随着Web3的发展,与去中心化应用程序(dapp)相关的风险也在增加。在这里,我们分享一些建议以减轻这些风险。
新兴的Web3技术的前沿是被称为dapp的去中心化应用程序。它们使用互连的智能合约在应用程序内部执行特定任务,并以代码片段的形式在区块链上运行。它们就像当前互联网(Web2.0)和正在发展的Web3之间的桥梁。
dapp利用区块链技术固有的安全性、透明性和不可篡改性,为用户提供增强的隐私和对其数据和数字资产的更大控制权。它们功能上类似于传统应用程序,涵盖社交媒体、金融、游戏等领域。
尽管使用dapp的方式可能看起来与常规应用程序相似,但幕后发生的事情是不同的。dapp不是存储在一个大型服务器上,而是分布在区块链网络上的许多计算机(称为“节点”)上。
Web3的迅速扩展改变了技术领域。然而,它也带来了新的安全挑战。
Web3和去中心化应用程序中最突出的安全风险之一是网络钓鱼攻击。这些攻击发生在恶意行为者创建欺诈性网站或社交媒体账户,欺骗用户泄露他们的私钥或其他机密信息的情况下。
另一个与之密切相关的威胁是社交工程,这是黑客用来欺骗用户分享其登录凭据的欺骗性方法。
一些安全缺陷源于Web3和Web2.0基础设施之间的相互作用,而另一些安全缺陷则是区块链和IPFS(星际文件系统)等协议固有的。
Web3依赖网络共识,这可能会减缓修复这些和其他漏洞的速度。
一些主要的安全风险包括:
未加密和未经验证的API查询:尽管人们每天都知道与未经验证的来源共享个人信息的风险,但Web3应用程序通常依赖没有对连接端进行身份验证的API调用和响应。Web3提出完全去中心化的概念,任何网络节点都能够直接与存储的数据进行接口交互。然而,Web3应用程序的前端仍然需要Web2.0技术进行用户端交互。许多Web3 API查询没有进行密码签名,这为路径上的攻击、数据拦截和其他威胁留下了漏洞。
协议和桥接攻击:并非所有Web3都直接建立在区块链上。一些网络有被称为第二层(L2)的平台建立在其上。此外,由于区块链通常在隔离环境中运行,开发人员创建了被称为桥接的协议,旨在实现不同网络之间的通信。黑客可以针对L2协议和桥接进行攻击,因为它们被认为是弱点。
中心化交易所(CEX):虽然中心化交易所为加密货币交易者提供了便利,但由于它们持有大量资金,它们经常成为黑客的目标。有几个实例表明,中心化交易所遭到了网络攻击,给用户造成了重大损失。
账户和移动钱包被盗:媒体上经常出现加密货币或NFT钱包遭到攻击的故事。这些攻击通常发生在黑客获取用户私钥或通过网络钓鱼欺骗用户交出私钥的情况下。
恶意软件和键盘记录器:这些是黑客用来非法访问用户凭据和私钥的软件工具。
去中心化数据存储的隐私问题:与Web2.0模型中高度受限的数据库访问不同,任何连接的节点都可以访问区块链上的数据。即使数据是匿名的,这也引发了众多安全和隐私问题。
延迟的更新:Web3的去中心化特性使得迅速发布安全修复变得具有挑战性。整个网络需要批准任何更改,这延长了安全漏洞的存在时间,甚至在它们被发现后仍然存在。
智能合约中的安全漏洞:智能合约像任何代码一样,可能存在重大安全漏洞,可能会导致用户数据或资金的泄露。近期,有缺陷的智能合约使黑客能够窃取大量加密货币。
智能合约风险:专家有何看法?
