WEB:观点：Web3安全的关键在于预防，四大方案构建创新安全模型

作者：WeiLienDang，UnusualVentures普通合伙人，领导安全、基础设施软件和开发工具赛道的投资

来源：Techcrunch

编译：RichardLee，链捕手

在Web1.0和Web2.0中，安全模型随着应用程序架构的变化而变化，以帮助开启全新的经济。

在Web1.0中，安全套接字层由Netscape率先提出，用于在用户浏览器和这些服务器之间提供安全通信；受信任的Web2.0中介机构，如谷歌、微软、亚马逊和证书颁发机构，则在推动传输层安全的实现方面发挥了核心作用，TLS是SSL的继任者。

同样的情况也会发生在Web3上。这就是为什么去年对新的web3安全公司的投资增加了10倍多、总金额达到10亿美元以上的关键原因。

观点：如果QE缩减时间表发生变化，将对股市、货币市场和外汇市场产生重大影响:9月3日消息，经济学家CarlRiccadonna：非农就业数据令人严重失望，这给美联储缩减购债规模的可能时间表带来了很大的不确定性。如果这种招聘速度继续下去，美国联邦公开市场委员会（FOMC）的鸽派和温和派人士将无法按照杰克逊霍尔会议上设定的时间表，满足美联储‘进一步大幅进步’的门槛。如果QE缩减时间表发生变化，将对股市、货币市场和外汇市场产生重大影响。[2021/9/3 22:58:38]

Web3的成功取决于创新的安全模型，它能解决不同应用程序架构带来的新型安全挑战。在web3中，去中心化的应用程序不依赖Web2.0中存在的传统应用程序逻辑和数据库层而构建，而是依靠区块链、网络节点和智能合约管理逻辑和状态。

观点：Coinbase成功上市或将促使韩国加密交易平台采取类似行动:韩国分析师仍在继续讨论韩国加密货币交易所Upbit运营商Dunamu的市值，因为有关该公司寻求在美股上市的传言越来越多。业内人士声称，Dunamu的价值对于国内交易所来说高得令人望而却步，许多业内人士声称，对coinbase式的纳斯达克上市的兴趣是真实存在的。该公司一直对猜测保持沉默。根据韩联社的说法，如果将Coinbase的“净利润/市值资本比率”应用于Dunamu，则后者的估计价值将达到“约114亿美元”。而韩联社还援引KB证券和三星证券研究人员的计算称，Dunamu今年的营业利润最高可达9亿至9.88亿美元，这意味着根据研究人员的计算，Dunamu的估值可能高达179亿美元。分析人士还表示，Upbit最大的加密交易所竞争对手Bithumb也可能是一个很好的上市候选者。尽管如此，专家们一致认为，Coinbase的上市可能会促使韩国的交易平台采取行动。（Cryptonews ）[2021/4/17 20:29:54]

用户仍然可以访问连接到这些节点的前端来更新数据，例如发布新内容或进行购买。这些活动要求用户使用私钥签署交易，私钥通常由钱包管理，这种模式旨在保护用户控制和隐私。区块链上的交易完全透明、可公开访问且不可更改。

观点：加密货币可能是人类历史上最伟大的发明之一:今年比特币经历了强烈的波动，因为新冠肺炎震撼了市场。虽然这种波动让许多人对这个领域不感兴趣，但一些人表示，当前的宏观经济和地缘趋势使得比特币比以往任何时候都更加重要。

Uber、推特和Identity等公司的天使投资人、AngelList联合创始人兼董事长Naval Ravikant最近接受采访时提到他目前关于比特币、加密货币的想法。“我认为加密货币可能是人类历史上最伟大的发明之一，它们之所以有趣，是因为如果你看看科技行业，科技在不受监管的空间里发挥作用。”

他解释称，“从金融角度来看，2020年发生的最可怕的事情可能是共和党和民主党都认为，‘哦，实际上我们可以印很多很多的钱。当我们印刷1美元时，70%的通货膨胀冲击效应成本由世界其他地方承担，而不是由我们自己承担。所以美国政府已经解决了这个问题。’”他还提到，“我不想做价格预测，但我觉得现在的持有者比以往任何时候都要多。”（NewsBTC）[2020/10/17]

