Safe-Edges/web3-infrastructure-security-checkbook

# SafeEdges 基础设施安全仓库 **仓库：** `github.com/safeedges/infrasecurity` **维护者：** SafeEdges 安全研究部门 ## 背景与动机 本仓库的整理是为了直接应对 2026 年第一季度和第二季度观察到的针对 Web3 基础设施的国家级协同攻击浪潮。所分析的事件包括 4 月 1 日的 Drift Protocol 攻击（2.86 亿美元，Solana）、4 月 18 日的 KelpDAO rsETH 跨链桥漏洞利用（2.92 亿美元，LayerZero），以及在 KelpDAO 事件发生后 48 小时内导致整个 DeFi 生态锁仓总价值蒸发超过 130 亿美元的更广泛的生态传染。 这两起攻击均以中高置信度归因于在 Lazarus Group 旗下运作、受 DPRK 资助的威胁行为者，特别是 UNC4736 的 TraderTraitor 和 AppleJeos 单元。在两起事件中观察到的战术、技术和程序表明，攻击者的能力发生了根本性转变：从机会性的智能合约利用转向了完全绕过代码级审计的长期、基础设施层和针对人类的定向操作。 本仓库旨在为协议团队、基础设施运营商和 DApp 开发者提供一个权威的、基于实操的安全态势框架，以应对这些及类似事件所暴露的全部攻击面。 ## 仓库结构 ``` safeedges/infrasecurity/ README.md This file incident-analysis/ README.md 2026 incident breakdown and TTPs protocol-security/ README.md Smart contract, bridge, and governance security infrastructure-security/ README.md RPC node, validator, and network security os-security/ README.md Operating system hardening for Web3 operators dapp-security/ README.md Frontend, wallet integration, and OPSEC checklists/ README.md Operational checklists for all domains ``` ## 威胁态势摘要（2026 年 4 月） 下表总结了截至 2026 年 4 月 21 日已确认或已归因的重大事件。 | 协议 | 日期 | 损失 | 攻击向量 | 归因 | |----------------|---------------|-------------|-------------------------------------|------------------| | Drift Protocol | 2026 年 4 月 1 日 | 2.86 亿美元 | 社会工程学、持久化 nonce、预言机操纵、治理接管 | DPRK Lazarus / UNC4736 | | KelpDAO rsETH | 2026 年 4 月 18 日| 2.92 亿美元 | RPC 端点攻陷、DVN 投毒、伪造销毁事件 | DPRK Lazarus / TraderTraitor | 仅这两起事件确认的总损失：约 5.78 亿美元。 KelpDAO 事件发生后 48 小时内 DeFi TVL 缩减：132.1 亿美元。 因 KelpDAO 传染事件被迫冻结或暂停运营的协议：至少 9 个已确认，包括 Aave V3、SparkLend、Fluid、Compound、Euler、Curve Finance 和 Ethena。 ## 攻击模式演变 这些事件的攻击者不再利用整数溢出或重入漏洞。从 2026 年这两起事件中浮现的模式是： **阶段 1（侦察与潜伏，第 1 至 6 个月）：** 建立可信的职业身份。参加真实的会议。存入真实的资金。提出真实的技术问题。通过多次线下和数字接触点与目标团队成员建立有记录的信任。 **阶段 2（建立访问权限）：** 通过可信渠道传递恶意软件。在 Drift 案例中：一个伪装为前端工具的 GitHub 仓库，以及一个伪装为钱包产品的 TestFlight 应用程序。一个已知的 VSCode 和 Cursor 漏洞使得在打开文件时能够执行隐蔽代码。在 KelpDAO 案例中：攻陷为 DVN 提供服务的 RPC 端点，同时对健康的端点发起 DDoS 攻击，以迫使流量通过被投毒的节点路由。 **阶段 3（预置，执行前第 1 至 3 周）：** 预签名交易。创建休眠账户。部署辅助代币。测试交易路由。Drift 的攻击者在 3 月 12 日部署了 CVT 代币，比执行提前了三周，资金来源于 3 月 11 日的 Tornado Cash。 **阶段 4（执行，数分钟内）：** Drift：耗时 12 分钟，通过 31 笔提款交易抽干了 2.86 亿美元，涉及近 20 个金库。 KelpDAO：通过伪造的销毁事件凭空铸造了无支撑的 rsETH，然后将被盗代币作为 Aave 上的抵押品来借出 WETH，造成了约 1.95 亿美元的额外坏账。 **阶段 5（洗钱）：** 快速进行跨链分散。转换为 ETH。分配到数百个新钱包中。通过 Thorchain、Umbra 和其他隐私保护协议进行路由。 ## 如何使用本仓库 每个子目录都包含一个专门的 README，结构如下： 1. 特定于该领域的威胁模型 2. 基于已确认事件数据的攻击面分析 3. 展示安全架构和决策流程的 Mermaid 流程图 4. 展示安全实现模式的代码示例 5. 该领域的操作清单 6. 相关标准、审计和事后分析报告的参考 从 `incident-analysis/README.md` 开始，了解威胁行为者的 TTPs。 然后进入与您的操作角色最相关的领域。 使用 `checklists/README.md` 进行持续的操作验证。 ## 文档标准 本仓库中的所有文档均遵守以下约定： 1. 没有未经证实的声明。每一项关于攻击机制的陈述均来源于已确认的事后分析数据、链上分析或已确立的安全研究。 2. 代码示例附有注释，说明它们所演示的具体漏洞或控制措施。 3. 流程图使用 Mermaid 语法，可在 GitHub 上原生渲染。 4. 在适用之处，严重性分类遵循 CVSS v3.1 框架。 5. 控制措施已映射到 NIST 网络安全框架 2.0 的功能：识别、保护、检测、响应 和 恢复。

标签：APT攻击防御, DApp安全, DeFi安全, DNS 反向解析, GitHub Advanced Security, IP 地址批量处理, LayerZero, Lazarus Group, RPC安全, Solana, TTP分析, Web3安全, 前端安全, 区块链安全, 安全加固, 安全基线, 安全运营, 战术技术与程序, 扫描框架, 搜索语句（dork）, 操作系统加固, 教学环境, 文档安全, 智能合约审计, 朝鲜黑客, 治理安全, 漏洞分析, 网络信息收集, 网络安全, 节点安全, 跨链桥安全, 路径探测, 钱包安全, 链上分析, 防御加固, 隐私保护, 验证节点