Forrester報(bào)告：Web3可能比現(xiàn)有網(wǎng)絡(luò)更容易遭受攻擊

極客網(wǎng)·極客觀察9月5日 許多人認(rèn)為，下一代網(wǎng)絡(luò)Web3會(huì)比現(xiàn)在的網(wǎng)絡(luò)更安全，但最近發(fā)布的報(bào)告澆了盆冷水，事實(shí)可能并非如此。

Forrester認(rèn)為，從基礎(chǔ)設(shè)施的層面來看，Web3的確有可能更難顛覆，但它也有一些弱點(diǎn)，可能會(huì)比現(xiàn)有網(wǎng)絡(luò)更容易遭受攻擊。相比傳統(tǒng)應(yīng)用，Web3應(yīng)用有區(qū)塊鏈特點(diǎn)，所以它會(huì)擁有更寬的受攻擊面。還有，在Web3時(shí)代代幣相當(dāng)于數(shù)量可觀的金錢，黑客攻擊Web3的欲望會(huì)更強(qiáng)烈。

Web3具有開放性，這是它最大的優(yōu)點(diǎn)，但也是麻煩所在。Forrester分析師Martha Bennett認(rèn)為：“運(yùn)行于公共區(qū)塊鏈上的代碼更容易被入侵，世界上任何地方的任何人只要擁有技能，不需要滲透任何企業(yè)防御網(wǎng)就能進(jìn)入?！彼€說：“源代碼也容易被入侵，因?yàn)槭澜绮幌矚g運(yùn)行封閉源代碼的智能合約。Web3基本上就是開放源碼?！?/p>

不受歡迎的復(fù)雜性

Cipher安全公司CTO David Rickard認(rèn)為，Web3是基于用戶對(duì)數(shù)據(jù)和身份的分布式控制搭建的。

“有些個(gè)體可能不愿意或者沒有能力管理自己的數(shù)據(jù)和身份，本來Web3的技術(shù)很復(fù)雜，這樣一來應(yīng)用會(huì)將‘易用’看得比其它因素更重要，所以Web3的受攻擊面會(huì)更寬。”

David Rickard補(bǔ)充說：“對(duì)于個(gè)體來說，除了文本信息、郵件、查看社交媒體、使用購(gòu)物App，其它都是挑戰(zhàn)。”Web3會(huì)讓代碼透明、公開，這種做法不會(huì)得到真正的推崇。他認(rèn)為：“在資本投資者與區(qū)塊鏈金融系統(tǒng)（比如NFT）用戶之間，牽涉到的金錢利益太大了?！?/p>

讓代碼透明公開也會(huì)導(dǎo)致Web3的受攻擊面變寬。David Rickard分析稱，要實(shí)現(xiàn)安全編碼，預(yù)測(cè)用戶會(huì)用系統(tǒng)做出什么邪惡行為不是容易做到的事，預(yù)測(cè)并不容易；要預(yù)測(cè)人們?nèi)绾螌⑾到y(tǒng)用于預(yù)期之外的目的并非易事。

他還說：“人們擔(dān)心區(qū)塊鏈和NFT會(huì)被利用而出現(xiàn)金融損失，但這種擔(dān)憂并不是針對(duì)不可變的對(duì)象本身，而是擔(dān)心有人利用應(yīng)用漏洞操作它們。”

還有一點(diǎn)要注意，傳統(tǒng)系統(tǒng)可能有點(diǎn)古老，但它們并不脆弱。Cerby首席信用官M(fèi)att Chiodi說：“新東西往往也是最不安全的。雖然時(shí)間并非總是安全的朋友，但時(shí)間長(zhǎng)了應(yīng)用也會(huì)在戰(zhàn)斗中接受更多測(cè)試。Web3不太一樣，它是新的，沒有經(jīng)過測(cè)試。傳統(tǒng)應(yīng)用因時(shí)間受益，Web3還沒有。”

NFT會(huì)成為攻擊目標(biāo)

