許多人認為，下一代網絡Web3會比現在的網絡更安全，但最近發布的報告澆了盆冷水，事實可能并非如此。

Forrester認為，從基礎設施的層面來看，Web3的確有可能更難顛覆，但它也有一些弱點，可能會比現有網絡更容易遭受攻擊。相比傳統應用，Web3應用有區塊鏈特點，所以它會擁有更寬的受攻擊面。還有，在Web3時代代幣相當于數量可觀的金錢，黑客攻擊Web3的欲望會更強烈。

Web3具有開放性，這是它最大的優點，但也是麻煩所在。Forrester分析師Martha Bennett認為：“運行于公共區塊鏈上的代碼更容易被入侵，世界上任何地方的任何人只要擁有技能，不需要滲透任何企業防御網就能進入。”她還說：“源代碼也容易被入侵，因為世界不喜歡運行封閉源代碼的智能合約。Web3基本上就是開放源碼。”

不受歡迎的復雜性

Cipher安全公司CTO David Rickard認為，Web3是基于用戶對數據和身份的分布式控制搭建的。

“有些個體可能不愿意或者沒有能力管理自己的數據和身份，本來Web3的技術很復雜，這樣一來應用會將‘易用’看得比其它因素更重要，所以Web3的受攻擊面會更寬。”

David Rickard補充說：“對于個體來說，除了文本信息、郵件、查看社交媒體、使用購物App，其它都是挑戰。”Web3會讓代碼透明、公開，這種做法不會得到真正的推崇。他認為：“在資本投資者與區塊鏈金融系統（比如NFT）用戶之間，牽涉到的金錢利益太大了。”

讓代碼透明公開也會導致Web3的受攻擊面變寬。David Rickard分析稱，要實現安全編碼，預測用戶會用系統做出什么邪惡行為不是容易做到的事，預測并不容易；要預測人們如何將系統用于預期之外的目的并非易事。

他還說：“人們擔心區塊鏈和NFT會被利用而出現金融損失，但這種擔憂并不是針對不可變的對象本身，而是擔心有人利用應用漏洞操作它們。”

還有一點要注意，傳統系統可能有點古老，但它們并不脆弱。Cerby首席信用官Matt Chiodi說：“新東西往往也是最不安全的。雖然時間并非總是安全的朋友，但時間長了應用也會在戰斗中接受更多測試。Web3不太一樣，它是新的，沒有經過測試。傳統應用因時間受益，Web3還沒有。”

NFT會成為攻擊目標

不管代碼是不是可見，是不是能訪問，攻擊者都會找到弱點，NFT可能會成為 “最受歡迎”的攻擊目標。

Bennett稱：“如果能有更容易的途徑接近目標，為什么要選擇更難的呢？對于想偷竊或者顛覆規則的人來說，就像其它的價值交易所場一樣，NFT集市和通信工具是很有吸引力的。”

“在與Web3有關的任何事物中，速度都是很重要的，但許多地方都沒有專家來評估潛在安全問題。有時雖然發生了糟糕的安全事故，創業公司還是連安全主管都不招。”

6月份 OpenSea的NFT市場出現安全事故，180萬郵件地址泄露。Rickard分析稱，這起事故涉及到內部威脅，處理交易的應用可能也是很脆弱的，應用中可能有成千上萬的漏洞需要編程者好好應對，黑客只要抓住一個就能制造一次事故。

騙子橫行

在NFT及其它公共區塊鏈項目中，社交媒體網絡Discord成為致命弱點。一些黑客用釣魚手段攻擊Discord，這是許多NFT盜竊案的根源所在。

這件事向我們證明：攻擊者一般喜歡瞄準社區管理員。當黑客拿到管理員賬戶，就有機會大規模竊取，因為用戶往往會相信社交管理員發的信息。

Discord是面向游戲玩家的交流論壇，并不是價值交易中心，所以它并沒有建立降低風險的機制。Bennett稱：“這樣的安全機制只有真正推行才能起到作用，但很明顯Discord沒有執行。還有，Discord作為深受歡迎的代幣項目溝通平臺，它吸引了大量的釣魚攻擊和垃圾信息。”

為了收集參與者的聯系信息，黑客會發起釣魚攻擊，入侵數字錢包也并不是什么稀罕之事。Bennett說：“Discord機器人曾被黑客入侵，作惡者可以發送虛假報價，最終導致加密貨幣被偷。”

比傳統網絡更安全嗎

Forrester在報告中說，在快速前進的Web3世界，企業會傾向于忽視安全漏洞，只求快速創新，但是當重要產品發布時公共安全漏洞可能會成為阻礙，它會拖累產品團隊前進的速度，強迫團隊分析、緩解關鍵安全威脅。

Chiodi認為：“Web3應該將安全焦點向左移動，也就是讓安全問題盡可能靠近開發者，將預防當成首要目標。如果不這樣做，Web3最終就會和Web2差不多。考慮到Web3潛力無限，在去中心化身份方面更是優勢明顯，如果最終和Web2的安全差不多那就太可恥了。”

保密計算公司Anjuna的高管Mark Bower說：“Web3的分布式策略會帶來多種類型的安全能力，但本質問題和之前還是一樣的。如果攻擊者可以拿到證書，可以拿到根權限或者密匙，尤其是拿到運行于整個生態系統的關鍵私人密鑰，游戲就會被顛覆，就像中心化平臺一樣。”