木星链 木星链
Ctrl+D收藏木星链
首页 > AVAX > 正文

WEB:关于目前Web3安全的思考和方向

作者:

时间:1900/1/1 0:00:00

Unusual Capital参投了Ebay、Instagram、Dropbox等项目;Wei Lien Dang是Unusual Capital的合伙人,也是云原生安全公司StackRox的联合创始人(StackRox后来被Red Hat收购,他从投资和创业的角度,对Web3安全领域提出了一些思考,笔者给Wei的文章进行了一些注释,供大家共同探讨和思考。

一组数据

本文3000字左右,阅读时间18-25分钟

先来看一组数据:

根据Crunchbase的数据,2021年,在该加密安全(Security&Regtech)领域投资的风投资金已经超过10亿美元。注意,这个数字在2020年,风险投资总额还不到1亿美元。

图片来源:Crunchbase

随着加密市场的火热,投资者已经开始关注安全性和合规性功能。? ?

互联网安全的演化

腾讯发布《关于违规采编发布财经类信息专项整治公告》,加大对虚拟货币交易等非法金融活动的打击力度:10月14日,腾讯发布新一期《关于清朗·商业网站平台和“自媒体”违规采编发布财经类信息专项整治的公告》。腾讯在公告中表示,公司积极响应国家网信办关于清朗·商业网站平台和“自媒体”违规采编发布财经类信息专项整治的工作部署,根据相关法律法规以及专项整治要求,聚焦8类问题,对违规发布财经新闻、歪曲解读经济政策、唱衰唱空金融市场、充当“黑嘴”博人眼球、造谣传谣、敲诈勒索等内容开展集中整治。10月7日至10月13日期间,共清理违规内容23124条,处置账号1463个。

在此轮查处过程中,腾讯提到,公司通过用户投诉和平台安全巡查,发现并处理了一批违规发布虚拟货币信息、鼓吹虚拟货币“挖矿”活动、歪曲解读国家政策的不良账号。

腾讯方面表示,将继续强化企业主体责任,加大对虚拟货币交易等非法金融活动的打击力度,针对虚拟货币交易等非法金融活动,一经发现核实,将对发布相关信息的账号进行从严处置,并及时向有关部门反映违法犯罪活动线索。同时,将持续清理违规财经信息,进一步规范网上财经信息传播秩序。(财联社)[2021/10/15 20:31:18]

在Web 1.0和Web 2.0中,互联网安全随着应用架构的演化而改变,以协助全新的互联网经济模式的构建;在Web 1.0时代,安全套接字协议(SSL)是由网景公司(A16Z创始人的之前的创业公司,以研发浏览器而闻名)开创的,逐步为用户浏览器和这些服务器之间提供安全通信。Web2.0时代如谷歌、微软、亚马逊这些大厂,和证书机构,在推动传输层安全(TLS:Transport Layer Security)方面发挥了核心作用,从某个角度来看,TLS是SSL的演化。

Bitget关于恢复BCH合约交易的公告:据官方公告,Bitget将在11月17日 15:00(新加坡时间)恢复BCH/USDT、BCH/USD合约交易和BCH币币交易。[2020/11/17 21:02:49]

什么是SSL(Secure Socket Layer)?

1994年,Netscape公司开发了SSL,起初它被设想为一个系统:主要是为了确保网络上客户端(Client)和服务器(Server)系统之间的安全通信。渐渐地,IETF(国际互联网工程任务组)采用了该协议并将其标准化。

啥是IETF?

互联网工程任务组,成立于1985年底,是一个由为互联网技术工程及发展做出贡献的专家自发参与和管理的国际民间机构,也是全球互联网的技术标准化组织,主要任务是负责互联网相关技术规范的研发和制定,当前绝大多数国际互联网技术标准出自IETF。

什么是TSL?

TLS是安全传输层协议,继承了 SSL 3.0的特性,于1999年发布;

我们继续讲:从上面的数据看,2021年,对新的Web3安全公司的投资增加了10倍以上,一定程度上体现了安全对整个行业的必要性。

孙宇晨就Justswap上线致币圈的公开信:关于变更为JST流动性挖矿奖励:据最新消息显示,波场TRON创始人兼BitTorrent CEO孙宇晨刚刚发布了就Justswap上线致币圈的公开信,孙宇晨表示:“停止针对于TRX持有者的月度JST空投奖励,变更为JST流动性挖矿奖励。停止对于TRX持有者的JST月度空投奖励,将极大的降低JST的市场流动量,提升JST价值,与此同时,我们将全部奖励用于流动性挖矿,鼓励锁仓TRX,BTT,JST等代币来获得JST奖励,具体活动细则将近期宣布,细则将全部公示!”[2020/8/19]

