許多人認(rèn)為，下一代網(wǎng)絡(luò)Web3會(huì)比現(xiàn)在的網(wǎng)絡(luò)更安全，但最近發(fā)布的報(bào)告澆了盆冷水，事實(shí)可能并非如此。

　　Forrester認(rèn)為，從基礎(chǔ)設(shè)施的層面來看，Web3的確有可能更難顛覆，但它也有一些弱點(diǎn)，可能會(huì)比現(xiàn)有網(wǎng)絡(luò)更容易遭受攻擊。相比傳統(tǒng)應(yīng)用，Web3應(yīng)用有區(qū)塊鏈特點(diǎn)，所以它會(huì)擁有更寬的受攻擊面。還有，在Web3時(shí)代代幣相當(dāng)于數(shù)量可觀的金錢，黑客攻擊Web3的欲望會(huì)更強(qiáng)烈。
　　Web3具有開放性，這是它最大的優(yōu)點(diǎn)，但也是麻煩所在。Forrester分析師MarthaBennett認(rèn)為：“運(yùn)行于公共區(qū)塊鏈上的代碼更容易被入侵，世界上任何地方的任何人只要擁有技能，不需要滲透任何企業(yè)防御網(wǎng)就能進(jìn)入。”她還說：“源代碼也容易被入侵，因?yàn)槭澜绮幌矚g運(yùn)行封閉源代碼的智能合約。Web3基本上就是開放源碼。”

　　不受歡迎的復(fù)雜性

　　Cipher安全公司CTODavidRickard認(rèn)為，Web3是基于用戶對(duì)數(shù)據(jù)和身份的分布式控制搭建的。

　　“有些個(gè)體可能不愿意或者沒有能力管理自己的數(shù)據(jù)和身份，本來Web3的技術(shù)很復(fù)雜，這樣一來應(yīng)用會(huì)將‘易用’看得比其它因素更重要，所以Web3的受攻擊面會(huì)更寬。”

　　DavidRickard補(bǔ)充說：“對(duì)于個(gè)體來說，除了文本信息、郵件、查看社交媒體、使用購物App，其它都是挑戰(zhàn)。”Web3會(huì)讓代碼透明、公開，這種做法不會(huì)得到真正的推崇。他認(rèn)為：“在資本投資者與區(qū)塊鏈金融系統(tǒng)（比如NFT）用戶之間，牽涉到的金錢利益太大了。”

　　讓代碼透明公開也會(huì)導(dǎo)致Web3的受攻擊面變寬。DavidRickard分析稱，要實(shí)現(xiàn)安全編碼，預(yù)測(cè)用戶會(huì)用系統(tǒng)做出什么邪惡行為不是容易做到的事，預(yù)測(cè)并不容易；要預(yù)測(cè)人們?nèi)绾螌⑾到y(tǒng)用于預(yù)期之外的目的并非易事。

　　他還說：“人們擔(dān)心區(qū)塊鏈和NFT會(huì)被利用而出現(xiàn)金融損失，但這種擔(dān)憂并不是針對(duì)不可變的對(duì)象本身，而是擔(dān)心有人利用應(yīng)用漏洞操作它們。”

　　還有一點(diǎn)要注意，傳統(tǒng)系統(tǒng)可能有點(diǎn)古老，但它們并不脆弱。Cerby首席信用官M(fèi)attChiodi說：“新東西往往也是最不安全的。雖然時(shí)間并非總是安全的朋友，但時(shí)間長(zhǎng)了應(yīng)用也會(huì)在戰(zhàn)斗中接受更多測(cè)試。Web3不太一樣，它是新的，沒有經(jīng)過測(cè)試。傳統(tǒng)應(yīng)用因時(shí)間受益，Web3還沒有。”

　　NFT會(huì)成為攻擊目標(biāo)

