WEB:別怕 其實Web3.0的世界很安全_VOY

「我錢包里的 ETH 都沒了！」

今日，DeFinance 創始人 Arthur 在社交媒體上表示其遭受魚叉式網絡釣魚攻擊。Arthur 點擊了一封酷似 Defiance Capital 合作資管平臺官方地址發來的郵件中的 PDF 文檔，導致其熱錢包被盜，損失大量 NFT 以及其他資產價值超 400ETH。

Web3.0 的世界好像并不安全，我們的鏈上資產似乎處處受到威脅。確實，從上層來看，鏈上應用不光要考慮應用邏輯的漏洞，還要考慮所部屬鏈共識層可能潛在的攻擊途徑（搶跑等）。除此之外，我們還需要擦亮雙眼看清交互前端，并預防各類釣魚鏈接。最致命的一點是，交易一旦獲得清算保證，回滾成本極高。這么說來，Web3.0 整體安全程度還不如 Web2.0 呢。

但從更底層維度來看，理論上來說 Web3.0 其實應該是更安全的。例如，鏈上的去中心化平行執行為鏈上應用打造了去信任化的執行環境。Web2.0 應用常遇到的 DoS 攻擊也被 Gas 機制所解決。協議的開源同時也讓用戶在使用前「有權」進行 DYOR，等等...

A股收盤：深證區塊鏈50指數上漲3.09%:金色財經消息，A股收盤，上證指數報3275.93點，收盤上漲1.84%，深證成指報11100.4點，收盤上漲1.62%，深證區塊鏈50指數報3272.09點，收盤上漲3.09%。區塊鏈板塊收盤上漲1.23%，數字貨幣板塊收盤上漲1.98%。[2023/7/28 16:04:25]

本文出自加密錢包 ZenGo 聯創 Tal Be'ery，文中就 Web3.0 固有的安全優勢進行了詳細解讀，并提出了現存問題的潛在解決方案。律動研究院將全文進行了翻譯：

我知道這一點聽起來很荒唐，畢竟 Web3 的安全性是目前科技領域的一大笑柄，而 Web3 在去年也因安全漏洞損失了超過 100 億美元。然而，我認為目前這樣的情況應該是階段性的，而非持續性的，一旦 Web3 應用程序變得更加成熟，它們將在安全性上超越很多「傳統應用程序」。

在我們開始討論 Web3 的安全性之前，我們需要首先對其作出定義。我們可以暫時將 Web3 定義為依賴于「智能合約」的應用程序，其商業邏輯和存儲均在區塊鏈上完成。因此，Web3 目前主要包括 DeFi 應用程序和 NFT，但在未來可以擴展到更多領域。

Code Wallet計劃在Solana上線:7月19日消息，通信App Kik母公司Code計劃在Solana上發布一款名為Code的加密錢包，將基于KIN代幣創建極簡支付系統。Code首席執行官Ted Livingston表示，其核心功能為二維碼快捷支付，將比傳統加密錢包更快。此外Code在Solana基礎上建立了二層網絡，確保鏈離線時仍能處理交易。

據悉，Code此前項目Kik于17年通過ICO募資1億美元，后被SEC處以500萬美元罰款。[2023/7/20 11:05:24]

在對 Web3 作出定義之后，我們便可以開始探討它的安全性，而這主要包括智能合約的安全性。為了簡單起見，我們將只討論以太坊上的智能合約，但我相信其結論也適用于其他相似的系統和區塊鏈。

ARIX和AD進入火必四期投票上幣活動決賽，投票將于明日20時開啟:據火必官方公告，火必四期投票上幣活動復賽投票已于今晚20時（UTC+8）結束，Arix (ARIX)和ADreward (AD)分別以5,060,640票和3,259,299票位列復賽A、B組第一進入決賽，爭奪最終優先上幣權。本輪復賽投票將于今晚23時清空，決賽投票將于4月25日20時（UTC+8）開始，至4月27日20時（UTC+8）結束。[2023/4/24 14:24:24]

