许多人认为下一代网络Web3将比今天的网络更安全,但最近的一份报告对这一事实泼冷水,这可能不会是这样的。Forrester认为,从基础设施的角度来看,Web3可能确实更难被颠覆,但它也有一些弱点,可能比现有网络更容易受到攻击。与传统应用相比,Web3应用具有区块链的特性,因此其攻击面会更广。还有,在Web3时代,代币相当于一笔相当可观的金钱,黑客对Web3的攻击欲望会更强烈。Web3是开放的,这是它最大的优点,也是它的难处。Forrester分析师玛莎·贝内特(MarthaBennett)表示:“在公共区块链上运行的代码更容易被黑客入侵,任何拥有这种技能的人,在世界任何地方,都可以在不渗透任何企业防御措施的情况下进入。”她还说:“源代码也容易受到黑客攻击,因为世界不喜欢运行闭源智能合约。Web3基本上是开源的。”不受欢迎的复杂性根据安全公司Cipher的CTODavidRickard的说法,Web3基于用户数据和身份的安全性构建了分布式控制。“有些人可能不愿意或不能管理自己的数据和身份。”本来,Web3技术非常复杂,所以应用程序会把“易用性”看得比其他因素更重要,所以Web3的攻击面会更广。”DavidRickard补充道:“对于个人而言,除了短信、电子邮件、查看社交媒体、使用购物应用程序之外,其他都是挑战。Web3将使代码透明和开放,这种方式不会得到真正的尊重。他认为:“在资本投资者和区块链金融系统(如NFT)用户之间,涉及的货币利益太大了。”让代码透明和公开也会拓宽Web3的攻击面,DavidRickard分析说,要实现安全编码,它不容易预测用户会用系统做什么恶行,也不容易预测;也不容易预测人们会如何将系统用于意想不到的目的。他还说:“人们担心区块链和NFT会被利用,会有经济损失,但这种担忧不是针对不可变对象本身,而是针对人们利用应用程序漏洞来操作它们。嘿不脆弱。Cerby首席信贷官MattChiodi表示:“新事物通常也是最不安全的。虽然时间并不总是安全的朋友,但随着时间的推移,应用程序会在战斗中得到更多考验。Web3是不同的,它是新的。”是的,没有测试。随着时间的推移,遗留应用程序从中受益,而Web3却没有。“NFT将成为攻击目标无论代码是否可见或可访问,攻击者都会找到弱点,NFT可能成为“最热门”的攻击目标。”Bennett说:“如果有更容易的方法来访问目标,为什么要选择更难的方法呢?对于那些想要窃取或颠覆规则的人来说,与其他价值交换场所一样,NFT市场和通信工具非常有吸引力。”速度在与Web3相关的任何方面都很重要,但许多地方没有专家来评估潜在的安全问题。有时,尽管发生了严重的安全事件,初创公司甚至不聘请安全主管。“6月份,OpenSea的NFT市场发生安全事件,180万个邮箱地址被泄露。据Rickard分析,此次事件涉及内部威胁,应用处理交易也可能非常脆弱,可能存在数千个漏洞在需要程序员安全的应用程序中,黑客抓住一个就可以制造事故。诈骗者在NFTs和其他公共区块链项目中猖獗,社交媒体网络Discord已成为致命弱点。一些黑客使用钓鱼方法攻击Discord,这是许多NFT盗窃事件的根源。这起事件向我们证明,攻击者普遍喜欢以社区管理员为目标。当黑客获得管理员帐户时,他们有机会大规模窃取,因为用户倾向于信任信息由社交管理员发送。Discord是游戏玩家的交流论坛,不是价值交易中心,所以还没有建立建立了降低风险的机制。Bennett说:“这样的安全机制只有真正实施才能有效,但很明显Discord没有实施。另外,Discord作为通证项目的流行交流平台,吸引了大量的钓鱼攻击和垃圾邮件。”黑客为了收集参与者的联系方式,会发起钓鱼攻击,破解数字钱包的案例屡见不鲜。Bennett说:“Discord机器人遭到黑客攻击,不良行为者可以发送虚假报价,最终导致加密货币被盗。”企业往往会忽视安全漏洞,只求快速创新,但公共安全漏洞可能会在重要产品发布时成为障碍,拖累产品团队前进的速度,迫使团队分析和缓解关键安全威胁.Chiodi认为:“Web3应该将安全重心向左移动,即让安全问题尽可能地接近开发者,并把预防作为首要目标。”否则,Web3最终将或多或少与Web2相同。考虑到Web3潜力无限,在去中心化身份方面优势明显,如果最终像Web2一样安全,未免太可惜了。安全计算公司Anjuna的高管MarkBower表示:“Web3的分布式策略将带来多种类型的安全能力,但本质问题仍然和以前一样。”如果攻击者能够拿到证书,拿到root权限或者密钥,尤其是密钥私钥,来运行整个生态,游戏就会被颠覆,就像中心化平台一样。“
