披露
本文所表达的观点和看法仅代表作者本人,并不代表crypto.news的编辑观点。
加密货币诈骗的现状
如果你在Web3领域待了超过五分钟,你可能已经遭遇过诈骗,或者差点被诈骗,甚至只需一次错误的点击就能加入这个俱乐部。别提那些引人注目的大规模诈骗了,想想那些常见的情况,比如假冒的MetaMask弹窗、看似合法但实际上并不安全的去中心化交易所链接,或者谷歌轻易推到搜索结果顶部的随机桥接页面。
在2024年,加密货币诈骗产生的非法收入至少达到了99亿美元。Chainalysis警告称,随着更多数据的出现,最终总额可能达到创纪录的124亿美元。该行业的诈骗手段日益精细,诈骗者使用更具说服力的钓鱼网站、假冒的去中心化金融平台和社会工程学策略。其复杂性使得检测变得更加困难,损失也更大,用户信任度不断下降。即使是经验丰富的交易者也难以幸免。
对安全问题的忽视
然而,更广泛的加密社区常常将此视为商业成本,这实在是荒谬。想象一下,如果每次你登录网上银行时,都有十分之一的机会是一个假网站,人们会如何反应?人们会暴动。然而在Web3中,人们却只是耸耸肩,发推特说“保持安全,匿名者”,然后寄希望于最好的结果。
现有的技术已经可以在用户与钓鱼网站、假智能合约和恶意桥接交互之前进行检测。问题在于,这些技术被视为可选的附加功能,而不是核心组成部分。每周都有数千美元在看似合法的交易所界面上被用户损失。拯救他们的往往是一个基于浏览器的安全工具,它在用户点击“确认”前几秒钟就标记了该页面。
用户信任的崩溃
将钓鱼问题视为个人安全问题,严重低估了其在更广泛市场中的影响。零售用户的采用并不是因为技术不够可扩展,而是因为人们不相信他们的钱是安全的。虽然有人会争辩说,安全层只是中心化的失败点,但实际上已经对基础设施提供者、索引器、远程过程调用节点、钱包和其他数十个瓶颈产生了显著依赖。
假装增加强大的钓鱼保护会妨碍行业精神,这种借口显得苍白无力,考虑到风险之高。
后量子安全性的问题
还有一个大多数人没有足够思考的问题:后量子安全性。美国政府已经设定了截止日期,要求所有系统在2030年前转向后量子密码学,旧算法将在2035年前完全淘汰,这意味着许多区块链基础设施正处于借用时间之中。再加上未受控制的钓鱼攻击,你就会发现信任崩溃的完美风暴。如果Web3在后量子世界中仍然因假链接而损失数十亿美元,它将无法获得应有的重视。
用户的责任与行业的反应
最大的借口是用户应该更加小心。行人过马路时应该左右看,但我们仍然有交通信号灯,这是有原因的。期望每个新钱包持有者都能立即识别钓鱼链接是不现实的,尤其是当诈骗者越来越擅长模仿合法平台时。我们花了多年时间专注于扩展性、可组合性和跨链流动性。与此同时,用户的首要投诉仍然是:“我丢失了我的币。”
加密诈骗的广泛影响
加密原生诈骗的影响已经远远超出了其最初的边界。它们不再局限于交易所或华丽的DeFi协议,而是稳步渗透到相关行业,侵蚀整个生态系统的信心。桥接和验证者仍然是明显的目标,但远非唯一的目标。电信提供商、能源运营商、物联网制造商、供应链,甚至与区块链组件互动的国防系统现在都是潜在的切入点。每一个新的集成都为攻击者提供了一个新的攻击面,增加了风险乘数,进一步削弱了公众信任。
项目负责人的挑战
如果你是一个项目负责人,你正面临两个不舒服的现实。首先,抗量子安全性并不是一个遥远的学术里程碑;它正在迅速成为不到十年的强制性监管要求。其次,从现在到截止日期之间的每一次高调钓鱼攻击或凭证收集活动,都会削弱你的用户基础、信誉和总锁定价值,这种损害是悄然累积的,远比预防更难以重建。
呼吁行业的责任
现在是时候将与收益农业、非同质化代币铸造和跨链流动性一样多的创新、资金和不断迭代投入到安全架构中。Web3不能在继续将钓鱼视为“用户错误”问题的同时,合理地称自己为金融和数据基础设施的未来。生态系统必须在某个时刻承担起责任。
总结
回顾过去,我们几乎可以肯定会问自己,为什么行业会容忍如此明显的漏洞如此之久,为什么没有更早地大规模解决钓鱼问题。令人鼓舞的是,这个问题是可以通过正确的优先级和设计选择来解决的。唯一剩下的真正问题是,行业是否会现在采取主动,还是等到下一个十亿美元的黑客事件迫使其采取行动。
——大卫·卡瓦略
