科技快速成長中,元宇宙、區塊鏈等新技術也吸引了許多人進入 Web3 新世界。雖然新穎的服務和體驗讓許多用戶深陷其中,但這個尚未完全成形的世界中,卻也潛藏了許多令人意想不到的資安危機。

多數的 Web3 安全性都仰賴著區塊鏈的承諾技術以及可應對人為干涉的特性,而這也是維持 Web3 安全性的兩大要素,但 Web3 交易不可逆的特性,卻讓 Web3 成為攻擊者的誘人目標。事實上,隨著區塊鏈及相關技術和應用軟體的的價值不斷提升,也讓 Web3 成為攻擊者眼中的肥羊。

矽谷傳奇創投 a16z 根據過去的經驗,整理出一些常見的威脅。只要詳細研究這些領域,無論是建築商、資安團隊還是一般用戶都可以更好地保護自己錢包不受潛在危險侵害。

APT 攻擊:高級資安威脅

APT 攻擊(Advanced Persistent Threat, APT),指的是針對特定組織所作的複雜且多方位的網路攻擊,通常可能持續幾天、幾週、幾個月,甚至更長的時間。不同的 APT 攻擊有可能有許多不同類型的操作,但這些威脅往往最可能直接攻擊公司的網路以達到目的。

例如今年 Ronin 跨鏈橋被攻擊,共有超過 6 億美元資產被盜。而被盜原因是因為 Axie Infinity 開發團隊 Sky Mavis 的四個 Ronin 驗證器和一個由 Axie DAO 運行的第三方驗證器私鑰被盜。

案例:Ronin 驗證器破解

以用戶為目標的網路釣魚

網路釣魚是一個眾所周知的問題。網路魚者會試圖透過各種渠道發送誘餌消息,包括即時通訊、電子郵件、Twitter、Discord 和網站等。現在 Web3 允許人們直接交易資產,也因此這樣的網路釣魚活動更是直接鎖定用戶。對於知識或技術專業知識較少的一般民眾來說,駭客透過攻擊來竊取加密貨幣是最簡單的方法。

案例:直接針對用戶的 OpenSea 網路釣魚活動、BadgerDAO 網路釣魚攻擊

供應鏈漏洞:最薄弱的環節

第三方的軟體套件庫一直是一個容易受到攻擊的點,在 Web3 出現之前,就一直是跨系統的安全挑戰,例如去年的 log4j 漏洞利用就是一個例子。攻擊者透過搜尋已知漏洞,來找到未修補問題進行攻擊。這些由第三方的軟體套件庫導入的代碼大多不是由公司內部的團隊寫的,但維護工作就變得至關重要。團隊必須注意這些軟體套件的漏洞,並時常確認是否有更新。

例如跨鏈協議 MultiChain(前身為跨鏈交易所 Anyswap)的協議,就被發現存在一個影響 6 個跨鏈代幣的嚴重漏洞。

案例:Multichain 跨鏈橋漏洞

治理代幣攻擊

這是目前唯一一個區塊鏈才有的問題。由於區塊鏈的去中心化理念,因此持有治理代幣的人可以透過治理代幣進行 DAO 投票。雖然這樣的投票機制為社群發展提供了機會,但也可能引入惡意提案。

攻擊者可以透過設計新的方法來規避控制、徵用領導權和掠奪。就像 Web3 項目 Beanstalk 一樣,攻擊者拿出大量的「閃電貸」來影響選票,並接管 Beanstalk 協議 67% 的治理權,以批准通過自身提出的治理提案。

  • 案例:Beanstalk 遭「閃電貸攻擊」

零日攻擊

「零日攻擊」通常是指利用還沒有修補程式的安全漏洞進行攻擊,在 Web3 領域也不例外,且可以說是最難防禦的攻擊。而 Web3 中的加密貨幣,一旦被盜就很難追回這些資產。攻擊者即使花費大量時間研究鏈上的程式代碼,但只要找到一個漏洞,對駭客來說就足夠了。

2021 年,提供跨區塊鏈加密貨幣交易轉換的交易平台 Poly Network,就發生了當時加密貨幣史上最大的駭侵案件。一名駭客攻擊 Poly Network 的程式漏洞,並盜走了上千名用戶的數位資產。

案例:Poly 的跨鏈交易漏洞、Qubit 的無限鑄幣漏洞

安全性問題是 Web3 最大挑戰

根據 TechCrunch 報導指出,創投 Lux Capital 的投資者 Grace Isford 認為,與 Web2 相比,Web3 缺乏了企業級的資安解決方案,且幾乎每週都會有關於 Web3 的資安駭客問題出現。Isford 也表示,雖然許多新創公司致力於開發資安解決方案,但在開發人員工具、數據基礎設施監控和內容儲存方面,大多仍處於「剛起步的階段」

而 Web3 世界的另一大挑戰是詐欺和下行風險。

Isford 表示,這樣的問題會讓許多人不敢進入加密貨幣的世界,因為他們會擔心失去自己的財產。不過她也認為。過去一年對 Web3 新創公司的大量投資流入,讓公司將能構建更可靠的解決方案。

資安防護已成為企業決策者、CIO、IT 部門主管的重點關注項目。

立即報名資安線上特展,為企業資安充滿電!

本文開放合作夥伴轉載,參考資料:a16zTechCrunch,首圖來源:Shutterstock