WEB:DeFinance创始人遭钓鱼攻击损失545枚ETH，Web3世界还安全吗？

「我钱包里的ETH都没了！」今日，DeFinance创始人Arthur在社交媒体上表示其遭受鱼叉式网络钓鱼攻击。Arthur点击了一封酷似DefianceCapital合作资管平台官方地址发来的邮件中的PDF文档，导致其热钱包被盗，损失大量NFT以及其他资产价值超400ETH。Web3.0的世界好像并不安全，我们的链上资产似乎处处受到威胁。确实，从上层来看，链上应用不光要考虑应用逻辑的漏洞，还要考虑所部属链共识层可能潜在的攻击途径。除此之外，我们还需要擦亮双眼看清交互前端，并预防各类钓鱼链接。最致命的一点是，交易一旦获得清算保证，回滚成本极高。这么说来，Web3.0整体安全程度还不如Web2.0呢。但从更底层维度来看，理论上来说Web3.0其实应该是更安全的。例如，链上的去中心化平行执行为链上应用打造了去信任化的执行环境。Web2.0应用常遇到的DoS攻击也被Gas机制所解决。协议的开源同时也让用户在使用前「有权」进行DYOR，等等...本文出自加密钱包ZenGo联创TalBe'ery，文中就Web3.0固有的安全优势进行了详细解读，并提出了现存问题的潜在解决方案。律动研究院将全文进行了翻译：我知道这一点听起来很荒唐，毕竟Web3的安全性是目前科技领域的一大笑柄，而Web3在去年也因安全漏洞损失了超过100亿美元。然而，我认为目前这样的情况应该是阶段性的，而非持续性的，一旦Web3应用程序变得更加成熟，它们将在安全性上超越很多「传统应用程序」。Web3的定义

数据：DeFi市场正急剧去杠杆化，近六周已蒸发1240亿美元:金色财经报道，据区块链分析公司Glassnode最新分析数据显示，随着熊市的到来，ETH 价格已跌至 1,030 美元的低点，较历史最高 4,808 美元下跌 75.2%，导致以太坊 DeFi 市场正在经历一场急剧的去杠杆化，短短六周内超过1240 亿美元的资金凭空消失，投资者目前已在现货头寸上严重亏损，并可能是历史级别的巨大实现损失。DeFi协议TVL出现剧烈爆仓，主因两个机制：1. 牛市期间市场积累的杠杆和循环借贷头寸被平仓，无论是主动平仓还是通过清算。2. 由于锁定在 DeFi 协议中的代币的重新定价较低，加密抵押品的价值下降，这通常是由于上述第1点产生的卖方造成的。[2022/6/26 1:32:14]

在我们开始讨论Web3的安全性之前，我们需要首先对其作出定义。我们可以暂时将Web3定义为依赖于「智能合约」的应用程序，其商业逻辑和存储均在区块链上完成。因此，Web3目前主要包括DeFi应用程序和NFT，但在未来可以扩展到更多领域。

Uniswap创始人：历史将证明Elizabeth Warren针对DeFi的言论是错误的:12月15日消息，Uniswap创始人Hayden Adams在社交媒体上发文表示，参议员Elizabeth Warren针对DeFi和Stablecoin的言论简直是大错特错。因为DeFi是Web3的透明金融基础设施，和传统Web2时代的企业不一样，Web3为艺术家、游戏玩家、作家、建设者、记者和其他创作者赋能，也为他们提供了协调、拥有、变现和交换他们直接创造的价值的工具，帮助他们消除对当前互联网上有害、封闭的生态系统的依赖。

Hayden Adams同时表示，我们目前尚处于早期，所以在边缘地带有些粗糙，但DeFi是使以上这一切成为可能的支柱。而那些从封闭生态系统中提取价值的传统利益团体很乐意看到它失败。历史将最终证明，ElizabethWarren今天对Web3和DeFi的误导性攻击是错误（和失败）的言论。（Stablecoin）。[2021/12/15 7:41:35]

