高克宁
Akamai中国区企业事业部总经理
众所周知,Web 3.0代表着互联网的下一代演进,它将数据、身份和价值交换置于去中心化的环境中,并通过区块链、人工智能等技术实现进一步的应用。根据Emergen Research的最新分析,到 2030 年,全球Web 3.0市场预计将达到 815 亿美元,复合年增长率为 43.7%。
尽管Web 3.0 市场正在快速增长,新的网络安全风险和挑战也随之而来。在这个新的网络范式下,数据泄露、身份盗窃和网络攻击等安全挑战变得更加严峻。加密货币作为Web 3.0生态系统中价值交换的媒介,已成为攻击者的重点目标。值得一提的是,今年9月,总部位于香港的去中心化金融 (DeFi) 项目Mixin Network损失了约2亿美元的加密货币。据报道,这可能是针对 Web 3.0 平台的最大黑客攻击之一。随后,领先的Web 3.0社区建设平台Galxe也遭遇了安全漏洞,多名用户报告无法在该平台上访问他们的资金和钱包,Galxe网站也宣布瘫痪。据统计,截止2023年,全球拥有超过4.2亿加密货币用户,预计到2026年总价值将达到22亿美元。而仅在2023年第三季度,加密货币行业因诈骗和安全漏洞就导致其平台损失超过了8.89亿美元。
Web3.0时代,针对加密货币平台的攻击复杂度攀升
相比于Web2.0,Web 3.0更强调去中心化,这就意味着没有单点控制,无疑会带来重大的安全挑战。Web 3.0平台由多个节点组成,如果没有充分保护,每个节点都可能成为漏洞点,因此极大增加了攻击面。在迈向去中心化的道路上,DDoS、网络钓鱼、勒索软件攻击等攻击形式日益猖獗,而其中勒索软件、DDoS攻击等网络犯罪则严重依赖或完全需要使用比特币、以太坊等加密货币,每年给受害者造成数千亿美元的损失。其中,以下几类网络攻击的频率、复杂程度、规模和造成的经济损失尤为严重:
勒索软件攻击
勒索软件会极大地干扰平台或者个人的正常工作,它通常是通过加密货币来实现的。根据区块链分析公司Chainaanalysis分析,2023 年上半年,向勒索软件攻击者支付的加密货币金额达到 4.491 亿美元,比去年同期增加了 1.758 亿美元。分析师补充说,如果这种情况继续下去,勒索软件攻击者将迎来有记录以来第二好的一年。“赎金(ransom)”+“恶意软件(malware)”名如其意,它通过加密文件使其无法访问,并要求受害者支付赎金(通常是加密货币)以获取解密密钥或解锁文件。支付赎金可以让犯罪分子保持匿名和不可追踪。究其原因,要求以加密货币形式付款的黑客可能“很难跨越数字钱包和国界进行追踪”。这些交易通常也发生在海外,限制了政府的监管权力和执法。
DDoS攻击
此外,加密货币的日益普及和知识的普及也使交易平台受到关注。加密货币交易所经常成为 DDoS攻击的受害者。这是因为恶意行为者通常关注主导组织。随着人们对加密货币的兴趣激增以及随之而来的流量增加,不良行为者试图破坏加密货币资源、拒绝加密货币用户访问的大门已经打开。DDoS攻击可以在不到 24 小时内使两个大型加密货币交易平台离线。据报道,今年7月,黑客利用漏洞,从基于Avalanche的社交代币平台Stars Arena的智能合约中盗取了价值 290 万美元的 Avalanche (AVAX) 代币。Stars Arena 表示,他们的平台遭到了智能合约漏洞攻击和DDoS攻击。此次攻击耗尽了平台资金,导致锁定总价值 (TVL) 从近 130 万美元降至零。Solana 区块链也曾在短短半年内,遭受多次DDoS攻击,导致网络性能被大大削弱。
网络钓鱼
与利用假加密货币公司欺骗投资者类似,黑客同样会冒充加密货币公司,通过网络钓鱼攻击获取加密货币用户的钱包。著名的黑客组织Monkey Drainer利用网络钓鱼攻击在短短24小时内,就窃取了价值100万美元的以太坊和NFT。他们通过使用基于网络钓鱼的黑客技术通过建立虚假加密货币和 NFT 网站从受害者那里窃取信息。为了让这些虚假网站更加可信,Monkey Drainer会伪装成合法的区块链网站。受害者在登录网站后,会输入有关其加密货币钱包的敏感详细信息并签署交易,从而允许 Monkey Drainer 访问他们的钱包和资金。
多举措守护Web 3.0变革中的数据安全
这些令人不安的数字和安全事件凸显了在迎接Web 3.0变革时,开发人员和用户迫切需要更强大、更完善的安全防护解决方案,来确保数据安全和隐私安全。Akamai建议企业采取以下四大防护策略,以从容应对Web 3.0时代中的数据安全挑战。
1.强化“零信任”,纵深安全防护
随着Web 3.0时代技术和应用的发展,攻击的复杂程度会越来越高,攻击面也会逐渐扩张,所以企业或组织的安全防护要有纵深,从应用到基础架构都要考虑到。其中,利用已建立的安全实践,如零信任框架,来增强Web 3.0应用程序的安全性。零信任安全是一种建立在“永不信任,始终验证”原则之上的策略。零信任假设违规行为已经发生或即将发生,因此无论其来源如何,都需要对每个访问请求进行持续验证。Web 3.0环境下,数据隐私的安全威胁迫使用户需要消除之前被默认为可信的访问者,通过严格的访问控制措施、强加密并采用多因素身份验证机制可以显着增强对未经授权访问的保护,达到防护数据和隐私安全的目的。
2.集成专业第三方产品工具完善风控体系
根据Akamai观察,很多企业都有自己的风控体系和安全逻辑,但如果没有行之有效的第三方工具和解决方案,它们难以有效运作。利用专业的第三方产品工具,企业可以接触到更加领先的安全技术、更加综合性的解决方案以及更强的可扩展性和灵活性,以此来应对日益复杂的网络攻击趋势,形成完善的风控体系。
3.充分利用平台数据并与专家合作
对于安全领域,“平台数据”和“专家”同样至关重要。不同的安全解决方案在不同的人手中运用的效果是不一样的。即便是面对相同的安全风险、数据分析,在安全产品上部署的策略可能是不同的。Akamai建议企业与积累了丰富经验的网络安全厂商合作,结合遍布全球规模的平台数据,及时分析全球威胁数据,获得切实可行的建议,以确保企业无论在任何位置构建内容和应用,都可以保证其安全性,从而进行业务创新和拓展。
4.加强企业内部的网络安全教育
促进参与Web 3.0的开发人员、用户和组织的网络安全教育和意识。企业内部的开发人员必须在设计时优先考虑安全性,鼓励开源协作,进行定期审计,与利益相关者合作,并促进网络安全教育。同时,Akamai建议企业内部设置专职安全人员,定期进行渗透测试、红蓝对抗,来提高企业安全防护意识。
Web 3.0 为我们带来了无尽的可能,同时也带来了独特的网络安全挑战。企业和组织需要了解各种先进的新型威胁和攻击,并通过创新的安全技术和解决方案来保护数据和资源安全。Akamai相信,通过共同努力,我们可以打造Web 3.0时代的“护身符”,为数据和隐私提供有力保障,守护用户利益。