Web3.0以其最簡單的形式代表了一個新的、更平等的網際網路時代。Web3.0建立在基于區塊鍊的基礎設施上,并将通證内置到點對點網絡平台中。對Web3.0更深層次的了解是,它是通過更複雜的方法實作了由使用者擁有的網際網路,而不是由少數公司控制的網際網路。批評人士表示,從技術上講,這不可能實作,也不一定符合主流使用者的利益。我們可以在絕大部分生态系統中找到适合中心化的發展空間,因為中心化往往在某種程度上代表着流程的簡化、效率的提升以及成本的降低。
Web3.0的承諾是将所有網絡轉換為與人工智能技術相容的資料。這将提供大量的人工智能教育訓練集,其中大多數目前無法作為“非結構化資料”通路。想象一下,谷歌、Siri或Alexa(一家專門釋出網站世界排名的網站)搜尋能夠使用網際網路上的所有資料:袁文澤部落格www.yuanwze.cn今天,你問Alexa一個問題,它可能會回答“根據維基百科……”;将來,它可以了解所有線上内容的含義,并提供詳細的答案。
但與此同時,Web3.0也會面臨諸多新的網絡威脅。雖然分布式資料和服務降低了單個攻擊的風險,但它們有可能使資料暴露在更廣泛的風險中。
一、匿名的風險
對許多人來說,Web3.0的支柱之一是它為使用者提供的匿名性。随着Web2.0的巨頭經常出現在濫用使用者資料的頭條新聞上,Web3.0的承諾之一是,它将允許使用者匿名以保護身份和資料隐私。這在加密貨币領域最為明顯,使用者錢包和交易雖然在區塊鍊上完全可見,但與所有者的身份無關。
是以,匿名和隐私是Web3.0安全的基礎。然而,這種匿名也給Web3.0安全帶來了一些問題,即它允許黑客進行攻擊,因為在Web3.0世界裡将使用者的真實身份與攻擊連接配接起來極其困難。盡管Web3.0改善了Web2.0的許多隐私問題,但匿名和分散也有缺點。
首先,匿名使不良行為者難以為其行為負責,而且系統很少或根本沒有為消費者提供保護。匿名使監管變得更加困難,并簡化了洗錢的流程和資助了恐怖主義。我們想要一個允許壞人茁壯成長和繁殖的網際網路嗎?其次,分散式識别使《通用資料保護條例》等現行法規複雜化,并使其難以識别資料控制器的使用者身份。最後,大多數自治身份(SSI)和加密錢包需要漫長的導入過程,這使得廣泛采用更加困難。将錢包與特定身份連接配接起來的困難允許黑客清洗所盜取的資金,這反過來又需要一個複雜的過程來跟蹤錢包之間的資金流動,以期通過加密貨币發現黑客的身份。然而,龍卷風現金等隐私工具的發明切斷了資金流動,使跟蹤變得更加困難。
Web3.0中與身份相關的風險舉例如下:
█使用者體驗。大多數自治身份和加密錢包需要煩瑣的導入過程、使用者教育和幾乎沒有互操作性的多個版本。
█隐私。Web3.0圍繞隐私提出了許多問題:鍊上與鍊外分别存儲哪些資訊?誰需要知道何時以及如何驗證交易?誰根據什麼參數來決定?
█合規性。Web3.0為監管機構造成了資料缺口,并為洗錢和資助恐怖主義打開了大門。分散式識别使《通用資料保護條例》等現有法規的執行複雜化,是以人們很難從PII(個人驗證資訊)資料處理器中識别個人身份。
█匿名。正如Web2.0中的機器人所表明的那樣,保密可能會導緻社會規範混亂和受到侵蝕。匿名會産生圍繞問責制、責任、法律追索權和消費者保護的問題。
随着Web3.0應用程式在未來十年的發展,我們必須考慮技術、政治和社會層面的潛在風險。
生物識别技術的使用将如何影響Web3.0中的身份識别?
當汽車或太陽能電池闆等基礎設施成為經濟參與者時,物聯網裝置的身份功能将在Web3.0環境中如何互動?
