在Curve Finance網站本月早些時候遭遇重大DNS劫持後,人們對駭客針對加密公司的複雜和新型攻擊方式的擔憂正在上升。從社交媒體入侵到前端漏洞和智慧合約漏洞,web3生態系統面臨持續威脅。
隨著去中心化金融和加密貨幣變得越來越流行,它們正吸引更多惡意目光。攻擊現在已經變得幾乎不可避免。那麼,如何實現抵抗?Curve Finance創始人Michael Egorov在接受BeInCrypto的獨家採訪時,對這些話題進行了闡述。
Curve Finance回應駭客攻擊
今年發生了加密史上最大的盜竊,這並非孤立事件。對去中心化金融生態系統的複雜攻擊正在增長,包括Coinbase內部釣魚、zkSync的協議級漏洞,以及Curve Finance的重大DNS駭客攻擊。
Egorov討論了Web3行業的結構性脆弱性以及如何應對。
"傳統的網路安全問題並不是什麼新鮮事。問題在於,在Web2世界中,此類問題造成的損害通常是可控的,所以這不是什麼大問題。然而在加密領域,風險完全不同,因為幾乎所有交易都會立即最終確認。因此,該行業的安全標準要高得多,而當今的網際網路基礎設施根本無法滿足這些需求,"他聲稱。
作為一個主要的去中心化交易所,Curve Finance在討論去中心化金融的脆弱性方面有著深厚背景。在其漫長的歷史中,Curve已多次面臨並管理關鍵安全事件,迫使公司不斷調整其安全方法。
然而,在本月早些時候,該交易所的網站成為最新目標。最終,這個去中心化交易所不得不更改其官方域名。在Egorov看來,問題最終源於我們所知的網際網路本身。
"據我所見,在技術層面上我們沒有什麼可以做得更好的。這次的問題是外部的。在我看來,網路應用程式構建方式存在根本性問題。我們需要從頭開始構建安全的桌面應用程式,以安全為首要任務,"Egorov陳述。
具體而言,他指出了一些結構性漏洞,這些漏洞使Curve攻擊和其他近期駭客攻擊成為可能。Web3應用仍然需要與某種靜態網站互動,使用DNS註冊商將站點域名連線到前端託管。
如果攻擊者欺騙、劫持或賄賂這些伺服器,就會開啟一個高效的攻擊路徑,這是最近用於Curve的策略。
這只是當今傳統"Web2"網際網路基礎設施的幾個結構性問題之一。例如,網頁依賴數千個JavaScript微型包,這些包很難逐個審計。
被入侵的包可以以多種方式巧妙有效地繞過去中心化金融協議的安全性。總的來說,Web3容易受到許多Web2攻擊。
Web3問題需要更新的解決方案
Egorov聲稱,加密行業需要進行重大結構性變革,以永久解決這些問題。例如,他提到以太坊域名服務(ENS)作為避免DNS攻擊的區塊鏈原生方式。
如果被採用,ENS將會有效,但它缺乏足夠的瀏覽器級支援以成為主流。
即使Curve獲得機構支援以透過更多基於Web3的安全措施來防止駭客攻擊,這個新生態系統對我們來說可能會相當陌生。
例如,Egorov提到,網路流量的整個貨幣化結構將不得不改變。相反,主要參與者將不得不承擔維護成本,這將透過提高安全性得到激勵。
"構建這樣的應用程式將是大量工作——它需要重新實現去中心化金融介面,完全避開網路技術,並且可能沒有任何貨幣化能力。但我相信對此有強烈需求,尤其是對於處理大量使用者資金的機構,"他指出。
這些解決方案無疑是激進的,但Egorov強調這些問題是社會性的,而非技術性的。他只是建議了可以使用現有區塊鏈研究構建的安全措施,但這些措施將是充分的。
換句話說,如果重大攻擊的速度持續增加,可能會為這些改革創造更多熱情。Curve Finance已準備好構建沒有這些脆弱性的Web3未來。
但是,面對當前的安全威脅,Egorov對去中心化金融的建議是構建更多專用桌面應用程式。
"正如我之前提到的,當前構建前端應用的模式太不安全,攻擊面非常大。為了實現更好的安全級別,去中心化金融互動理想情況下應該轉向專用桌面應用程式,"Curve創始人總結道。
