阅读时间: 9 分钟
Web3 公司希望在其现有产品中添加 web2 原生功能,如今大量采用 Web3。 但是等等,web3 革命带来了什么?
要了解 Web3 所拥有的生命力,让我们追溯这些年来 Web 迭代所取得的进展。
Web1——通常被称为静态网络,不利于交互,但公司创建了用于内容消费的静态页面。 然后发展了 Web2,为用户的交互提供了空间,可以自由地在 Web 平台上添加和创建内容。
成熟的下一阶段是将数据的控制权交给用户,没有集中的各方掌握用户信息。 这标志着 web3 的黎明!
值得花点时间查看安全转换,以更好地了解不同 Web 版本的基础架构。
Web1 使用安全套接字层 (SSL) 在浏览器和服务器之间建立安全通信。 可以访问用户信息的 Google、Facebook 等 Web2 中介采用了传输层安全性 (TLS)。
而 Web3 的安全性不依赖于数据库层,而是让智能合约来管理执行的逻辑和状态。 将数据控制权交到用户手中会发挥去中心化的作用,因此需要对安全性进行全新的修正。
现在是重点从 Web2 转移到 Web3 的时候了。 这需要对现有的 Web2 互联网与新发现的 web3 进行全面的安全分析,以获得更好的清晰度。
该博客旨在详细强调安全部分。 让我们进去吧!
Web2 中的网络安全问题
第二代网络代表了从静态网页到动态网页的转变,导致了网络社区之间的开放交流。 随着功能的即兴发挥,Web2 中出现了许多问题。
尽管 Web3 在各方面都远远领先于 web2,但重要的是要除尘 web2 安全 了解如何在 web3 上尝试类似的攻击,从而导致安全漏洞。
Web2 网络安全的架构层
所以我们开始了——顶级 Web2 安全漏洞。
缺乏身份验证控制: Web2 将内容的权利分配给许多用户,而不是专门分配给选定数量的授权人员。 因此,这为任何经验不足的用户提供了很好的机会对整个系统产生负面影响。
例如,攻击者可以登录网站,伪装成经过身份验证的用户发布虚假信息并进行不真实的管理活动。
跨站请求欺诈: 用户访问的网站看似正常,但其中包含指向非预期网站的恶意代码。 这方面的一个例子是 Twitter 中的漏洞,该漏洞有利于网站所有者提取访问其网站的用户的 Twitter 个人资料。
网络钓鱼一直是最令人头疼的问题,并且在 web2 和 web3 中部署最广泛,尽管攻击模式可能略有不同。 网络钓鱼攻击不依赖于软件弱点,但攻击者利用这里缺乏用户意识。
通常,攻击者会向受害者发送一封电子邮件,询问敏感信息。 这导致受害者登陆欺诈网站,从而为网络钓鱼攻击带来有效结果。
信息完整性: 确保数据完整性是安全的关键要素,因为误导性信息会产生不亚于黑客攻击的影响。
例如,相当多的人使用的网站维基百科错误地过早地宣布了肯尼迪参议员的死讯。 这些类型的不准确数据会导致在使用来自网络的真实内容时产生更大的失真。
抗自动化不足: Web2 的可编程接口使黑客更容易自动化攻击,例如 CSRF 攻击和用户信息的自动检索。 敏感数据无意中发布在网站上的信息泄露在 web2 中也很常见。
Web3 釉
了解了 Web2 的安全威胁之后,让我们看看 web3 的方法如何旨在解决与数据相关的障碍并推动互联网的运行。
Web3 为用户打开了广阔的舞台,让他们可以在无需中介的情况下赚钱并与同行互动。 区块链网络和智能合约是互联网革命新阶段带来的大部分去中心化。
Web3 中控制中心点的移除缩小了链接攻击的范围,因此有助于提高安全性。 另一个优势是通过减少中介机构的份额来降低成本。
由于它有利于点对点交互,因此它可以额外控制他们想要获取的数据。 此外,此处的数据在考虑到安全性和隐私性的情况下进行了加密,因此不会意外地将信息泄露给任何其他方。
Web3 中的网络安全问题
Web3 不再是一个陌生的概念,因为它已经在更广泛的公众中根深蒂固。 在一些国家,甚至虚拟货币也由中央银行数字货币 (CBDC) 支持和发行。
显然,猖獗的增长也意味着带来新的安全威胁。 让我们了解 Web3 的新兴威胁。
Web3 网络安全的架构层
信息真实性——问题
在分散的数据管理基础设施中,信息的神圣性和原创性仍然是一个难题。 信息的准确性不承担任何责任,因此它也可能是虚假信息的最大来源。
区块链漏洞——不可避免
节点控制区块链网络。 但是,当超过 51% 的区块链被恶意行为者控制时,曾经如此安全的区块链变得容易受到操纵,从而导致加密货币抢劫和金钱盗窃。
网络钓鱼威胁——一种常青的黑客
正如我们之前所讨论的,网络钓鱼威胁并不是什么新鲜事,但它在 web3 中的使用方式可能会造成重大损失。 这个概念是相同的,其中恶意链接通过电子邮件和虚假公告发送给用户,链接发布在 Discord、Instagram、Twitter 等社交媒体渠道上。
以下是一些网络钓鱼攻击的实例。 2021 年,Coinbase 的 6000 个客户账户中的加密货币被盗,OpenSea 用户价值 1.7 万美元的 NFT 因网络钓鱼攻击而丢失,名人的个人资料被黑客入侵以传播网络钓鱼链接等等,不时成为新闻头条。
地毯拉手: 地毯拉动事件与 DeFi 项目更密切相关,其中开发团队通过撤回其所有流动性突然放弃投资者。 没有对项目或 FOMO 进行太多研究会触发投资者稍后投资非法项目,以发现他们的资金很快就花光了。
继承自 Web3 的 Web2 安全威胁
在谈到 web2 和 web3 安全性之后,我们可以从 web2 漏洞中吸取教训,以保护互联网的未来。 鉴于 Web3 的去中心化特性,确保智能合约和区块链协议的稳健性至关重要。
但是,web3 项目仍然利用某些 web2 框架来实现附加功能。 攻击者正在利用这一点并利用 web2 空间中的 web3 漏洞。 在这里引用一些此类事件的实例。
谷歌标签管理器漏洞
由于谷歌标签管理器漏洞(GTM),去中心化交易所 KyberSwap 损失了 265,000 美元。 GTM 是一个标签管理系统,用于添加和更新数字营销标签以进行跟踪和站点分析。
在 KyberSwap 事件中,黑客设法通过网络钓鱼并插入恶意代码来访问其 GTM 帐户。 结果是前端受损,导致美元损失。 根本原因是网络钓鱼行为。
域名系统利用
2022 年,另一个 web2 漏洞给去中心化交易所 Curve Finance 带来了 570,000 美元的损失。 这一次是黑客的域名系统 (DNS) 缓存中毒,它将用户重定向到一个假冒的山寨网站,而不是经过身份验证的 Curve Finance 网站。
DNS 是一种将用户定向到他们在搜索中键入的站点的工具。 通过创建 Curve Finance 网站的副本,黑客诱骗用户访问该网站并让他们批准主页上的恶意合约。 合约在钱包中的使用得到批准后,用户的资金总共消耗了约 570,000 美元。
因此,在 web2 空间中启动项目时要注意 Web3 安全漏洞。
为什么项目从 Web2 进入 Web3?