社團組織、政治濫用和國家集中的區塊鍊如何圍繞不可變的身份資料和所有權轉移影響?
與Web2.0一樣,我們必須考慮Web3.0中的設計、政策、人權和貨币化問題。
二、智能合約的漏洞風險
智能合約在Web3.0和區塊鍊中很重要,因為它們消除了對律師、銀行和經紀人等可信中介的需求,為點對點交易鋪平了道路。然而,其必然結果是,交易各方必須有能力閱讀智能合約代碼。如果因代碼的錯誤或欺詐性功能産生損失,他們就無法追索。
惡意智能合約是許多加密貨币進行欺詐和制造騙局的手段。智能合約邏輯黑客建立自己的惡意軟體,然後将其作為惡意智能合約代碼在區塊鍊上分發。惡意智能合約具有所有标準的智能合約的功能,但它們的行為卻很奇怪。互操作性、加密貸款服務、項目治理和錢包功能都是這些黑客的目标。智能合約邏輯黑客還引發了嚴重的法律問題,因為智能合約通常不受法律保護,或在不同的司法管轄區存在法律地位差異。2016年以來的智能合約安全事件見表。
智能合約安全事件
分布式應用程式和智能合約是由人類編寫的代碼,而人類會犯錯誤,導緻軟體産生漏洞。Immunefi(黑客賞金獵人平台)的一份報告顯示,僅在2022年第一季度,在DeFi類平台上,黑客造成的總損失就達到12億美元。DeFi的一個主要問題是,許多正在啟動的新協定都有黑客可以利用的代碼漏洞。Chainalysis(區塊鍊資料分析平台)的資料顯示,2021年有21%的黑客利用了這些代碼漏洞。國際貨币基金組織的全球金融穩定報告顯示,在大多數情況下,該平台30%以上的存款在遭受網絡攻擊後丢失或被提取。網絡攻擊不僅竊取資産,還破壞了平台的聲譽,經常引發投資者的提款,因為他們擔心無法贖回存款。
總的來說,智能合約面臨的挑戰主要包括:
可執行性。當智能合約具有法律限制力時,用于實施的技術偶爾可能會引起法律可執行性方面的問題。如果發生沖突,可能沒有中央管理當局來解決沖突。可執行性和管轄權分歧可以通過争端解決方法來解決。在智能合約中納入争議解決機制,将在形式上解決可執行性和管轄權分歧等問題。
透明度。區塊鍊可以實作資料透明。但是,如果各方不希望共享資訊怎麼辦?使用者如何保持部分合約的私密性,同時保留區塊鍊的其他好處?
更改。如果使用者出于某種原因違反監管規則,那麼如何解除本不應該發生的交易?在以太坊平台上,這已經發生了,技術“硬分叉”是解決方案(區塊鍊中的分裂,未更新的節點無法驗證更新節點根據新的共識規則建立的區塊)。
錯誤或欺詐的責任。如果合約執行出現問題,并且使用者承擔了損失,那麼他們可以在哪裡尋求賠償?我們需要一個技術先進的法院系統。法院已經開始将區塊鍊作為改善司法的工具,而不僅僅是加密貨币的工具。法院需要能夠像處理電子發票一樣處理區塊鍊證據。
編碼限制。合約通常涉及未知,并具有不容易簡化為代碼的子句,或者可以作為簡單的“如果是這樣,那麼那個”過程自動執行。袁文澤部落格www.yuanwze.cn不可抗力就是一個很好的例子。合約通常包括主觀判斷、合理性和善意行為的概念,這些概念目前不能輕易轉化為邏輯語句。也就是說,代碼服務可以提供“合理性”測試,而且這些測試多年來一直用于證券交易。
可擴充性。區塊鍊網絡中的每個節點都必須處理全球發生的每筆交易,這可能會顯著減緩網絡的速度。是以它們的目标是提高所有交易的效率,同時保持網絡的分散性和安全性。
性能。交易處理、驗證和欺詐檢測所需的計算資源和性能将決定區塊鍊率先應用于哪些領域。目前,大多數區塊鍊無法每秒處理數千筆交易,僅限于進行不計時的資産轉移,例如購買或出售各種代币。
