在数字化浪潮的推动下,Web2.0 与Web3.0 的交汇已成为不可避免的趋势。CertiK 联合创始人、哥伦比亚大学计算机系教授顾荣辉,受到 crypto.news 的邀请,就Web2.0 与Web3.0 交汇所带来的安全威胁进行了深入解读:
Web3.0 的诞生被看作是构建一个更安全、更透明的互联网的希望之光,它旨在解决中心化Web2.0 系统中长期存在的隐私和数据控制问题。然而,随着Web3.0 的发展,它却常常以危险的方式与Web2.0 网络进行交互;这种风险的交织,为新型网络安全威胁提供了滋生的土壤。如果不对这些潜在的问题加以控制,可能会破坏Web3.0 所提供的安全性。
尽管众多科技爱好者在积极拥抱Web3.0 ,但实际上,从Web2.0 过渡到Web3.0 并不是一个没有阻碍的平滑过程。在这个过程中,新出现的安全漏洞很容易被黑客和网络钓鱼者所利用。因此,为了构建一个更加安全的数字生态系统,Web3.0 首先需要重视并解决Web2.0 遗留下来的薄弱环节。
Web2.0 与Web3.0 交汇处的关键漏洞
Web2.0 和Web3.0 代表了互联网数据处理的两种截然不同的方式。Web2.0 依赖于中心化服务器和数据收集模型,将权力集中在少数大公司手中。而Web3.0 通过区块链的分布式记账技术,将数据所有权交还给用户,从而实现控制权的去中心化。
然而这两个系统并非完全独立,许多Web3.0 应用程序仍依赖Web2.0 的基础设施,例如域名、存储和 API。这种依赖关系使得Web3.0 同样拥有Web2.0 的中心化缺陷。例如,使用云服务提供商进行链下存储的Web3.0 平台,可能同样容易受到服务器漏洞的攻击。同样,那些具有Web2.0 界面的Web3.0 平台,也容易面临网络钓鱼攻击和 DNS 劫持的风险。
网络钓鱼攻击:Web3.0 环境中的Web2.0 缺陷
网络钓鱼攻击一直是Web2.0 环境中长期存在的威胁。在Web3.0 中,其攻击方式也基本类似:攻击者仿造合法平台的界面,诱骗用户泄露私钥或签署恶意交易。
这些攻击利用了Web2.0 的缺陷,通过伪造域名和电子邮件诈骗的手段,诱使用户相信他们正在与合法的去中心化平台进行交互。例如,针对 DeFi 平台的网络钓鱼攻击,可能会使用假冒的Web2.0 网站来诱骗用户,进而窃取他们Web3.0 钱包中的资金。因此,Web2.0 和Web3.0 的融合为不法分子提供了将传统网络钓鱼攻击与新技术结合的机会,对那些误以为去中心化本身能提供全面保护的用户构成了严重威胁。
Web3.0 的透明性和去中心化的安全优势
尽管存在上述风险,Web3.0 仍然通过其去中心化技术和透明的框架为更安全的互联网建设带来了希望。作为Web3.0 支柱的区块链是一本不可篡改的账本,其防篡改能力远胜于传统Web2.0 数据库。同时,智能合约消除了可能受到攻击的第三方需求,而去中心化身份解决方案则让用户可以掌控自己的数字身份,有效降低了网络钓鱼攻击的风险。
除此之外,Web3.0 的透明性使用户能够实时验证交易和审计系统,提供了一种在Web2.0 的不透明结构中难以达到的安全性和可问责水平。通过将控制权分散至多个节点,Web3.0 降低了在中心化系统中常见的大规模数据泄露的风险。
加快Web3.0 应用进程,降低网络安全风险
为了减少Web2.0 与Web3.0 重叠所带来的新型安全风险,必须加速应用全面的去中心化系统。只要Web3.0 仍然部分依赖于Web2.0 基础设施,它就会继续受到来自利用这两套系统缺陷的混合攻击。
去中心化系统在增强安全性方面的优势是显而易见的。例如,在 DeFi 领域,用户无须依赖第三方平台即可直接进行交易,从而减少了第三方漏洞攻击的风险。此外,构建在区块链网络上的去中心化应用程序(Dapp)允许用户在无须登录或避免中心化式数据存储的情况下仍能安全地与平台进行交互。
然而,要实现Web3.0 的全部潜力,开发者和行业领导者必须致力于构建独立于Web2.0 运行的去中心化基础设施。这意味着需要在去中心化存储解决方案、身份协议、治理系统等相关赛道上进行投资孵化,所有这些努力都旨在降低当前依赖Web2.0 存在的固有风险,以创造一个更安全的数字环境。