想象一下，如果 Web3 軟件環境中沒有了惡意軟件、拒絕服務攻擊以及其他類型的攻擊，該是一次多么美妙的升級。下面我們一起來認識一下實現了安全烏托邦的 Web3：

-Web3 可以免疫注入式攻擊：對于傳統的網絡應用程序，所有參數都是以字符串的形式發送。這個設計缺陷是大多數傳統網絡應用程序漏洞背后的核心原因，這些漏洞包括 SQL 注入和命令注入，讓攻擊者能夠將非預期輸入偷運到尚未完善的網絡應用程序之中。相比之下，由于 Web3 的強類型性質，這種非預期輸入（比如，當預期是一個數字時，輸入的卻是一個字符串）將立即失敗，而 Web3 應用程序則不需要做任何特殊的準備。

俄羅斯央行要求銀行在賬戶中將比特幣和加密貨幣記錄為資產:金色財經報道，Bitcoin Archive在社交媒體上稱，俄羅斯中央銀行將要求銀行在其賬戶中將比特幣和加密貨幣記錄為資產。[2022/10/4 18:38:56]

-Web3 對拒絕服務攻擊的抵抗力更強：雖然這些攻擊并不聰明，因為它們通常不是靠「腦力」，而是靠僵尸網絡大軍的「蠻力」，以較低的成本向攻擊目標發送垃圾流量，但它們仍然是傳統 Web 應用程序面對的一個主要問題。相比之下，Web3 應用程序就不會受此困擾，因為區塊鏈為了防止被過量使用，設置了較高的交易費用，從而讓 DoS 攻擊者無從下手。

除了上面幾點以外，Web3 在其他方面也表現出了很好的安全性（例如，在應對軟件供應鏈攻擊方面）。但是，僅僅是做到了上面幾點，就已經相當厲害了。

但除了上述的技術優勢外，鑒于 Web3 的完全開放性和透明度，Web3 還具有一些理念意義上的安全優勢。早在 Web3 出現之前，開放式安全理念在安全領域就有很多擁護者，認為它比「隱蔽式安全」更具優勢。Web3 將開放式安全理念發揮到了極致：在 Web3 中，不僅代碼按照慣例是開源的，而且根據定義，二進制文件在區塊鏈上也是對外公開的，且可以被驗證為是已發布源代碼的結果。此外，根據定義，所有代碼的執行（交易）都是公開的，任何人都可以對其進行驗證和審查。

法院批準Voyager兌現Brex公司卡付款，下次聽證會將于8月4日舉行:7月20日消息，Voyager周二根據破產法第11章的程序舉行了緊急聽證會，法官Michael Wiles明確表示，該公司必須在臨時動議中證明其重大需求。

Voyager在7月1日暫停用戶活動后，于本月早些時候申請了破產保護。根據法院文件和該公司的聲明，該公司在其平臺上擁有13億美元的加密貨幣，其中超過3.5億美元的現金存放在大都會商業銀行的FBO賬戶，此外，該公司還向三箭資本提出了超過6.5億美元的索賠。

第11章程序允許公司在重組業務以償付債權人時保持運營。Voyager在8月4日的下次聽證會之前提出了這樣的要求。下次聽證會可能會確定Voyager是否可以從MC FBO賬戶中提取資金，以兌現客戶提款。目前法院處理了一個更為緊迫的問題——該公司是否能夠兌現其Brex公司的卡付款。

根據法庭文件，從歷史上看，該公司每月在公司卡上支付約30萬美元，共有24張卡，包括9張實體卡、14張虛擬卡和一張用于旅行的卡，總共有76000美元的余額需要支付。Brex通知Voyager，由于拒付，它將關閉這些公司卡，但該公司同意，如果余額被支付，將恢復這些卡。

Voyager的法律顧問Christine Okike認為，該公司需要獲得這些卡的使用權，以便向關鍵供應商支付費用。但法官Michael Wiles對此予以反駁。在他看來，Voyager未能評估其他選擇，以支付關鍵供應商或開放其他信貸額度。

不過，美國受托人辦公室指定了一個債權人委員會來監督重組，鑒于在整個破產程序中這筆資金數額很小，該辦公室沒有對這一請求提出異議。出于這個原因，Wiles批準了這項動議，盡管他澄清說，在本案的這個階段，批準救濟動議是為了防止立即和不可挽回的損害。他預計未來會有更大的需求。

