木星链 木星链
Ctrl+D收藏木星链

WEB:Web3.0 时代下的信息安全

作者:

时间:1900/1/1 0:00:00

作者|?JackieSingh

编译|白泽研究院

JackieSingh是非营利性技术监督项目的主管,也是Web3.0社区的活跃成员。作为美国陆军退伍军人和前国防承包商,Singh之前创立了一家网络安全咨询公司SpyglassSecurity,并担任拜登总统竞选活动的首席网络事件响应者。

Web3.0提供了一个摆脱过去网络安全错误的机会——意识到该技术潜力、思想开放的信息安全人士已经投入到其中。

随着Web3.0迅速发展,作为一名信息安全从业者,我不禁越来越关注。科技行业的许多人仍然认为区块链、加密货币和NFT是局,正在破坏经济,并且注定要消亡。但这些技术的迅速普及、许多跨国公司的采用,更不用说拜登总统最近关于数字资产的行政命令——都表明Web3.0不仅仅只是一种流行词。

我们信息安全社区不应该像Web3.0激进分子那样行事,应该帮助Web3.0社区中那些没有足够资源来保护自己的人。撇开加密市场的炒作周期不谈,我们有真正的机会来对Web3.0技术的方向和发展施加影响,现在是时候回顾Web2.0的安全“故障”,并利用这些经验来创建更加持久的Web3.0,以帮助普通人保持安全。没有人值得被。

从MP3共享到区块链

我第一次看到如此规模的去中心化创新,是Napster,这是一个成立于1999年的点对点音频流媒体服务提供商。

最近,“云”成为类似区块链的流行词。十年前,我和我的同事开玩笑说这个词毫无意义:“没有云,只有别人的电脑。”

欧盟加密资产市场法(MiCA)正式在欧盟官方公报发布:6月9日消息,欧盟加密资产市场法(MiCA)正式在欧盟官方公报 (OJEU) 上发布。

此前报道,加密资产市场法规(MiCA)于 5 月 27 日被欧盟理事会批准,MiCA 要求钱包提供商和交易平台等加密公司寻求运营许可证,并要求稳定币发行方持有适当的储备。[2023/6/9 21:26:26]

今天,云计算已经变得比我们预测的要大得多。事实上,如果不专门研究特定供应商的平台,就很难理解保护云技术所涉及的细微差别。我期待Web3.0会出现同样的演变——从流行语到基础互联网技术。

好消息是区块链是Web3.0的基础,它提供了一个统一的基础结构,可以帮助解决常见的安全问题,例如治理、访问、完整性和可观察性。区块链技术允许创建“无需信任”和“无需许可”的环境,让用户能够安全地相互交易,因为他们依赖于密码学和高度可用、可扩展且经过实战测试的代码。

信息安全停滞不前

尽管现在很多公司在网络安全方面的支出比以往任何时候都多,但我们几乎每周都会听到新的、轰动一时的数据泄露事件。与此同时,与其他技术领域相比,信息安全的创新已经萎靡不振。

信息安全领域普遍缺乏对人为因素的关注,用户成为的牺牲品,例如点击错误的链接,或者不知道如何保证自己上网的安全。以最近关于Coinbase超级碗广告的争议为例,该广告以二维码跳转网站为特色。人们应该担心扫描二维码吗?

两名男子因盗窃150万美元加密货币被越南法院判处终身监禁:金色财经报道,越南一家法院因一起暴力盗窃加密货币案判处两人终身监禁。Ho Ngoc Tai和Tran Ngoc Hoang被认定犯有盗窃价值370亿越南盾(150万美元)的加密货币罪。尽管加密货币在越南没有合法地位,但该国是世界上最主要的加密货币采用国之一。Chainalysis2022年报告称,该国在各种指标上排名第一,高于菲律宾和乌克兰。[2023/5/18 15:09:49]

同时,信息安全社区倾向于继续依赖无效的防御措施,我们以前将防御网络描述为M&M网络:坚硬、酥脆的外围与柔软、融化、易受攻击的内部。另一方面,敏感日志数据的集中化是每个功能性安全运营中心的核心能力,它会产生与监控相关的数据治理、合规性和道德问题,这些问题只会在规模上变得更糟。

我们能否在运营中心之间实现安全交易,而不会使隐私与安全相冲突?

