眾所周知,Web 3.0代表著互聯網的下一代演進,它將數據、身份和價值交換置于去中心化的環境中,并通過區塊鏈、人工智能等技術實現進一步的應用。根據Emergen Research的最新分析,到 2030 年,全球Web 3.0市場預計將達到 815 億美元,復合年增長率為 43.7%。
盡管Web 3.0 市場正在快速增長,新的網絡安全風險和挑戰也隨之而來。在這個新的網絡范式下,數據泄露、身份盜竊和網絡攻擊等安全挑戰變得更加嚴峻。加密貨幣作為Web 3.0生態系統中價值交換的媒介,已成為攻擊者的重點目標。值得一提的是,今年9月,總部位于香港的去中心化金融 (DeFi) 項目Mixin Network損失了約2億美元的加密貨幣。據報道,這可能是針對 Web 3.0 平臺的最大黑客攻擊之一。隨后,領先的Web 3.0社區建設平臺Galxe也遭遇了安全漏洞,多名用戶報告無法在該平臺上訪問他們的資金和錢包,Galxe網站也宣布癱瘓。據統計,截止2023年,全球擁有超過4.2億加密貨幣用戶,預計到2026年總價值將達到22億美元。而僅在2023年第三季度,加密貨幣行業因詐騙和安全漏洞就導致其平臺損失超過了8.89億美元。
Web3.0時代,針對加密貨幣平臺的攻擊復雜度攀升
相比于Web2.0,Web 3.0更強調去中心化,這就意味著沒有單點控制,無疑會帶來重大的安全挑戰。Web 3.0平臺由多個節點組成,如果沒有充分保護,每個節點都可能成為漏洞點,因此極大增加了攻擊面。在邁向去中心化的道路上,DDoS、網絡釣魚、勒索軟件攻擊等攻擊形式日益猖獗,而其中勒索軟件、DDoS攻擊等網絡犯罪則嚴重依賴或完全需要使用比特幣、以太坊等加密貨幣,每年給受害者造成數千億美元的損失。其中,以下幾類網絡攻擊的頻率、復雜程度、規模和造成的經濟損失尤為嚴重:
● 勒索軟件攻擊
勒索軟件會極大地干擾平臺或者個人的正常工作,它通常是通過加密貨幣來實現的。根據區塊鏈分析公司Chainaanalysis分析,2023 年上半年,向勒索軟件攻擊者支付的加密貨幣金額達到 4.491 億美元,比去年同期增加了 1.758 億美元。分析師補充說,如果這種情況繼續下去,勒索軟件攻擊者將迎來有記錄以來第二好的一年。“贖金(ransom)”+“惡意軟件(malware)”名如其意,它通過加密文件使其無法訪問,并要求受害者支付贖金(通常是加密貨幣)以獲取解密密鑰或解鎖文件。支付贖金可以讓犯罪分子保持匿名和不可追蹤。究其原因,要求以加密貨幣形式付款的黑客可能“很難跨越數字錢包和國界進行追蹤”。這些交易通常也發生在海外,限制了政府的監管權力和執法。
● DDoS攻擊
此外,加密貨幣的日益普及和知識的普及也使交易平臺受到關注。加密貨幣交易所經常成為 DDoS攻擊的受害者。這是因為惡意行為者通常關注主導組織。隨著人們對加密貨幣的興趣激增以及隨之而來的流量增加,不良行為者試圖破壞加密貨幣資源、拒絕加密貨幣用戶訪問的大門已經打開。DDoS攻擊可以在不到 24 小時內使兩個大型加密貨幣交易平臺離線。據報道,今年7月,黑客利用漏洞,從基于Avalanche的社交代幣平臺Stars Arena的智能合約中盜取了價值 290 萬美元的 Avalanche (AVAX) 代幣。Stars Arena 表示,他們的平臺遭到了智能合約漏洞攻擊和DDoS攻擊。此次攻擊耗盡了平臺資金,導致鎖定總價值 (TVL) 從近 130 萬美元降至零。Solana 區塊鏈也曾在短短半年內,遭受多次DDoS攻擊,導致網絡性能被大大削弱。
