昨天有个粉丝给我之前写的ZBT前端被劫持的文章留言,我突然意识到一件事:如果我让机器人接入了$ROBO 的Fabric网络,是不是我的钱包就不安全了?
当然了,之前我也看过ROBO的白皮书,我知道Fabric网络协议有专门的防护机制,而且钱包助记词也仍然握在我自己手里。
但我也是做资产找回的,所以对这类情况很熟悉,有些情况确实是存在风险的:
一、黑客直接攻击我的机器人
我的机器人肯定是中心化的,是某个机器人厂商生产的,所以本质上它是个很容易攻击的个体。
所以黑客只需要攻破我的机器人的芯片,让我的机器人给我发起一个无上限额度的扣费授权,而且把他伪装成一个1U的充电付费授权,我直接看前端的东西肯定是秒通过,那我的钱包岂不是就直接被盗了?
这跟前段时间Zerobase遇到的前端劫持是同样的场景。这里面其实不涉及盗助记词的环节,也不涉及篡改区块链数据的环节。
二、黑客攻击跟我机器人有交互的机器人
当然了,我肯定可以小心一点,甚至可以给我的机器人装上更牛逼的防火墙,来避免被黑客攻击。
但假如说,我的机器人需要充电的时候,对方直接攻击那个充电机器人,一样是找我要无上限的扣费授权,然后我的机器人直接把授权转给我审核确认,那我不是一样要被盗?
这完全是防不胜防了吧?
三、更专业一点的盗钱包方式
前面两种情况,还是不涉及区块链技术的盗窃。但事实,还有一些特别专业的黑客情况是机器人很难避免的:
比如黑客直接把我的机器人抱走,机器人的钱包肯定是存在它的芯片里的,也就是说黑客就直接拿到了我存资产的钱包硬件,完全可以通过读取硬件里面的数字存储数据来把钱转走。
其他我就不说了,太垂直了,估计大家也不太感兴趣。
所以如果后续大家真的把自己的机器人接入Fabric Foundation网络@Fabric Foundation ,要特别注意几种情况:
不要把钱包私钥存在机器人本地,要用独立硬件钱包管理,只给机器人分配有限权限;
只对接ROBO官方认证的机器人节点,这样可以减少被黑客攻击的概率,尤其是避免接入未知第三方机器人。
项目方肯定会对风险做适当规避,所以绝大部分风险不是来自“接入ROBO网络”本身,而是来自不当操作和对接不明节点。大家务必少操作。