Web3.0安全问题与解决

Web3.0是一个去中心化的互联网，触及运用布置在区块链上并由虚拟机履行的去中心化协议。这些涣散的应用程序称为智能合约。

经过DeFi和NFT市场，Web3.0的运用与加密钱银形式的钱银密切相关。Web3.0的金融应用是目前的要点。究竟，你需求为每笔交易花费一些加密钱银，以支付矿工和验证者处理你的交易的服务。

可是，当您拥有一个旨在处理现金流的体系时，您需求安全地构建它。但Web3.0目前处于非常早期的开发阶段，看起来更像是实验性测试，而不是一项完善的技术。正如当今大多数新数字技术所共有的那样，安全性是Web3.0初期的首要问题之一。虽然如此，它现已取得了被诱人的报答所招引的很多风险投资。

每一项锁定大笔资金和很多未修补缝隙的新技术企业自然会成为黑客的钓饵，黑客乐意使用它们谋取经济利益。最重要的是，Web3.0的去中心化特性以及无需供给您的个人详细信息使其对网络犯罪分子更具招引力。

而投资规模是衡量一个行业潜力的最佳指标。因此，可以肯定地说Web3.0具有良好的潜力——其中一些或许尚未开发。为了促进其开展，必须进步安全规范。

DeFi安全的首要要挟是什么？
当前与Web3.0网络进犯相关的现有要挟可分为两类——代码缝隙和智能合约事务逻辑缝隙。第一组包含使用虚拟机、内存池过载和重入进犯。它们是围绕使用命令的功能和履行次序而构建的。

从本质上讲，这些缝隙使用不会像对会集式IT基础设施和个人核算机的进犯那样损坏传统意义上的涣散式软件。他们只是使用程序员无意中供给的机会。

它可以以不同的办法发生。一般，开发人员运用其他开源项目的代码库，但一起对其进行一些看似微不足道的修正，但不会影响智能合约的运转办法。然而，它们终究或许会被证明是过错的，由于这些修正会以无法意料的办法影响智能合约运转的机制。

重入进犯在区块链的历史上现已名存实亡。他们以所谓的回调函数和合约中运用其余额的函数为方针。该功能用于假贷协议的智能合约中，由于需求监控用户在渠道上的抵押品并核算他们可以借入的资金量。

当用户借入资金时，他们会查询“回调函数”，该函数会查看用户在合约中的余额，并发放相应数量的流动性作为贷款。该进程包含三个操作——查看用户余额、核算发放贷款后的用户余额以及发放贷款。

依据回调函数中这些操作的次序履行，或许有一种办法可以诈骗体系并获取比您的抵押品允许的更多的流动性。

首要进行余额查看，然后是发放贷款或核算已更改的余额。假如先发放贷款，并且在代码序列的末尾有一个回调，它允许用户从头开始这个进程，而这个交易不会被挖掘并添加到区块链中。

例如，您有200美元的抵押品，并以100美元的抵押品取得100美元的贷款。假如先发放贷款，并且在您的操作对区块链的影响终究确定之前查询回调，则您可以再次贷款以取得不变数量的抵押品。这个进程可以进行屡次迭代，并允许用户耗尽合约的流动性。

保护合约免受这种网络要挟的办法称为查看-效果-交互模式。这种模式将用户余额的核算放在了资金发放之前的合约中。然而，这种简单的模式适用于对回调函数本身的重入进犯，但跨函数重入进犯更难防护。

可是，跟着新结构旨在消除重入进犯，重入进犯正变得越来越不常见。如今，DeFi黑客更多地将精力会集在使用智能合约事务逻辑的不一致性上，一般运用多种协议从一个协议中窃取资金。此类进犯一般触及闪贷服务，允许您在不提交抵押品的情况下取得贷款。

2021年12月对CreamFinance进行了最大的闪电贷进犯之一。它导致价值1.3亿美元的加密钱银和代币被盗。此次进犯触及两个地址，分别运用MakerDAO、AAVE、Yearn.finance、Curve等闪贷渠道向CreamFinance提款。

终究，进犯者使用了Cream的PriceOracleProxy对cryUSD——Cream锚定美元的安稳币价格的评估缝隙。PriceOracleProxy依据yUSDYearnVault中持有的yUSDVault安稳币（Yearn.finance安稳币）的价格对cryUSD进行估值。

在对从MakerDAO借出的流动性进行屡次操作后，进犯者将800万yUSD添加到800万yUSDVault。CreamFinancePriceOracleProxy认为这是yUSDVault现在的成本是2美元而不是1美元，并且是cryUSD价格的两倍。

因此，进犯者从价值15亿美元的yUSDVault铸造的15亿美元cryUSD中取得了30亿美元。这使得进犯者可以归还贷款、利息并运用剩余的10亿美元从价值1.3亿美元的流动资金中抽取CreamFinance。

Web3.0的未来是什么？
为了使Web3.0更安全，应该进步安全规范。这需求有才能从头开始构建Web3.0的劳动力，以及为Web3.0公司工作的合格安全专家。虽然DeFi和Web3.0的其他实体存在高风险，但期望干流公众承受Web3.0是不合理的。为了让它更快发生，咱们还可以采用CeFi的最佳安全实践，并将它们实施到去中心化体系中。

此时快讯

【WisdomTree计划推出新的区块链原生应用程序】金色财经报道，WisdomTree 首席执行官Jonathan Steinberg在周五的财报电话会议上表示，计划推出新的区块链原生应用程序，扩大现有资产管理产品的覆盖范围和功能是下半年工作的主要焦点。Steinberg称，该公司将通过WisdomTree Prime生态系统的其他产品来利用多年的领先优势，同时也会探索潜在的第三方分销机会，点对点转账和支付等其他功能正在开发中。
Steinberg谈道：“对于希望利用区块链技术的金融服务公司、希望加深与客户或机构参与者的关系、寻求具有更受监管的产品集的链上用例的科技公司来说，我们有很多机会通过多种方式来发展WisdomTree Prime平台”。