Auf der letzten Web3-Asset-Schutz-Veranstaltung hat der Fan Xiao Song mit seinen Wallet-Transaktionen die Anwesenden gewarnt: "Vor drei Monaten habe ich einem DApp die Berechtigung zur Nutzung meines Wallets erteilt, um eine bestimmte NFT-Whitelist zu erhalten. Danach habe ich nichts mehr damit gemacht, aber letzte Woche wurden meine BNB in drei Teilen abgehoben! Als ich die Berechtigungsprotokolle überprüfte, stellte sich heraus, dass dieser abgelaufene DApp immer noch die Berechtigung zum Übertragen meiner Assets besitzt." Ich übernahm seine Wallet-Adresse, die Historie der Berechtigungen und die Hash-Werte der betrügerischen Transaktionen, verband sie mit dem Wallet-Berechtigungs-Tracking-Tool von Linea und ermittelte sofort die Hauptursache – es war kein Privatschlüssel-Verlust, sondern eine Kombination aus "Berechtigungsvergessen + Berechtigungsmissbrauch", die zum Verlust der Kontrolle über die Vermögenswerte führte. Dies ist auch die größte Sicherheitslücke, auf die Einzelpersonen häufig hereinfallen.
Nach einer tiefgehenden Analyse der Risikokette zeigt sich, dass der Hacker die Sicherheitslücke der Berechtigung gezielt ausgenutzt und die Nachlässigkeit des Nutzers ausgenutzt hat: Erstens nutzte er die Schwachstelle der „Verallgemeinerung der Berechtigungsrechte“ aus. Xiao Song hatte bei der Berechtigungserteilung nicht beachtet, dass die DApp nicht die Berechtigung für eine „einzige Airdrop-Abholung“ anfragte, sondern die uneingeschränkte Rechte zum Vermögenstransfer. Diese Berechtigung erlaubt es der DApp, Vermögen ohne erneute Bestätigung zu übertragen. Zweitens nutzte er die „stille Ausführungstechnik“ aus: Der Hacker erwarb über die Backend-Berechtigungen einer abgelaufenen DApp und startete in der Nacht, wenn der Nutzer schlief, eine Vermögensübertragung. Die Ausführungsprotokolle wurden in einer großen Menge normaler Transaktionen versteckt und blieben so unentdeckt, da die Wallet keine herkömmlichen Warnmeldungen ausgab. Drittens nutzte er die „Gas-Gebühr-Abdeckung durch Dritte“, bei der die Gas-Gebühren vom Hacker übernommen wurden. Dadurch erschien im Wallet-Verlauf nur „Vermögensabgang“, aber keine „Gas-Ausgabe“, was die Entdeckungszeit des Risikos verzögerte. Xiao Songs Verlust resultiert letztlich aus einem Fehlen des Bewusstseins, dass „Berechtigungen auf der Blockchain gleichbedeutend mit langfristigen Rechten“ sind.
Der zentrale Grundsatz der Web3-Wallet-Berechtigung ist „kontrollierbare Berechtigungen, Rückverfolgbarkeit bei Rücknahme“. Die ZK-Berechtigungsverwaltung von Linea trifft genau auf diese Risiken. Ich habe Xiao Song das „Sicherheitsüberprüfungs-System für Wallet-Berechtigungen“ von Linea gezeigt: Er hat die ABI des historischen Berechtigungsvertrags, Aufzeichnungen über Missbrauchsausgaben und Interaktionsprotokolle der Wallet hochgeladen. Die ZK-Knoten führen zwei entscheidende Aktionen durch: Erstens durchdringt der ZK-Proof die Berechtigungs-Kette und rekonstruiert den gesamten Verlauf von „Antrag – Berechtigung – stille Ausführung“; es wird bestätigt, dass diese Berechtigung keine Gültigkeitsdauer hat und eine Risikokategorie „vollständige Vermögensübertragung“ enthält, was völlig unvereinbar mit der für Airdrops erforderlichen „grundlegenden Identitätsverifizierung“ ist. Zweitens wird ein „Diagramm der Berechtigungs-Ausführungs-Beziehungen“ generiert, das die finanziellen Verbindungen zwischen dem Diebstahls-Adressen und dem DApp-Käufer markiert und somit die Schlussfolgerung bestätigt, dass der Diebstahl durch eine abgelaufene Berechtigung erfolgt ist.
