来源:.bit
开源Web3身份端口协议.bit近期发现并分析了使用DID进行资产交易时涉及的严重安全风险。在认识到这些严重的威胁并对其进行研究分析后,在此公布其风险提示,以向区块链行业发出警告,并建议用户避免使用DID发送或交换资产。
Web3爱好者均知悉,DID用于代表资产所有者在区块链上的唯一地址,可实现资产转移,而不需要输入复杂的长地址。DID可用于向钱包或交易平台发送Token或资产,然后钱包或交易平台会使用该标识符来验证Token或资产的数据并发回响应。.bit发现,风险就出现在钱包或交易平台使用的应用程序编程接口(API)中。
API可在不同平台上实现简单的数据传输,并提供钱包所需的来自DID的必要信息。在使用DID的完全安全的交易平台中,资产持有人会输入他们的DID名称,钱包会向API询问该名称的区块链地址,API随后会返回相应的地址,钱包设置交易供用户批准,最后,钱包将交易发送到公共网络以完成资产转移。在现实中,正如.bit的分析所示,可能会出现与使用DID相关的五处潜在风险。
1. 黑客进入服务器攻击 API 服务,篡改返回到查询的数据。
2. API服务内部人员篡改查询返回的数据。
3. API服务出现内部错误,导致返回到查询的数据出错。
4. API 服务的服务器中用于同步数据的区块链节点落后于区块链网络,导致相关数据不是最新的,进而导致向查询发送错误的数据。
5. DID过期,并且在前用户不知情的情况下被其他用户注册。
目前还没有因为风险1或2而导致资产丢失的公开报道。但.bit认为,只要用户养成了使用 .bit或其他DID发送资产的习惯,这些问题必然会发生。风险3、4、5这些非主观因素带来的风险,也是完全无法彻底避免的。与风险1和2类似,一旦用户养成了使用 .bit或其他DID发送资产的习惯,非主观因素造成资产损失也只是时间问题。因此,DID用户务必要知晓这一警告及所涉及的风险。目前,钱包或交易平台中的DID使用还处于萌芽阶段。为了避免因技术故障或非法行为而导致资产损失的风险,.bit建议用户目前不要在钱包或交易平台中使用DID进行交易。
尽管存在这些风险,但DID和.bit还是有很多让人期待的地方。风险并不是源自于DID这样的系统本身,而是源自于对系統的错误使用。.bit将于4月12日至15日参加Hong Kong Web3 Festival 2023,届时会分享更多关于如何使用DID的信息,包括应采取的安全步骤,以及未来计划在其协议中实施的安全措施。
详情请关注官方推特:https://twitter.com/dotbithq
本文来自投稿,不代表Bitbili观点
文章来源于互联网:.bit研报:用户使用DID交易资产时存在五处潜在风险