譯者 | 劉濤
審校 | 重樓
眾所周知�����,Web3.0描繪了互聯(lián)網(wǎng)未來(lái)發(fā)展的下一個(gè)階段��,將會(huì)是一個(gè)去中心化的網(wǎng)絡(luò)、區(qū)塊鏈技術(shù)以及人工智能的廣泛應(yīng)用��。
(資料圖)
每一項(xiàng)技術(shù)的新進(jìn)展都有其利弊���,因此,企業(yè)中的成員需要了解每種新技術(shù)的嘗試所涉及到的風(fēng)險(xiǎn)��,以便知道如何使用并保證其安全。
正如Web 3.0的興起和熱潮�,企業(yè)不應(yīng)盲目樂(lè)觀,而應(yīng)理解必要的安全需求���,以保護(hù)自己的數(shù)據(jù)和隱私不受突發(fā)網(wǎng)絡(luò)攻擊的影響。
你是否知道��,在2022年第二季度����,Web 3.0空間共偵測(cè)到了48起重大網(wǎng)絡(luò)攻擊事件,造成的損失大約在7.1834億美元���,較第一季度12億美元的損失減少了約40% ,但較2021年第一季度(2.9656億美元)的損失增長(zhǎng)了約2.42倍����。
從2022年1月到6月,Web 3.0空間因網(wǎng)絡(luò)攻擊而損失的資產(chǎn)總計(jì)19.1287億美元�。
這個(gè)統(tǒng)計(jì)數(shù)據(jù)并非以Web3.0的到來(lái)為話題來(lái)嚇唬某些人或機(jī)構(gòu)�,而是提醒他們,除了常見(jiàn)的 Web 2.0風(fēng)險(xiǎn)之外��,Web 3.0還帶來(lái)了新的網(wǎng)絡(luò)安全、財(cái)務(wù)和隱私威脅等風(fēng)險(xiǎn)�����。
盡管Web 3.0的初期階段見(jiàn)證了投資�����、進(jìn)步與營(yíng)銷(xiāo)的增長(zhǎng)�,但也出現(xiàn)了詐騙與犯罪行為��。因此�,雖然更廣泛的市場(chǎng)正在權(quán)衡更加分布式的互聯(lián)網(wǎng)帶來(lái)的機(jī)遇與風(fēng)險(xiǎn)��,但是互聯(lián)網(wǎng)的開(kāi)發(fā)者與使用者必須全面地評(píng)估Web 3.0����,同時(shí)考慮其安全優(yōu)勢(shì)與劣勢(shì)。
因此�����,下面是您應(yīng)該知道的 Web 3.0的安全風(fēng)險(xiǎn)和威脅�����。
1.基于區(qū)塊鏈的身份盜用與詐騙
在Web 3.0時(shí)代��,基于區(qū)塊鏈的詐騙和身份盜用已經(jīng)成為一種嚴(yán)重的威脅�。盡管區(qū)塊鏈技術(shù)以其安全特性而著稱(chēng)�����,但詐騙行為依然可能存在���。區(qū)塊鏈技術(shù)存在一些缺陷,會(huì)被黑客和網(wǎng)絡(luò)犯罪分子利用來(lái)竊取資產(chǎn)和個(gè)人數(shù)據(jù)��。
利用區(qū)塊鏈技術(shù)進(jìn)行網(wǎng)絡(luò)釣魚(yú)是目前盜取他人身份信息最流行的一種手段����。網(wǎng)絡(luò)罪犯欺騙用戶提供其私人鑰匙和其他敏感資料��,然后利用這些資料進(jìn)入其區(qū)塊鏈賬戶�,竊取其資產(chǎn)。
以下是基于區(qū)塊鏈的身份盜用和詐騙的一些例子�。
閃電貸攻擊
在分布式金融平臺(tái)(DeFi)上,被稱(chēng)為“閃電貸(Flash Loan)”的網(wǎng)絡(luò)攻擊正變得越來(lái)越頻繁����。這種無(wú)抵押貸款允許借款者在沒(méi)有任何擔(dān)保的情況下借到錢(qián)�����。雖然閃電貸是用于再融資或套利等合法目的的交易����,但它們也可以被黑客利用來(lái)攻擊 DeFi 智能合約����。
這可不是開(kāi)玩笑,事實(shí)上�,僅在2023年���,就有報(bào)道稱(chēng)一家公司總計(jì)損失了1.97億美元�,這是2023年以來(lái)發(fā)生的最大一次加密貨幣攻擊�,其規(guī)模在歷史上排名第十一���。
在閃電貸攻擊中,攻擊者使用閃電貸借入大量加密貨幣���,然后用這些錢(qián)影響特定資產(chǎn)的價(jià)格����。攻擊者可能會(huì)故意抬高或者壓低資產(chǎn)的價(jià)格��,從而獲利�。
