別怕 其實Web3.0的世界很安全

發表於 2022-03-22 17:01 作者： 區塊律動BlockBeats

別怕 其實Web3.0的世界很安全

• 
2.6萬

「我錢包裏的 ETH 都沒了！」

今日，DeFinance 創始人 Arthur 在社交媒體上表示其遭受魚叉式網絡釣魚攻擊。Arthur 點擊了一封酷似 Defiance Capital 合作資管平台官方地址發來的郵件中的 PDF 文檔，導致其熱錢包被盜，損失大量 NFT 以及其他資產價值超 400ETH。

Web3.0 的世界好像並不安全，我們的鏈上資產似乎處處受到威脅。確實，從上層來看，鏈上應用不光要考慮應用邏輯的漏洞，還要考慮所部屬鏈共識層可能潛在的攻擊途徑（搶跑等）。除此之外，我們還需要擦亮雙眼看清交互前端，並預防各類釣魚鏈接。最致命的一點是，交易一旦獲得清算保證，回滾成本極高。這么說來，Web3.0 整體安全程度還不如 Web2.0 呢。

但從更底層維度來看，理論上來說 Web3.0 其實應該是更安全的。例如，鏈上的去中心化平行執行爲鏈上應用打造了去信任化的執行環境。Web2.0 應用常遇到的 DoS 攻擊也被 Gas 機制所解決。協議的开源同時也讓用戶在使用前「有權」進行 DYOR，等等...

本文出自加密錢包 ZenGo 聯創 Tal Be'ery，文中就 Web3.0 固有的安全優勢進行了詳細解讀，並提出了現存問題的潛在解決方案。律動研究院將全文進行了翻譯：

我知道這一點聽起來很荒唐，畢竟 Web3 的安全性是目前科技領域的一大笑柄，而 Web3 在去年也因安全漏洞損失了超過 100 億美元。然而，我認爲目前這樣的情況應該是階段性的，而非持續性的，一旦 Web3 應用程序變得更加成熟，它們將在安全性上超越很多「傳統應用程序」。

Web3 的定義

在我們开始討論 Web3 的安全性之前，我們需要首先對其作出定義。我們可以暫時將 Web3 定義爲依賴於「智能合約」的應用程序，其商業邏輯和存儲均在區塊鏈上完成。因此，Web3 目前主要包括 DeFi 應用程序和 NFT，但在未來可以擴展到更多領域。

Web3 三角

在對 Web3 作出定義之後，我們便可以开始探討它的安全性，而這主要包括智能合約的安全性。爲了簡單起見，我們將只討論以太坊上的智能合約，但我相信其結論也適用於其他相似的系統和區塊鏈。

Web3 的安全性有其內在優勢

想象一下，如果 Web3 軟件環境中沒有了惡意軟件、拒絕服務攻擊以及其他類型的攻擊，該是一次多么美妙的升級。下面我們一起來認識一下實現了安全烏托邦的 Web3：

-Web3 可以免疫注入式攻擊：對於傳統的網絡應用程序，所有參數都是以字符串的形式發送。這個設計缺陷是大多數傳統網絡應用程序漏洞背後的核心原因，這些漏洞包括 SQL 注入和命令注入，讓攻擊者能夠將非預期輸入偷運到尚未完善的網絡應用程序之中。相比之下，由於 Web3 的強類型性質，這種非預期輸入（比如，當預期是一個數字時，輸入的卻是一個字符串）將立即失敗，而 Web3 應用程序則不需要做任何特殊的准備。

-Web3 對拒絕服務攻擊的抵抗力更強：雖然這些攻擊並不聰明，因爲它們通常不是靠「腦力」，而是靠僵屍網絡大軍的「蠻力」，以較低的成本向攻擊目標發送垃圾流量，但它們仍然是傳統 Web 應用程序面對的一個主要問題。相比之下，Web3 應用程序就不會受此困擾，因爲區塊鏈爲了防止被過量使用，設置了較高的交易費用，從而讓 DoS 攻擊者無從下手。

除了上面幾點以外，Web3 在其他方面也表現出了很好的安全性（例如，在應對軟件供應鏈攻擊方面）。但是，僅僅是做到了上面幾點，就已經相當厲害了。

但除了上述的技術優勢外，鑑於 Web3 的完全开放性和透明度，Web3 還具有一些理念意義上的安全優勢。早在 Web3 出現之前，开放式安全理念在安全領域就有很多擁護者，認爲它比「隱蔽式安全」更具優勢。Web3 將开放式安全理念發揮到了極致：在 Web3 中，不僅代碼按照慣例是开源的，而且根據定義，二進制文件在區塊鏈上也是對外公开的，且可以被驗證爲是已發布源代碼的結果。此外，根據定義，所有代碼的執行（交易）都是公开的，任何人都可以對其進行驗證和審查。