● 網絡釣魚
與利用假加密貨幣公司欺騙投資者類似,黑客同樣會冒充加密貨幣公司,通過網絡釣魚攻擊獲取加密貨幣用戶的錢包。著名的黑客組織Monkey Drainer利用網絡釣魚攻擊在短短24小時內,就竊取了價值100萬美元的以太坊和NFT。他們通過使用基于網絡釣魚的黑客技術通過建立虛假加密貨幣和 NFT 網站從受害者那里竊取信息。為了讓這些虛假網站更加可信,Monkey Drainer會偽裝成合法的區塊鏈網站。受害者在登錄網站后,會輸入有關其加密貨幣錢包的敏感詳細信息并簽署交易,從而允許 Monkey Drainer 訪問他們的錢包和資金。
多舉措守護Web 3.0變革中的數據安全
這些令人不安的數字和安全事件凸顯了在迎接Web 3.0變革時,開發人員和用戶迫切需要更強大、更完善的安全防護解決方案,來確保數據安全和隱私安全。Akamai建議企業采取以下四大防護策略,以從容應對Web 3.0時代中的數據安全挑戰。
1. 強化“零信任”,縱深安全防護
隨著Web 3.0時代技術和應用的發展,攻擊的復雜程度會越來越高,攻擊面也會逐漸擴張,所以企業或組織的安全防護要有縱深,從應用到基礎架構都要考慮到。其中,利用已建立的安全實踐,如零信任框架,來增強Web 3.0應用程序的安全性。零信任安全是一種建立在“永不信任,始終驗證”原則之上的策略。零信任假設違規行為已經發生或即將發生,因此無論其來源如何,都需要對每個訪問請求進行持續驗證。Web 3.0環境下,數據隱私的安全威脅迫使用戶需要消除之前被默認為可信的訪問者,通過嚴格的訪問控制措施、強加密并采用多因素身份驗證機制可以顯著增強對未經授權訪問的保護,達到防護數據和隱私安全的目的。
2. 集成專業第三方產品工具完善風控體系
根據Akamai觀察,很多企業都有自己的風控體系和安全邏輯,但如果沒有行之有效的第三方工具和解決方案,它們難以有效運作。利用專業的第三方產品工具,企業可以接觸到更加領先的安全技術、更加綜合性的解決方案以及更強的可擴展性和靈活性,以此來應對日益復雜的網絡攻擊趨勢,形成完善的風控體系。
3. 充分利用平臺數據并與專家合作
對于安全領域,“平臺數據”和“專家”同樣至關重要。不同的安全解決方案在不同的人手中運用的效果是不一樣的。即便是面對相同的安全風險、數據分析,在安全產品上部署的策略可能是不同的。Akamai建議企業與積累了豐富經驗的網絡安全廠商合作,結合遍布全球規模的平臺數據,及時分析全球威脅數據,獲得切實可行的建議,以確保企業無論在任何位置構建內容和應用,都可以保證其安全性,從而進行業務創新和拓展。
4. 加強企業內部的網絡安全教育
促進參與Web 3.0的開發人員、用戶和組織的網絡安全教育和意識。企業內部的開發人員必須在設計時優先考慮安全性,鼓勵開源協作,進行定期審計,與利益相關者合作,并促進網絡安全教育。同時,Akamai建議企業內部設置專職安全人員,定期進行滲透測試、紅藍對抗,來提高企業安全防護意識。
Web 3.0 為我們帶來了無盡的可能,同時也帶來了獨特的網絡安全挑戰。企業和組織需要了解各種先進的新型威脅和攻擊,并通過創新的安全技術和解決方案來保護數據和資源安全。Akamai相信,通過共同努力,我們可以打造Web 3.0時代的“護身符”,為數據和隱私提供有力保障,守護用戶利益。
