原文来源:.bit
开源 Web3 身份协议.bit 近期发现并分析了使用 DID 进行资产交易时涉及的严重安全风险。在认识到这些严重的威胁并对其进行研究分析后,在此公布其风险提示,以向区块链行业发出警告,并建议用户避免使用 DID 发送或交换资产。
Web3 爱好者均知悉,DID 用于代表资产所有者在区块链上的唯一地址,可实现资产转移,而不需要输入复杂的长地址。DID 可用于向钱包或交易平台发送 Token 或资产,然后钱包或交易平台会使用该标识符来验证 Token 或资产的数据并发回响应。.bit 发现,风险就出现在钱包或交易平台使用的应用程序编程接口 (API) 中。
API 可在不同平台上实现简单的数据传输,并提供钱包所需的来自 DID 的必要信息。在使用 DID 的完全安全的交易平台中,资产持有人会输入他们的 DID 名称,钱包会向 API 询问该名称的区块链地址,API 随后会返回相应的地址,钱包设置交易供用户批准,最后,钱包将交易发送到公共网络以完成资产转移。在现实中,正如.bit 的分析所示,可能会出现与使用 DID 相关的五处潜在风险。
1. 黑客进入服务器攻击 API 服务,篡改返回到查询的数据。
2. API 服务内部人员篡改查询返回的数据。
3. API 服务出现内部错误,导致返回到查询的数据出错。
4. API 服务的服务器中用于同步数据的区块链节点落后于区块链网络,导致相关数据不是最新的,进而导致向查询发送错误的数据。
5. DID 过期,并且在前用户不知情的情况下被其他用户注册。
目前还没有因为风险 1 或 2 而导致资产丢失的公开报道。但.bit 认为,只要用户养成了使用 .bit 或其他 DID 发送资产的习惯,这些问题必然会发生。风险 3、4、5 这些非主观因素带来的风险,也是完全无法彻底避免的。与风险 1 和 2 类似,一旦用户养成了使用 .bit 或其他 DID 发送资产的习惯,非主观因素造成资产损失也只是时间问题。因此,DID 用户务必要知晓这一警告及所涉及的风险。目前,钱包或交易平台中的 DID 使用还处于萌芽阶段。为了避免因技术故障或非法行为而导致资产损失的风险,.bit 建议用户目前不要在钱包或交易平台中使用 DID 进行交易。
尽管存在这些风险,但 DID 和.bit 还是有很多让人期待的地方。风险并不是源自于 DID 这样的系统本身,而是源自于对系統的错误使用。.bit 将于 4 月 12 日至 15 日参加 Hong Kong Web3 Festival 2023,届时会分享更多关于如何使用 DID 的信息,包括应采取的安全步骤,以及未来计划在其协议中实施的安全措施。
详情请关注官方推特:https://twitter.com/dotbithq
本文来自投稿,不代表 BlockBeats 观点