“Web3 用例主要作为已经分发的 Web2 用例中的产品进行推广,”一位专家说。
许多用户现在不希望存在于用户体验不佳的世界中,而是希望完全控制他们的数据。 Web2 公司在 Web3 中发现了许多有趣的点点滴滴,这些点点滴滴对用户更有吸引力,因此希望在他们的平台上继承它们。
例如,Facebook 和 Twitter 等品牌在他们的平台中引入了 NFT 的采用,并意识到了他们的潜在用例。 当前的趋势是 Web2 公司更多地推动了 web3 的采用。
听听数字对 Web3 安全状态的看法
- Web3 中最常见的黑客技术仍然是合约漏洞利用(占 45.8%)和闪贷攻击。
- 仅在 2022 年,地毯拉动事件造成的损失就达到约 34,266,403 美元,并且在 Discord 服务器中观察到更多网络钓鱼攻击事件。
- 一半的被攻击项目未经审计。
我们是否有降低风险和确保 Web3 安全性的选择?
为什么不? 有很多实践可以遏制安全漏洞的发生,这就是 Web3 最好的部分。 Web3 已经显着突出,其紧迫的问题扩大了加强安全性和有效性的范围。
参与安全设计原则
在构建产品和框架时,开发人员应该有一种安全心态,以尽量减少攻击面、安全默认值、零信任框架等。
关注 Web3 市场动态
Web3 超越了技术,包括在灌输某些配置和集成之前应考虑的几个法律、文化和经济动态。
与业界领先的安全资源合作情报
与行业同行合作或参加网络风险管理计划有助于提高减轻新兴威胁的意识。 可以很好地利用在 GitHub 或 OODA Loop 等开源平台上发布的安全指南。
智能合约代码的独立分析和审计
开发过程完成后,应该对代码进行评估,以提前解决故障,而不是在事件的热度中。 审计服务 特别注意代码中的攻击向量、隐私保护等,项目团队在开发时往往会忽略这些。
Quillaudits 如何帮助安全地进入互联网的下一个现实?
QuillAudits 是 web3 网络安全解决方案的一站式目的地。 服务产品的范围被广泛延伸,以从各个角度保护 web3 项目和投资者。 这是了解我们提供的多元化服务的见解。
智能合约审计
我们采用全面的方法来审核为不同区块链(如 Ethereum、Solana、Polygon 等)开发的智能合约。我们采用最先进的技术来调查 安全漏洞和潜在漏洞的代码.
经过审查,我们的审计专家会分享一份详细的报告以及安全建议,以克服智能合约中的潜在风险。 从而增加项目成功的可能性。
尽职调查
由于蓬勃发展的 Web3 空间没有得到足够好的监管,因此拉扯地毯非常普遍,从而放弃了拥有毫无价值的代币的投资者。 我们的尽职调查服务通过对项目进行深入研究并推荐更安全的投资选择来防止地毯拉扯。
KYC
我们的 KYC 服务包括对项目进行背景调查以确认其合法性。 从而帮助业主建立他们的项目声誉并在他们的社区面前炫耀他们。
常见问题
web3 能做什么而 web2 不能?
web3 相对于 web2 最显着的好处是对数据的完全控制。 Web3 为用户打开了广阔的舞台,可以在无需中介的情况下通过货币化和与同行互动。
Web3 安全吗?
由于 web3 将信息存储在分布式账本上,因此它们比任何传统应用程序都更安全。 但是,存在特定于 web3 的威胁,可以通过遵循正确的做法来缓解这些威胁。 通过阅读博客了解更多信息。
web2 解决的关于 web3 的问题是什么?
虽然使用 web2 有几个优点,但也存在平等访问、信息控制、版权问题、隐私、安全等问题。Web3 试图通过区块链技术解决所有这些问题。
为什么 Web3 是未来?
现在,许多用户不希望存在于用户体验不佳的世界中,而是希望完全控制他们的数据。 Web2 公司在 Web3 中发现了许多有趣的点点滴滴,这些点点滴滴对用户更有吸引力,因此希望在他们的平台上继承它们。
2 观点