Web3的成功取决于创新的模式,特别是要解决不同应用架构所带来的全新的安全挑战。在Web3中,去中心化的应用程序或 "dApps "的建立,并不依赖于Web 2.0中存在的传统应用逻辑和数据层;在Web3时代,是由区块链、网络节点和智能合约的模式,管理去中心化互联网的逻辑和状态。

从用户的角度来说,仍然需要通过访问某个连接到这些节点的前端,从而进行交互,更新数据,一个场景就是:发布新内容或进行购买NFT等类似行为。这类用户行为,都需要使用私钥签署交易,私钥通常用钱包来管理,这种模式是为了保护用户的控制权和隐私。区块链上的交易是完全透明的,可以公开访问,并且是不可改变的。

分析 | Peter Schiff关于BTC将比黄金更早触及3000美元的看法有误:黄金支持者Peter Schiff最近表示,在黄金涨破3000美元前,BTC将先跌破该价位。CCN分析文章称,Schiff对比特币的看法是错误的,就像他以前对房地产市场崩盘的看法一样。美联储的扩张性货币政策稳步压低美元价值。这是特意设计的,因为它让人们花钱和投资,而不是紧紧抓住不放。John Maynard Keynes、Milton Friedman等主流经济学家都支持这一设计,认为它能刺激经济增长。正如Schiff和他研究过的奥地利经济学家指出的那样,弊端是繁荣和萧条的经济周期。随着货币扩张,对货币的狂热消费导致资本向高风险、非生产性投资和投机泡沫的错配。当市场调整价格以反映经济的真实价值时,就会出现崩盘。当房地产市场崩溃、大萧条导致世界经济低迷时,比特币并不存在。但如果已存在,人们可以想象,作为全球宏观对冲,有多少资本会流向它。比特币已证明自己是像黄金一样的避险资产,价格与股票无关。真正的问题是哪个先发生:3000美元的黄金现货价格,还是比特币达到2万美元历史高点?希望是后者。因为如果黄金价格在接下来几年翻番,就意味着将迎来又一次大衰退。(CCN)[2020/2/24]

Web3通常不需要像Web 2.0那样要求行为被授权、验证,但带来的问题就是,通过进行系统更新升级,来解决安全问题的传统途径就比较困难。(举个例子,下面是本兔放出来的勒索软件标本,WannaCry, 当年很多人看到它就会哭...不过通过Windows自带的更新,可以从一定程度防止这种情况)

公告 | DigiFinex关于开通NFSC/USDT交易对:DigiFinex (数字币) 团队将于6月29日18:00 在原有的NFSC/ETH的基础上新增NFSC/USDT交易对。[2018/6/29]

我们继续说:Web3用户可以通过目前模式,保持对自己身份的控制和数据的所有权,但是同样也存在一定的问题:例如,不存在中介机构,在发生攻击或关键妥协时,为小白用户提供追索权(例如,Web 2.0供应商会协助用户恢复被盗资金或帮助你重置密码)

就这种层面而言,Web3钱包仍然有机会泄露敏感信息;软件就是软件,总会存在一定的漏洞和缺陷。

所以,Web3的成功取决于如何在安全层面创新,从而解决不同应用架构所带来的新的安全挑战。

现状

对于个人所有权和数据主权的追求,也会引起了各类安全问题(因为个体对安全知识理解和熟悉层次的差异),但这些安全问题,不应该成为阻碍Web3的发展势头。

我们回顾一下历史:Web 1.0和Web 2.0的相似之处。最初版本的SSL/TLS存在严重的漏洞。早期的安全工具通常是初级的,随着时间的推移会进一步优化。从某个角度来看,Web3安全公司和项目,如Certik、Forta、Slithe和Securify,相当于最初为Web 1.0和Web 2.0应用开发的代码扫描和应用安全测试工具。

然而,在Web2.0中,安全模型的很重要的一部分是关于响应 (response)。在Web3中,交易一旦执行就无法改变,因此,安全的思路通常是,需要建立机制来验证交易是否应该具备安全的条件,继而进行,也就是说,安全必须在预防方面做得更好。

Web3社区必须要思考,如何从技术上进行规划,解决系统性的弱点,预防并组织新的攻击载体,这些攻击载体的目标,包括加密原生的问题( cryptographic primitives)和智能合约的漏洞等等。

以下有四个方向,可以推动Web3安全模式的预防。

真实来源的漏洞数据(Source-of-truth data for vulnerabilities)

对于已知Web3(项目)漏洞和弱点,需要有一个真实的来源。今天,已经有官方漏洞数据库为漏洞管理项目提供了核心数据。

Web3需要去中心化的数据对应工作,消除信息不对称。目前,不完整的(漏洞、风险暴露等)信息,分散在像SWC Registry、Rekt、Smart Contract Attack Vectors和DeFi Threat Matrix,Immunefi运行的Bug赏金计划就是为了更好地找到新的弱点。

规范的安全决策(Security decision-making norms)

Web3中,关键安全设计选择,和事件的决策模型目前还在探索中。去中心化意味着没有人能为这些问题负全部的责任,而这对用户的影响可能是巨大的。比如说,最近的Log4j漏洞,就是将安全问题留给去中心化的社区的一个警醒。

Log4j漏洞是个什么事情?

