Web2漏洞：Web3项目中被忽视的风险

过去几个月里，我们已经看到，众多Web3项目遭黑客攻击，这些黑客利用Web2漏洞窃取了数十万美元的用户资金。其他项目需从中吸取经验教训，引以为戒。我们需要对这些Web2漏洞进行反思，从而携手保护Web3生态系统的安全。

区块链技术已彻底改变了金融领域。用户已能够使用自托管、智能合约和Web3产品，直接管理自己的资金和投资。然而，随着外部环境的不断变化，我们需要在去中心化和安全性之间取得平衡。当涉及到普通用户的资金时，安全性显得尤为重要。由于Web3具有去中心化性质，其通常侧重于确保区块链协议和智能合约稳健、安全且没有漏洞，因为这些协议与合约是不同产品和平台的核心。

然而，为在核心区块链协议之上运行附加功能，许多Web3项目仍然依赖Web2框架和技术。因此，黑客开始利用Web2漏洞作为窃取项目和用户资金的攻击向量。例如，黑客往往从前端代码或系统漏洞入手，而非攻击智能合约本身。

这些Web2漏洞具体是什么？它们如何运作？我们又该采取怎样的应对措施？为解答这些问题，下文将对近几个月中曾遭受过Web2漏洞攻击的两个主要DeFi项目KyberSwap和Curve Finance进行介绍，并从这两个案例中总结出经验教训，确保整体社区的安全性。

Kyberswap因Google标签管理器漏洞损失$265,000

2022年9月1日，去中心化交易平台KyberSwap遭遇前端漏洞攻击，损失了$265,000。这次攻击究竟是如何发生的呢？简而言之，黑客在KyberSwap的Google标签管理器(GTM)中插入了恶意代码，因而得以将用户资金转移至其自身的地址。

Web2漏洞之一：Google标签管理器(GTM)

GTM之所以能成为Web2漏洞，是因为它与KyberSwap的智能合约或区块链协议功能无关。相反，GTM是一个标签管理系统，可用于添加和更新数字营销标签，从而进行转化追踪和站点分析等。黑客可通过网络钓鱼进入KyberSwap的GTM账户，随后在其中插入恶意代码。由于KyberSwap前端受损，犯罪分子便可窃取用户资金，最终引发了高达$265,000的损失。

此种脚本专门针对巨鲸钱包。最终，KyberSwap背后的流动性枢纽Kyber Network设法禁用了GTM并删除了恶意脚本，从而阻止了进一步犯罪活动的发生。附注：KyberSwap宣布将对此次攻击引发的所有损失进行赔偿。然而，如果KyberSwap之前对Web2的安全性给予更多关注，则此类前端攻击完全可以避免。

Curve Finance因DNS漏洞损失$570,000

KyberSwap并非唯一一个近期遭受前端漏洞攻击的DeFi项目。2022年8月9日，一群黑客利用Curve Finance去中心化交易平台的一处漏洞，从用户钱包中窃取了价值$570,000的以太币。此次前端攻击由DNS缓存中毒造成，黑客利用该漏洞将试图访问Curve Finance域的用户重新引导至一个假冒的山寨网站。

Web2漏洞之二：DNS缓存中毒

DNS是域名系统的简称，是让大众能够轻松浏览互联网的一个重要工具。每当有人键入域名时，其设备就会向DNS服务器发送查询请求，以获取相关的IP地址。

通常情况下，该查询请求会辗转多个DNS服务器，直至找到相应的IP地址。我们可以将互联网视为一个巨大而错综复杂的高速公路系统，每条道路均通往不同的网站。在这些道路上，DNS服务器发挥着交通警察的作用，引导车辆向正确的方向行驶。

在Curve Finance案例中，黑客克隆了一个一模一样的Curve DNS服务器，将用户重新引导至一个外观与Curve项目完全相同的山寨网站。犯罪分子因而得以在Curve“主页”中植入恶意合约。当用户在其钱包上批准使用合约时，其资金便被洗劫一空，总损失达$570,000。

DeFi项目该如何保护其用户？经验教训总结

我们可以从这些案例中得出一条最重要的经验，即如果一个Web3项目未将Web2安全放在同等重要的位置，无论您的智能合约有多安全，仍可能存在漏洞风险。因此，项目团队需要考虑Web2和Web3领域之间可能存在的差距，并对整体项目安全承担更大的责任。

GTM漏洞经验总结

在KyberSwap和GTM漏洞的案例中，团队需时刻谨记，务必使用双重身份验证(2FA)来保护GTM账户等辅助工具。此外，对于可在项目网站上部署代码的账户，访问权限应仅分配给少数必要人员。由于下放代码部署权限风险极大，因此需要设置一个合适的访问控制系统。例如，币安平台将访问权限分为三种不同的角色，分别为标签开发者、安全检查员和发布者。单一角色权限均无法添加新的网站代码，只有三种权限同时使用时方可实现。