近年来,Web3作为互联网的下一代愿景,以其去中心化、用户所有权和透明性的承诺,吸引了全球无数开发者和投资者的目光,从区块链、智能合约到非同质化代币(NFT)和去中心化金融(DeFi),Web3描绘了一个更加开放、公平的数字未来,在这片看似充满机遇的蓝海中,“被hack”的阴影始终如影随形,一次次敲响着安全警钟,暴露出这个新兴领域脆弱的一面。

Web3被hack,并非偶然,而是由其技术特性、生态发展阶段以及人为因素共同交织而成的复杂问题。

“去中心化”的迷思与智能合约的“原罪”

Web3的核心是区块链技术,理论上,去中心化的网络使得单一实体难以控制和篡改数据,但这并不意味着绝对安全,许多黑客攻击的矛头直指智能合约——这些自动执行的程序代码是DeFi、NFT等应用的核心,一旦智能合约中存在漏洞(如重入攻击、整数溢出/下溢、访问控制不当等),黑客就能利用这些漏洞,无障碍地转移协议中的资金或恶意铸造/销毁代币。

从历史上看,智能合约漏洞造成的损失触目惊心,2016年,The DAO事件导致以太坊经典分叉,损失高达6000万美元;2022年,仅仅是上半年,DeFi领域因黑客攻击造成的损失就数以十亿美元计,这些事件不仅让项目方和投资者血本无归,更严重打击了市场对Web3技术的信心,智能合约代码一旦部署,若发现漏洞,修改起来极为困难和高成本(可能需要硬分叉),这使其成为黑客眼中的“软肋”。

中心化服务的“伪去中心化”风险随机配图