Forrester報告：Web3可能比現(xiàn)有網(wǎng)絡(luò)更容易遭受攻擊

極客網(wǎng)·極客觀察9月5日 許多人認(rèn)為，下一代網(wǎng)絡(luò)Web3會比現(xiàn)在的網(wǎng)絡(luò)更安全，但最近發(fā)布的報告澆了盆冷水，事實可能并非如此。

Forrester認(rèn)為，從基礎(chǔ)設(shè)施的層面來看，Web3的確有可能更難顛覆，但它也有一些弱點，可能會比現(xiàn)有網(wǎng)絡(luò)更容易遭受攻擊。相比傳統(tǒng)應(yīng)用，Web3應(yīng)用有區(qū)塊鏈特點，所以它會擁有更寬的受攻擊面。還有，在Web3時代代幣相當(dāng)于數(shù)量可觀的金錢，黑客攻擊Web3的欲望會更強(qiáng)烈。

Web3具有開放性，這是它最大的優(yōu)點，但也是麻煩所在。Forrester分析師Martha Bennett認(rèn)為：“運行于公共區(qū)塊鏈上的代碼更容易被入侵，世界上任何地方的任何人只要擁有技能，不需要滲透任何企業(yè)防御網(wǎng)就能進(jìn)入?！彼€說：“源代碼也容易被入侵，因為世界不喜歡運行封閉源代碼的智能合約。Web3基本上就是開放源碼?！?/p>

不受歡迎的復(fù)雜性

Cipher安全公司CTO David Rickard認(rèn)為，Web3是基于用戶對數(shù)據(jù)和身份的分布式控制搭建的。

“有些個體可能不愿意或者沒有能力管理自己的數(shù)據(jù)和身份，本來Web3的技術(shù)很復(fù)雜，這樣一來應(yīng)用會將‘易用’看得比其它因素更重要，所以Web3的受攻擊面會更寬?！?/p>

David Rickard補(bǔ)充說：“對于個體來說，除了文本信息、郵件、查看社交媒體、使用購物App，其它都是挑戰(zhàn)?！盬eb3會讓代碼透明、公開，這種做法不會得到真正的推崇。他認(rèn)為：“在資本投資者與區(qū)塊鏈金融系統(tǒng)（比如NFT）用戶之間，牽涉到的金錢利益太大了。”

讓代碼透明公開也會導(dǎo)致Web3的受攻擊面變寬。David Rickard分析稱，要實現(xiàn)安全編碼，預(yù)測用戶會用系統(tǒng)做出什么邪惡行為不是容易做到的事，預(yù)測并不容易；要預(yù)測人們?nèi)绾螌⑾到y(tǒng)用于預(yù)期之外的目的并非易事。

他還說：“人們擔(dān)心區(qū)塊鏈和NFT會被利用而出現(xiàn)金融損失，但這種擔(dān)憂并不是針對不可變的對象本身，而是擔(dān)心有人利用應(yīng)用漏洞操作它們?！?/p>

還有一點要注意，傳統(tǒng)系統(tǒng)可能有點古老，但它們并不脆弱。Cerby首席信用官Matt Chiodi說：“新東西往往也是最不安全的。雖然時間并非總是安全的朋友，但時間長了應(yīng)用也會在戰(zhàn)斗中接受更多測試。Web3不太一樣，它是新的，沒有經(jīng)過測試。傳統(tǒng)應(yīng)用因時間受益，Web3還沒有?！?/p>

NFT會成為攻擊目標(biāo)

不管代碼是不是可見，是不是能訪問，攻擊者都會找到弱點，NFT可能會成為 “最受歡迎”的攻擊目標(biāo)。

Bennett稱：“如果能有更容易的途徑接近目標(biāo)，為什么要選擇更難的呢？對于想偷竊或者顛覆規(guī)則的人來說，就像其它的價值交易所場一樣，NFT集市和通信工具是很有吸引力的?！?/p>

“在與Web3有關(guān)的任何事物中，速度都是很重要的，但許多地方都沒有專家來評估潛在安全問題。有時雖然發(fā)生了糟糕的安全事故，創(chuàng)業(yè)公司還是連安全主管都不招?！?/p>

6月份 OpenSea的NFT市場出現(xiàn)安全事故，180萬郵件地址泄露。Rickard分析稱，這起事故涉及到內(nèi)部威脅，處理交易的應(yīng)用可能也是很脆弱的，應(yīng)用中可能有成千上萬的漏洞需要編程者好好應(yīng)對，黑客只要抓住一個就能制造一次事故。

騙子橫行

在NFT及其它公共區(qū)塊鏈項目中，社交媒體網(wǎng)絡(luò)Discord成為致命弱點。一些黑客用釣魚手段攻擊Discord，這是許多NFT盜竊案的根源所在。

這件事向我們證明：攻擊者一般喜歡瞄準(zhǔn)社區(qū)管理員。當(dāng)黑客拿到管理員賬戶，就有機(jī)會大規(guī)模竊取，因為用戶往往會相信社交管理員發(fā)的信息。

Discord是面向游戲玩家的交流論壇，并不是價值交易中心，所以它并沒有建立降低風(fēng)險的機(jī)制。Bennett稱：“這樣的安全機(jī)制只有真正推行才能起到作用，但很明顯Discord沒有執(zhí)行。還有，Discord作為深受歡迎的代幣項目溝通平臺，它吸引了大量的釣魚攻擊和垃圾信息?！?/p>

為了收集參與者的聯(lián)系信息，黑客會發(fā)起釣魚攻擊，入侵?jǐn)?shù)字錢包也并不是什么稀罕之事。Bennett說：“Discord機(jī)器人曾被黑客入侵，作惡者可以發(fā)送虛假報價，最終導(dǎo)致加密貨幣被偷。”

比傳統(tǒng)網(wǎng)絡(luò)更安全嗎

Forrester在報告中說，在快速前進(jìn)的Web3世界，企業(yè)會傾向于忽視安全漏洞，只求快速創(chuàng)新，但是當(dāng)重要產(chǎn)品發(fā)布時公共安全漏洞可能會成為阻礙，它會拖累產(chǎn)品團(tuán)隊前進(jìn)的速度，強(qiáng)迫團(tuán)隊分析、緩解關(guān)鍵安全威脅。

Chiodi認(rèn)為：“Web3應(yīng)該將安全焦點向左移動，也就是讓安全問題盡可能靠近開發(fā)者，將預(yù)防當(dāng)成首要目標(biāo)。如果不這樣做，Web3最終就會和Web2差不多。考慮到Web3潛力無限，在去中心化身份方面更是優(yōu)勢明顯，如果最終和Web2的安全差不多那就太可恥了。”

保密計算公司Anjuna的高管Mark Bower說：“Web3的分布式策略會帶來多種類型的安全能力，但本質(zhì)問題和之前還是一樣的。如果攻擊者可以拿到證書，可以拿到根權(quán)限或者密匙，尤其是拿到運行于整個生態(tài)系統(tǒng)的關(guān)鍵私人密鑰，游戲就會被顛覆，就像中心化平臺一樣?！?/p>

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。