理論優勢並非實際優勢

如果 Web3 的安全性在理論上大大優於傳統應用程序，那爲什么在實際操作中，DeFI 應用程序的安全性還是比不過傳統的銀行應用程序？

我認爲這不是因爲 Web3 的安全性本身有多差，而是因爲它的運行環境異常惡劣，攻擊者可以更容易地靠黑客攻擊賺錢。Web3 應用程序每時每刻都在處理着「流動資金」，因爲區塊鏈上的資金轉移幾乎都是即時發生且不可改變的；而在傳統的銀行系統中，即使銀行應用程序被黑，在攻擊者兌現以前，這些惡意交易所涉及的財產都可以被追回。

具體而言，我們可以看一下規模最大的銀行被黑案之一——2016 年孟加拉銀行黑客入侵案。攻擊者利用惡意軟件滲透到銀行當中，並發送欺詐性的 SWIFT 電匯，試圖劫走 10 億美元。爲了真正得到這 10 億美元，攻擊者需要看好一個特定的日期，這一天正好銀行放假，好讓他們有足夠的時間來變現。他們還需要在一家能夠處理大量電匯的菲律賓銀行提前做好准備，以便在電匯被退回之前將資金套現。最終，攻擊者「只」獲得了 10 億美元中的 6000 萬美元，而這並不是因爲銀行的軟件安全性高，而是因爲環境比較寬松，給了防衛者足夠的時間追回電匯。

因此，我們可以得出結論，爲了擊敗攻擊者，我們需要爲防衛者爭取更多的時間。

要想做到這一點，我們需要減少攻擊的檢測時間，或者延長交易可逆轉前的時間，又或者同時做好這兩點。

我非常看好我們社區在改善攻擊檢測時間上的能力，因爲目前已經有一些安全公司（如 peckshield）能夠根據公开數據，利用上述的區塊鏈透明度及「开放式安全」理念，提前對黑客攻擊作出預警。從最近發生的黑客攻擊案及其事後分析來看，沒有什么能阻止在交易執行時分析的實時進行（甚至在交易執行節點內存池中的一個「代辦事宜」時也一樣）。當我們把這樣一種先進的預警系統集成進合約當中以後，可能就足以用來杜絕此類惡意交易了，正如最近出現的 Forta.network 等項目所顯示的那樣。

即使在今天，套現也不像看起來那么容易。一些 Crypto Token 已經設置了自己的黑名單，用以凍結名單用戶的資產。此外，要想兌現成法幣，攻擊者通常需要借助中心化交易所，而這些交易所正受到越來越多的監管，並也增添了 KYC 功能（了解你的客戶）及黑名單，阻止了攻擊者進行兌現。因此，如今一些攻擊者更愿意歸還大部分被黑的資金，只保留一小部分，並把這部分資金洗白成被黑應用程序發放的「漏洞修補賞金」（bug bounty）。正如最近查獲的 Bitfinex 被黑資金，這些黑客其實很難將大筆的 Crypto 套現。可以肯定的是，套現只會變得越來越難。

結論：我們終將成功

雖然 Web3 的安全性還遠遠不夠，但隨着它的不斷改進，未來很有可能成爲我們數字活動的安全護盾。就像大多數革命性的技術一樣，Web3 的功能越豐富，其安全性就越是問題，這也是一直以來的情況。不過今後在風險投資和成功 Web3 項目的資金支持下，安全系統的人才將不斷從傳統安全產品湧入 Web3 領域，我相信到那時 Web3 的安全性便可以充分的發揮出來。

Web3 和 Crypto 技術涉及計算機科學和經濟中的諸多學科，而我只了解安全領域。我相信，Web3 將爲安全領域帶來重大突破，而且我也深信它能對其他我不了解的領域作出改進。

或者用 Web3 的行話說，WAGMI（我們都會成功的！）。

金色財經 > 區塊鏈 > 別怕 其實Web3.0的世界很安全

標題：別怕 其實Web3.0的世界很安全

地址：https://www.coinsdeep.com/article/900.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。