譯者 | 劉濤
審校 | 重樓
眾所周知�����,Web3.0描繪了互聯(lián)網(wǎng)未來發(fā)展的下一個階段�����,將會是一個去中心化的網(wǎng)絡�����、區(qū)塊鏈技術(shù)以及人工智能的廣泛應用�����。
(資料圖)
每一項技術(shù)的新進展都有其利弊�����,因此�����,企業(yè)中的成員需要了解每種新技術(shù)的嘗試所涉及到的風險��,以便知道如何使用并保證其安全���。
正如Web 3.0的興起和熱潮�,企業(yè)不應盲目樂觀��,而應理解必要的安全需求��,以保護自己的數(shù)據(jù)和隱私不受突發(fā)網(wǎng)絡攻擊的影響。
你是否知道�����,在2022年第二季度��,Web 3.0空間共偵測到了48起重大網(wǎng)絡攻擊事件���,造成的損失大約在7.1834億美元�,較第一季度12億美元的損失減少了約40% ����,但較2021年第一季度(2.9656億美元)的損失增長了約2.42倍。
從2022年1月到6月�����,Web 3.0空間因網(wǎng)絡攻擊而損失的資產(chǎn)總計19.1287億美元���。
這個統(tǒng)計數(shù)據(jù)并非以Web3.0的到來為話題來嚇唬某些人或機構(gòu)�����,而是提醒他們�,除了常見的 Web 2.0風險之外,Web 3.0還帶來了新的網(wǎng)絡安全��、財務和隱私威脅等風險��。
盡管Web 3.0的初期階段見證了投資����、進步與營銷的增長�����,但也出現(xiàn)了詐騙與犯罪行為��。因此��,雖然更廣泛的市場正在權(quán)衡更加分布式的互聯(lián)網(wǎng)帶來的機遇與風險����,但是互聯(lián)網(wǎng)的開發(fā)者與使用者必須全面地評估Web 3.0,同時考慮其安全優(yōu)勢與劣勢���。
因此����,下面是您應該知道的 Web 3.0的安全風險和威脅。
1.基于區(qū)塊鏈的身份盜用與詐騙
在Web 3.0時代����,基于區(qū)塊鏈的詐騙和身份盜用已經(jīng)成為一種嚴重的威脅。盡管區(qū)塊鏈技術(shù)以其安全特性而著稱�����,但詐騙行為依然可能存在���。區(qū)塊鏈技術(shù)存在一些缺陷���,會被黑客和網(wǎng)絡犯罪分子利用來竊取資產(chǎn)和個人數(shù)據(jù)。
利用區(qū)塊鏈技術(shù)進行網(wǎng)絡釣魚是目前盜取他人身份信息最流行的一種手段�。網(wǎng)絡罪犯欺騙用戶提供其私人鑰匙和其他敏感資料,然后利用這些資料進入其區(qū)塊鏈賬戶����,竊取其資產(chǎn)。
以下是基于區(qū)塊鏈的身份盜用和詐騙的一些例子����。
閃電貸攻擊
在分布式金融平臺(DeFi)上,被稱為“閃電貸(Flash Loan)”的網(wǎng)絡攻擊正變得越來越頻繁���。這種無抵押貸款允許借款者在沒有任何擔保的情況下借到錢��。雖然閃電貸是用于再融資或套利等合法目的的交易����,但它們也可以被黑客利用來攻擊 DeFi 智能合約。
這可不是開玩笑�����,事實上�����,僅在2023年���,就有報道稱一家公司總計損失了1.97億美元,這是2023年以來發(fā)生的最大一次加密貨幣攻擊�,其規(guī)模在歷史上排名第十一。
在閃電貸攻擊中��,攻擊者使用閃電貸借入大量加密貨幣�,然后用這些錢影響特定資產(chǎn)的價格。攻擊者可能會故意抬高或者壓低資產(chǎn)的價格���,從而獲利��。
DeFi平臺對客戶資金的安全負有責任�����,應非常謹慎地采取預防措施�����,比如安裝斷路器和進行頻繁審計����。盡管閃電貸攻擊構(gòu)成了嚴重威脅,但只要采取適當措施并遵循最佳實踐��,DeFi生態(tài)系統(tǒng)仍可繁榮發(fā)展并日趨成熟����。
加密貨幣劫持
加密貨幣劫持是一種網(wǎng)絡攻擊,攻擊者非法訪問其他人的計算機�、手機、平板電腦或服務器以挖掘加密貨幣并從所竊取的代幣中獲利��。
黑客常通過誘使用戶點擊危險的電子郵件鏈接來實施這種攻擊��,從而在受害者的設備上下載加密貨幣挖礦惡意程序。另一種方式是�,攻擊者可能會在網(wǎng)站或廣告中插入有害的JavaScript代碼,以便在用戶的瀏覽器加載時運行���。
由于這種惡意軟件在后臺運行��,用戶可能意識不到他們的資產(chǎn)正被竊取����。如果用戶的設備運行緩慢�����,則可能已遭黑客入侵��。
事實上�����,根據(jù)2023年SonicWall網(wǎng)絡威脅報告�,從2022年到2023年�,加密貨幣劫持數(shù)量增加了43%。這一增加使攻擊總次數(shù)首次超過1億�����,并在年底達到歷史新高的1.393億次。
隨著加密貨幣劫持的增加和網(wǎng)絡環(huán)境的不斷變化���,及時了解最新的威脅信息對于維護自身的安全尤為重要��。
操縱人工智能
盡管人工智能(AI)是一項杰出的技術(shù)�,但它也容易被惡意利用�����。如果人工智能從不可靠的網(wǎng)絡來源獲取知識����,就很容易被欺騙。