　　不管代碼是不是可見，是不是能訪問，攻擊者都會(huì)找到弱點(diǎn)，NFT可能會(huì)成為“最受歡迎”的攻擊目標(biāo)。

　　Bennett稱：“如果能有更容易的途徑接近目標(biāo)，為什么要選擇更難的呢？對(duì)于想偷竊或者顛覆規(guī)則的人來說，就像其它的價(jià)值交易所場(chǎng)一樣，NFT集市和通信工具是很有吸引力的。”

　　“在與Web3有關(guān)的任何事物中，速度都是很重要的，但許多地方都沒有專家來評(píng)估潛在安全問題。有時(shí)雖然發(fā)生了糟糕的安全事故，創(chuàng)業(yè)公司還是連安全主管都不招。”

　　6月份OpenSea的NFT市場(chǎng)出現(xiàn)安全事故，180萬郵件地址泄露。Rickard分析稱，這起事故涉及到內(nèi)部威脅，處理交易的應(yīng)用可能也是很脆弱的，應(yīng)用中可能有成千上萬的漏洞需要編程者好好應(yīng)對(duì)，黑客只要抓住一個(gè)就能制造一次事故。

　　騙子橫行

　　在NFT及其它公共區(qū)塊鏈項(xiàng)目中，社交媒體網(wǎng)絡(luò)Discord成為致命弱點(diǎn)。一些黑客用釣魚手段攻擊Discord，這是許多NFT盜竊案的根源所在。

　　這件事向我們證明：攻擊者一般喜歡瞄準(zhǔn)社區(qū)管理員。當(dāng)黑客拿到管理員賬戶，就有機(jī)會(huì)大規(guī)模竊取，因?yàn)橛脩敉鶗?huì)相信社交管理員發(fā)的信息。

　　Discord是面向游戲玩家的交流論壇，并不是價(jià)值交易中心，所以它并沒有建立降低風(fēng)險(xiǎn)的機(jī)制。Bennett稱：“這樣的安全機(jī)制只有真正推行才能起到作用，但很明顯Discord沒有執(zhí)行。還有，Discord作為深受歡迎的代幣項(xiàng)目溝通平臺(tái)，它吸引了大量的釣魚攻擊和垃圾信息。”

　　為了收集參與者的聯(lián)系信息，黑客會(huì)發(fā)起釣魚攻擊，入侵?jǐn)?shù)字錢包也并不是什么稀罕之事。Bennett說：“Discord機(jī)器人曾被黑客入侵，作惡者可以發(fā)送虛假報(bào)價(jià)，最終導(dǎo)致加密貨幣被偷。”

　　比傳統(tǒng)網(wǎng)絡(luò)更安全嗎

　　Forrester在報(bào)告中說，在快速前進(jìn)的Web3世界，企業(yè)會(huì)傾向于忽視安全漏洞，只求快速創(chuàng)新，但是當(dāng)重要產(chǎn)品發(fā)布時(shí)公共安全漏洞可能會(huì)成為阻礙，它會(huì)拖累產(chǎn)品團(tuán)隊(duì)前進(jìn)的速度，強(qiáng)迫團(tuán)隊(duì)分析、緩解關(guān)鍵安全威脅。

　　Chiodi認(rèn)為：“Web3應(yīng)該將安全焦點(diǎn)向左移動(dòng)，也就是讓安全問題盡可能靠近開發(fā)者，將預(yù)防當(dāng)成首要目標(biāo)。如果不這樣做，Web3最終就會(huì)和Web2差不多?？紤]到Web3潛力無限，在去中心化身份方面更是優(yōu)勢(shì)明顯，如果最終和Web2的安全差不多那就太可恥了。”

　　保密計(jì)算公司Anjuna的高管MarkBower說：“Web3的分布式策略會(huì)帶來多種類型的安全能力，但本質(zhì)問題和之前還是一樣的。如果攻擊者可以拿到證書，可以拿到根權(quán)限或者密匙，尤其是拿到運(yùn)行于整個(gè)生態(tài)系統(tǒng)的關(guān)鍵私人密鑰，游戲就會(huì)被顛覆，就像中心化平臺(tái)一樣。”