译者 | 刘涛
审校 | 重楼
众所周知,Web3.0描绘了互联网未来发展的下一个阶段,将会是一个去中心化的网络、区块链技术以及人工智能的广泛应用。
每一项技术的新进展都有其利弊,因此,企业中的成员需要了解每种新技术的尝试所涉及到的风险,以便知道如何使用并保证其安全。
正如Web 3.0的兴起和热潮,企业不应盲目乐观,而应理解必要的安全需求,以保护自己的数据和隐私不受突发网络攻击的影响。
你是否知道,在2022年第二季度,Web 3.0空间共侦测到了48起重大网络攻击事件,造成的损失大约在7.1834亿美元,较第一季度12亿美元的损失减少了约40% ,但较2021年第一季度(2.9656亿美元)的损失增长了约2.42倍。
从2022年1月到6月,Web 3.0空间因网络攻击而损失的资产总计19.1287亿美元。
这个统计数据并非以Web3.0的到来为话题来吓唬某些人或机构,而是提醒他们,除了常见的 Web 2.0风险之外,Web 3.0还带来了新的网络安全、财务和隐私威胁等风险。
尽管Web 3.0的初期阶段见证了投资、进步与营销的增长,但也出现了诈骗与犯罪行为。因此,虽然更广泛的市场正在权衡更加分布式的互联网带来的机遇与风险,但是互联网的开发者与使用者必须全面地评估Web 3.0,同时考虑其安全优势与劣势。
因此,下面是您应该知道的 Web 3.0的安全风险和威胁。
1.基于区块链的身份盗用与诈骗
在Web 3.0时代,基于区块链的诈骗和身份盗用已经成为一种严重的威胁。尽管区块链技术以其安全特性而著称,但诈骗行为依然可能存在。区块链技术存在一些缺陷,会被黑客和网络犯罪分子利用来窃取资产和个人数据。
利用区块链技术进行网络钓鱼是目前盗取他人身份信息最流行的一种手段。网络罪犯欺骗用户提供其私人钥匙和其他敏感资料,然后利用这些资料进入其区块链账户,窃取其资产。
以下是基于区块链的身份盗用和诈骗的一些例子。
闪电贷攻击
在分布式金融平台(DeFi)上,被称为“闪电贷(Flash Loan)”的网络攻击正变得越来越频繁。这种无抵押贷款允许借款者在没有任何担保的情况下借到钱。虽然闪电贷是用于再融资或套利等合法目的的交易,但它们也可以被黑客利用来攻击 DeFi 智能合约。
这可不是开玩笑,事实上,仅在2023年,就有报道称一家公司总计损失了1.97亿美元,这是2023年以来发生的最大一次加密货币攻击,其规模在历史上排名第十一。
在闪电贷攻击中,攻击者使用闪电贷借入大量加密货币,然后用这些钱影响特定资产的价格。攻击者可能会故意抬高或者压低资产的价格,从而获利。
DeFi平台对客户资金的安全负有责任,应非常谨慎地采取预防措施,比如安装断路器和进行频繁审计。尽管闪电贷攻击构成了严重威胁,但只要采取适当措施并遵循最佳实践,DeFi生态系统仍可繁荣发展并日趋成熟。
加密货币劫持
加密货币劫持是一种网络攻击,攻击者非法访问其他人的计算机、手机、平板电脑或服务器以挖掘加密货币并从所窃取的代币中获利。
黑客常通过诱使用户点击危险的电子邮件链接来实施这种攻击,从而在受害者的设备上下载加密货币挖矿恶意程序。另一种方式是,攻击者可能会在网站或广告中插入有害的JavaScript代码,以便在用户的浏览器加载时运行。
由于这种恶意软件在后台运行,用户可能意识不到他们的资产正被窃取。如果用户的设备运行缓慢,则可能已遭黑客入侵。
事实上,根据2023年SonicWall网络威胁报告,从2022年到2023年,加密货币劫持数量增加了43%。这一增加使攻击总次数首次超过1亿,并在年底达到历史新高的1.393亿次。
