虽然 Web3 协议在 2022 年第三季度的损失与上一季度相比减少了近三分之一,但在过去三个月中,Web3 协议造成的损失超过了 5 亿美元。退出骗局(Exit scam)和闪电贷攻击(flash loan attack)是我们看到的两种最常见但最容易预防的攻击类型。令人失望的是,过去几个月这些事件的发生频率并没有下降。
不过我们先退一步说话。到了今天,“互联网几乎彻底改变了我们生活的方方面面”这句话早已成为陈词滥调。自 1990 年代万维网向公众推出以来,我们工作、学习、交流、购物、销售和娱乐的方式发生了永久性的变化。当我们学会适应并改进我们创造的这项技术时,这种快速而根本性的变化自然也伴随着许多痛点。
Web3 是这项具有深刻革命意义的技术的最新迭代。它有望解决过去二十年中,整个互联网向公司化转变过程中出现的许多问题。
区块链技术可以通过多种革新方式将权力还给用户。用户可以使用几乎不可能破解的加密技术来保护他们的数据,选择将他们的信息提供给谁以及何时提供。各种歧视现象将大大减少,因为所有用户在不变的、确定性的智能合约规则面前都是平等的。欠缺现代服务的国家和地区公民将获得在发达国家被认为是理所当然的金融产品和服务。
但在 Web3 设法解决其严重的安全问题之前,这一承诺是无法兑现的。
这个问题令人担忧,但还不至于让人绝望。解决困扰 Web3 世界的安全问题是行业前进的方向,也是行业将 Web3 的无穷潜力尽可能带给更多人的必经之路。实现 Web3 的全部潜力需要行业中的每个人——包括用户和开发人员——都认真对待安全问题。
首先我们要了解这一问题的严重性。
2022 年有望成为 Web3 有安全性评估记录以来最糟糕的一年。就在 2022 年,区块链协议中流失了超过 25 亿美元的价值,这是 2021 年损失量的两倍多,几乎是 2020 年损失量的三倍。
跨链链桥仍然是最大的损失来源之一。2022 年的八次链桥袭击造成的 14.2 亿美元损失,占当年损失总额的 56%。每起链桥事故平均损失 1.78 亿美元,相比之下非链桥事故的平均损失只有 583 万美元,相形见绌。
这反映了两个基本事实。首先,用户对跨链基础设施的需求显然是庞大的。用户希望能够在多个区块链上无缝交易,充分利用各条链提供的独特价值主张。然而很明显,许多当前的实现都没有达到“对抗性区块链空间”所需的安全标准。由于链桥吸引了如此大的用户需求,因此它们也是攻击者的主要目标,后者希望从对链桥的成功攻击中获得最大的收益。
链桥的状态也反映了整个行业的状态。有许多创新技术概念——例如先进的零知识证明或分片技术——尚未准备好投入生产环境。这些都是突破性的新技术,需要更多时间来完善。链桥目前陷入了一个尴尬的中间地带:相关技术已经发展到了足以实现一个理念的程度,但还没有做好准备来保护它们所吸引的巨额资金。
在加密货币行业中,人们的教训往往是通过艰难的方式学习的。某个第三方钱包生成器工具中的漏洞被公开披露后,仅仅四天时间它就造成了 1.6 亿美元的损失。俗话说,最严重的错误是你没有从错误中吸取教训。
这些事件为整个行业提供了宝贵的教训,这就是透明度如此重要的原因所在。所幸,透明度是 Web3 的核心原则之一。我们很高兴地看到整个社区在这样的事件发生后聚集在一起诊断漏洞、纠正漏洞并确保它不再发生。
尽管如此,安全性仍然是该行业的主要瓶颈,安全问题正在拖延 Web3 的采用进程。目前,我们看到不够安全的协议造成的一系列损失主要伤害了很多零散用户和专业的加密货币企业。但它的影响其实更为广泛。为了让这项技术能够帮助尽可能多的人,我们需要把当前人们在加密世界中遨游所需的门槛降下去。这一过程很可能会由新一波服务提供商以及很多资历深厚的组织来完成,这些组织需要了解 Web3 的好处,并认识到它对那些行动迟缓的巨头构成的威胁。然而,如果损失所有投资或所有客户资金的风险是不可忽略的话,这些组织也就很难认定对 Web3 的投入是利大于弊的。
同样,这个问题不应被视为放弃前进的理由,而应被视为整个行业的战斗口号。
Web3 已经为数百万投资者、艺术家、创作者和经济困难的社区提供了实实在在的好处。未来只会更加光明:这是一种在全球范围内组织生产活动的全新方式,而现在我们仅仅触及了它的冰山一角。
我们需要赞赏和支持那些认真对待安全性、保护用户资金并提供真正价值的项目,这样我们关于安全性的讨论才是完整的。有很多协议过去多年来获得了数十亿美元的价值,一直平安无事。
即使在这次市场低迷期间,去中心化交易所每天仍在进行价值约 10 亿美元的掉期交易。以早期 DeFi 项目之一 Aave 为例,它在十几个区块链上守护了 80 亿美元的价值,让用户能够高效获得贷款并充分利用他们的资本,而无需将他们的敏感信息提供给不安全的征信机构,或依赖抵押贷款审核员的潜在歧视性决定。
当前普遍存在的安全问题对行业来说是一个挑战,但这一挑战是能够克服的,也是必然会克服的。只要参与者对安全性给出真正和有意义的承诺,我们就能从这场战斗中大获全胜,并做好更充分的准备,向世界展示这项技术的非凡潜力。这是一个高风险且残酷的环境,但这也意味着只有强者才能生存。那些即使在持续的外部压力下也能为人们带来真正价值的项目就是那些赢到最后的强者。
这就是 Web3 的承诺:去中心化的、用户驱动的服务,在你最需要它们的时候并不会消失。为了兑现这一承诺,我们需要继续提高整个行业的安全标准,以保护当前用户并吸引这场技术革命的未来受益者。
原文链接:
https://venturebeat.com/security/whats-holding-web3-back-from-prime-time/
你也「在看」吗? 👇
文章引用微信公众号"AI前线",如有侵权,请联系管理员删除!