【社課回顧 】 Blockchain Security 101
第一次社課寶博士講解了區塊鏈的基礎知識與對元宇宙的看法,想必大家都了解到區塊鏈應用已是勢不可擋的未來趨勢。然而隨著去中心化金融的蓬勃發展,潛在的資安危機也悄然而至。
第二次社課我們邀請到了Amber Group 首席資安專家吳家志博士,同時也是鏈上資安公司 Peckshield 共同創辦人,從區塊鏈技術基礎出發深入淺出探索區塊鏈的資訊安全議題,同時前瞻未來區塊鏈發展可能會面臨的挑戰。
區塊鏈資安事件
從 Peckshield 區塊鏈安全報告可以發現, Defi 相關應用在去年一整年每月與資安相關的損失,就已達數千萬美金,其中超過 1.5 億美金損失的案件高達 7 件。近期駭客攻擊愈加頻繁,亦不乏如北韓、奈及利亞等駭客國家隊的加入。有鑒於區塊鏈資安問題的潛在利益非常龐大,吳博士覺得區塊鏈對一般安全工作者來說是一片很好的藍海。
Web 1.0 to Web 3.0
目前我們即將邁向 web 3.0 ,我們從以文字為主體如 Email、HTML 的 Web 1.0,而後轉為以雙向互動且中心化為特色的 Web 2.0 ,再發展到如今以結合區塊鏈技術為特色的 Web 3.0。網路進展帶給網路使用者方便的同時,卻也產生了全然不同的資安問題。
比較 Web 2.0 與 Web 3.0,前者往往只需要個人顧好帳密與強化中心化服務器的資安便能防止被駭。此外也因中心化的優勢,密碼丟失也有辦法恢復,而倘若真的發生資安問題也多是個資洩漏而不會直接造成資產損失。後者則會直接造成資產損失,且更依賴個人的資安意識,若忘記私鑰與助記詞將永久丟失帳號。
區塊鏈資安基礎知識
現行使用的錢包有許多種類,各自也有不盡相同的資安問題,其中如小狐狸錢包的 Browser plugin wallet 有供給面上的問題,容易被釣魚網站等騙取 approval。而 App wallet 則因與電信掛勾而能被查到使用者 IP,有危區塊鏈匿名性原則。冷錢包則是使用硬體錢包,由於僅在交易時接上電腦進行簽署,因此能在最大程度上減少錢包於供給面上的安全風險,但也相較前兩者沒那麼方便。 Multisig wallet 是新興的錢包,主打需以多個私鑰簽署來進行交易,大大降低私鑰丟失或錢包被駭的風險,但仍存在便捷性降低與人為惡意操作的可能性。
簽署(signature)潛在的資安問題
而除了錢包的差異外,使用者本身謹慎簽署來避免自己帳號被駭,其因為包括 oversea 的許多平台交易僅檢查使用者的簽署,而即使區塊鏈具有公開透明性,許多藉由簽署完成的交易也不一定會上鏈,因此使得使用者在被害後也很難察覺。由上述可知,倘若使用者不慎被不法網站以 approval 騙取了簽署,往往造成不小的損失,因此使用者在簽署前應格外三思,如從 faucet 領取代幣時避免選用要求簽署的網站等。著名的騙取簽署盜取資產的例子如周杰倫的無聊猿 NFT 被盜事件。
閃電貸
主要特點是藉由將借貸、操作、償還三步驟放置於同一個 transaction,因此當借貸方無力償還時前兩步驟也將同時不成立。如此機制是傳統金融無法達成的功能,使得貸款人無須擔心借貸人無法償還債務,而借貸方也可以在短時間在無須抵押的情況下完成借貸進行短線套利。雖然閃電貸非常便捷,但卻也使得駭客能在無本的情況下借出大量虛擬貨幣來針對潛在的流動性問題進行攻擊。
以前年年初的發生在 bZx Torque 的事件為例,駭客針對穩定幣 sUSD 流動性不足的問題利用閃電貸借出大量以太幣購買 sUSD,再用溢價的 sUSD 到 Torque 借貸平台借出遠超其價值的以太幣並償還給閃電貸,造成 bZx 近百萬美金的損失。
結語
如今 Defi 應用正在蓬勃發展,然而發生重大資安事件總使得區塊鏈蒙上一層陰影,也進一步打擊了市場的信心。我們作為使用者或是區塊鏈應用開發者,培養對資安相關問題的警覺心或許才能讓 Defi 應用能走得更長遠、穩健。再次感謝吳家志博士給我們帶來了一場非常精彩的演講!
