查看原文
其他

一文拆解:疯狂元宇宙的骗局和漏洞

The following article is from 腾讯安全战略研究 Author 鹅师傅

本文作者:yveswan,腾讯安全法律部

万物皆可元宇宙,一时间,元宇宙扑面而来,从个人、企业到政府,都号称要搞元宇宙。前不久,韩国首尔市政府发布了《元宇宙首尔五年计划》。
(图/经济日报)
蓝图很美好,但现实很残酷。没体验到所谓的元宇宙高科技,元宇宙骗局却不少。
到底什么才是真正的元宇宙?我们离元宇宙还有多远?元宇宙都有哪些风险?如何识别元宇宙骗局?疯狂的元宇宙,到底有没有未来?
宇宙千万个,安全第一条。骗子都这么努力了,咱们没有理由不学习。请紧跟鹅师傅的步伐,带大家一起盘一盘漩涡中的元宇宙。


一、元宇宙到底是什么?

2021年,大家都称为元宇宙的元年。不过,关于元宇宙众说纷纭,尚无定论,
元宇宙是一个不断动态发展的概念,其最终的形态取决于技术、法律、经济的发展状态。
生活中,我们现在使用的电脑、手机、移动互联网其实已经算是元宇宙的一种雏形了。
去年,伴随全球疫情的爆发,加剧了线上线下一体化,小马哥也提出了发展版元宇宙——全真互联网。
虽然目前还没有形成统一定义,但关于元宇宙的组成部分,目前已经初步形成了共识。
Roblox平台作为第一家将元宇宙概念作为长期发展目标的公司,在招股书中列出了与元宇宙相近的八个核心特征,具体包括:身份、社交、沉浸感、随地、低延迟、多元化、经济系统、文明。

这些核心特征也成为后续讨论元宇宙组成的基本方向。
鹅师傅将其归纳为虚拟身份认证系统、虚拟空间系统、社交系统、经济系统和开放系统。

不过,这些系统背后,仍然需要四大主要技术(简称BAND)的不断革新,包括区块链(Blockchain)、人工智能(AI)、网络算力(Network)和显示技术(Display)。元宇宙的构建,离不开这些技术和系统的日积月累。
简而言之,元宇宙就是高度真实的数字世界,未来的我们,可以在元宇宙中拥有新的虚拟身份、社交关系、经济来往、创作自由,在数字世界中实现独立自主、富强文明。

二、我们离元宇宙还有多远?

如今讨论元宇宙的概念,都源于1992年科幻小说《雪崩》提到的Metaverse。
但元宇宙的想象其实并不稀奇。早在上世纪八十年代,科幻大佬刘慈欣就在娘子关水电站写出了《中国2185》,虚构了一个类似元宇宙的虚拟世界,可以算是国内首位元宇宙架构师。
全球疫情的爆发,加快了元宇宙的到来。
如何从想象到落地,根本在于上述技术的发展。
根据技术能力高低,元宇宙发展大致分为三个阶段:数字孪生,数字原生,虚实相生。
简单而言,数字孪生就是现实世界数字化,数字原生相当于数字世界现实化,数字世界生成相当于现实世界的独立生态,虚实相生就是数字世界与现实世界深度融合、共生共存。
按照现有技术形态,我们离元宇宙的确还有相当遥远的距离。
说实话,现如今我们只能算是前元宇宙时代,正在努力走向数字孪生。
这个时期,元宇宙还在数字、技术的前期积累阶段,将现实生活复制到虚拟世界看似简单,实际需要大量的技术突破。
(图/Meta开发的触觉手套)
即使是初步成形的AR/VR设备技术,无论是续航还是清晰度、刷新率,也还存在着相当多的技术短板。比如说,刷新率最佳体验需要180HZ,但目前大部分VR 头显刷新率在70-120HZ 之间,根本无法满足用户体验,更别提元宇宙了。

现实很疯狂,元宇宙还没影,元宇宙概念股已经遍地开花了。
有些上市公司强蹭热点,本身没有什么硬件技术积累,借机炒作元宇宙概念,推出个区块链游戏,搞个虚拟房产,发布所谓的NFT,就敢对外号称元宇宙了。
如果还是这么炒概念,数字产业价值空耗,元宇宙当然遥遥无期。可能技术还没成熟,产业已经被玩死了。

