Mối đe dọa tiềm tàng đối với an ninh Web3 từ lỗ hổng Web2
Lĩnh vực Web3 hiện đang quá tập trung vào an ninh chuỗi và tính an toàn của hệ sinh thái blockchain, mà bỏ qua những lỗ hổng cơ bản hơn ở cấp hệ thống, trình duyệt, thiết bị di động và phần cứng. Sự bỏ qua này có thể xuất phát từ các đặc điểm mới nổi của ngành và sự tin tưởng quá mức vào việc xây dựng an ninh của các doanh nghiệp Web2.
Tuy nhiên, Web3 thực sự được xây dựng trên cơ sở hạ tầng Web2. Nếu có lỗ hổng bảo mật ở tầng dưới của Web2, điều này sẽ gây ra mối đe dọa nghiêm trọng cho toàn bộ hệ sinh thái Web3, trực tiếp đe dọa đến sự an toàn của tài sản người dùng. Ví dụ, các lỗ hổng trên trình duyệt hoặc thiết bị di động có thể dẫn đến việc tài sản bị đánh cắp mà người dùng không hề hay biết.
Các trường hợp thực tế đã chứng minh mối đe dọa thực sự của lỗ hổng Web2 đối với tài sản kỹ thuật số. Tin tặc đã khai thác lỗ hổng zero-day của máy ATM Bitcoin để đánh cắp tiền điện tử; tin tặc Triều Tiên đã tấn công bằng cách sử dụng lỗ hổng zero-day của trình duyệt Chrome; lỗ hổng của Microsoft Word có thể dẫn đến việc tiền điện tử bị đánh cắp; lỗ hổng của hệ điều hành Android có thể làm lộ thông tin ví tiền điện tử. Những sự kiện này không chỉ ảnh hưởng đến người dùng cá nhân mà còn có thể đe dọa toàn bộ ngành công nghiệp như sàn giao dịch, tổ chức lưu trữ tài sản và khai thác.
Vì lý do này, một số đội ngũ an ninh bắt đầu chú ý đến nghiên cứu an ninh cơ sở hạ tầng. Họ cho rằng, nếu không có an ninh cơ sở hạ tầng Web2, thì không thể đảm bảo an ninh trong lĩnh vực Web3. Những đội ngũ này bao gồm các chuyên gia an ninh hàng đầu toàn cầu, có khả năng kỹ thuật toàn diện trên cả Web2 và Web3, đã phát hiện thành công nhiều lỗ hổng nguy hiểm.
Ngoài ra, các chuyên gia trong ngành chỉ ra rằng các biện pháp an ninh trong lĩnh vực Web3 không nên chỉ giới hạn ở việc kiểm toán mã nguồn đơn lẻ, mà còn cần phải giới thiệu nhiều cơ sở an ninh hơn như phát hiện theo thời gian thực và phản ứng với giao dịch độc hại. Công nghệ an ninh liên quan trực tiếp đến tài sản của người dùng, do đó khả năng nghiên cứu an ninh trở thành một chỉ số quan trọng để đánh giá mức độ của một công ty an ninh.
Trong tương lai, với sự nghiên cứu sâu hơn về công nghệ an ninh cơ bản, môi trường an ninh trong lĩnh vực Web3 có thể được cải thiện hơn nữa. Điều này cần sự nỗ lực chung từ các bên trong ngành, bao gồm các công ty an ninh, các tổ chức Web3, sàn giao dịch và nhà sản xuất ví, thông qua hợp tác chặt chẽ để xây dựng một hệ sinh thái Web3 an toàn hơn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Lỗ hổng Web2 đe dọa an ninh Web3 Bảo vệ cơ sở hạ tầng là điều cấp bách.
Mối đe dọa tiềm tàng đối với an ninh Web3 từ lỗ hổng Web2
Lĩnh vực Web3 hiện đang quá tập trung vào an ninh chuỗi và tính an toàn của hệ sinh thái blockchain, mà bỏ qua những lỗ hổng cơ bản hơn ở cấp hệ thống, trình duyệt, thiết bị di động và phần cứng. Sự bỏ qua này có thể xuất phát từ các đặc điểm mới nổi của ngành và sự tin tưởng quá mức vào việc xây dựng an ninh của các doanh nghiệp Web2.
Tuy nhiên, Web3 thực sự được xây dựng trên cơ sở hạ tầng Web2. Nếu có lỗ hổng bảo mật ở tầng dưới của Web2, điều này sẽ gây ra mối đe dọa nghiêm trọng cho toàn bộ hệ sinh thái Web3, trực tiếp đe dọa đến sự an toàn của tài sản người dùng. Ví dụ, các lỗ hổng trên trình duyệt hoặc thiết bị di động có thể dẫn đến việc tài sản bị đánh cắp mà người dùng không hề hay biết.
Các trường hợp thực tế đã chứng minh mối đe dọa thực sự của lỗ hổng Web2 đối với tài sản kỹ thuật số. Tin tặc đã khai thác lỗ hổng zero-day của máy ATM Bitcoin để đánh cắp tiền điện tử; tin tặc Triều Tiên đã tấn công bằng cách sử dụng lỗ hổng zero-day của trình duyệt Chrome; lỗ hổng của Microsoft Word có thể dẫn đến việc tiền điện tử bị đánh cắp; lỗ hổng của hệ điều hành Android có thể làm lộ thông tin ví tiền điện tử. Những sự kiện này không chỉ ảnh hưởng đến người dùng cá nhân mà còn có thể đe dọa toàn bộ ngành công nghiệp như sàn giao dịch, tổ chức lưu trữ tài sản và khai thác.
Vì lý do này, một số đội ngũ an ninh bắt đầu chú ý đến nghiên cứu an ninh cơ sở hạ tầng. Họ cho rằng, nếu không có an ninh cơ sở hạ tầng Web2, thì không thể đảm bảo an ninh trong lĩnh vực Web3. Những đội ngũ này bao gồm các chuyên gia an ninh hàng đầu toàn cầu, có khả năng kỹ thuật toàn diện trên cả Web2 và Web3, đã phát hiện thành công nhiều lỗ hổng nguy hiểm.
Ngoài ra, các chuyên gia trong ngành chỉ ra rằng các biện pháp an ninh trong lĩnh vực Web3 không nên chỉ giới hạn ở việc kiểm toán mã nguồn đơn lẻ, mà còn cần phải giới thiệu nhiều cơ sở an ninh hơn như phát hiện theo thời gian thực và phản ứng với giao dịch độc hại. Công nghệ an ninh liên quan trực tiếp đến tài sản của người dùng, do đó khả năng nghiên cứu an ninh trở thành một chỉ số quan trọng để đánh giá mức độ của một công ty an ninh.
Trong tương lai, với sự nghiên cứu sâu hơn về công nghệ an ninh cơ bản, môi trường an ninh trong lĩnh vực Web3 có thể được cải thiện hơn nữa. Điều này cần sự nỗ lực chung từ các bên trong ngành, bao gồm các công ty an ninh, các tổ chức Web3, sàn giao dịch và nhà sản xuất ví, thông qua hợp tác chặt chẽ để xây dựng một hệ sinh thái Web3 an toàn hơn.