「塊點來聚聚」是什麼?
「塊點來聚聚」是《WEB3+》與合作夥伴阿里雲(Alibaba Cloud),共同推出每月一次的線下活動,透過與各產業工作者的交流,推動Web3技術與商業應用的普及。
我們每個月都會以一個產業為主題,邀請Web2、Web3的產業專家,一起分享Web3轉型的趨勢、案例,這不只是一場單向輸出分享會,更希望透過所有參與者的交流,踏出轉型的第一步。
阿里雲為全球前三大雲端品牌,長期投資亞洲市場,在馬尼拉、曼谷、孟買、吉隆坡、雅加達、新加坡等皆有建設數據中心,更在前年(2021)宣佈 10 億美元投資計畫,於亞太區培育數位科技人才、新創發展、協助企業實現數位轉型。
鏈上資安問題,為何全球都要關注?
資安事件層出不窮,今(2023)年8、9月,科技巨頭如Google、微軟和亞馬遜都遭受了前所未有的DDoS(分散式阻斷服務)攻擊,讓整個資訊科技界為之震驚。
鏈上世界也不平靜,今年7月,去中心化交易平台Curve Finance遭受駭客入侵,直接損失高達18億新台幣、知名區塊鏈遊戲平台Axie Infinity也被駭,損失超過200億新台幣的加密資產。
在虛擬資產的世界,轉移流程複雜度增加,更容易因內部人員操作失誤或不熟悉,造成巨大損失。結合這兩大現象,可以觀察到,區塊鏈將成為全球資安的重大挑戰。
為了更深入了解這個問題,我們特別邀請資安領域的專家,庫幣科技(CoolBitX)軟體工程經理Brian Yen、XREX資訊安全工程師Helen Lai、Crypto-Arsenal共同創辦人Alan,以及阿里雲商務拓展經理Hsu Chu,共同分享與討論。
庫幣科技:需不斷學習和適應
Web1時代的網路,是簡單的網頁瀏覽互動;Web2時代轉為雙向溝通,如串流平台YouTube開啟創作者和觀眾更深入的交流,但是龐大數據都集中在科技巨頭如Google雲端中。
隨著Web3時代到來,「隱私」和「去中心化」成為了核心概念,數據開始在分散式雲端中儲存,如Brave瀏覽器。
這種轉變,不僅重新定義了資料的儲存和管理,也為用戶帶來了前所未有的自由。例如,NFT的持有者現在可以在OpenSea、Blur或Rarible等多平台間,自由選擇進行交易。
從網路協定的HTTP進化到HTTPS,從企業的實體機房轉移到雲端的SaaS,再到個人從單一帳號密碼,到現今的PassKey和第三方登入,都在追求更高的安全標準。
但即使技術不斷進步,危機仍然潛伏。從現實生活中,檢舉達人的身分證被外洩,到加密世界,Galxe遭受DNS攻擊導致龐大損失,還有跨鏈協議Multichain出現的資產問題,都提醒著我們資安是一條永無止境的道路。
XREX:建立完善應對SOP是標配
XREX資訊安全工程師Helen解釋,Web2時代的攻擊重點在於企業,而Web3時代的公開和透明性讓個人也成為了駭客的目標。這也代表著不同的資安策略,Web2是重視資料保護,Web3則強調的是預防。
由於Web3的特性,資安攻擊事件一旦發生,損失的速度和規模都遠超過Web2,例如一個小小的跨鏈操作錯誤,可能導致損失高達數億美元。加上駭客不斷層出新的詐騙技術,從沿用Web2的社交媒體攻擊,到利用「影子攻擊」模仿用戶的交易行為,將詐騙提升到新的層次。
「社交媒體攻擊」主要是透過偽造的訊息或帳號,誘騙用戶點擊帶有惡意連結的訊息,得到用戶錢包授權。而「影子攻擊」則是,駭客會模仿用戶的交易行為,創造類似的交易請求。當用戶認為這是正常的交易而進行簽名時,實際上他們可能正簽署了一筆轉移到駭客錢包的交易。
