随着区块链技术和加密货币的普及,Web3正逐渐从一个概念走向现实,构建着一个更加去中心化、用户拥有数据所有权的互联网新范式,如同早期互联网的Web1、Web2时代一样,Web3世界也并非一片净土,各种安全威胁层出不穷,“撞库”便是其中一种常见且危害极大的攻击手段,究竟什么是Web3撞库?它又为何会发生,又会带来哪些危害呢?
什么是Web3撞库
要理解Web3撞库,我们首先需要明白“撞库”的基本概念,撞库(Credential Stuffing),又称“账号填充”,是一种网络攻击方式,攻击者利用从其他网站或平台泄露的用户名、密码(即“凭证对”)库,批量尝试登录目标网站或应用,试图“撞”开那些在多个平台使用了相同或相似用户名和密码的账户。
在Web2时代,撞库攻击早已屡见不鲜,某个电商网站的用户数据库泄露,攻击者可能会尝试用这些泄露的用户名密码去登录用户的社交媒体、邮箱甚至银行账户。
而Web3撞库,则特指针对Web3应用(如去中心化应用DApp、加密货币交易所、钱包服务等)的撞库攻击,其核心逻辑与Web2撞库一脉相承,都是利用用户在不同平台重复使用密码的习惯,但由于Web3应用的特性和用户资产的价值更高,Web3撞库的后果往往更为严重。
Web3撞库为何会发生
Web3撞库的发生,主要源于以下几个原因:
- 用户密码复用习惯:这是最根本的原因,尽管安全专家一再强调不要在不同平台使用相同密码,但许多用户为了方便记忆,依然会在多个Web2和Web3应用中使用相同的用户名和密码组合,一旦其中一个平台的数据库被泄露,这些凭证就会被攻击者获取,并用于尝试登录其他平台。
- Web2平台数据泄露的“连锁反应”:绝大多数Web3应用(尤其是需要邮箱注册或作为登录方式的DApp)都与Web2世界紧密相连,用户往往使用常用的邮箱地址(如Gmail、Outlook等)作为Web3应用的注册邮箱,如果这些Web2邮箱服务本身或用户曾注册过的其他Web2网站发生数据泄露,攻击者就能获取到邮箱与密码的对应关系,进而尝试登录关联的Web3应用。
- Web3应用的安全漏洞:虽然区块链本身具有去中心化和不可篡改的特性,但运行在其上的应用层(如DApp的前端、中心化的身份验证服务、交易所的后台系统等)仍然可能存在安全漏洞,如果攻击者通过其他手段(如钓鱼、恶意软件)获取了部分用户凭证,或者利用Web3应用的漏洞导出了部分用户数据,这些凭证也可能被用于撞库攻击。
- 去中心化身份(DID)与钱包连接的潜在风险