不管代碼是不是可見，是不是能訪問，攻擊者都會(huì)找到弱點(diǎn)，NFT可能會(huì)成為 “最受歡迎”的攻擊目標(biāo)。

Bennett稱：“如果能有更容易的途徑接近目標(biāo)，為什么要選擇更難的呢？對(duì)于想偷竊或者顛覆規(guī)則的人來說，就像其它的價(jià)值交易所場(chǎng)一樣，NFT集市和通信工具是很有吸引力的?！?/p>

“在與Web3有關(guān)的任何事物中，速度都是很重要的，但許多地方都沒有專家來評(píng)估潛在安全問題。有時(shí)雖然發(fā)生了糟糕的安全事故，創(chuàng)業(yè)公司還是連安全主管都不招?！?/p>

6月份 OpenSea的NFT市場(chǎng)出現(xiàn)安全事故，180萬郵件地址泄露。Rickard分析稱，這起事故涉及到內(nèi)部威脅，處理交易的應(yīng)用可能也是很脆弱的，應(yīng)用中可能有成千上萬的漏洞需要編程者好好應(yīng)對(duì)，黑客只要抓住一個(gè)就能制造一次事故。

騙子橫行

在NFT及其它公共區(qū)塊鏈項(xiàng)目中，社交媒體網(wǎng)絡(luò)Discord成為致命弱點(diǎn)。一些黑客用釣魚手段攻擊Discord，這是許多NFT盜竊案的根源所在。

這件事向我們證明：攻擊者一般喜歡瞄準(zhǔn)社區(qū)管理員。當(dāng)黑客拿到管理員賬戶，就有機(jī)會(huì)大規(guī)模竊取，因?yàn)橛脩敉鶗?huì)相信社交管理員發(fā)的信息。

Discord是面向游戲玩家的交流論壇，并不是價(jià)值交易中心，所以它并沒有建立降低風(fēng)險(xiǎn)的機(jī)制。Bennett稱：“這樣的安全機(jī)制只有真正推行才能起到作用，但很明顯Discord沒有執(zhí)行。還有，Discord作為深受歡迎的代幣項(xiàng)目溝通平臺(tái)，它吸引了大量的釣魚攻擊和垃圾信息?！?/p>

為了收集參與者的聯(lián)系信息，黑客會(huì)發(fā)起釣魚攻擊，入侵?jǐn)?shù)字錢包也并不是什么稀罕之事。Bennett說：“Discord機(jī)器人曾被黑客入侵，作惡者可以發(fā)送虛假報(bào)價(jià)，最終導(dǎo)致加密貨幣被偷?！?/p>

比傳統(tǒng)網(wǎng)絡(luò)更安全嗎

Forrester在報(bào)告中說，在快速前進(jìn)的Web3世界，企業(yè)會(huì)傾向于忽視安全漏洞，只求快速創(chuàng)新，但是當(dāng)重要產(chǎn)品發(fā)布時(shí)公共安全漏洞可能會(huì)成為阻礙，它會(huì)拖累產(chǎn)品團(tuán)隊(duì)前進(jìn)的速度，強(qiáng)迫團(tuán)隊(duì)分析、緩解關(guān)鍵安全威脅。

Chiodi認(rèn)為：“Web3應(yīng)該將安全焦點(diǎn)向左移動(dòng)，也就是讓安全問題盡可能靠近開發(fā)者，將預(yù)防當(dāng)成首要目標(biāo)。如果不這樣做，Web3最終就會(huì)和Web2差不多?？紤]到Web3潛力無限，在去中心化身份方面更是優(yōu)勢(shì)明顯，如果最終和Web2的安全差不多那就太可恥了?！?/p>

保密計(jì)算公司Anjuna的高管Mark Bower說：“Web3的分布式策略會(huì)帶來多種類型的安全能力，但本質(zhì)問題和之前還是一樣的。如果攻擊者可以拿到證書，可以拿到根權(quán)限或者密匙，尤其是拿到運(yùn)行于整個(gè)生態(tài)系統(tǒng)的關(guān)鍵私人密鑰，游戲就會(huì)被顛覆，就像中心化平臺(tái)一樣。”

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。