不論是哪種攻擊方式,核心目標都是讓用戶進行錢包的簽名操作,進一步盜取資產。因此,用戶必須格外警覺,確保每一次簽名都是在充分了解情境下進行。
最後,Helen也提及社群合作的優勢。區塊鏈在缺乏全球性監管的背景下,社群的支援與協作變得更關鍵,她鼓勵大家踏入Web3時代時,除了保護自己的資產,更要與社群成員共同學習,互相協助,以補足資安的盲點。
Crypto-Arsenal :三大資安威脅不可不防
加密貨幣交易整合平台Crypto-Arsenal的共同創辦人Alan指出, 目前加密貨幣中三大資安威脅分別是,不信任的代碼執行、數據洩露,以及系統資源的濫用。
特別是沙盒逃逸(Sandbox Escape)和敏感數據外洩,是業界普遍關心的問題,這些威脅可能會對交易所造成重大的損失。
沙盒是一種提供程序隔離的安全策略,目的是限制潛在的惡意行為。但當沙盒逃逸發生時,它允許受限的程序繞過這些安全界限,進而存取其他非預期的系統資源,造成安全漏洞。
自動化交易在全球市場交易量中占據了超過80%的份額。但隨著中心化金融(CeFi)和去中心化金融(DeFi)市場的複雜性、波動性和24小不停歇運作,確保交易的安全性就顯得尤為重要。
阿里雲 :鏈上、鏈下的資安議題一樣重要
阿里雲商務拓展經理 Hsu Chu 表示,雖然Web3原生產業的多數應用都已上鏈,但核心服務仍然基於雲端。因此,鏈上與鏈下都需要紮實的資安措施和配置。
靠著防護集團事業體如天貓、淘寶、高德、螞蟻和Lazada等國際型高流量平台的經驗,阿里雲成功抵擋超過百萬次的網路攻擊,持續提升安全守備力,並沉澱過往防護實戰能力,力求為客戶提供穩健且安全的運營環境。
在區塊鏈領域已有多起私鑰安全的慘痛事件,像是Quadrigacx創辦人的不幸去世導致1.47億美元的資產無法提領,或是Wintermute和Juno所遭遇的私鑰被盜問題,都強烈顯示私鑰管理的迫切性。
為了解決這個問題,阿里雲提供了 Multi-Party Computation(MPC,簡稱私鑰分片)的方案。
這個技術不只打破了依賴單一私鑰的窘境,更透過加入驗證節點,大幅提升了資產的安全保護。加上國際企業級的策略引擎,阿里雲確保了交易的合規性與安全性,為Web3時代提供了一套全方位的資安策略。
專家對談精華一次看!
Q:哪些企業(產業)最需要優先注意鏈上資安議題?
Brian: 雖然區塊鏈的發展被認為非常快速,但相對於傳統技術,其實距離區塊鏈大規模落地的那天速度還有待提升。目前,像星巴克(Starbucks)這樣的企業,雖然正在探索區塊鏈的可能性,但區塊鏈技術只在加密貨幣領域得到比較多的應用。
整體來看,區塊鏈技術仍然是一片未被開發的藍海,有著巨大的突破和發展潛力。
Helen: 區塊鏈雖然被認為具有高度的透明性和安全性,但在實際應用中仍存在不少資安疑慮。其中,人員因素被認為是資安的最大風險之一。為了加強對此的防範,不僅進行了全面的資安宣導,並對員工進行釣魚攻擊的模擬訓練,以增強員工的資安意識。
除了進行鏈上的即時監控,建立資安聯盟,共同確保鏈上交易的安全性,內部監控也是資安措施的一部分。通過這種方式,我們成功地識別了一些具有特定交易模式的可疑帳戶,這些帳戶很可能是所謂的「人頭帳戶」,用於進行不正當的交易活動。
Q:企業最常面臨的資安挑戰有哪些?能否跟我們分享一個,您印象最深刻的例子?
