来自 Web 3 的网络攻击

Posted 2022-04-28 区块链星际社

区块链技术逐渐成熟，成为互联网一个全新的去中心化时代，Web2逐渐开始向着 Web3进行演变。在 Web3网络中，区块链技术成为许多人青睐的对象。

但这安全性并非是绝对的，近年来，Web3的高价值性让它成为了许多黑客的攻击目标，各种针对 Web3的网络攻击不时发生。现在，我们来了解一下关于 Web3网络常见的一些威胁，提高我们的警惕和安全防护意识。

APT

APT 是高级长期威胁的简称，又称之为高级持续性威胁。正如它的名字一样，它是互联网中一个长期性的威胁，是一种隐匿而持久的电脑入侵过程。

通常是一些人或组织，出于商业或政治目的，针对互联网进行攻击，并要求长时间内保持高隐蔽性。不同的 APT 有着不同的操作方式，但他们的目的往往都是破坏公司或机构的网络层以实现最终目标。

著名的一些 APT 有 APT-32（海莲花黑客组织）、TA505等。另外，也有一些黑客组织已经盯上了 Web3，Lazarus 便是其中十分出名的一个。这些黑客组织往往有着充足的资金和高技术黑客成员，他们会为了利益而长期活跃在互联网当中。

网络钓鱼

这是一种在互联网中十分泛滥的诈骗、攻击方式，在 Wev3中同样十分常见。虽然在 Web3网络内部有着极高的安全与隐私保护功能，但在网络之外，却也一样十分脆弱。

钓鱼者通常会向目标发送诱饵信息，渠道包括且不限于短信、电子邮件、即时通讯软件等。当目标忍不住诱惑进入钓鱼者发送的陷阱之后，便会成为网中的猎物，用户个人的个人资料、账户密码等隐私信息将会被暴露。

值得一提的是，网络钓鱼并不需要钓鱼者掌握很专业的知识，也不需要具体的技术专长，这是一种“低成本”的攻击方式。这在由新型技术而诞生的 Web3网络中，可以说是一些犯罪组织最重要的方法。

治理攻击

在 Web3网络中，有一个很独特的特点，那就是依靠共识而形成的一种去中心化治理模式。这种治理模式是依靠节点进行共识投票而形成的，通常来说，这是一种比较公正，也比较安全的治理方式。但这也为一些攻击者打开了一扇后门。

之所以会产生治理攻击的威胁，其实也与区块链中的共识投票机制的缺陷有着很大关系。当前区块链中常用的共识机前者现制主要有工作量证明（POW）、权益证明（POS）和其衍生品，在被广泛认为是一种高能耗的共识证明，从而逐渐被更优秀的 POS 所取代。但是 POS 也存在弊端，那就是比较容易形成财富聚集，进而掌控治理权。

治理攻击便是通过一些特殊的方式，掌控了网络中的领导权，从而从中掠夺财富。比如在前不久发生在去中心化金融（DeFi）项目 Beanstalk 上的那次资金盗用事件，便是通过大规模“闪电贷”来影响了投票。

破坏供应链

前面我们说过，区块链作为 Web3的核心，拥有很高的安全性。但对于 Web3而言，它并非只有区块链，还包括了其他完整的供应链体系。而其他地方的安全性则很可能会出现一些漏洞，从而被攻击者趁虚而入。软件系统的相互依赖性和复杂性也高，供应链的漏洞可能也会更多，让黑客拥有更多攻击的机会。