DeFi平臺(tái)對(duì)客戶資金的安全負(fù)有責(zé)任�,應(yīng)非常謹(jǐn)慎地采取預(yù)防措施,比如安裝斷路器和進(jìn)行頻繁審計(jì)�。盡管閃電貸攻擊構(gòu)成了嚴(yán)重威脅�����,但只要采取適當(dāng)措施并遵循最佳實(shí)踐��,DeFi生態(tài)系統(tǒng)仍可繁榮發(fā)展并日趨成熟�����。
加密貨幣劫持
加密貨幣劫持是一種網(wǎng)絡(luò)攻擊�,攻擊者非法訪問(wèn)其他人的計(jì)算機(jī)�、手機(jī)、平板電腦或服務(wù)器以挖掘加密貨幣并從所竊取的代幣中獲利�����。
黑客常通過(guò)誘使用戶點(diǎn)擊危險(xiǎn)的電子郵件鏈接來(lái)實(shí)施這種攻擊�,從而在受害者的設(shè)備上下載加密貨幣挖礦惡意程序����。另一種方式是����,攻擊者可能會(huì)在網(wǎng)站或廣告中插入有害的JavaScript代碼,以便在用戶的瀏覽器加載時(shí)運(yùn)行��。
由于這種惡意軟件在后臺(tái)運(yùn)行��,用戶可能意識(shí)不到他們的資產(chǎn)正被竊取����。如果用戶的設(shè)備運(yùn)行緩慢�����,則可能已遭黑客入侵���。
事實(shí)上�,根據(jù)2023年SonicWall網(wǎng)絡(luò)威脅報(bào)告,從2022年到2023年�����,加密貨幣劫持?jǐn)?shù)量增加了43%�。這一增加使攻擊總次數(shù)首次超過(guò)1億�,并在年底達(dá)到歷史新高的1.393億次。
隨著加密貨幣劫持的增加和網(wǎng)絡(luò)環(huán)境的不斷變化�,及時(shí)了解最新的威脅信息對(duì)于維護(hù)自身的安全尤為重要�。
操縱人工智能
盡管人工智能(AI)是一項(xiàng)杰出的技術(shù)���,但它也容易被惡意利用����。如果人工智能從不可靠的網(wǎng)絡(luò)來(lái)源獲取知識(shí)�����,就很容易被欺騙�。
錯(cuò)誤信息的廣泛傳播可能是這種操縱的結(jié)果。
一個(gè)例子是���,當(dāng)某公司、政府或團(tuán)體在互聯(lián)網(wǎng)上大肆宣傳時(shí)�����,人工智能無(wú)意中在其答案中使用了這些信息�����。同樣�,勒索軟件或惡意代碼可能會(huì)進(jìn)入人工智能����,并在不被注意的情況下向他人和程序傳播。
“拉地毯”騙局(Rug pulls)
在加密貨幣領(lǐng)域�����,“拉地毯”騙局(Rug pulls)是一種逐漸增多的詐騙形式�。它是指加密貨幣或代幣的開(kāi)發(fā)者突然退出該項(xiàng)目��,并帶著投資者的資金跑路���,留給投資者一文不值的代幣���。
那些開(kāi)發(fā)者創(chuàng)建了一個(gè)優(yōu)秀的加密貨幣或者代幣項(xiàng)目�����,吸引了大量投資者后,就會(huì)突然退出����。這通常發(fā)生在創(chuàng)始人已經(jīng)獲得可觀的實(shí)質(zhì)性收益后,留給投資者一堆毫無(wú)價(jià)值的代幣��。
數(shù)字貨幣行業(yè)監(jiān)管缺失�����,是導(dǎo)致“拉地毯”騙局泛濫的因素之一��。在投資任何加密貨幣項(xiàng)目或代幣之前�,投資者必須進(jìn)行廣泛研究和盡職調(diào)查��,以避免成為詐騙的受害者�����。此外���,投資者應(yīng)該謹(jǐn)慎對(duì)待高回報(bào)的承諾�����,避免投資超出其所能承受的范圍��。
監(jiān)管機(jī)構(gòu)必須制定明確的規(guī)則��,以規(guī)范比特幣市場(chǎng)�,降低“拉地毯”騙局發(fā)生的可能性。對(duì)于沒(méi)有清晰規(guī)劃�、白皮書(shū)或團(tuán)隊(duì)的投資項(xiàng)目�����,投資者應(yīng)保持警惕��,因?yàn)檫@可能是“拉地毯”騙局的信號(hào)���。
2.數(shù)據(jù)安全性和可靠性
