许多人不知道的是,向去中心化和 web3 的转变需要安全范式的转变。项目和协议可以托管数百万美元的数字资产,所有这些都可以通过互联网访问。支持 web2网络安全行业的相同假设不再适用。
Web3安全性更加难以预测
感谢该行业的相对年轻,web3 安全公司ChainLight的首席执行官 Brian Pak,告诉CCN,由于该行业相对年轻,Web3 客户在一个动态且难以预测的环境中航行 。
Pak 指出,传统技术强调外围安全、数据加密和集中信任,而 web3 则在动态且难以预测的环境中运行。智能合约黑客等新的攻击媒介需要保护去中心化资产和系统的创新方法。
对智能合约的主要担忧包括重入攻击 ,其中一个函数被外部重复调用,一种导致交易失败的技术和时间戳依赖性 ,这可能导致操纵风险。仅在几年前,所有这些利用方法对于典型的网络安全专家来说都是未知的。大多数加密货币之外的人仍然对它们没有太多了解。
虽然智能合约通过根据预定义条件自动执行来实现无需信任的交易,但 Pak 认为从最终用户的角度来看,无需信任与成本成反比关系。 为了平衡事情,项目应该考虑让系统完全去信任是否会开始损害人们实际使用它们的容易程度。
最重要的是,具有必要技能的人可以更容易地发现 web3 中的漏洞。Pak 解释说,web3 生态系统往往是开源的,因此容易受到任何人的审查或攻击。
Web3黑客攻击的是协议,而不是人
Pak 解释说,任何密切关注加密货币世界的人都熟悉这种趋势,个人和机构不会直接屈服于黑客攻击。相反,他们因对 HECO 桥、虫洞等协议的投资而蒙受损失 和浪人 。
加密货币中的跨链桥连接不同的网络,实现跨区块链的资产转移和互操作性。但事实上,他们接收了大量资金,这使他们成为黑客的主要目标。
此外,Curve、KyberSwap 和 CoinEx 等主要交易所在过去一年遭受了巨大的财务打击。Curve 损失 6200 万美元,KyberSwap 损失 4800 万美元,CoinEx 损失 7000 万美元。Pak 说:“漏洞往往会在大部分流量所在的生态系统区域被利用。”
Pak 对众多 web3 项目(其中许多项目持有数百万美元的数字资产)有什么建议吗?他说:“以一种通过设计确保安全的方式进行构建,通过在设计每一款产品时都考虑到安全性,开发人员可以从一开始就实现安全系统的**平衡。”
但 ChainLight 首席执行官表示,情况正在改善。许多用户正在花时间仔细审查项目的安全诚意,甚至检查谁进行了项目的安全审计,这是一个积极的进展。
值得庆幸的是,对于用户来说,协议正在加大对审计后监控的投资,以实现持续的弹性。两个例子是投资链上监控和进行战斗测试——**现实世界攻击的模拟演习。这可以帮助团队为最坏的情况做好准备。