錯誤信息的廣泛傳播可能是這種操縱的結(jié)果�����。
一個例子是���,當某公司�����、政府或團體在互聯(lián)網(wǎng)上大肆宣傳時�����,人工智能無意中在其答案中使用了這些信息����。同樣,勒索軟件或惡意代碼可能會進入人工智能����,并在不被注意的情況下向他人和程序傳播。
“拉地毯”騙局(Rug pulls)
在加密貨幣領(lǐng)域�����,“拉地毯”騙局(Rug pulls)是一種逐漸增多的詐騙形式����。它是指加密貨幣或代幣的開發(fā)者突然退出該項目�,并帶著投資者的資金跑路,留給投資者一文不值的代幣�����。
那些開發(fā)者創(chuàng)建了一個優(yōu)秀的加密貨幣或者代幣項目,吸引了大量投資者后���,就會突然退出�。這通常發(fā)生在創(chuàng)始人已經(jīng)獲得可觀的實質(zhì)性收益后�����,留給投資者一堆毫無價值的代幣��。
數(shù)字貨幣行業(yè)監(jiān)管缺失����,是導致“拉地毯”騙局泛濫的因素之一。在投資任何加密貨幣項目或代幣之前�,投資者必須進行廣泛研究和盡職調(diào)查,以避免成為詐騙的受害者��。此外�,投資者應該謹慎對待高回報的承諾,避免投資超出其所能承受的范圍��。
監(jiān)管機構(gòu)必須制定明確的規(guī)則����,以規(guī)范比特幣市場���,降低“拉地毯”騙局發(fā)生的可能性。對于沒有清晰規(guī)劃���、白皮書或團隊的投資項目��,投資者應保持警惕�,因為這可能是“拉地毯”騙局的信號�。
2.數(shù)據(jù)安全性和可靠性
一個考慮節(jié)點、數(shù)據(jù)存儲和接口的更大網(wǎng)絡拓撲結(jié)構(gòu)不可避免地增加了安全隱患����。區(qū)塊鏈交易的加密和數(shù)據(jù)與服務的去中心化限制了單點攻擊和審查的可能性,同時也使數(shù)據(jù)暴露在更廣泛的威脅之下���。
這些風險包括:
數(shù)據(jù)真實性
由于區(qū)塊鏈網(wǎng)絡的去中心化結(jié)構(gòu)�,存儲在其上的數(shù)據(jù)真實性很難得到驗證�。盡管區(qū)塊鏈交易是加密的且防篡改的,惡意參與者仍有可能在交易的源頭或終點篡改數(shù)據(jù)���。
對于依賴數(shù)據(jù)準確性的醫(yī)療保健、銀行和法律服務等行業(yè)來說,這種風險尤為突出����。不準確或篡改的數(shù)據(jù)可能導致嚴重后果,如錯誤的醫(yī)療診斷�、金融欺詐和法律糾紛。
區(qū)塊鏈開發(fā)者必須開發(fā)出強有力的安全協(xié)議����,以保證存儲在網(wǎng)絡上的數(shù)據(jù)的完整性,從而減少數(shù)據(jù)真實性的風險����。
數(shù)據(jù)處理
由于區(qū)塊鏈的漏洞而造成的數(shù)據(jù)被篡改,引發(fā)了人們的廣泛關(guān)注�。盡管交易本身是加密且不可更改的,黑客仍有可能在區(qū)塊鏈交易的開始或結(jié)束時篡改數(shù)據(jù)��。這可能通過偽造用戶的數(shù)字簽名或篡改交易數(shù)據(jù)本身來實現(xiàn)�。
特別是在數(shù)據(jù)完整性至關(guān)重要的領(lǐng)域,如醫(yī)療保健���、銀行和法律領(lǐng)域�����,數(shù)據(jù)篡改的后果可能是毀滅性的��。偽造的信息可能導致各種負面結(jié)果��,包括錯誤的醫(yī)療診斷����、金融欺詐和法律糾紛。
區(qū)塊鏈系統(tǒng)的開發(fā)者應該納入嚴格的安全機制來保護儲存在其中信息的真實性�����。多個網(wǎng)絡節(jié)點需要對數(shù)據(jù)進行驗證����,因此我們需要使用身份驗證、加密哈希值和一致性算法�����。
結(jié)論
下一代網(wǎng)絡將聚焦更好地保護生態(tài)系統(tǒng)�,同時通過分布式治理在技術(shù)、社會和經(jīng)濟方面授權(quán)用戶���。盡管分布式網(wǎng)絡在安全方面具有某些優(yōu)勢����,但它們并非完美��。2022年第二季度����,Web 3.0空間監(jiān)測到48起重大網(wǎng)絡攻擊事件,由于軟件攻擊��、人為錯誤等造成的經(jīng)濟總損失約7.1834億美元����。
Web 3.0的愿景解決了權(quán)力失衡、控制���、審查�、欺詐��、隱私和數(shù)據(jù)丟失等問題�。然而,它并不能阻止與隱私���、身份驗證����、經(jīng)濟刺激和社會工程技術(shù)相關(guān)的新一輪威脅的可能性。
譯者介紹
劉濤�,51CTO社區(qū)編輯,某大型央企系統(tǒng)上線檢測管控負責人�����。
原文標題:Web 3.0 Security Risks: Privacy Threats Your Organization Should Know�,作者:Tobi Ogundele