随着加密货币劫持的增加和网络环境的不断变化,及时了解最新的威胁信息对于维护自身的安全尤为重要。
操纵人工智能
尽管人工智能(AI)是一项杰出的技术,但它也容易被恶意利用。如果人工智能从不可靠的网络来源获取知识,就很容易被欺骗。
错误信息的广泛传播可能是这种操纵的结果。
一个例子是,当某公司、政府或团体在互联网上大肆宣传时,人工智能无意中在其答案中使用了这些信息。同样,勒索软件或恶意代码可能会进入人工智能,并在不被注意的情况下向他人和程序传播。
“拉地毯”骗局(Rug pulls)
在加密货币领域,“拉地毯”骗局(Rug pulls)是一种逐渐增多的诈骗形式。它是指加密货币或代币的开发者突然退出该项目,并带着投资者的资金跑路,留给投资者一文不值的代币。
那些开发者创建了一个优秀的加密货币或者代币项目,吸引了大量投资者后,就会突然退出。这通常发生在创始人已经获得可观的实质性收益后,留给投资者一堆毫无价值的代币。
数字货币行业监管缺失,是导致“拉地毯”骗局泛滥的因素之一。在投资任何加密货币项目或代币之前,投资者必须进行广泛研究和尽职调查,以避免成为诈骗的受害者。此外,投资者应该谨慎对待高回报的承诺,避免投资超出其所能承受的范围。
监管机构必须制定明确的规则,以规范比特币市场,降低“拉地毯”骗局发生的可能性。对于没有清晰规划、白皮书或团队的投资项目,投资者应保持警惕,因为这可能是“拉地毯”骗局的信号。
2.数据安全性和可靠性
一个考虑节点、数据存储和接口的更大网络拓扑结构不可避免地增加了安全隐患。区块链交易的加密和数据与服务的去中心化限制了单点攻击和审查的可能性,同时也使数据暴露在更广泛的威胁之下。
这些风险包括:
数据真实性
由于区块链网络的去中心化结构,存储在其上的数据真实性很难得到验证。尽管区块链交易是加密的且防篡改的,恶意参与者仍有可能在交易的源头或终点篡改数据。
对于依赖数据准确性的医疗保健、银行和法律服务等行业来说,这种风险尤为突出。不准确或篡改的数据可能导致严重后果,如错误的医疗诊断、金融欺诈和法律纠纷。
区块链开发者必须开发出强有力的安全协议,以保证存储在网络上的数据的完整性,从而减少数据真实性的风险。
数据处理
由于区块链的漏洞而造成的数据被篡改,引发了人们的广泛关注。尽管交易本身是加密且不可更改的,黑客仍有可能在区块链交易的开始或结束时篡改数据。这可能通过伪造用户的数字签名或篡改交易数据本身来实现。
特别是在数据完整性至关重要的领域,如医疗保健、银行和法律领域,数据篡改的后果可能是毁灭性的。伪造的信息可能导致各种负面结果,包括错误的医疗诊断、金融欺诈和法律纠纷。
区块链系统的开发者应该纳入严格的安全机制来保护储存在其中信息的真实性。多个网络节点需要对数据进行验证,因此我们需要使用身份验证、加密哈希值和一致性算法。
结论
下一代网络将聚焦更好地保护生态系统,同时通过分布式治理在技术、社会和经济方面授权用户。尽管分布式网络在安全方面具有某些优势,但它们并非完美。2022年第二季度,Web 3.0空间监测到48起重大网络攻击事件,由于软件攻击、人为错误等造成的经济总损失约7.1834亿美元。
Web 3.0的愿景解决了权力失衡、控制、审查、欺诈、隐私和数据丢失等问题。然而,它并不能阻止与隐私、身份验证、经济刺激和社会工程技术相关的新一轮威胁的可能性。
译者介绍
刘涛,51CTO社区编辑,某大型央企系统上线检测管控负责人。
原文标题:Web 3.0 Security Risks: Privacy Threats Your Organization Should Know,作者:Tobi Ogundele