2023年11月17日,区块链安全平台Immunefi发布了其关于Web3中最严重漏洞根本原因的报告。
该报告在2023年Web峰会上公布,由crypto.news参加,为Web3引入了一种新的漏洞分类标准。研究表明,黑客攻击的根本原因可归为三个可辨别的类别:
智能合约设计缺陷
合同编码不当
基础设施弱点
虽然智能合约协议经常受到足够的关注,但Immunefi指出,危险可能存在于被忽视的基础设施层面。
根据该报告,2022年黑客攻击造成的几乎一半的货币损失是由基础设施问题引起的,比如私钥处理不当。此外,该报告发现,近37.5%的事件是由于与访问控制、输入验证和算术操作相关的智能合约的开发人员错误。
该平台的首席执行官米切尔·阿马多尔强调,即使是设计良好的智能合约也可能被破坏,如果基础设施脆弱,会导致巨大的损失。
与crypto.news分享自己的想法时,Web3 Antivirus的创始人亚历克斯·杜鲁布指出,Web3和去中心化应用程序真正的威胁在于由不完整的智能合约逻辑引起的漏洞。据他说,尽管开发人员可能使用特定要求定义智能合约的工作方式,但它们始终存在被以意外方式使用的风险。
杜鲁布指出,黑客正在变得更有创造力,他们正在对智能合约和项目进行试验,寻找可以利用的不一致性。
他的担忧得到了Hexens网络安全公司的联合创始人兼首席执行官Sipan Vardanyan的共鸣,他表示,黑客的工作就是找到不被预期的内容,并创造新的、更复杂的攻击向量。
dapp安全的当前状态
Immunefi的报告显示,从2023年1月到10月,Web3部门因292起欺诈和黑客事件导致的财务损失超过14亿美元。
该报告还指出,黑客攻击导致的财务损失超过了欺诈。2023年10月,分析师将大约1600万美元的损失归因于黑客事件,其中去中心化金融平台是黑客和欺诈者的首选攻击目标。
总的来说,在2023年第三季度,Immunefi的分析确定了74起黑客攻击和欺诈行为,导致Web3生态系统的总损失达到6.85亿美元。
其中,47起黑客事件导致了6.62亿美元的损失,27起欺诈事件导致了2200万美元的损失。在Q3 2023中,两个项目Mixin Network和Multichain的损失最大,分别达到2亿美元和1.26亿美元。
根据Immunefi的数据,与2022年第三季度相比,这些数字几乎增长了60%,当时坏人带走了约4.28亿美元。
在2023年第三季度,Mixin和Multichain的袭击占据了所有损失的47%以上。在该时期,黑客攻击是损失的主要原因,占96.7%,而欺诈、诈骗和拉盖拉盗取只占被盗资金的3.3%。
此外,攻击者最常针对以太坊(ETH)和BNB Chain(BNB)进行攻击,以太坊遭受了33起事件,而BNB Chain面临了25起事件。
Web3攻击的数量也显著增加,单一事件的数量在2023年第三季度同比增长了147%,从30起增加到74起。
总的来说,该时期是2023年损失最严重的时期,其中大部分损失来自Lazarus Group的攻击,据报道称该组织背后有对CoinEx、Alphapo、Stake和CoinsPaid等高调攻击的指控。
在这些攻击中,这个与朝鲜有关的组织窃取了2.086亿美元,占2023年第三季度总损失的30%。
从一年来看,加密货币生态系统在292起事件中共报告了14.10669亿美元的损失。2023年第三季度尤其严重,9月的损失超过3.4亿美元,7月的损失超过3.2亿美元。
在Web3领域如何保护自己
以下是Web3用户可以采取的措施,以保护自己和他们的资产免受不良行为者的侵害:
警惕冒名顶替。这种企图在Web3世界是一种不幸的现实,忽视它可能导致严重后果。
跟踪您的账户余额。这可能看起来微不足道,但这是在Web3世界中减轻安全威胁的一种基本方法。作为最佳实践,在使用您的钱包签名任何新平台之后,检查您的账户余额,特别是像比特币(BTC)、以太坊或美元稳定币(如Tether(USDT))这样的高价值代币,它们容易受到常见的黑客攻击。
如果发现任何可疑的交易或未经授权的访问,应立即向您的去中心化金融机构或dapp平台提供商报告。
在下载或安装新的dapp时要谨慎。在下载和安装应用程序时,坚持使用可信的来源,避免使用来自陌生或不可信的网站的软件,这可能会危及设备的安全。
对声誉不佳的网站要谨慎,因为它们可能分发有害软件,可能会危及您设备的安全。
考虑到中心化交易所经常成为黑客攻击目标,专家建议用户将资金存放在能够完全控制私钥的钱包中。为了更好地保护私钥安全,Web3用户可以使用硬件钱包或离线存储解决方案,将私钥离线存储,远离潜在的键盘记录器。
确保Web3安全不是一次性任务,而是一个不断进行的过程,需要积极主动地识别风险、战略性地选择区块链设计、定期进行审核并不断学习。
阅读更多:
准备好改变了吗?展望2024年的Web3革命 | 观点
在Google新闻上关注我们
必读