互操作性。通過確定互操作性來確定不同的區塊鍊實作互相通信,需要付出什麼代價?在理想情況下,跨鍊協定的标準将決定這一點。
三、加密劫持
當黑客在受害者的計算機和網絡上悄悄安裝挖礦軟體時,加密劫持就會發生。随着Web3.0的發展,加密劫持的風險将增加。加密劫持是一種網絡犯罪,主要指網絡犯罪分子未經授權使用人們的裝置(電腦、智能手機、平闆電腦甚至伺服器)挖礦。
網絡犯罪分子入侵裝置,安裝加密劫持軟體。該軟體在背景工作,挖礦産生的加密貨币可直接轉至黑客的賬戶。
四、資訊品質問題
網際網路的發展趨勢是分散式網絡。Web1.0提供由公司控制的内容,Web2.0由托管使用者建立内容的公司控制的平台組成。為什麼Web3.0不應該為在沒有公司控制的情況下添加内容提供一個新的平台?與此同時,區塊鍊成為任何人都可以釋出交易的一個平台,被釋出的交易将得到社群而不是平台所有者的共識的驗證和接受。那些對Web2.0平台所有者控制内容感到不舒服的人突然想到了分布式和分散式平台上的使用者内容。
Web3.0實作了機器可讀的網絡,但也帶來了新的資訊品質問題。
資訊品質:Web1.0依賴出版商的聲譽來確定資訊準确。Web2.0降低了資料品質,導緻網絡上遍布錯誤和虛假的資訊。在Web3.0中接受機器管理資料的共識是否包括準确性檢查?誰可以做出決定?他們的資格是什麼?
資料操作:對用于訓練人工智能的資料進行人為操縱是一個巨大的網絡安全問題。人們可以建立不良資料來制造他們想要的結果,使人工智能成為世界上最大的虛假資訊系統。當微軟決定通過學習Twitter來訓練它的聊天機器人Tay時,人們故意發送惡意推文,訓練機器成為種族主義者。想象一下,一個民族可以通過給人工智能提供錯誤資訊資料或改變單詞的含義來破壞事情。網絡安全專業人員将如何查找、阻止和删除旨在欺騙的資料?
資料可用性:如果我們的系統依賴于資料,那麼當這些資料不可用時會發生什麼?今天的網絡上到處都是破碎的連結。機器要麼需要對網際網路上的所有内容進行本地複制,要麼需要按需檢索資訊,而在Web2.0中,這可能會增加對IT團隊無法控制的系統的可用性的依賴。
資料機密性:機密資訊不斷被洩露。除了這種情況,資訊可能會被意外釋出或放置在不安全的位置。随着機器掃描并将這些資料納入其知識庫,私人資料被發現且被使用的可能性突然增加。網絡安全上司者需要加強防禦,以預防一個可能比以往更快地傳播機密資訊的系統。
五、網絡釣魚
網絡釣魚是指攻擊者惡意說服使用者簽署交易,将使用者資産的準許委托給攻擊者。
權力下放使審查變得更加困難,但卻使資訊品質問題和準确性問題永久化,這已經導緻了與錯誤資訊、虛假資訊和安全相關的問題。我們需要考慮一下在分布式網絡和匿名行為者之間監管網絡罪犯的困難。其他現有的Web3.0安全問題包括對端點的攻擊、流量過載和其他服務可用性漏洞,隻是它們可能較少受到IT監督。分布式網絡提供了一些安全優勢,但它仍會受到軟體漏洞、錯誤或人為錯誤的影響。
例如,Clipper惡意軟體會在交易期間自動複制加密貨币錢包位址,錢包位址就像銀行賬号的加密貨币版本。當使用者複制粘貼時,Clipper會将此位址替換為攻擊者的位址。攻擊者從流動性協定中提取閃電貸款,然後使用這些資金在Beanstalk DAO(一個算法穩定币項目)中獲得投票權——投票權基于持有的代币數量,修改了緊急治理機制,進而将資金虹吸到他或她的錢包中。之後,攻擊者償還了閃電貸款,并保留了其餘被盜資金。