在过去的二十年里,银行业在欺诈检测和预防方面发生了变革。最初,欺诈分析师充当老式侦探,依靠直觉和直接沟通,经常与执法部门合作以识别和解决欺诈问题。由于银行转账、信用卡和支票等支付选项较少,欺诈更容易被检测和控制。商家采用安全交易服务来验证持卡人身份,而银行通常使用基于规则的机制来对付欺诈,忽略了持卡人个人资料和行为的细微差别。
快进到今天,情况截然不同。转向用于卡片现场交易的EMV芯片卡使重点转向了在线和移动渠道。随着支付方式的多样化,欺诈也在不断演变,适应了数字领域和我们的混合生活方式。这一过程促使欺诈预防部门采纳新技术来检测和预防新兴威胁。
由于当前配置的银行系统具有高度集中、庞大且不愿改变的特点,应对这些挑战并不容易。银行基础设施习惯于封闭系统,在这种系统中,由于客户个人资料和习惯的高度可用性,检测欺诈更为简单。恶意行为者的概念是未知的。简单地说,如果有人试图代表你进行未经授权的付款,银行之所以能够检测到这一点,不是因为他们能识别出一个坏演员,而是因为他们了解你并且知道这笔付款与你的行为不符。
现在,我们正在目睹web3中类似的过程。web3带来的颠覆性变革开启了许多漏洞。目前,重点是通过智能合约审计和漏洞赏金来修补这些漏洞。然而,用户常常不得不自行应对不断演变的骗局和攻击。与银行业类似,web3中的许多安全措施是事后的,主要关注的是调查出了什么问题,而不是预防。此外,为用户创建标准配置文件是困难的;区块链是流动的,同一用户可以使用不同地址执行各种任务,例如一个地址用于持有,另一个地址用于交易。
用户在web3中的体验
解决web3安全问题需要一种集成的方法,就像银行和无现金支付行业中安全性的进化一样。
在这种环境下,期望每个web3用户都能够在与调查机构和安全解决方案合作时避开“用户体验地狱”是不现实的。一些用户已经采取了措施,安装了安全扩展来保护他们的钱包。然而,这种措施的必要性表明存在一个根本性缺陷:安全不是web3的默认状态,而它应该是。
将当前的web3状态与一个充满犯罪分子的危险街道进行比较,我们可以看到,与其消除犯罪的可能性并使整个街道更安全,我们将防弹衣发给每个邻居,并确保他们继续纳税。此外,仅仅向普通人提供枪支或防护装备并不能自动使他们更安全。任何具有更高街头智慧和枪支专业知识的恶意行为者都可以轻易规避这些基本的自卫措施,使普通人仍然容易受到伤害并得不到充分的保护。
以2023年9月Balancer上的Angel Drainer攻击为例。攻击者劫持了Balancer的DNS,入侵了其界面,导致对用户钱包发起钓鱼攻击。超过1,500名受害者最少损失了35万美元。在这1,500个钱包中的每一个上安装安全扩展或MetaMask插件是否会成为有效的防御措施?没有确定性。大多数安全解决方案都是基于黑名单的,其中包括已知骗局的地址。
过时的安全工具
在某种程度上,大多数可用的保护措施只是反病毒软件的现代版本:它们需要知道病毒的存在才能释放对其的保护。正如我们上面所写的那样,区块链是流动的:用户为其任务使用多个地址,以便骗子可以轻松切换地址;当一个骗局地址被识别出来时,骗子就有了新的地址,而这个地址还没有被公开。此外,检测到具有高度可能性的骗局所需的时间很长,因为它需要人工调查和足够数量的受害者才能有效检测到。
我们还需要意识到,那些不知道自己正在处理web3应用程序的最无助的用户,将会越来越多,因为在未来,web2界面将只是通往web3应用程序的友好入口。如果web3原生用户成为骗局的受害者,对于web2用户来说,将是一场血腥屠杀。
这个严峻的威胁强调了我们在如何处理数字领域安全性方面需要进行范式转变。在web2中,安全模型主要关注对攻击的反应,但在web3中,交易具有不可逆性,要求一种强调预防的安全架构。当前政府关注的是反洗钱和逃税问题,忽视了保护用户免受骗局的需求。对于那些风险在骗局中丧失资金的大多数人来说,更关注的是那些参与非法活动的少数人。
让我们考虑几个例子。钱包在防止或至少试图防止导致资金全部提取的交易方面没有法律责任。大多数钱包根本不优先考虑这个问题。在保护客户方面没有经济利益,也没有未能这样做的处罚。去中心化交易所可以交易各种类型的代币,包括“垃圾币”和“梗币”。尽管其中许多代币可能是合法的,尽管缺乏基本价值,但其他代币则明确设计用于操纵买家并通过拉盘或蜜罐攻击实施盗窃。一项研究发现,这些骗局中被盗金额差异很大,从大约3,000美元到12,000,000美元不等。
尽管存在明显的风险模式,例如匿名团队或在一个钱包中具有最高流动性的项目,去中心化交易所通常不会将这些代币标记为危险的。这种情况导致了一种两难境地,即web3项目必须或者遵守不能充分应对第三方风险的规定,并承受SEC的全面审查,或者在黑暗中运作,实际上对用户的任何损害不负责任,只要它们获得价值。迫切需要扩展监管框架,不仅包括对项目本身内部风险的保护,还包括对外部风险的保护。
web3数字领域的安全性
为了真正安全的web3环境,安全必须融入生态系统的核心基础设施中,确保用户无需自卫。我们必须从被动的安全措施转变为主动的综合解决方案,通过将安全性固化在技术本身中,创造一个安全可靠的环境。这需要web3生态系统中的所有利益相关者共同努力,包括开发人员、平台提供商、监管机构和最终用户。
用户应该在所有web3构建者中创造一种强烈的紧迫感;他们应该要求不仅提供基本功能(如兑换或交易)的解决方案,还要承担责任并确保保护。
基础设施提供商,如提供Node-as-a-Service的公司,必须确保他们的系统能够抵御攻击。他们应该为区块链提供安全可靠的接入点,确保交易和数据始终以默认方式进行分析和保护。在这方面,RPC和节点提供商是关键的参与者,因为他们可以将安全协议的访问扩展到所有客户,从而保护所有最终用户。
我们必须通过将安全性融入到非常低的基础设施层来创建相同的安全环境。RPC提供商应该成为此类措施的主要传播者,通过默认情况下的每个RPC API的事务安全检查。想象一下,如果所有以太坊节点提供商都应用了安全解决方案,以确保主网不接受任何恶意交易。这种大胆而有力的举动将使整个EVM生态系统成为一个安全和更安全的地方。在商业上合乎逻辑并且在立法者的头脑中有适当的法规和优先事项之前,这种情况不会发生。
监管机构发挥着至关重要的作用;他们必须扩大范围,包括在web3空间中保护用户。监管应鼓励实施强大的安全措施,同时保持去中心化作为web3的核心。我们应该停止给每个人提供防弹衣并追捕逃税者;相反,我们应该首先专注于创造一个安全的环境。
总之,web3安全的发展应该从被动的、孤立的措施转向主动的、综合的解决方案。通过将安全性嵌入到核心基础设施中,并使所有利益相关者参与到这一努力中,我们可以培育出一个创新、去中心化且安全可信的web3环境。致力于这条道路不仅可以保护我们的数字资产,还可以保证信任和信心,这是这个革命性领域的成功和发展所必需的。