在經濟學上,有所謂帕雷托法則(Pareto Principle),亦即八二法則,意味著少數的原因,往往會導致大多數的後果。
在Web3及區塊鏈安全公司CertiK 於年初發表的Hack3d安全報告中,八二法則同樣適用:於2023年期間,僅是47宗的密鑰泄露(private key compromise)事件(佔總事故數目6.3%),就造成區塊鏈產業總損失近一半,達8.8億美元,同年十大損失最嚴重的事故,六宗與私鑰洩漏有關,反映相同類型的錯誤可以造成的嚴重後果,更見加強網絡安全及用家意識的迫切性近在眉睫。
CertiK首席安全官李康認為,與Web2 平台相比,Web3 平台傾向於託管更多用家的虛擬資產,如加密貨幣,由於其去中心化的特性,被盜後難以追回,在犯罪角度相當「誘人」,導致Web3 平台容易成為黑客攻擊目標,對業務性質與Web3相關企業來說,網絡安全可謂不容有失。
Web3及區塊鏈安全公司CertiK於2023年8月落戶數碼港,成為數碼港第七家獨角獸公司。
CertiK 在香港的其中一個合作對象,是為以元宇宙實境遊戲Yuliverse 揚名的開發公司Metalabs。在Yuliverse 中,類似於Pokémon GO,玩家透過步行與擴增實境(AR)進行互動,結合尋寶和卡片遊戲的元素玩法,累積虛擬資產,因此,如何保障玩家的數據及資產顯得額外重要。Metalabs採用智能合約(smart contract),以保障玩家可以安全持有代幣及 NFT 形式的數字資產,其聯合創辦人暨行政總裁Chris Fung 表示, Web3世界技術迭代日新月異,新協議可能存在安全風險,CertiK 可以幫助項目方審查是否存在安全漏洞和進行風險提示。Yuliverse 最初採用 ERC721 和 ERC20 等代幣標準,經過CertiK 的專業審計及全面檢查過後,Metalabs認為ERC404 的標準更為適合,實用性和組合性亦會更強。Metalobs即將推出的新系列Yuliverse OG404將採取新標準 DN404,務求在安全性上做得更為穩妥,讓用家安心。
由Metalabs 開發的元宇宙實境遊戲Yuliverse。
除了採用更嚴謹的標準外,李康強調,基於網絡安全對Web3 項目的重要,最理想的情況是在整個開發的生命周期中,就有專業人士參與在安全建構的過程中,以進行威脅模型分析(threat modeling)及採取風險緩解機制(risk mitigation mechanisms)等措施。不過,他亦不諱言,現實是大多數 Web3 項目往往只有小型開發團隊,難有專責的內部網絡安全隊伍,往往需要外部援助,卻又會因而牽涉額外開支。Chris 認為,由於初創企業往往資源有限,儘管想加強網絡安全亦會礙於預算限制而力有不逮,故孵化器如數碼港介紹的網絡安全合作伙伴及相應財務支援,對初創而言意義甚鉅。作為數碼港培育初創,Chris 自己亦時時參加不少由數碼港舉辦的網絡安全相關活動,直言受益匪淺,皆因主辦方會邀請業界專家分享市場上最新動態和案例,讓初創企業得以掌握最前沿資訊。
Chris 時時參加不少由數碼港舉辦的網絡安全相關活動,直言受益匪淺。
數碼港在初創企業的培育過程中加入「安全設計」(secure by design)的要求,李康認為舉措直接鼓勵 Web3 項目在早期設計階段就將安全風險納入考慮,值得支持,而將網絡安全公司和 Web3 項目企業聚集在同一創科社區,更有助提高業界的網絡安全意識,改善企業對網絡威脅的集體應對力,在建立消費者信任方面亦發揮重要作用。
在網絡安全這個領域,用家自身扮演關鍵角色,李康及Chris Fung 兩人均同意,Web3 社群及其應用無疑在迅速發展,但亦有不法份待機而動,潛伏在網絡之中,等待機會進行攻擊,Web3 用家需無時無刻提高警覺,了解風險,與此同時,亦須做好防範措施,培養及保持良好的網絡安全習慣,確保軟件更新,保持謹慎,在不肯定時,勿貿然行動,宜尋求安全專家協助。
歐陽熙
** 博客文章文責自負,不代表本公司立場 **