?

进入Web3.0

最终,依靠分布式生态系统的底层防御,要比试图在使用私有集中式监控的易受攻击的网络更有效。

不使用PoW、更高效的区块链可以减轻对比特币等系统能源消耗的担忧。包括我自己在内的许多人都厌倦了等待以太坊长期计划升级到不需要大量使用能源的共识机制,这使得目前使用以太坊对我们的星球来说是一个全面的坏选择。尽管以太坊具有先发优势,但其他区块链已经出现了比以太坊或比特币的工作量证明机制更环保的特性。例如,Solana是一种碳中和区块链,它使开发者能够通过使用Rust编程语言实施的智能合约从一开始就建立安全性。使用Rust消除了所有类别的安全风险,并且可能是我们防止代码漏洞的最佳工具之一。

999枚BTC从Binance转移到未知钱包:金色财经报道,据Whale Alert监测数据显示,999枚BTC(30,197,172美元)从Binance转移到未知钱包。[2023/4/13 14:01:45]

可能没有比向用户公开接口更好的方法来发现错误了。当攻击者和防御者可以访问相同的信息时,它会以一种更加注重预防的方式来平衡竞争环境。这将使信息安全行业能够随着时间的推移解决系统性弱点。

然而,今天没有区块链是完全去中心化的。真正的去中心化仍然是许多Web3.0爱好者的崇高目标——很少有人试图解释这样的系统在实践中的样子。然而,无需信任和无需许可仍然是积极指导Web3.0生态系统中系统设计的关键原则。理想情况下,区块链本身和部署到它的智能合约调解用户之间的交易——而不是服务器上的不透明代码,只能管理员看到。

区块链可以让我们通过使用密码学来确认某些基本事实,当我们需要知道一些事情时,我们会在区块链上查看。去中心化应用程序(dApp)开发人员被激励在链上存储数据,避免在链下执行关键计算,并不用开发个人钱包以外的访问机制。这转化为更高的数据完整性和更完整的输入、计算和输出的可观察性。

用户需要对他们的数据拥有更大的主权,而开发人员则有兴趣最大限度地减少数据收集以保护隐私。Web3.0可以通过将密钥的保管权转移给用户来帮助实现这些目标,从而使人们能够更好地控制他们的数据。个人保管个人的密钥,为用户提供了在区块链上维护其身份所有权的终极机会。尽管这与我们之前管理企业级网络的方式不同,但我们应该欢迎这些新架构作为增强用户能力的方式,同时降低与数据收集和访问管理相关的组织风险。

NFT市场Quidd宣布任命前Uber高管为产品主管:8月16日消息,Animoca Brands旗下NFT市场Quidd宣布任命前Uber高管Zach Walsh为产品主管,将负责监督公司产品路线图及产品战略,希望通过技术创新与设计推动业务增长。[2022/8/16 12:28:40]

但首先,我们更多的信息安全从业者需要克服最初不愿探索Web3.0技术的问题,要认识到Web3.0用户应该得到安全,而不是。

新的机会

Web3.0时代的信息安全领域似乎正在发生变化,越来越多的信息安全工作、以及成功利用区块链和智能合约漏洞造成的巨大损失都可以证明这一点。

由于标准化的网络保险等缓解因素以及对公司没有长期影响,Web2.0中的公司通常可以对违规行为不屑一顾,但Web3.0组织不能忽视安全问题,一个错误可能导致损失数百万美元,甚至由于资金全部流失而导致整个组织解散。

在这种背景下,Web3.0中的漏洞赏金奖励达到了惊人的数字。在最大的Web3.0漏洞赏金平台?Immunefi的指南中,该公司表示:“一些信息安全人员、白帽黑客加入Web3.0之前,在Web2.0中受到了恶劣的待遇和过低的薪酬,他们将这种态度带到了Immunefi——他们现在已经获得以前更多的权利和尊重”。

正如著名黑客?JayFreeman?最近因找到一个安全漏洞而获得200万美元赏金后所说:“然而,我们看到一个又一个加密项目试图将其核心设计的审查成本外包给信息安全人员,而不是建立一个围绕数学家、经济学家和安全专家的团队。”?虽然政策和监管正在进行中,而且合规要求可能会与传统金融领域的要求相匹配——但Web3.0行业也将出现与传统金融领域相应的信息安全漏洞,这些最终必须由高度技术性的安全专家、长期战略家应对,而不是当前的外部审计师和赏金系统。