Brian: 在去中心化的世界,每當出現新的區塊鏈被開發,都會迅速地孕育出大量的應用,同時,也為投資者帶來大量的利益,這其中也伴隨著高風險。
為了保障自己的數位資產,許多用戶選擇使用熱錢包,進行日常的小額交易和互動,但絕大部分的主要資產則被保存在更安全的冷錢包中。授權某個應用或合約意味著你信任它。但即使你信任某個應用,也不能保證它不會在未來被攻擊或遭受入侵。因此,定期檢查並管理自己的授權是非常重要的。
對於任何區塊鏈的使用者來說,始終保持警惕,確定自己知道已授權哪些應用,並適時地撤銷不再使用或不再信任的應用的授權,是保障自己資產安全的關鍵步驟。
Helen: 我的工作,讓我看見詐騙手段日新月異,但是最核心的問題還是回到「人」身上,很多用戶忽視或誤解風險,讓自己處於危險之中。
以FTX的崩盤為例,不只個人投資者受害,許多企業的大筆資金也受到牽連。對於這種情況,控管資產成為首要之務。通過使用冷錢包和熱錢包,我們可以更有系統的分配和管理自己的資產,在一定程度上分散風險。
然而,這只是冰山一角。隨著區塊鏈和去中心化技術的發展,更多的資安和風險管理問題浮現。對於用戶和企業來說,如何在追求技術進步的同時,確保資產的安全和風險的最小化,成為了未來發展的一大挑戰和議題。
Alan: 最印象深刻的是鏈遊《Axie Infinity》被駭,而且是過了六天被用戶通知才發現。這次駭客攻擊使用的方法非常巧妙,透過模仿招聘流程,向工程師發送偽造的工作邀請,安排所謂的「面試」,在這一連串的互動中,成功騙取了工程師的信任並發動攻擊。
此次事件反映出,儘管Axie Infinity採用了去中心化的技術,但在管理和權限設置上的過度中心化和放任,卻成為了它的致命弱點。真正的去中心化不僅僅是技術層面的問題,更涉及到組織結構和運營策略的全面調整。
Hsu Chu: 隨著Web3的技術不斷推進,鏈上的應用發展迅速,但實際上鏈下的問題也非常值得關注。以亞洲航空公司為例,他們的訂票系統之前曾受到外部的入侵攻擊,不法份子甚至使用爬蟲技術對票價進行抓取,這不僅影響了正常用戶的訪問,更導致了航空公司的內部成本增加。亞洲航空透過與阿里雲合作,成功封鎖 90% 爬蟲,挽回業務收益。
為了解決這個問題,許多公司採用了Web應用程序防火牆(WAF)來設定特定的安全規則,這樣可以有效地防止某些攻擊,確保網站的正常運營。更重要的是,企業還需要與專業的資安團隊合作,對他們的網站進行全面的安全檢測,找出可能的漏洞並及時修復,以確保資料和用戶的安全。
Q:企業該如何防範鏈上資安威脅、建立正確的心態?
