Web 3.0被視作為下一代互聯網科技,但新技術亦帶來前所未見的網絡保安風險,香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)已將針對Web 3.0的攻擊列為2023年五大資訊保安風險之一,中心認為大眾有必要認識Web 3.0及其保安風險,HKCERT亦會針對Web 3.0的網絡保安潛在風險提供資訊保安建議。
Web 3.0技術旨在實現更高級別的智能化、自動化和個性化。 Web 3.0利用人工智能、語義網、區塊鏈、分散式應用等技術,使網站和應用程序能夠更好地理解、分析和處理數據,為用戶提供更精確和個性化的訊息。 Web 3.0亦重視數據所有權和私隱保護,讓用戶對自己的數據有更多的控制權。但新技術亦帶來新的風險,與 Web 3.0技術有關的網絡保安事故頻生。
HKCERT指出,過往亦曾經發生不同形式的Web 3.0網絡保安隱患及網絡攻擊事件,包括智能合約安全漏洞、由交易平台及分散式應用程式(DApps)引發的安全問題、51%攻擊、私隱洩露、虛擬貨幣交換中的詐騙和盜竊,以及釣魚攻擊等。
對此,HKCERT給出了一些防範Web 3.0的網絡保安建議:
- 保護加密貨幣資產:加密貨幣錢包有分冷錢包及熱錢包兩類,用戶可考慮只將小部份加密貨幣儲存在熱錢包內,方便交易;而大部份加密貨幣就儲存於冷錢包中,以降低被盜風險。
- 切勿透露加密貨幣錢包的恢復短語或私鑰:如黑客獲得短語或私鑰,可完全控制受害人加密貨幣錢包內的資產。
- 選擇網絡安全性高的虛擬資產交易平台:交易平台的保安漏洞是黑客的攻擊目標之一,用戶選用平台時,應了解及比較平台的各項針對用戶資產保障的保安措施。
- 審查智能合約和DApps:在使用智能合約和DApps之前,確保它們經過充分審查和測試。使用可靠的安全審查服務,並查看其他用戶的評價。
- 密碼管理:使用強密碼並定期更改,避免使用相同的密碼來訪問不同的網站和服務。可以考慮使用密碼管理器來生成和儲存密碼。
- 雙因素認證:為帳戶啟用雙因素認證增加安全性。
- 安全的網絡連接:使用VPN或其他加密方法來保護在不安全的網絡上傳輸的數據。避免在公共無線網絡上進行敏感操作。
- 防範社交工程攻擊:對陌生電子郵件和消息保持警惕,不要隨意點擊不明鏈結或下載附件。確保與你互動的人或服務是可信的。
- 保護數碼身份:避免在不需要的情況下提供過多的個人訊息。
- 定期備份數據:定期備份重要數據,以防止數據丟失。將備份儲存在安全的地方,如加密的雲儲存或外部儲存硬碟。
- 保持網絡保安知識更新:定期學習和了解新的網絡保安威脅和保護措施。參加安全培訓課程,並關注業內新聞和趨勢。
- 網絡保安政策和流程:對於企業來說,制定並實施網絡保安政策和流程至關重要。確保員工了解相關政策,並定期對其進行培訓。
HKCERT於本年 5月曾聯同政府資訊科技總監辦公室(OGCIO)與香港警務處(HKPF)合辦的「Web 3.0下的網絡保安」研討會,會上有資訊保安專家詳細解釋Web 3.0的保安風險,及示範黑客可如何觸發智能合約的漏洞及其後果,用戶可借鑒,參考如何在 Web 3.0 的世界中保護自己的網絡安全。
研討會上的講者演講片段已經上傳到HKCERT網站及YouTube頻道。有興趣的朋友請瀏覽以下網站連結重溫: