.bit研报：用户使用DID交易资产时存在五处潜在风险

原文来源：.bit

开源 Web3 身份协议.bit 近期发现并分析了使用 DID 进行资产交易时涉及的严重安全风险。在认识到这些严重的威胁并对其进行研究分析后，在此公布其风险提示，以向区块链行业发出警告，并建议用户避免使用 DID 发送或交换资产。

Web3 爱好者均知悉，DID 用于代表资产所有者在区块链上的唯一地址，可实现资产转移，而不需要输入复杂的长地址。DID 可用于向钱包或交易平台发送 Token 或资产，然后钱包或交易平台会使用该标识符来验证 Token 或资产的数据并发回响应。.bit 发现，风险就出现在钱包或交易平台使用的应用程序编程接口 (API) 中。 

API 可在不同平台上实现简单的数据传输，并提供钱包所需的来自 DID 的必要信息。在使用 DID 的完全安全的交易平台中，资产持有人会输入他们的 DID 名称，钱包会向 API 询问该名称的区块链地址，API 随后会返回相应的地址，钱包设置交易供用户批准，最后，钱包将交易发送到公共网络以完成资产转移。在现实中，正如.bit 的分析所示，可能会出现与使用 DID 相关的五处潜在风险。

1.     黑客进入服务器攻击 API 服务，篡改返回到查询的数据。

2.     API 服务内部人员篡改查询返回的数据。

3.     API 服务出现内部错误，导致返回到查询的数据出错。

4.     API 服务的服务器中用于同步数据的区块链节点落后于区块链网络，导致相关数据不是最新的，进而导致向查询发送错误的数据。

5.     DID 过期，并且在前用户不知情的情况下被其他用户注册。

目前还没有因为风险 1 或 2 而导致资产丢失的公开报道。但.bit 认为，只要用户养成了使用 .bit 或其他 DID 发送资产的习惯，这些问题必然会发生。风险 3、4、5 这些非主观因素带来的风险，也是完全无法彻底避免的。与风险 1 和 2 类似，一旦用户养成了使用 .bit 或其他 DID 发送资产的习惯，非主观因素造成资产损失也只是时间问题。因此，DID 用户务必要知晓这一警告及所涉及的风险。目前，钱包或交易平台中的 DID 使用还处于萌芽阶段。为了避免因技术故障或非法行为而导致资产损失的风险，.bit 建议用户目前不要在钱包或交易平台中使用 DID 进行交易。 

尽管存在这些风险，但 DID 和.bit 还是有很多让人期待的地方。风险并不是源自于 DID 这样的系统本身，而是源自于对系統的错误使用。.bit 将于 4 月 12 日至 15 日参加 Hong Kong Web3 Festival 2023，届时会分享更多关于如何使用 DID 的信息，包括应采取的安全步骤，以及未来计划在其协议中实施的安全措施。

详情请关注官方推特：https://twitter.com/dotbithq

本文来自投稿，不代表 BlockBeats 观点

欢迎加入律动 BlockBeats 官方社群：

Telegram 订阅群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方账号：https://twitter.com/BlockBeatsAsia