區塊鏈資安隱患你要知 四招由內到外為項目把關

元宇宙、區塊鏈等新技術逐漸成為科技界新潮流，許多非資深電腦用戶也開始嘗試進入Web3世界。但Web3世界也有很多資安隱患，加密貨幣研究團隊a16z總結出一些常見的資安威脅，開發團隊可以參考，如何保護資產安全。

APT(Advanced Persistent Threat)意思是針對特定組織作出的潛藏攻擊。與傳統攻擊不同的是APT一般更複雜，而且駭客會打持久戰，持續潛入和偷取敏感資訊，可長達數月甚至數年。 

還有另一種類似的攻擊，攻擊者持續發出小額交易來測試智能合約漏洞，以Fomo3D和Last Winner為案例，BAPT-F3D和BAPT-LW20黑客團僅四天就獲利5194 ETH。

區塊鏈主張去中心化，治理代幣持有人可以進行DAO投票。投票機制讓社群都有機會表達自己意見，但也有可能被惡意操控。同時，設計不良的項目能讓黑客有機會控制大部份選票進而操控結果。

隨著科技發展，網絡釣魚也一直在演變。在Web3世界的釣魚攻擊除了經傳統電郵方式發送外，也會經短訊、Discord或其他社交應用程式傳播。普遍攻擊方式以盜取用戶錢包私鑰或是助記詞為主。用戶點擊進入假冒的釣魚網站，提供助記詞或私鑰後，黑客隨即把資產轉移。

與傳統系統相似，Web3都需要不同的第三方軟件套件庫。由於那些套件庫代碼都不是項目內部團隊開發，所以容易錯過了已知的問題。黑客都喜歡借助這些第三方套件進行攻擊。

另一個最難防備的資安問題就是零時差攻擊。零時差攻擊指未有被正式公開的安全漏洞，由於還沒有被公開，開發商都難以推出修補程序。開發方和用戶能做的就是修正檔釋出及時為嚴重漏洞安裝修改檔。

Web3還在起步階段，資安風險不容忽視，很多問題和漏洞仍需要時間慢慢修補。同時我們需提高網絡安全意識，避免誤墮騙局。UD作為網絡安全管理服務提供者(MSSP)，提供全面區塊鏈安全服務，為你度身訂造整體網絡安全管理方案，由內到外為你的區塊鏈項目保安把關，確保項目順利發展。