UD 第一招: 你需為項目需制定全面保安措施,定期進行漏洞掃描。
區塊鏈資安隱患你要知 四招由內到外為項目把關
2022-07-29元宇宙、區塊鏈等新技術逐漸成為科技界新潮流,許多非資深電腦用戶也開始嘗試進入Web3世界。但Web3世界也有很多資安隱患,加密貨幣研究團隊a16z總結出一些常見的資安威脅,開發團隊可以參考,如何保護資產安全。
APT(Advanced Persistent Threat)意思是針對特定組織作出的潛藏攻擊。與傳統攻擊不同的是APT一般更複雜,而且駭客會打持久戰,持續潛入和偷取敏感資訊,可長達數月甚至數年。
還有另一種類似的攻擊,攻擊者持續發出小額交易來測試智能合約漏洞,以Fomo3D和Last Winner為案例,BAPT-F3D和BAPT-LW20黑客團僅四天就獲利5194 ETH。
區塊鏈主張去中心化,治理代幣持有人可以進行DAO投票。投票機制讓社群都有機會表達自己意見,但也有可能被惡意操控。同時,設計不良的項目能讓黑客有機會控制大部份選票進而操控結果。
隨著科技發展,網絡釣魚也一直在演變。在Web3世界的釣魚攻擊除了經傳統電郵方式發送外,也會經短訊、Discord或其他社交應用程式傳播。普遍攻擊方式以盜取用戶錢包私鑰或是助記詞為主。用戶點擊進入假冒的釣魚網站,提供助記詞或私鑰後,黑客隨即把資產轉移。
與傳統系統相似,Web3都需要不同的第三方軟件套件庫。由於那些套件庫代碼都不是項目內部團隊開發,所以容易錯過了已知的問題。黑客都喜歡借助這些第三方套件進行攻擊。
另一個最難防備的資安問題就是零時差攻擊。零時差攻擊指未有被正式公開的安全漏洞,由於還沒有被公開,開發商都難以推出修補程序。開發方和用戶能做的就是修正檔釋出及時為嚴重漏洞安裝修改檔。
Web3還在起步階段,資安風險不容忽視,很多問題和漏洞仍需要時間慢慢修補。同時我們需提高網絡安全意識,避免誤墮騙局。UD作為網絡安全管理服務提供者(MSSP),提供全面區塊鏈安全服務,為你度身訂造整體網絡安全管理方案,由內到外為你的區塊鏈項目保安把關,確保項目順利發展。