Patrick Hansen:欧盟两项加密货币法规所有的大问题都已达成一致:金色财经报道,Presight Capital的加密风险投资顾问Patrick Hansen在社交媒体上表示,欧盟最重要的两项加密货币法规MiCA(PoW禁令)和TFR(非托管钱包)最后一次会议将于下周四6月30日举行。目前几乎所有的大问题都已达成一致,但仍有一些开放性议题。如:

1.NFT它们应该在还是不在MiCA的范围内?委员会希望出于保护消费者的原因将其纳入,理事会/议会最初表示反对,但现在似乎已经接受了委员会的妥协建议。可能的结果是一个折中方案,即NFT发行人大部分被豁免,但在第三方NFT之上提供服务的公司(市场等)不被豁免。

2.对算法型稳定币没有豁免。其中,对EMT和ART的发行者都有很高的监管要求,此外,稳定币不允许有CASP利息。

3.DeFi在经过长时间的谈判后将被排除在MiCA的范围之外。该委员会将在2023年发布一份单独的报告,并启动一个专门的试点项目,用于新形式的嵌入式DeFi监管。

4.加密对环境的影响与一些媒体声称的相反,幸运的是比特币禁令不再摆在桌面上。但是对于CASP为其提供服务的每种加密资产(例如BTC),将有全面的披露要求(由ESMA规定)。[2022/6/26 1:31:52]

安全公司Hacken在最近的一份报告中描述了其对Web3.0行业的展望,预计未来五年内的定期安全审计需求将不断增加。

还有一种新兴的“区块链分析”或“区块链调查”公司的利基市场,其名称包括?Chainalysis、CipherTrace、Elliptic和TRMLabs。这些公司使用专业软件和人工分析师来分析、检测和跟踪区块链的威胁,它们让人想起Mandiant和Foundstone等早期Web2.0的网络安全公司,这些公司随着Web2.0的发展而迅速壮大。

前中央情报局局长MikeMorell在2021年撰写的题为《比特币在非法金融中的使用分析》的报告中认为,“记录比特币交易的区块链是一种未被充分利用的取证工具,执法部门和情报界可以更广泛地使用它来识别和破坏非法活动。简而言之,区块链分析是一种高效的打击犯罪和情报收集工具。”

有什么不同?

区块链是透明的、开放的,对于习惯于封闭数据库和操作不透明的人来说,这是一种需要全新看待的事物。与典型的Web2.0公司相比,区块链和加密公司往往不太关注知识产权保护。代码通常是开源的,并根据公开的安全审计以激发用户的信心。

Web2.0安全实践专注于处理后果,而不是一开始就避免它;Web3.0的信息安全转向代码、工程和架构,专注于预防。

Web3.0生态系统本质上更加开放,项目通常在Discord、Twitter上托管在社区中。两个Web3.0项目经理LennyRachitsky和JasonShah最近在一篇文章中描述了他们从原先的职业如何向Web3.0过渡,并呼吁应彻底摆脱当前的技术工作模式。他们认为缺乏监视/数据收集驱动的生态系统来支撑Web3.0、以及确保代码在发布时尽可能无漏洞的必要性。

结果是,Web3.0对信息安全、隐私和监视产生了一定的影响,信息安全专业人员对于在监管要求之前以及除监管要求之外建立行业标准至关重要。

人才在流动

不仅仅是看到潜力的人已经投身于Web3.0中,世界上一些最优秀的黑客已经在全职研究Web3.0。例如:

信息安全专业人士应该熟悉各种“第一层”区块链网络,例如比特币和以太坊,与信息安全领域特别相关的隐私币,例如?Monero?和Zcash,以及更多地了解加密货币、代币、DeFi、NFT?的含义。

信息安全专业人士需要尽早开始学习,以便在未来的安全案例和调查中具备加密货币知识。

以下是一些提示和资源,供那些寻求了解更多信息的人使用:

