在Web3强调“用户掌控资产”的核心理念下,一个看似与传统互联网相关、却更具破坏性的风险正悄然蔓延——“撞库”(Credential Stuffing),这个词并非Web3原生,但当它与区块链、钱包、去中心化身份等概念结合时,其危害性被指数级放大,成为悬在用户资产上方的“达摩克利斯之剑”。
什么是Web3撞库
从根源看,Web3撞库与传统撞库逻辑一致:攻击者利用用户在A平台泄露的“身份凭证”(如钱包助记词、私钥、邮箱+密码组合),尝试登录B平台、C平台……乃至所有可能关联的Web3服务,一旦“撞”中匹配项,即可非法控制用户资产,但与传统互联网不同,Web3的“资产”是链上通证、NFT等链上数字资产,其价值更高、转移更便捷,且一旦被盗,追回难度极大。
Web3撞库的独特风险:为何比传统撞库更危险
传统撞库最多导致账号封禁或数据泄露,但Web3撞库直指用户“数字生命线”。
凭证的“不可逆性”,Web3的核心是“私钥=资产”,用户一旦泄露助记词或私钥(哪怕只是某个小平台的“钱包+密码”组合),攻击者可直接盗链上资产,而传统平台还可通过密码重置、冻结账号挽回损失。
关联场景的“爆炸性增长”,Web3用户往往需要在多个DeFi协议、NFT市场、链游DApp中授权钱包地址,一旦某个小平台因安全漏洞导致用户邮箱+密码泄露,攻击者可顺藤摸瓜尝试“钱包连接+密码登录”,进而盗取所有关联资产。
攻击成本的“低门槛化”,区块链的匿名性让攻击者难以溯源,而自动化工具可同时尝试数千组凭证,24小时不间断“撞库”,效率远超传统手动攻击。
谁在泄露“钥匙”?Web3撞库的源头
Web3撞库的“弹药”,往往来自用户自身的行为漏洞:
