文章总结： 文章指出Web3企业因托管大量用户资金需按最坏情况设计安全体系，应同时覆盖链上智能合约与链下业务安全，重点防范钓鱼、内鬼、第三方多签绕过、冷热钱包误用等十大交易所攻击，并引入AML/KYC合规、云安全、威胁建模与SDL全流程，推荐慢雾与长亭公开实践库供落地。 综合评分： 82 文章分类： 安全建设,区块链安全,Web3安全,交易所安全,合规

安全杂文-Web3企业的安全建设

原创

ice

Ice ThirdSpace

2026年1月5日 14:00 中国香港

总的来说，Web3企业因为存放着用户大量的资金，且一旦出现安全事件就应当往最坏的情况去打算，所以Web3企业的安全建设考虑的点可能相对较多，或者说，很多大厂有的东西，小的Web3企业也都该有，只不过需求和自动化运营的强烈程度不一样而已。

【慢雾web3安全建设】

https://github.com/slowmist/Web3-Project-Security-Practice-Requirements

【长亭科技区块链安全指南】

https://chaitin-marketing-public.cn-beijing.oss.aliyuncs.com/chaitin-public/%E3%80%8A%E5%8C%BA%E5%9D%97%E9%93%BE%E5%AE%89%E5%85%A8%E7%94%9F%E5%AD%98%E6%8C%87%E5%8D%97%E3%80%8B20180518.pdf

【安全事件警惕】

1、云服务厂商问题

2、社会工程系+权限突破

3、内部员工

4、第三方合作

    bitfinex是一家交易所，bitgo是一家提供区块链服务的第三方公司

    他们两家首先进行了合作，使用了多签钱包来管理风险， 每一笔交易必须至少使用3个密钥中的2个进行签名认证，以此来保证安全性。

    Bitfinex持有其中的2个密钥，BitGo持有另一个密钥。Bitfinex将两个密钥一个 存储在离线设备中，另一个密钥存储在联网设备中 。

 攻击者通过某种方式控制Bitfinex的其中一个密钥，并用它对大量伪造的转账交易进行签名，之后便将交易请求发送给BitGo。 虽然BitGo持有另一个密钥，但他们没有做任何额外检查就盲目的对这些交易请求进行了签名。最终攻击者成功从受害者账户中转 走大量比特币。

DeFi 安全至少包括如下几部分：

• 智能合约安全
• 区块链基础安全
• 前端安全
• 通信安全
• 人性安全
• 金融安全
• 合规安全

不过总来说还是分成两类：

1是针对区块链应用的安全-链上

2是针对区块链的链下环境的在线业务安全-链下

十种针对交易所的攻击：

• 1、用户凭证钓鱼；

• 2、针对交易所的技术攻击；

• 3、对交易所员工实施鱼叉式网络钓鱼攻击；

• 4、对交易所员工实施鱼叉式网络钓鱼攻击；

• 5、攻击者进入内部系统，跨系统移动；

• 6、用于保存私钥的冷钱包（离线钱包）存储与用于日常操作的热钱包（在线钱包）密钥存储的不当或错误使用。

• 7、交易所内部人员威胁。

• 8、反编译交易所APP（iOS或Android）并找出嵌在APP里的秘密云API密钥，然后用这些密钥访问内部API，进而通过这些API访问热钱包或用户凭证。

• 9、复制钱包恢复密钥。

• 10、利用交易所执行方案存在的漏洞对特定加密币实施攻击

和WEB2安全的区别？

乍一看，Web3的安全似乎并不怎么困难：智能合约的安全不过是代码的安全性，

即使衍生到了区块链/Web3应用，也不过就是Web2应用安全的延伸；而Web3中的业务安全，也同样在Web2中已经有了样板。

实际上面临的问题：

1、智能合约由不同的语言生态组成，大部分是solidity，但仍有部分是Rust或是Linea

2、当前的智能合约中漏洞主要还是以逻辑漏洞为主，这就导致了安全人员首先要先去熟悉一门新的语言，再去思考代码里的逻辑问题是否严格规范着想实现的需求的问题。

3、在web2里有ip，指纹漏洞等威胁情报，web3里则会需要关联上链上的交易信息，钱包的信誉问题，大额转账等等问题，这可能需要依赖第三方公司。

4、基于web3的行业特性，比如一些合规问题，办公场地需要更灵活，以及新行业更易接受云上的优点，因此web3行业的云使用更多。因此web3安全同时要更为关注云端安全。

合规

AML（反洗钱）和KYC(知道你的用户）

AML 是指受监管机构和政府为预防、阻止和打击金融犯罪 (FinCrime)，特别是洗钱和恐怖主义融资而采取的措施、政策和控制措施。

AML 还包括”制裁”政府或国际机构用来强迫特定政权改变其行为.此外，受监管机构的反洗钱政策构成其更广泛的反洗钱合规计划的一部分，该计划旨在符合当地反洗钱法规的要求。

某些机构会模糊AML和KYC之间的界限，但是他们是两个截然不同的设计框架。AML包含了KYC，包含了许多组件。

    KYC 程序反洗钱标准和指南

    基于风险的反洗钱政策

    反洗钱工作人员手册

    持续的风险评估和持续监控员工

    反洗钱合规培训

    计划内部控制和内部审计

    升级矩阵和程序

区块链安全开发生命周期

1、威胁建模方法与安全设计原则

2、相关编程语言与框架的安全开发

3、智能合约安全开发

4、渗透测试

5、运维安全

6、应急响应

7、安全意识教育

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ice ThirdSpace ice《安全杂文-Web3企业的安全建设》