Helen: 我覺得建立心態這件事情最重要的。首先,公司內部的操作流程和權限設置是資安的第一道防線。如果內部系統的權限劃分不當,那麼即使外部防護再強,內部的弱點也可能成為攻擊者的突破口。因此,對內部系統的權限進行嚴格的劃分和管理是極其關鍵的。
再來是,在進行系統開發時,團隊需要對那些容易出錯,或是高風險的code(代碼)進行多重審查。除了基本的code審查外,加入更多的監控和測試流程,以確保每一行code都是安全的,可以大幅降低系統被攻擊的風險。
Alan: 對於許多新創企業來說,資安可能不是初期最先考慮的事項。一般而言,他們的焦點多半放在市場推廣、產品開發或是用戶增長上。但這種觀念往往導致後期高昂的修復成本和潛在的品牌傷害。
當我在Facebook和Apple工作時,我見識到大型企業是如何將資安策略融入到他們的每一層業務中。他們的策略是這樣的,即使你想要犯錯,系統的多層保護也會阻止你。這種深度的資安規劃和執行確實需要大量的資源,這對許多新創企業來說可能是不切實際的。
但這並不代表新創企業就可以忽視資安。事實上,新創企業在開發階段就應該高度重視資安。一開始就注重資安的新創,不僅能夠培養出健康的資安文化,而且早期發現的資安問題修復成本相對較低。相對地,若是在產品已廣泛使用時才發現問題,則修復的成本和風險都會大大增加。
最後,對於開發智能合約的新創企業,應該要抱持著像是開發飛機或火箭的心態,任何小錯誤都可能造成無法挽回的後果。因此,預防永遠比治療來得重要。
Q:有哪些鏈上資安趨勢,接下來值得關注?
Brian: 我們的產品是面對廣大的消費者市場,所以我們在做的努力是,一直在幫助消費者如何知道這筆交易的內容到底是什麼?到底簽了什麼?
因此,當消費者訪問某些網站時,我們從Web2的角度進行分析,一旦檢測到該網站存在任何問題或威脅,我們將及時警告消費者,提醒他們需加倍小心。
透明度和用戶警覺性,是我們所追求的核心價值。在任何操作或交易過程中,我們希望消費者都能夠受到適當的提醒與警示,確保他們的資訊安全和交易權益。這是我們持續努力和致力於創新的方向,旨在為消費者提供一個更加安全、透明的網路環境。
Helen: 自從AI出現後,技術使用的門檻逐步降低,讓更多的人能夠接觸並利用這項技術。但隨之而來的是智慧財產權的議題。隨著更多的企業和個人投入AI領域,如何確保技術創新和原創性,並防止侵權行為,已經成為一大挑戰。
再來是,目前在亞洲地區,僅有不到5%的人口投身於區塊鏈。
不過,最近的趨勢顯示,Web3的技術正逐漸以Web2的方式呈現,例如,僅透過指紋辨識就能完成交易簽名。這種熟悉的使用方式降低了使用者的學習成本,但同時也為不法分子提供了利用熟悉介面進行詐騙的機會。因此,雖然技術不斷進步,但詐騙手法的本質仍然大同小異。
Alan: 我覺得目前網路的發展趨勢正處於Web2.5,主要專注於Web2和Web3之間的銜接。雖然未來的技術將會更加先進,但基礎仍然會建立在Web2上。另外,隨著技術的進步,AI將展現出更多的潛能。從簡單的數據分析到複雜的決策,AI的能力將不斷擴大,成為各行各業的重要助力。
在探索這些新技術的同時,我們必須認識到並沒有一種正確的解決方案。每一項技術或策略都有其利弊,關鍵在於如何根據特定的情境和需求做出明智的選擇。
Hsu Chu: 鏈上資安的工作必須更為周到和細緻。因為一旦發生資安事件,後期的補救不僅困難,而且常常已經來不及,傷害和損失已經產生。不同於傳統的IT系統,區塊鏈的特性使其資料一旦寫入,就難以修改或撤銷,這增加了資安的挑戰性。
市場上有一些工具和解決方案可以協助企業提升鏈上資安。透過這些工具,我們可以進行各種安全檢測,例如智能合約的安全審核、交易監控等,以預防潛在的安全風險。畢竟,集結多方的智慧和力量,總是比單打獨鬥更有優勢。
阿里雲推出 Spark Program 針對 Web 3.0 項目支持計畫,提供雲端驗證資源、專家諮詢、安全驗證服務,如果有需求,歡迎申請!
核稿編輯:高敬原