三、元宇宙中的风险与骗局

元宇宙虽然很遥远,但与元宇宙相关的安全风险和骗局却早已出现了。
旨在与现实世界深度融合的元宇宙,自然也有威胁现实世界安全的可能。
在元宇宙中,身份系统与经济系统是资金直接往来最为密集的地域,网络犯罪、网络黑灰产因此最先盯上了这里。要想实现元宇宙,这些风险我们不得不面对。
这里的安全风险主要分为技术风险与社会风险两类:
(1)技术风险
元宇宙身份系统、经济系统的基础技术是区块链。
区块链技术的安全风险具有明显的去中心化特点,主要包括技术本身存在的风险和恶意利用技术的风险,前者如智能合约的安全漏洞,后者如网络攻击风险。
区块链并非完全安全,其没有脱离互联网,仍然是建立在互联网应用层之上的一种应用协议。
(TCP/IP协议层级与区块链的关系)
即使区块链能够完美运行,其设计、实施和使用也都是人为操作完成,终究逃脱不了人带来的不确定因素。

所以说,虽然区块链可以在一定程度上保证数据的完整性与安全,但它同样面临着紧迫的网络安全问题。据慢雾科技统计,自2012年1月截止今年10月,区块链安全事件达546起,损失金额两百多亿美元。
(图/慢雾科技)
我们如果将区块链网络看作一系列同心圆,那么中心位置是分类账,以稳健的去中心化共识保证其安全性,第二个同心圆是智能合约,是引导该网络交易的软件代码,第三个同心圆是交易所和钱包服务之类的边缘服务供应商,是加密货币和现实世界之间的桥梁。最外层是去中心化应用和其他应用直接向用户销售的代币。每一层都有着相应的弱点。
第一层、第二层面临的网络攻击类型具有去中心化网络特征,如典型的51%攻击(分叉攻击)以及智能合约漏洞等等。
(图/中国信息通信研究院《区块链安全白皮书—技术应用篇(2018 年)》)
第三层、第四层通常面临着中心化网络常见的钓鱼攻击、数据泄露、数字钱包被盗等传统的网络攻击。外层的交易所、钱包、去中心化应用(Dapp)已经成了目前黑客窃取数字资产的重要目标。
(腾讯安全玄武实验室演示攻击者对受害者转账进行劫持的画面)

前不久,作为世界首个立法确定比特币法币地位的国家,萨尔瓦多政府发布了国家级的Chivo 钱包,下载并认证的 Chivo 钱包用户将获得 30 美元的比特币奖励。然而,钱包注册环节却存在巨大漏洞,只要拥有用户信息,随便拍张咖啡杯都可以轻易通过人脸识别认证。

这一常见的技术漏洞,导致10 月 9 日至 10 月 14 日期间至少775人的Chivo 钱包身份被盗。
可见,去中心化网络仍然饱受中心化网络安全问题的困扰。
据统计,区块链世界最常见的恶意攻击还是我们最熟悉的骗局,也就是传统的社会风险,下面鹅师傅就带大家看看都有哪些骗局。
(图/慢雾科技)
(2)社会风险
只要有人的地方就会有信息不对称,而信息不对称的存在必然会为虚构事实、隐瞒真相提供空间,各类骗局自然就层出不穷。
目前来说,与元宇宙相关的骗局通常是新瓶装旧酒,有点资本的炒概念割韭菜,跟风进场的火上浇油,层层分包割韭菜。
其中,NFT、Gamefi链游领域是最让人觊觎的韭菜地。
什么是NFT?就是基于区块链技术的非同质化代币(non-fungible token),和比特币等同质化代币(FT)有所不同。简单而言,NFT是数字世界的特定物,价值各不相同,不可分割、独一无二,代表着数字资产与所有人的唯一映射关系,而比特币是数字世界的种类物,可以分割,每个单位数量价值都是等同的。
(NFT生态图谱/陀螺研究院《NFT应用分析报告》)
今年3月,数字艺术家Beeple 的《Everydays -The First 5000 Days》在佳士得拍卖中,以竞拍价6934.625万美元成交,开创了天价NFT艺术品,引发社会竞相追捧。
事实上,在区块链上铸造NFT的成本很低,其之所以可以天价,根本价值在于数字藏品本身的艺术价值、IP价值以及背后系统生态的应用价值和体验价值。
对于国内骗子来说,这些都太麻烦了,趁概念热炒先骗到手再说。
这里的骗局发展分为三个阶段:
起初,NFT概念火爆,无论多丑的NFT,都能引来无数人蜂拥购买,骗子只需要低成本快速批量铸造NFT,所谓的艺术价值全靠忽悠和包装,再允诺虚无缥缈的分红权,不少人就会上钩被骗。

后来,随着NFT市场逐渐完善,没有上述价值的NFT自然没了市场,骗子们开始大范围免费空投NFT,诱骗数字钱包授权或私钥,趁机窃取用户资产。
今年9月, 就有网友因为与突然出现在账户中的NFT进行交互,在挂单、出价过程中钱包被盗,损失了包括达米安·赫斯特作品《The Currency》在内的高价值 NFT,这一次 AJ 损失了 13.75 ETH,约合 4.13 万美元。

