火星链 火星链
Ctrl+D收藏火星链
首页 > 波场 > 正文

WEB3:DeFinance创始人遭钓鱼攻击损失545枚ETH,Web3世界还安全吗?

作者:

时间:1900/1/1 0:00:00

「我钱包里的ETH都没了!」

今日,DeFinance创始人Arthur在社交媒体上表示其遭受鱼叉式网络钓鱼攻击。Arthur点击了一封酷似DefianceCapital合作资管平台官方地址发来的邮件中的PDF文档,导致其热钱包被盗,损失大量NFT以及其他资产价值超400ETH。

Web3.0的世界好像并不安全,我们的链上资产似乎处处受到威胁。确实,从上层来看,链上应用不光要考虑应用逻辑的漏洞,还要考虑所部属链共识层可能潜在的攻击途径。除此之外,我们还需要擦亮双眼看清交互前端,并预防各类钓鱼链接。最致命的一点是,交易一旦获得清算保证,回滚成本极高。这么说来,Web3.0整体安全程度还不如Web2.0呢。

但从更底层维度来看,理论上来说Web3.0其实应该是更安全的。例如,链上的去中心化平行执行为链上应用打造了去信任化的执行环境。Web2.0应用常遇到的DoS攻击也被Gas机制所解决。协议的开源同时也让用户在使用前「有权」进行DYOR,等等...

法国金融市场管理局:未来几年可能是 DeFi 行业的关键时期,将推出一个平衡的监管框架:6月27日消息,法国金融市场管理局(AMF)在发布的一份 DeFi 讨论报告中表示,DeFi 当前处于发展初期阶段,一方面可以推动创新,另一方面也给参与者带来了风险,同时也给监管机构带来更大的挑战。未来几年可能是 DeFi 行业的关键时期。

在法国,审慎监管局(ACPR)已经就 DeFi 监管提出了一些建议,并已提交咨询。欧盟层面来看,欧盟委员会将不得不评估与加密资产市场中 DeFi 相关的发展,并评估在加密资产市场(MiCA)法规生效后对 DeFi 系统进行监管处理的必要性。国际机构和组织(如 IOSCO 和 FSB)开展的工作也将进一步明确向司法管辖区提出的有关 DeFi 监管处理的指导或建议。AMF 完全支持这些举措,并打算增加与公共和私人利益相关者的接触,以期形成一个平衡的监管框架,从长远来看,这将有助于支持 DeFi 的健康发展。[2023/6/27 22:03:52]

本文出自加密钱包ZenGo联创TalBe'ery,文中就Web3.0固有的安全优势进行了详细解读,并提出了现存问题的潜在解决方案。律动研究院将全文进行了翻译:

SEC主席:无论多么“去中心化”,DeFi都必须被监管:8月19日消息,去中心化交易所作为一种新型数字资产交易所一直被看做是加密货币的“圣杯”,人们在上面进行交易和借贷,没有“中间人”参与。但是美国证券交易委员会Gary Gensler在本周三接受采访时表示,迄今为止,这些点对点网络在在美国完全不受监管,这种情况未来可能将有所改变,一些被称为DeFi的去中心化金融项目看起来具备接受SEC监管的实体类型特征。Gary Gensler声称,任何以有价值的数字代币或类似激励措施奖励参与者的项目,可能会进入到监管机构的管辖范围,无论他们说自己多么‘去中心化’。(华尔街日报)[2021/8/19 22:25:03]

我知道这一点听起来很荒唐,毕竟Web3的安全性是目前科技领域的一大笑柄,而Web3在去年也因安全漏洞损失了超过100亿美元。然而,我认为目前这样的情况应该是阶段性的,而非持续性的,一旦Web3应用程序变得更加成熟,它们将在安全性上超越很多「传统应用程序」。

DeFi 概念板块今日平均跌幅为4.95%:金色财经行情显示,DeFi 概念板块今日平均跌幅为4.95%。47个币种中4个上涨,43个下跌,其中领涨币种为:UMA(+18.47%)、TRB(+5.94%)、SNX(+2.23%)。领跌币种为:AKRO(-11.58%)、MLN(-11.03%)、BTM(-10.18%)。[2020/12/22 16:02:56]

Web3的定义

在我们开始讨论Web3的安全性之前,我们需要首先对其作出定义。我们可以暂时将Web3定义为依赖于「智能合约」的应用程序,其商业逻辑和存储均在区块链上完成。因此,Web3目前主要包括DeFi应用程序和NFT,但在未来可以扩展到更多领域。

