元宇宙丶区块链等新技术逐渐成为科技界新潮流,许多非资深电脑用户也开始尝试进入Web3世界。但Web3世界也有很多资安隐患,加密货币研究团队a16z总结出一些常见的资安威胁,开发团队可以参考,如何保护资产安全。
APT(Advanced Persistent Threat)意思是针对特定组织作出的潜藏攻击。与传统攻击不同的是APT一般更複杂,而且骇客会打持久战,持续潜入和偷取敏感资讯,可长达数月甚至数年。
还有另一种类似的攻击,攻击者持续发出小额交易来测试智能合约漏洞,以Fomo3D和Last Winner为案例,BAPT-F3D和BAPT-LW20黑客团仅四天就获利5194 ETH。
区块链主张去中心化,治理代币持有人可以进行DAO投票。投票机制让社群都有机会表达自己意见,但也有可能被恶意操控。同时,设计不良的项目能让黑客有机会控制大部份选票进而操控结果。
随着科技发展,网络钓鱼也一直在演变。在Web3世界的钓鱼攻击除了经传统电邮方式发送外,也会经短讯、Discord或其他社交应用程式传播。普遍攻击方式以盗取用户钱包私钥或是助记词为主。用户点击进入假冒的钓鱼网站,提供助记词或私钥后,黑客随即把资产转移。
与传统系统相似,Web3都需要不同的第三方软件套件库。由于那些套件库代码都不是项目内部团队开发,所以容易错过了已知的问题。黑客都喜欢借助这些第三方套件进行攻击。
另一个最难防备的资安问题就是零时差攻击。零时差攻击指未有被正式公开的安全漏洞,由于还没有被公开,开发商都难以推出修补程序。开发方和用户能做的就是修正档释出及时为严重漏洞安装修改档。
Web3还在起步阶段,资安风险不容忽视,很多问题和漏洞仍需要时间慢慢修补。同时我们需提高网络安全意识,避免误堕骗局。UD作为网络安全管理服务提供者(MSSP),提供全面区块链安全服务,为你度身订造整体网络安全管理方案,由内到外为你的区块链项目保安把关,确保项目顺利发展。