.bit研報：用戶使用DID交易資產時存在五處潛在風險

開源Web3身份端口協議.bit近期發現並分析了使用DID進行資產交易時涉及的嚴重安全風險。在認識到這些嚴重的威脅並對其進行研究分析後，在此公布其風險提示，以向區塊鏈行業發出警告，並建議用戶避免使用DID發送或交換資產。

Web3愛好者均知悉，DID用於代表資產所有者在區塊鏈上的唯一地址，可實現資產轉移，而不需要輸入複雜的長地址。DID可用於向錢包或交易平台發送Token或資產，然後錢包或交易平台會使用該標識符來驗證Token或資產的數據並發迴響應。.bit發現，風險就出現在錢包或交易平台使用的應用程序編程接口(API)中。 

API可在不同平台上實現簡單的數據傳輸，並提供錢包所需的來自DID的必要資訊。在使用DID的完全安全的交易平台中，資產持有人會輸入他們的DID名稱，錢包會向API詢問該名稱的區塊鏈地址，API隨後會返回相應的地址，錢包設置交易供用戶批准，最後，錢包將交易發送到公共網路以完成資產轉移。在現實中，正如.bit的分析所示，可能會出現與使用DID相關的五處潛在風險。

1.     駭客進入服務器攻擊 API 服務，篡改返回到查詢的數據。

2.     API服務內部人員篡改查詢返回的數據。

3.     API服務出現內部錯誤，導致返回到查詢的數據出錯。

4.     API 服務的服務器中用於同步數據的區塊鏈節點落後於區塊鏈網路，導致相關數據不是最新的，進而導致向查詢發送錯誤的數據。

5.     DID過期，並且在前用戶不知情的情況下被其他用戶註冊。

目前還沒有因為風險1或2而導致資產丟失的公開報導。但.bit認為，只要用戶養成了使用 .bit或其他DID發送資產的習慣，這些問題必然會發生。風險3、4、5這些非主觀因素帶來的風險，也是完全無法徹底避免的。與風險1和2類似，一旦用戶養成了使用 .bit或其他DID發送資產的習慣，非主觀因素造成資產損失也只是時間問題。因此，DID用戶務必要知曉這一警告及所涉及的風險。目前，錢包或交易平台中的DID使用還處於萌芽階段。為了避免因技術故障或非法行為而導致資產損失的風險，.bit建議用戶目前不要在錢包或交易平台中使用DID進行交易。 

儘管存在這些風險，但DID和.bit還是有很多讓人期待的地方。風險並不是源自於DID這樣的系統本身，而是源自於對系統的錯誤使用。.bit將於4月12日至15日參加Hong Kong Web3 Festival 2023，屆時會分享更多關於如何使用DID的資訊，包括應採取的安全步驟，以及未來計劃在其協議中實施的安全措施。

詳情請關注官方推特：https://twitter.com/dotbithq

原文連結