在Curve Finance网站本月早些时候遭遇重大DNS劫持后,人们对黑客针对加密公司的复杂和新型攻击方式的担忧正在上升。从社交媒体入侵到前端漏洞和智能合约漏洞,web3生态系统面临持续威胁。
随着去中心化金融和加密货币变得越来越流行,它们正吸引更多恶意目光。攻击现在已经变得几乎不可避免。那么,如何实现抵抗?Curve Finance创始人Michael Egorov在接受BeInCrypto的独家采访时,对这些话题进行了阐述。
Curve Finance回应黑客攻击
今年发生了加密史上最大的盗窃,这并非孤立事件。对去中心化金融生态系统的复杂攻击正在增长,包括Coinbase内部钓鱼、zkSync的协议级漏洞,以及Curve Finance的重大DNS黑客攻击。
Egorov讨论了Web3行业的结构性脆弱性以及如何应对。
"传统的网络安全问题并不是什么新鲜事。问题在于,在Web2世界中,此类问题造成的损害通常是可控的,所以这不是什么大问题。然而在加密领域,风险完全不同,因为几乎所有交易都会立即最终确认。因此,该行业的安全标准要高得多,而当今的互联网基础设施根本无法满足这些需求,"他声称。
作为一个主要的去中心化交易所,Curve Finance在讨论去中心化金融的脆弱性方面有着深厚背景。在其漫长的历史中,Curve已多次面临并管理关键安全事件,迫使公司不断调整其安全方法。
然而,在本月早些时候,该交易所的网站成为最新目标。最终,这个去中心化交易所不得不更改其官方域名。在Egorov看来,问题最终源于我们所知的互联网本身。
"据我所见,在技术层面上我们没有什么可以做得更好的。这次的问题是外部的。在我看来,网络应用程序构建方式存在根本性问题。我们需要从头开始构建安全的桌面应用程序,以安全为首要任务,"Egorov陈述。
具体而言,他指出了一些结构性漏洞,这些漏洞使Curve攻击和其他近期黑客攻击成为可能。Web3应用仍然需要与某种静态网站交互,使用DNS注册商将站点域名连接到前端托管。
如果攻击者欺骗、劫持或贿赂这些服务器,就会开启一个高效的攻击路径,这是最近用于Curve的策略。
这只是当今传统"Web2"互联网基础设施的几个结构性问题之一。例如,网页依赖数千个JavaScript微型包,这些包很难逐个审计。
被入侵的包可以以多种方式巧妙有效地绕过去中心化金融协议的安全性。总的来说,Web3容易受到许多Web2攻击。
Web3问题需要更新的解决方案
Egorov声称,加密行业需要进行重大结构性变革,以永久解决这些问题。例如,他提到以太坊域名服务(ENS)作为避免DNS攻击的区块链原生方式。
如果被采用,ENS将会有效,但它缺乏足够的浏览器级支持以成为主流。
即使Curve获得机构支持以通过更多基于Web3的安全措施来防止黑客攻击,这个新生态系统对我们来说可能会相当陌生。
例如,Egorov提到,网络流量的整个货币化结构将不得不改变。相反,主要参与者将不得不承担维护成本,这将通过提高安全性得到激励。
"构建这样的应用程序将是大量工作——它需要重新实现去中心化金融接口,完全避开网络技术,并且可能没有任何货币化能力。但我相信对此有强烈需求,尤其是对于处理大量用户资金的机构,"他指出。
这些解决方案无疑是激进的,但Egorov强调这些问题是社会性的,而非技术性的。他只是建议了可以使用现有区块链研究构建的安全措施,但这些措施将是充分的。
换句话说,如果重大攻击的速度持续增加,可能会为这些改革创造更多热情。Curve Finance已准备好构建没有这些脆弱性的Web3未来。
但是,面对当前的安全威胁,Egorov对去中心化金融的建议是构建更多专用桌面应用程序。
"正如我之前提到的,当前构建前端应用的模式太不安全,攻击面非常大。为了实现更好的安全级别,去中心化金融交互理想情况下应该转向专用桌面应用程序,"Curve创始人总结道。