Web3三角

在对Web3作出定义之后,我们便可以开始探讨它的安全性,而这主要包括智能合约的安全性。为了简单起见,我们将只讨论以太坊上的智能合约,但我相信其结论也适用于其他相似的系统和区块链。

Leo:预言机可以增强DeFi产品抵御市场波动的能力:8月19日消息,FBGOne合伙人Leo在做客HyperPay焦点栏目时提及:去中心化借贷以及做市都需要对托管资产有一个准确的市场价格,预言机在此扮演了很重要的角色。可靠且稳定的价格输入,可以让DeFi产品抵御市场波动的能力更强,以免产生不必要的本金损失。[2020/8/19]

Web3的安全性有其内在优势

想象一下,如果Web3软件环境中没有了恶意软件、拒绝服务攻击以及其他类型的攻击,该是一次多么美妙的升级。下面我们一起来认识一下实现了安全乌托邦的Web3:

-Web3解决了可信执行的问题:对于传统的应用程序,可信执行是一个尚未解决的主要问题。目前,一个应用程序必须信任其软件和硬件的执行环境。如果这种信任被恶意软件或能够植入恶意处理器的硬件供应链攻击所破坏,攻击者便可以获得控制权。Web3利用执行的去中心化解决了这个基本的安全问题。所有的区块链节点都在平行执行web3的代码,并且必须就执行的结果达成一致。除非执行引擎本身存在一些系统性风险,否则攻击者必须发动「51%算力攻击」,用恶意软件感染大多数区块链节点,以破坏其执行。

Synthetix CEO:目前DeFi市场处于正向反馈循环:8月10日,Synthetix首席执行官连发13条推文谈论其对近期火爆的DeFi现象的看法。他称,为什么目前DeFi收益率非常高?最简单粗暴的答案就是DeFi具有超高风险。风险存在,市场效率低下和信息不对称也存在。收益率对比、资产流动性等方面也有细微差别。很多人认为随着越来越多的人发现DeFi,收益率会压缩。但实际与此同时市场所产生的信息量会爆发,市场效率很难提高。现在市场正处于一个正反馈循环中,更多的意识创造更多的需求,从而吸引更多的开发生推出更多的项目,从而进一步提高总收益和需求。[2020/8/10]

-Web3可以免疫注入式攻击:对于传统的网络应用程序,所有参数都是以字符串的形式发送。这个设计缺陷是大多数传统网络应用程序漏洞背后的核心原因,这些漏洞包括SQL注入和命令注入,让攻击者能够将非预期输入偷运到尚未完善的网络应用程序之中。相比之下,由于Web3的强类型性质,这种非预期输入将立即失败,而Web3应用程序则不需要做任何特殊的准备。

-Web3对拒绝服务攻击的抵抗力更强:虽然这些攻击并不聪明,因为它们通常不是靠「脑力」,而是靠僵尸网络大军的「蛮力」,以较低的成本向攻击目标发送垃圾流量,但它们仍然是传统Web应用程序面对的一个主要问题。相比之下,Web3应用程序就不会受此困扰,因为区块链为了防止被过量使用,设置了较高的交易费用,从而让DoS攻击者无从下手。

除了上面几点以外,Web3在其他方面也表现出了很好的安全性。但是,仅仅是做到了上面几点,就已经相当厉害了。

但除了上述的技术优势外,鉴于Web3的完全开放性和透明度,Web3还具有一些理念意义上的安全优势。早在Web3出现之前,开放式安全理念在安全领域就有很多拥护者,认为它比「隐蔽式安全」更具优势。Web3将开放式安全理念发挥到了极致:在Web3中,不仅代码按照惯例是开源的,而且根据定义,二进制文件在区块链上也是对外公开的,且可以被验证为是已发布源代码的结果。此外,根据定义,所有代码的执行都是公开的,任何人都可以对其进行验证和审查。

理论优势并非实际优势

如果Web3的安全性在理论上大大优于传统应用程序,那为什么在实际操作中,DeFI应用程序的安全性还是比不过传统的银行应用程序?