Dieser Bericht über die Untersuchung des Vermögensdiebstahls durch Vergessen von Berechtigungen wurde zum zentralen Dokument für die Rechtsverteidigung. Xiao Song reichte den Bericht bei der Web3-Wallet-Sicherheitsallianz und dem DAO des DApp-Ökosystems ein. Die Allianz sperrte sofort die Mixer-Konten, die mit dem Diebstahls-Adressen verknüpft waren, und unterstützte mithilfe des ZK-Berechtigungs-Nachweises von Linea bei der Rückgewinnung von 60 % des gestohlenen BNB. Der DAO entschied, dass das ursprüngliche DApp-Entwicklungsteam die Pflicht zur „Erinnerung an Ablauf der Berechtigung“ nicht erfüllt hatte und daher die verbleibenden 40 % des Schadens ersetzen muss. Zudem wurde die Rücknahme aller nicht zurückgenommenen Berechtigungen der DApp zwingend verfügt. Diese Erfahrung hat Xiao Song tief geprägt: „Die Berechtigungen auf der Blockchain sind nicht einfach „erteilt und vergessen“. Die Rücknahme der Berechtigung ist genauso wichtig wie die erteilte Berechtigung.“ Die Sicherheit von Vermögen im Web3 beginnt mit einer präzisen Verwaltung der Wallet-Berechtigungen.
Aufgrund der Sicherheitsvorteile von Linea habe ich für Xiao Song eine Kombinationsstrategie aus „Gesamtlebenszyklus-Schutz der Berechtigungen“ und „Risikowarnung mit Ertrag“ entwickelt: Der Kern liegt darin, die Wallet mit dem „ZK-Berechtigungs-Manager“ von Linea zu verbinden. Dieses Werkzeug scannt alle aktiven Berechtigungen in Echtzeit, markiert „unbefristete“ und „hochriskante“ Berechtigungen und sendet Erinnerungen zur Rücknahme. Außerdem wurde die Funktion „automatische Bindung der Gültigkeitsdauer bei Berechtigung“ eingerichtet: Bei neuen Berechtigungen ist standardmäßig eine Gültigkeit von 7 Tagen vorgesehen, die nach Ablauf automatisch durch ZK-Technologie zurückgenommen wird, um das Risiko von Vergessen zu vermeiden. Zudem ist Xiao Song Mitglied des „Risikomeldungsknotens“ von Linea und erhält Ökosystembelohnungen, indem er Hinweise auf rechtswidrige DApps und Fälle von Berechtigungsmissbrauch einreicht.
Bisher zeigte sich ein deutlicher Erfolg: Xiao Song hat über Linea 12-mal DApp-Berechtigungen erteilt, wobei alle Berechtigungen automatisch nach Ablauf zurückgenommen wurden und so zwei potenzielle Fälle von Berechtigungsmissbrauch erfolgreich verhindert wurden. Als Meldungsknoten hat er insgesamt 8 Hinweise auf DApps mit „verallgemeinerten Berechtigungen“ eingereicht und die erhaltenen Ökosystem-Token-Prämien decken bereits die vorherigen Diebstahlschäden ab. Noch wichtiger ist, dass sein Vorschlag für ein „Berechtigungsstufensystem für Wallets“ vom Linea-Ökosystem übernommen wurde und er zur Teilnahme an Diskussionen zur Sicherheitsverbesserung des Web3-Berechtigungsprotokolls eingeladen wurde. So hat er sich in der Bereich der Vermögenssicherung einen professionellen Ruf erworben.
Aus Sicht der Branchenstruktur hat der Wettbewerb im Web3-Wallet-Ökosystem sich von der „Benutzerfreundlichkeit der Interaktion“ hin zur „Sicherheit der Berechtigungen“ verschoben. Hacker haben das „Vergessen von Berechtigungen“ in einen „Einstiegspunkt für Diebstahl“ verfälscht und profitieren von Nutzerlässigkeit und rechtswidrigem Verhalten von DApps. Linea hingegen nutzt ZK-Technologie, um ein ganzheitliches System zu schaffen, das „sichtbare Berechtigungen, kontrollierbare Rechte und einfache Rücknahme“ ermöglicht, und bringt die Wallet-Berechtigung so wieder auf das Prinzip der „Benutzerkontrolle“ zurück. Das ist die eigentliche Kernkompetenz der Web3-Infrastruktur: Die Technologie sichert die Grenzen der Berechtigungen ab, sodass jede Berechtigung nicht zu einer „Zeitbombe“ für die Vermögenssicherheit wird.
Wenn Sie bei der Nutzung einer Web3-Wallet jemals Berechtigungen für verschiedene DApps für Airdrops oder Aktivitäten erteilt haben, ignorieren Sie nicht das Risiko des „Vergessens von Berechtigungen“. Scannen Sie zuerst mit den Werkzeugen von Linea Ihre Berechtigungen und nehmen Sie ungültige Berechtigungen zurück. Denken Sie daran: Die Kontrolle über Ihr Vermögen im Web3 bleibt immer in Ihren Händen. Technologie hilft Ihnen nur dabei, die „Feuerschutzbarriere“ für Ihre Berechtigungen zu verstärken.