最后,当上述骗术都不奏效后,骗子又开始蹭链游Gamefi的热点,开始玩NFT盲盒。
最火爆的链游当属Axie(俗称阿蟹),游戏里每一个Axie都是一个NFT。进入游戏需要花费以太坊购买三只阿蟹,近期一只最便宜的阿蟹大概120美元左右,也就是说玩这个游戏需要2000多元的门票。如果你没有钱,还有专门的游戏公会为你提供奖学金。进入游戏后,你可以通过赚取axie来获得可观收益,这种新的游戏模式被称为 「Play to Earn(边玩边赚)」

“去年疫情经济下滑,这个游戏吸引了大批菲律宾等发展中国家的玩家,包括从未使用过区块链技术的父亲、阿姨,甚至是祖父母。”

元宇宙爆火后,各种链游喷涌而出,大部分链游都是模仿Axie,项目匆忙上马,游戏体验糟糕透顶,先忽悠抢购NFT盲盒中的宠物或人物,至于游戏嘛?慢慢再建。
这些NFT盲盒可能一夜间价格暴涨,也有可能一夜归零。

最悲哀的是,很多人一腔热血,却不小心进了骗子的链游仿盘项目,模仿同时期的火爆链游,建假网站、发假链接,很多玩家充了真金白银,买了假NFT,无处申诉。



而让鹅师傅最不能理解的,是国内现有的链游,和国外公链上的链游不同,由于国内合规因素(详见《你经手的每一枚虚拟货币,都可能成为呈堂证供》),国内只能建在联盟链上(不存在虚拟货币的激励机制),很多链游本身也没有生态建设、没有流通市场,但为了赚快钱、吸引用户,居然在游戏测试期一块虚拟土地NFT就能炒到几十万元。

除了搞项目骗钱的,元宇宙脆弱的经济系统还常常受到虚假消息风险的干扰与欺骗。
这是元宇宙经济系统未来最大的社会风险,去中心化的结构导致真假信息的辨别更加困难。
2021年9月13日,GlobeNewswire发布一条新闻消息称,全球最大零售商沃尔玛已与莱特币达成合作关系,莱特币将纳入其支付方式。此后莱特币基金会(Litecoin Foundation)官方社交媒体账号转发该新闻,莱特币价格一度暴涨32.8%。
然而,这一切不过是黑客伪造的新闻,沃尔玛紧急辟谣后,特币基金会官方、GlobeNewswire也迅速删文,24小时内,莱特币爆仓2165.27万美元,而比特币也爆仓2.16亿美元,爆仓人数超过10万。
所以说,在元宇宙去中心化的经济系统中,人们更容易被骗。你必须在操作数字钱包时高度警惕,不要轻易确认陌生网站的交易,不要泄露钱包私钥。


四、疯狂元宇宙,是没落还是未来?

真实世界中,人类只能感知三维空间的存在,证明四维存在的可能。而理论上,科学家猜测浩瀚的宇宙可能有十一个维度。
也许,元宇宙也是宇宙的维度之一。
元宇宙的发展究竟是赋能人类社会,还是消解人类社会?
这一切问题,不仅决定于上述区块链、AI、算力等技术的发展,关键还在于我们如何看待、如何利用手中的技术。
我们可以止步于虚拟世界的轻松得意,也可以通过元宇宙发展的AI、算法等技术,服务于真实宇宙的探索与发现。
(腾讯与国家天文台合作的“探星计划”,基于优图实验室、腾讯云领先的计算技术和存储能力,助力中国天眼FAST探索宇宙)
是沉沦于技术所打造的虚幻世界,成为“缸中大脑”?还是利用元宇宙的技术追寻真实宇宙的边界,成为真正荣耀的“星际文明”?
飞向宇宙,还是元宇宙,二者之间并非必然互斥。
答案在于,如何理解人类文明的意义?如何平衡元宇宙与现实宇宙的利益?如何防范元宇宙中的安全风险?
道阻且长。疯狂的元宇宙,需要规则与衡平。


# 技术人直播 #八位腾讯不同岗位、不同背景的技术人,分享各自的技术故事与成长路径。每周三晚19:30,锁定【腾讯程序员】视频号直播间,听听过来人讲述他们的迷茫与选择。 积极参与直播互动还可获得鹅厂公仔噢!扫码预约,get开播提醒
往期回顾:     关于“深度思考”的思考      Web3.0 行业全景及代表项目研究      出海产品设计之多语言设计指南     产品干货|长文详解“用户访谈” 
点个关注,我们下期再见👋

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存