 |
新加坡 2023年4月4日 /美通社/ -- 提供開源的去中心化標識符(DID)的開源Web3身份端口協議(portocal) .bit,近期發現並分析了使用DID進行資產交易所涉及的嚴重安全風險。在認識到這些嚴重的威脅並對其進行研究分析後,在此公佈其風險提示,以向區塊鏈行業發出警告,並建議用戶避免使用DID發送或交換資產。
Web3愛好者均知悉,DID用於代表資產所有者在區塊鏈上的唯一地址,可實現資產轉移,而不需要輸入複雜的長地址。DID可用於向錢包或交易所發送代幣或資產,然後錢包或交易所會使用該標識符來驗證代幣或資產的數據並發迴響應。.bit發現,風險就出現在錢包或交易所使用的應用程序編程接口(API)中。
API可在不同平台上實現簡單的數據傳輸,並提供錢包所需的來自DID的必要信息。在使用DID的完全安全的交易所中,資產持有人會輸入他們的DID名稱,錢包會向API詢問該名稱的區塊鏈地址,API隨後會返回相應的地址,錢包設置交易供用戶批准,最後,錢包將交易發送到公共網絡以完成資產轉移。在現實中,正如.bit的分析所示,可能會出現與使用DID相關的五處潛在風險。
1. 黑客進入服務器攻擊 API 服務,篡改返回到查詢的數據。
2. API服務內部人員篡改查詢返回的數據。
3. API服務出現內部錯誤,導致返回到查詢的數據出錯。
4. API 服務的服務器中用於同步數據的區塊鏈節點落後於區塊鏈網絡,導致相關數據不是最新的,進而導致向查詢發送錯誤的數據。
5. DID過期,並且在前用戶不知情的情況下被其他用戶註冊。
目前還沒有因為風險1或2而導致資產丟失的公開報道。但.bit認為,只要用戶養成了使用 .bit或其他DID發送資產的習慣,這些問題必然會發生。風險3、4、5這些非主觀因素帶來的風險,也是完全無法徹底避免的。與風險1和2類似,一旦用戶養成了使用 .bit或其他DID發送資產的習慣,非主觀因素造成資產損失也只是時間問題。因此,DID用戶務必要知曉這一警告及所涉及的風險。目前,錢包或交易所中的DID使用還處於萌芽階段。為了避免因技術故障或非法行為而導致資產損失的風險,.bit建議用戶目前不要在錢包或交易所中使用DID進行交易。
儘管存在這些風險,但DID和.bit還是有很多讓人期待的地方。風險並不是源自於DID這樣的系統本身,而是源自於對系統的錯誤使用。.bit將於4月12日至15日參加Hong Kong Web3 Festival 2023,屆時會分享更多關於如何使用DID的信息,包括應採取的安全步驟,以及未來計劃在其協議中實施的安全措施。
欲瞭解更多關於DID和.bit的信息,歡迎加入.bit Discord頻道。
.bit官網訪問:https://www.did.id/