与任何系统一样，这种设计也有安全权衡。区块链不需要像Web2.0那样信任参与者，但更难进行更新以解决安全问题。用户可以保持对其身份的控制，但在发生攻击或密钥泄露时，没有中间人提供追索权。钱包仍然可能泄露以太坊地址之类的敏感信息——它仍然是软件，软件从来都不是完美的。

观点：BTC挖矿难度大降9.4%矿工重开矿机 或推动BTC价格回升:区块链研究平台Glassnode的联合创始人Rafael Schultze-Kraft发布的数据显示，在6月4日比特币网络挖矿难度大降9.4%至13.73T后，大批矿工重开矿机重返市场。而有分析认为对比特币价格有利。首先，这表明市场对“矿工投降”的恐惧思维不再特别明显。其次，链上数据显示，矿工仍在继续积累比特币，这减小了市场的抛售压力。[2020/6/7]

这些权衡理所当然地引发了重大的安全问题，但它们不应该阻碍web3的发展势头，实际上，它们不太可能。

再考虑一下Web1和Web2的相似之处。SSL/TLS的初始版本存在严重漏洞。早期的安全工具充其量只是初步的，随着时间的推移变得更加健壮。Web3安全公司和Certik、Forta、Slita和Securify等项目与最初为Web1.0和Web2.0应用程序开发的代码扫描和应用程序安全测试工具相当。

然而，在Web2.0中，安全模型的很大一部分是关于响应的。在web3中，事务一旦执行就无法更改，必须内置机制来验证事务是否应该首先发生。换句话说，安全必须非常善于预防。

这意味着Web3社区必须找出如何在技术上最好地解决系统性弱点，以阻止针对从加密原语到智能合约漏洞的所有新攻击向量。同时，至少有四项计划可以推进预防性web3安全模型：

一、漏洞的真相数据来源

对于已知的web3漏洞和弱点，需要有一个真相来源。如今，国家脆弱性数据库为脆弱性管理计划提供了核心数据。

Web3需要一个去中心化的等价物。目前，不完整信息散布在SWC注册表、Rekt、智能合约攻击向量和DeFi威胁矩阵等地方，诸如Immunefi运行的漏洞赏金程序旨在暴露新的弱点。

二、安全决策规范

web3中关键安全设计选择和个别事件的决策模型目前尚不清楚。权力下放意味着没有人对这些问题负责，这对用户的影响可能是巨大的。最近的Log4j漏洞等例子是将安全留给去中心化社区的警示故事。

需要更清楚地了解分散自治组织、安全专家、Alchemy和Infura等提供商以及其他人如何协作管理紧急安全问题。从大型开源社区如何组建OpenSSF和CNCF咨询小组，以及如何建立解决安全问题的流程中，可以得到一些适用的经验教训。

三、身份验证和签名

如今，大多数DAPP，包括最著名的DAPP，都不会对其API响应进行身份验证或签名。这意味着，当用户的钱包从这些应用程序检索数据时，在验证响应是否来自预期应用程序以及数据是否以某种方式被篡改等方面，存在差距。

在一个应用程序不采用基本安全最佳实践的世界里，由用户决定他们的安全态势和可信度，这几乎是不可能的任务。至少，需要有更好的方法向用户暴露风险。

四、更简单、用户控制的私钥管理

加密私钥奠定了用户在web3范式中进行交易的能力。众所周知，加密私钥也很难正确管理。目前已有整个业务围绕密钥管理而建立。

管理私钥的复杂性和风险是促使用户选择托管钱包，而非非托管钱包的主要考虑因素。然而，使用托管钱包会带来两个权衡：它们会产生新的“中介”，比如Coinbase，这有损于web3完全去中心化的方向；它们还限制了用户接触web3事物的能力。理想情况下，进一步的安全创新将为用户提供更好的可用性和对非托管场景的保护。

总结

值得注意的是，前两项计划更多地围绕人和流程展开，而第三和第四项计划将需要技术变革。让新技术、新兴流程和大量用户保持一致，是让了解web3安全性变得困难的原因。

与此同时，最令人鼓舞的变化之一是web3安全创新正在公开进行，我们永远不应该低估这会带来创造性的解决方案。

标签：WEBWEB3比特币UNAweb3币圈web3游戏公司最新比特币行情分析luna币还能涨回来吗

比特币热门资讯