文/劉虹君
後疫情時代,在科技快速成長下,元宇宙、區塊鏈等新技術將許多人帶入Web3新世界中。許多新穎的服務和沉浸式體驗讓人深陷其中,但這個未成熟的世界,其實潛藏很多資安危機。
Web3 的核心即是「去中心化」,這讓 Web3 成為必然。Web3去中心化應用同時帶動金融體系變革。有許多大型的機構與企業都已經加入,例如迪士尼、愛迪達、Nike 等等,其中包括 NFT 發行與等等。
多數的 Web3 安全性都仰賴著區塊鏈的承諾技術以及可應對人為干涉的特性,而這也是維持 Web3 安全性的兩大要素,但 Web3 交易不可逆的特性,卻讓 Web3 成為攻擊者的誘人目標。事實上,隨著區塊鏈及相關技術和應用軟體的的價值不斷提升,也讓 Web3 成為駭客眼中的肥羊。
Web3的資安問題一次整理讓你知
APT 攻擊:
APT 攻擊(Advanced Persistent Threat, APT),針對特定組織所作的複雜且多方位的網路攻擊,時間可能持續幾天、幾週、幾個月,甚至更長。不同的 APT 攻擊有許多不同類型的操作,這些威脅往往最可能直接攻擊公司的網路以達到目的。APT可怕之處就是高針對性,不達目的不罷休。
網路釣魚,用戶為主要目標:
Web3 世界的另一大挑戰是詐欺和下載風險。以用戶為目標的網路釣魚
是眾所周知的問題。釣魚攻擊最常發生就是資產和資料騙局,釣魚攻擊除了經傳統電郵方式發送外,也會經短訊、Discord或其他社交應用程式傳播。普遍攻擊方式以盜取用戶錢包私鑰或是助記詞為主。用戶點擊進入假冒的釣魚網站,提供助記詞或私鑰後,駭客隨即把資產轉移。
供應鏈漏洞:
第三方的軟體套件庫一直是最容易受到攻擊的一個環節,在 Web3 出現之前,跨系統的安全一直是一個大挑戰。攻擊者透過已知的漏洞,來找到未修補的問題進行攻擊。另外這些第三方的軟體套件庫導入的代碼大多不是由公司內部的團隊寫的,因而容易錯過了已知的問題,所以維護工作非常重要。團隊必須注意並時常搜尋這些軟體套件的漏洞,並時常確認是否有更新。
治理代幣攻擊:駭客企圖操控項目
區塊鏈主張去中心化,治理代幣持有人可以進行DAO投票。投票機制讓社群都有機會表達自己意見,但也有可能被惡意操控。同時,設計不良的項目能讓駭客有機會控制大部份選票進而操控結果。
零時差攻擊:防不勝防的威脅
另一個最難防備的資安問題就是零時差攻擊。零時差攻擊指未有被正式公開的安全漏洞,由於還沒有被公開,開發商都難以推出修補程序。開發方和用戶能做的就是修正檔釋出及時為嚴重漏洞安裝修改檔。
Web3還在起步階段,資安風險不容忽視,很多問題和漏洞仍需要時間慢慢修補。同時我們需提高網絡安全意識,避免誤入騙局。