查看编写Web3.0研究的安全公司博客,以及那些认为Web3.0有可能赋予人们数字权力和自由表达的声音。尝试设置一个加密钱包并进行加密货币的转入和支出,随后查看区块链以了解这些交易的原理。了解主要的智能合约平台、它们的执行环境和相关的编程语言。想要建造dApp?可以参考几个BuildSpace的教程或加入像?DeveloperDAO、Surge?这样的资源社区。查看Github上的区块链特定安全存储库,例如?awesome-ethereum-security和awesome-evm-security。参与几个?Immunefi?上的开放赏金。想想如何监控各种区块链的钱包,以及如何获取这些数据。了解钓鱼网站的常见载体和方法,尤其是Discord和Twitter上的威胁。了解NFT清洗交易和其他等危险信号。查看以前的大型黑客攻击和最近的局。对于大型组织,请确保将加密货币处理纳入安全事件响应计划,并确保针对任何涉及加密行业的事件制定业务和技术程序。例如Marsh的勒索软件指南既方便又全面。前路漫漫

信息安全没有灵丹妙药,区块链也不例外,去中心化系统也同样会面临与其他计算机类似的风险。区块链是一种本质上并不安全的网络——但它确实为大规模安全交易奠定了基础,而这种能力对于继续扩展互联网服务至关重要。

同样值得注意的是,去中心化技术不会自动产生去中心化的权力,Web3.0还有很长的路要走。安全专家可以通过促进在Web3.0系统中建立公平的权力结构、将安全和隐私置于系统的核心来提供帮助。

正如科技战略家?ScottSmith和LinaSrivastava在斯坦福社会创新杂志上所写的那样:“如果Web3.0提供了解决Web2.0问题的机会,那它需要一个完整的价值体系。这意味着社会公益必须不仅是社会思潮的组成部分,而且也是任何新网络或新技术架构的组成部分。”

尽管Web3.0、区块链具有明显的潜力,但这些技术并没有内在的能力来支撑人权或民主。信息安全从业者可以帮助它们整合积极的价值观,作为保护互联网用户的愿景的延伸。一旦我们克服了在Web3.0领域工作的不情愿,相信我们一定可以做到这一点。

风险提示:

根据央行等部门发布的《关于进一步防范和处置虚拟货币交易炒作风险的通知》,本文内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。

标签:WEBWEB3.0WEB3区块链CWEBweb3.0币种怎么提现web3币价格区块链的几个大局有哪些

币安app官方下载最新版热门资讯
NDX:BitMEX 创始人:比特币与纳斯达克指数高度相关,或将在 6 月测试 3 万美元

撰文:ArthurHayes,BitMEX创始人原标题:《TheQTrap》编译:Kyle,DeFi之道买还是卖?最让人感到惊愕的是,太多的时间都被用来争论究竟是买进还是卖出.

1900/1/1 0:00:00
NFT:除巨鲸外,还有哪些类型的 NFT 潜水者值得关注?

作者:NFTGo在加密货币市场,巨鲸是指持有大量特定代币的对象——个人、机构和交易所。例如,当谈到比特币时,巨鲸一般是指持有1000个或更多比特币的账户.

1900/1/1 0:00:00
APE:推特大V Cobie :ApeCoin 与质押之死

最近,ApeCoin董事会的一位成员联系了我,他们要求我对一些提案提供一些反馈,然后我在电话中提出了我的想法。我想公开讨论它们,因为我认为它们是有趣的话题.

1900/1/1 0:00:00
稳定币:Messari:Solana 稳定币协议 UXD 如何解决稳定币的三元悖论?

原作者:DustinTeander、AnirudhTiwari原标题:《UXD-TacklingtheStablecoinTrilemma》编译:泽祎,链捕手稳定币是加密行业最重要的方面之一.

1900/1/1 0:00:00
COIN:为什么Coinbase的上币公告引发了社区热议?

4月11日,Coinbase决定上架超过50项数字资产,包括45个ERC-20通证和5个Solana通证.

1900/1/1 0:00:00
RBI:教程:带你上手抓住 Arbitrum 上的五个市场机会

作者:WilliamM.Peaster来源:Bankless亲爱Bankless老铁,去年九月,我们发布了?Arbitrum基本指南——Arbitrum是以太坊领先的扩展解决方案.

1900/1/1 0:00:00