DeFi借贷平台MOAR完成私募融资:DeFi借贷平台MOAR Finance宣布完成私募融资，具体金额未披露。Spark Digital Capital、3Comma、Moonwhale、Stakely、Kyros Ventures、Ruby Capital、AU21 Capital、Paribus Ventures、Ape Capital、X21、Magnus Capital、Prometeus Labs、Black Edge等参投。[2021/4/17 20:30:36]

Web3三角在对Web3作出定义之后，我们便可以开始探讨它的安全性，而这主要包括智能合约的安全性。为了简单起见，我们将只讨论以太坊上的智能合约，但我相信其结论也适用于其他相似的系统和区块链。Web3的安全性有其内在优势

想象一下，如果Web3软件环境中没有了恶意软件、拒绝服务攻击以及其他类型的攻击，该是一次多么美妙的升级。下面我们一起来认识一下实现了安全乌托邦的Web3：-Web3解决了可信执行的问题：对于传统的应用程序，可信执行是一个尚未解决的主要问题。目前，一个应用程序必须信任其软件和硬件的执行环境。如果这种信任被恶意软件或能够植入恶意处理器的硬件供应链攻击所破坏，攻击者便可以获得控制权。Web3利用执行的去中心化解决了这个基本的安全问题。所有的区块链节点都在平行执行web3的代码，并且必须就执行的结果达成一致。除非执行引擎本身存在一些系统性风险，否则攻击者必须发动「51%算力攻击」，用恶意软件感染大多数区块链节点，以破坏其执行。-Web3可以免疫注入式攻击：对于传统的网络应用程序，所有参数都是以字符串的形式发送。这个设计缺陷是大多数传统网络应用程序漏洞背后的核心原因，这些漏洞包括SQL注入和命令注入，让攻击者能够将非预期输入偷运到尚未完善的网络应用程序之中。相比之下，由于Web3的强类型性质，这种非预期输入将立即失败，而Web3应用程序则不需要做任何特殊的准备。-Web3对拒绝服务攻击的抵抗力更强：虽然这些攻击并不聪明，因为它们通常不是靠「脑力」，而是靠僵尸网络大军的「蛮力」，以较低的成本向攻击目标发送垃圾流量，但它们仍然是传统Web应用程序面对的一个主要问题。相比之下，Web3应用程序就不会受此困扰，因为区块链为了防止被过量使用，设置了较高的交易费用，从而让DoS攻击者无从下手。除了上面几点以外，Web3在其他方面也表现出了很好的安全性。但是，仅仅是做到了上面几点，就已经相当厉害了。但除了上述的技术优势外，鉴于Web3的完全开放性和透明度，Web3还具有一些理念意义上的安全优势。早在Web3出现之前，开放式安全理念在安全领域就有很多拥护者，认为它比「隐蔽式安全」更具优势。Web3将开放式安全理念发挥到了极致：在Web3中，不仅代码按照惯例是开源的，而且根据定义，二进制文件在区块链上也是对外公开的，且可以被验证为是已发布源代码的结果。此外，根据定义，所有代码的执行都是公开的，任何人都可以对其进行验证和审查。理论优势并非实际优势

波场TRON 2021全球DeFi Hackathon开发者千万美金大航海计划正式起航:据官方最新消息，波场TRON 2021全球Defi Hackathon开发者千万美金大赛已经于今日正式开始，本次开发者大赛计划是”波场DeFi创业者生态联盟1.2亿美金扶持计划”的一部分，以此来鼓励更多创业者与开发团队参与到TRON DeFi的生态建设当中。大赛总奖池1000万美金，

除了奖金之外，还有5万美金的开发者孙哥鼓励基金，只要报名参赛并且项目符合评审标准（最终评审获得80分以上）即可领取。参赛方向可以为：Lending、DEX、Payment、协议接口类、 Infrastructure、 Analysis&Visualization、Stablecoin、Insurance、NFT、算力挖矿Mining类。以后，波场TRON 全球Defi Hackathon开发者千万美金赏金大赛将作为一年一度的开发者聚会，每年都持续举办，以持续激励社区创业激情。报名阶段为2月5日—2月28日，报名方式详情点击原文链接。[2021/2/3 18:49:18]

如果Web3的安全性在理论上大大优于传统应用程序，那为什么在实际操作中，DeFI应用程序的安全性还是比不过传统的银行应用程序？我认为这不是因为Web3的安全性本身有多差，而是因为它的运行环境异常恶劣，攻击者可以更容易地靠黑客攻击赚钱。Web3应用程序每时每刻都在处理着「流动资金」，因为区块链上的资金转移几乎都是即时发生且不可改变的；而在传统的银行系统中，即使银行应用程序被黑，在攻击者兑现以前，这些恶意交易所涉及的财产都可以被追回。具体而言，我们可以看一下规模最大的银行被黑案之一——2016年孟加拉银行黑客入侵案。攻击者利用恶意软件渗透到银行当中，并发送欺诈性的SWIFT电汇，试图劫走10亿美元。为了真正得到这10亿美元，攻击者需要看好一个特定的日期，这一天正好银行放假，好让他们有足够的时间来变现。他们还需要在一家能够处理大量电汇的菲律宾银行提前做好准备，以便在电汇被退回之前将资金套现。最终，攻击者「只」获得了10亿美元中的6000万美元，而这并不是因为银行的软件安全性高，而是因为环境比较宽松，给了防卫者足够的时间追回电汇。因此，我们可以得出结论，为了击败攻击者，我们需要为防卫者争取更多的时间。要想做到这一点，我们需要减少攻击的检测时间，或者延长交易可逆转前的时间，又或者同时做好这两点。我非常看好我们社区在改善攻击检测时间上的能力，因为目前已经有一些安全公司能够根据公开数据，利用上述的区块链透明度及「开放式安全」理念，提前对黑客攻击作出预警。从最近发生的黑客攻击案及其事后分析来看，没有什么能阻止在交易执行时分析的实时进行。当我们把这样一种先进的预警系统集成进合约当中以后，可能就足以用来杜绝此类恶意交易了，正如最近出现的Forta.network等项目所显示的那样。即使在今天，套现也不像看起来那么容易。一些CryptoToken已经设置了自己的黑名单，用以冻结名单用户的资产。此外，要想兑现成法币，攻击者通常需要借助中心化交易所，而这些交易所正受到越来越多的监管，并也增添了KYC功能及黑名单，阻止了攻击者进行兑现。因此，如今一些攻击者更愿意归还大部分被黑的资金，只保留一小部分，并把这部分资金洗白成被黑应用程序发放的「漏洞修补赏金」。正如最近查获的Bitfinex被黑资金，这些黑客其实很难将大笔的Crypto套现。可以肯定的是，套现只会变得越来越难。结论：我们终将成功

数据：40万用户正在使用DeFi 未来有较大增长空间:8月31日消息，链上数据提供商Sune Analytics数据显示，当前有40万用户正在使用DeFi。相比之下，全世界约有20—5000万人拥有或正在拥有比特币，而美国有至少8000万具备经济账户的公民。由此可见，DeFi仍有很大的增长空间，远未到真正爆发的阶段。高链上流通性是DeFi增长的重要因素，但短期内也伴随着交易费用不断增长的风险。（CryptoSlate）[2020/8/31]

虽然Web3的安全性还远远不够，但随着它的不断改进，未来很有可能成为我们数字活动的安全护盾。就像大多数革命性的技术一样，Web3的功能越丰富，其安全性就越是问题，这也是一直以来的情况。不过今后在风险投资和成功Web3项目的资金支持下，安全系统的人才将不断从传统安全产品涌入Web3领域，我相信到那时Web3的安全性便可以充分的发挥出来。Web3和Crypto技术涉及计算机科学和经济中的诸多学科，而我只了解安全领域。我相信，Web3将为安全领域带来重大突破，而且我也深信它能对其他我不了解的领域作出改进。或者用Web3的行话说，WAGMI。原地址

标签：WEBWEB3EFIDEFWeb3CampWeb3 ALL BEST ICO99DEFI.NETWORKDeFiSocial Gaming

AAVE热门资讯