最終，債權人委員會將在申請救濟時進行協商，該委員會可能即將成立。（The Block）[2022/7/20 2:24:57]

如果 Web3 的安全性在理論上大大優于傳統應用程序，那為什么在實際操作中，DeFI 應用程序的安全性還是比不過傳統的銀行應用程序？

我認為這不是因為 Web3 的安全性本身有多差，而是因為它的運行環境異常惡劣，攻擊者可以更容易地靠黑客攻擊賺錢。Web3 應用程序每時每刻都在處理著「流動資金」，因為區塊鏈上的資金轉移幾乎都是即時發生且不可改變的；而在傳統的銀行系統中，即使銀行應用程序被黑，在攻擊者兌現以前，這些惡意交易所涉及的財產都可以被追回。

具體而言，我們可以看一下規模最大的銀行被黑案之一——2016 年孟加拉銀行黑客入侵案。攻擊者利用惡意軟件滲透到銀行當中，并發送欺詐性的 SWIFT 電匯，試圖劫走 10 億美元。為了真正得到這 10 億美元，攻擊者需要看好一個特定的日期，這一天正好銀行放假，好讓他們有足夠的時間來變現。他們還需要在一家能夠處理大量電匯的菲律賓銀行提前做好準備，以便在電匯被退回之前將資金套現。最終，攻擊者「只」獲得了 10 億美元中的 6000 萬美元，而這并不是因為銀行的軟件安全性高，而是因為環境比較寬松，給了防衛者足夠的時間追回電匯。

因此，我們可以得出結論，為了擊敗攻擊者，我們需要為防衛者爭取更多的時間。

要想做到這一點，我們需要減少攻擊的檢測時間，或者延長交易可逆轉前的時間，又或者同時做好這兩點。

我非常看好我們社區在改善攻擊檢測時間上的能力，因為目前已經有一些安全公司（如 peckshield）能夠根據公開數據，利用上述的區塊鏈透明度及「開放式安全」理念，提前對黑客攻擊作出預警。從最近發生的黑客攻擊案及其事后分析來看，沒有什么能阻止在交易執行時分析的實時進行（甚至在交易執行節點內存池中的一個「代辦事宜」時也一樣）。當我們把這樣一種先進的預警系統集成進合約當中以后，可能就足以用來杜絕此類惡意交易了，正如最近出現的 Forta.network 等項目所顯示的那樣。

即使在今天，套現也不像看起來那么容易。一些 Crypto Token 已經設置了自己的黑名單，用以凍結名單用戶的資產。此外，要想兌現成法幣，攻擊者通常需要借助中心化交易所，而這些交易所正受到越來越多的監管，并也增添了 KYC 功能（了解你的客戶）及黑名單，阻止了攻擊者進行兌現。因此，如今一些攻擊者更愿意歸還大部分被黑的資金，只保留一小部分，并把這部分資金洗白成被黑應用程序發放的「漏洞修補賞金」（bug bounty）。正如最近查獲的 Bitfinex 被黑資金，這些黑客其實很難將大筆的 Crypto 套現。可以肯定的是，套現只會變得越來越難。

雖然 Web3 的安全性還遠遠不夠，但隨著它的不斷改進，未來很有可能成為我們數字活動的安全護盾。就像大多數革命性的技術一樣，Web3 的功能越豐富，其安全性就越是問題，這也是一直以來的情況。不過今后在風險投資和成功 Web3 項目的資金支持下，安全系統的人才將不斷從傳統安全產品涌入 Web3 領域，我相信到那時 Web3 的安全性便可以充分的發揮出來。

Web3 和 Crypto 技術涉及計算機科學和經濟中的諸多學科，而我只了解安全領域。我相信，Web3 將為安全領域帶來重大突破，而且我也深信它能對其他我不了解的領域作出改進。

或者用 Web3 的行話說，WAGMI（我們都會成功的！）。

Tags：WEBWEB3區塊鏈VOYweb3域名交易區塊鏈技術通俗講解舉例VOYCE幣

酷幣下載