Java开源工具log4j2在去年12月,突然暴露了远程代码执行漏洞事件(恶意人士可以利用漏洞在受影响的系统上安装恶意软件)。Log4j2是一个应用于Java的开源日志组件工具,被很多包括谷歌、微软、亚马逊等等世界大厂、知名组织和企业广泛用于业务系统。

Log4j2 由非营利组织 Apache 软件基金会的志愿者维护。

因此,需要进一步明确DAO、安全专家、诸如Alchemy和Infura等Web3基础设施提供商,和其他相关部门,到底如何合作,从而处理突发的安全问题。不过,可以参考大型开源社区组建OpenSSF和CNCF咨询小组,建立处理安全问题流程的经验。

认证和签名(Authentication and signing)

目前市面上的多数dApps,很多都没有认证或对API respones的签名。这意味着,当用户的钱包从这些DApp中检索数据时,在验证这种respones是否来自预期的(真的而不是伪造的)应用程序,以及数据是被篡改方面存在着风险。

在一个Dapp没有采用基本安全常规的最优途径的世界里,只能由用户自己,来确认它们的安全状况和可信度,这非常的难,确实需要有更好的方法来向用户提示风险。

更佳的密钥管理体验(Easier, user-controlled key management)

密钥管理,是用户在Web3范式中进行交易的基础。密钥也是出了名的难以管理,很多加密业务已经并将继续围绕着密钥管理而进行。

管理私钥的复杂性和风险,也是促使用户选择托管钱包而不是非托管钱包的主要原因之一。不过,使用托管钱包会导致新的现象:导致新的 "中介化产物"产生,如Coinbase,这样就会不利于Web3的完全去中心化的方向和理想;从一定程度也会限制了用户利用Web3所提供的所有优势的能力。理想情况下,进一步的安全创新将可以为用户提供更好的可用性保护非托管场景用户体验。

值得注意的是,前两项(真实来源的漏洞数据和规范的安全决策)举措更多的是围绕着人和流程,而第三和第四项举措则需要新的技术变革。让新技术、全新的流程和大量的用户保持同步,是Web3安全的难点之一。

不过,有一点还是很鼓舞大家的:Web3安全创新是在公开、开源的环境下进行的,创造性的解决方案会在这样的场景产生。

标签:WEBWEB3JSTSSLWeBlockweb3币圈jst币价格SSL价格

AVAX热门资讯
CAKE:代币经济学思考:ve代币的缺点和替代方案

代币投票锁定已经风靡了一段时间。先是Curve首创,然后Ribbon、Yearn、Hundred Finance等协议都采用了这种模式。虽然这种方式有绝对的优势,但缺点却很少被谈及.

1900/1/1 0:00:00
加密货币:金色前哨 | 新加坡高等法院在盗窃案裁决中首次承认加密货币为财产

新加坡高等法院是该国最高法院的下级法院,已发布一项裁决,其中首次承认加密货币为财产,并对涉嫌盗窃的人授予所有权禁令.

1900/1/1 0:00:00
区块链:金色早报 | 以太坊联合创始人:对未来几个月发布以太坊2.0充满信心

头条▌以太坊联合创始人:对未来几个月发布以太坊2.0充满信心3月19日消息,以太坊联合创始人、ConsenSys创始人兼首席执行官Joseph Lubin(也称为Joe Lubin)最近在Cam.

1900/1/1 0:00:00
区块链:游戏开发者想推出Web3游戏 需要面临这7大挑战

介绍许多团队开始看到 web3 的潜力并开始进入该领域。 想法正在形成。 团队正在聚集在一起。 各种融资轮次正在关闭.

1900/1/1 0:00:00
WEB:在Web3世界 你的客户可能是一个算法

“以客户为中心”已经成为现代企业最重要的的文化基因。互联网的发展使得企业对客户进行了2B, 2C, 2G等等划分.

1900/1/1 0:00:00
Fantom:金色观察|一文读懂Fantom网络的设计原理

Fantom是一个高性能、可扩展、兼容EVM且安全的智能合约平台。Fantom的主网部署Fantom?Opera建立在Fantom的共识机制Lachesis之上.

1900/1/1 0:00:00