黑暗的较量正在此处，无论是Web2终端的系统风险、Web3应用的黑盒都是安全风险的隐患。 但秉承着“守护Web3世界”的 CertiK 蓄力Web3移动应用端已非一日，移动端的安全警戒线已抢先布控，并赢得了主流市场认可，这或将为web3领域的安全审计公司揭开发展与竞争的序章。