我认为这不是因为Web3的安全性本身有多差,而是因为它的运行环境异常恶劣,攻击者可以更容易地靠黑客攻击赚钱。Web3应用程序每时每刻都在处理着「流动资金」,因为区块链上的资金转移几乎都是即时发生且不可改变的;而在传统的银行系统中,即使银行应用程序被黑,在攻击者兑现以前,这些恶意交易所涉及的财产都可以被追回。

具体而言,我们可以看一下规模最大的银行被黑案之一——2016年孟加拉银行黑客入侵案。攻击者利用恶意软件渗透到银行当中,并发送欺诈性的SWIFT电汇,试图劫走10亿美元。为了真正得到这10亿美元,攻击者需要看好一个特定的日期,这一天正好银行放假,好让他们有足够的时间来变现。他们还需要在一家能够处理大量电汇的菲律宾银行提前做好准备,以便在电汇被退回之前将资金套现。最终,攻击者「只」获得了10亿美元中的6000万美元,而这并不是因为银行的软件安全性高,而是因为环境比较宽松,给了防卫者足够的时间追回电汇。

因此,我们可以得出结论,为了击败攻击者,我们需要为防卫者争取更多的时间。

要想做到这一点,我们需要减少攻击的检测时间,或者延长交易可逆转前的时间,又或者同时做好这两点。

我非常看好我们社区在改善攻击检测时间上的能力,因为目前已经有一些安全公司能够根据公开数据,利用上述的区块链透明度及「开放式安全」理念,提前对黑客攻击作出预警。从最近发生的黑客攻击案及其事后分析来看,没有什么能阻止在交易执行时分析的实时进行。当我们把这样一种先进的预警系统集成进合约当中以后,可能就足以用来杜绝此类恶意交易了,正如最近出现的Forta.network等项目所显示的那样。

即使在今天,套现也不像看起来那么容易。一些CryptoToken已经设置了自己的黑名单,用以冻结名单用户的资产。此外,要想兑现成法币,攻击者通常需要借助中心化交易所,而这些交易所正受到越来越多的监管,并也增添了KYC功能及黑名单,阻止了攻击者进行兑现。因此,如今一些攻击者更愿意归还大部分被黑的资金,只保留一小部分,并把这部分资金洗白成被黑应用程序发放的「漏洞修补赏金」。正如最近查获的Bitfinex被黑资金,这些黑客其实很难将大笔的Crypto套现。可以肯定的是,套现只会变得越来越难。

结论:我们终将成功

虽然Web3的安全性还远远不够,但随着它的不断改进,未来很有可能成为我们数字活动的安全护盾。就像大多数革命性的技术一样,Web3的功能越丰富,其安全性就越是问题,这也是一直以来的情况。不过今后在风险投资和成功Web3项目的资金支持下,安全系统的人才将不断从传统安全产品涌入Web3领域,我相信到那时Web3的安全性便可以充分的发挥出来。

Web3和Crypto技术涉及计算机科学和经济中的诸多学科,而我只了解安全领域。我相信,Web3将为安全领域带来重大突破,而且我也深信它能对其他我不了解的领域作出改进。

或者用Web3的行话说,WAGMI。

标签:WEBWEB3DEFIDEFweb3.0币种怎么提现METAWEB3PADeFi on MCWDEFX

波场热门资讯
ERA:当传统游戏人进军链游,Era7凭何逆势上扬?

收购、发币、进军链游,头部NFTBAYC一套组合拳下来,引爆整个加密市场。这波操作堪称“NFT项目重新激活市场”的典范,相信未来有不少项目效仿,将NFT从“头像”应用到链游、DeFi等广泛场景当.

1900/1/1 0:00:00
HTT:Gate.io 一鍵訂閱博客,領$15美元活動公告(長期有效)

爲了幫助用戶更好地進行收益管理,Gate.io將在其官方博客提供豐富及時的行業資訊、獨家研究報告等優質內容,爲大家提供全方位的策略支持.

1900/1/1 0:00:00
COIN:用户指控Coinbase“未经许可”出售狗狗币等79种代币

金色财经报道,三名Coinbase用户指控Coinbase出售狗狗币等79种代币构成了“未经许可的证券”销售,正在寻求至少500万美元的赔偿款.

1900/1/1 0:00:00
ETC:ZT創新板即將首發上線MET

親愛的ZT用戶:ZT創新板即將上線MET,並開啟MET/USDT交易對。具體上線時間如下:充值:已開啟;交易:2022年3月22日17:00;MET項目簡介:Metroverse是一款基於以太坊.

1900/1/1 0:00:00
NDAO:OriginDAO唯一获得美国证监会(SEC)备案的DAO

OriginDAO作为DAO驱动的区块链项目,一直以来都把合规放在首要位置,以此作为用户资产安全的保障之一,同时,基于全球化发展的规划,OriginDAO非常重视与大国之间监管部门的沟通与合作.

1900/1/1 0:00:00
MAR:MBMX<>BitMat 周年庆交易嘉年华 - 瓜分21.5枚MBMX代币 !

亲爱的BitMart用户:为庆祝BitMart4周年,并感谢广大用户对BitMart和MBMX的大力支持.

1900/1/1 0:00:00