一個(gè)考慮節(jié)點(diǎn)�、數(shù)據(jù)存儲(chǔ)和接口的更大網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不可避免地增加了安全隱患。區(qū)塊鏈交易的加密和數(shù)據(jù)與服務(wù)的去中心化限制了單點(diǎn)攻擊和審查的可能性�����,同時(shí)也使數(shù)據(jù)暴露在更廣泛的威脅之下��。
這些風(fēng)險(xiǎn)包括:
數(shù)據(jù)真實(shí)性
由于區(qū)塊鏈網(wǎng)絡(luò)的去中心化結(jié)構(gòu)��,存儲(chǔ)在其上的數(shù)據(jù)真實(shí)性很難得到驗(yàn)證�。盡管區(qū)塊鏈交易是加密的且防篡改的���,惡意參與者仍有可能在交易的源頭或終點(diǎn)篡改數(shù)據(jù)。
對(duì)于依賴數(shù)據(jù)準(zhǔn)確性的醫(yī)療保健�、銀行和法律服務(wù)等行業(yè)來(lái)說(shuō)�,這種風(fēng)險(xiǎn)尤為突出。不準(zhǔn)確或篡改的數(shù)據(jù)可能導(dǎo)致嚴(yán)重后果���,如錯(cuò)誤的醫(yī)療診斷、金融欺詐和法律糾紛�。
區(qū)塊鏈開(kāi)發(fā)者必須開(kāi)發(fā)出強(qiáng)有力的安全協(xié)議,以保證存儲(chǔ)在網(wǎng)絡(luò)上的數(shù)據(jù)的完整性����,從而減少數(shù)據(jù)真實(shí)性的風(fēng)險(xiǎn)�����。
數(shù)據(jù)處理
由于區(qū)塊鏈的漏洞而造成的數(shù)據(jù)被篡改����,引發(fā)了人們的廣泛關(guān)注。盡管交易本身是加密且不可更改的���,黑客仍有可能在區(qū)塊鏈交易的開(kāi)始或結(jié)束時(shí)篡改數(shù)據(jù)�。這可能通過(guò)偽造用戶的數(shù)字簽名或篡改交易數(shù)據(jù)本身來(lái)實(shí)現(xiàn)�。
特別是在數(shù)據(jù)完整性至關(guān)重要的領(lǐng)域��,如醫(yī)療保健�����、銀行和法律領(lǐng)域�,數(shù)據(jù)篡改的后果可能是毀滅性的。偽造的信息可能導(dǎo)致各種負(fù)面結(jié)果�,包括錯(cuò)誤的醫(yī)療診斷、金融欺詐和法律糾紛�。
區(qū)塊鏈系統(tǒng)的開(kāi)發(fā)者應(yīng)該納入嚴(yán)格的安全機(jī)制來(lái)保護(hù)儲(chǔ)存在其中信息的真實(shí)性����。多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)需要對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證��,因此我們需要使用身份驗(yàn)證�、加密哈希值和一致性算法��。
結(jié)論
下一代網(wǎng)絡(luò)將聚焦更好地保護(hù)生態(tài)系統(tǒng)���,同時(shí)通過(guò)分布式治理在技術(shù)、社會(huì)和經(jīng)濟(jì)方面授權(quán)用戶��。盡管分布式網(wǎng)絡(luò)在安全方面具有某些優(yōu)勢(shì)��,但它們并非完美�。2022年第二季度�,Web 3.0空間監(jiān)測(cè)到48起重大網(wǎng)絡(luò)攻擊事件,由于軟件攻擊����、人為錯(cuò)誤等造成的經(jīng)濟(jì)總損失約7.1834億美元��。
Web 3.0的愿景解決了權(quán)力失衡���、控制�、審查�����、欺詐�����、隱私和數(shù)據(jù)丟失等問(wèn)題���。然而,它并不能阻止與隱私����、身份驗(yàn)證、經(jīng)濟(jì)刺激和社會(huì)工程技術(shù)相關(guān)的新一輪威脅的可能性����。
譯者介紹
劉濤�,51CTO社區(qū)編輯,某大型央企系統(tǒng)上線檢測(cè)管控負(fù)責(zé)人�����。
原文標(biāo)題:Web 3.0 Security Risks: Privacy Threats Your Organization Should Know����,作者:Tobi Ogundele
