原文作者:WeiLienDang
原文编译:阿法兔
UnusualCapital参投了Ebay、Instagram、Dropbox等项目;WeiLienDang是UnusualCapital的合伙人,也是云原生安全公司StackRox的联合创始人的联合创始人,他从投资和创业的角度,对Web3安全领域提出了一些思考,笔者给Wei的文章进行了一些注释,供大家共同探讨和思考。
互联网安全的演化
在Web1.0和Web2.0中,互联网安全随着应用架构的演化而改变,以协助全新的互联网经济模式的构建;在Web1.0时代,安全套接字协议是由网景公司开创的,逐步为用户浏览器和这些服务器之间提供安全通信。Web2.0时代如谷歌、微软、亚马逊这些大厂,和证书机构,在推动传输层安全方面发挥了核心作用,从某个角度来看,TLS是SSL的演化。
什么是SSL?
1994年,Netscape公司开发了SSL,起初它被设想为一个系统:主要是为了确保网络上客户端和服务器系统之间的安全通信。渐渐地,IETF采用了该协议并将其标准化。
美国特勤局将在Reddit上主持举办关于加密和金融安全的社区活动:金色财经报道,美国特勤局旧金山外勤办公室和湾区执法联合计算机小组 (REACT)将在社交媒体平台Reddit举办AMA社区活动,美国特勤局旧金山外勤办公室表示,他们的任务是保持加密货币领域的安全,因为该机构认为加密货币作为货币未来和全球金融基础设施中的一环具有重要性,他们也被授权以确保加密和金融安全。湾区执法联合计算机小组则将分享其工作职责,同时为加密货币社区提供资源和信息,以确保他们的资金安全,目前该小组已开始调查加密杀猪盘案件。(crypto.news)[2023/5/15 15:03:10]
啥是IETF?
互联网工程任务组,成立于1985年底,是一个由为互联网技术工程及发展做出贡献的专家自发参与和管理的国际民间机构,也是全球互联网的技术标准化组织,主要任务是负责互联网相关技术规范的研发和制定,当前绝大多数国际互联网技术标准出自IETF。
什么是TSL?
中币(ZB)关于GUCS抢购额度调整的公告:6月24日,中币(ZB)官网发布关于关于调整“GUCS折扣抢购”优惠活动的公告,原“GUCS折扣抢购”优惠活动抢购总额为100万USDT等值的GUCS,现应GUCS社区要求,将两轮抢购额度分别调整为:GUCS原来抢购额度分配:90%折扣为75万 USDT;95%折扣为25万 USDT。更改后:90%折扣为40万 USDT;95%折扣为60万 USDT。
单个账户两轮合计最高参与抢购的限额为2000 USDT。详情见官网公告。[2020/6/24]
TLS是安全传输层协议,继承了SSL3.0的特性,于1999年发布;
我们继续讲:从上面的数据看,2021年,对新的Web3安全公司的投资增加了10倍以上,一定程度上体现了安全对整个行业的必要性。
Web3的成功取决于创新的模式,特别是要解决不同应用架构所带来的全新的安全挑战。在Web3中,去中心化的应用程序或"dApps"的建立,并不依赖于Web2.0中存在的传统应用逻辑和数据层;在Web3时代,是由区块链、网络节点和智能合约的模式,管理去中心化互联网的逻辑和状态。
分析 | ADA涨近9% 与埃塞俄比亚政府支持关于ADA的加密计划有关:据ambcrypto文章分析,经过几天的横盘整理,随着比特币突破5350美元阻力位带动市场整体上涨,加密货币总市值再次突破1800亿美元大关,其中Cardano (ADA)在前10名中表现出了客观的涨幅。ambcrypto分析认为,4月21日,ADA背后的IOHK公司的首席执行官Charles Hoskinson通过AMA会议告诉社区,已经与埃塞俄比亚政府签署了一份谅解备忘录。根据谅解备忘录,将与该国创新技术部合作建立数字支付系统。这种加密货币将首先提供给首都亚的斯亚贝巴的居民使用,然后扩展到该国的其他城市。ADA将主要用于公用事业和公共交通。[2019/4/23]
从用户的角度来说,仍然需要通过访问某个连接到这些节点的前端,从而进行交互,更新数据,一个场景就是:发布新内容或进行购买NFT等类似行为。这类用户行为,都需要使用私钥签署交易,私钥通常用钱包来管理,这种模式是为了保护用户的控制权和隐私。区块链上的交易是完全透明的,可以公开访问,并且是不可改变的。
动态 | 印度德里提交关于Coinsecure盗币案件的指控表:据Times of India报道,印度德里提交了一份关于Coinsecure盗币案件的指控表。提交的指控表围绕着Coinsecure首席安全官,他被视为主要嫌疑人之一。高级警官表示,基于数据,调查显示黑客是公司内部人员,查获的公司服务器和计算机仍在分析中。据此前报道,印度三大比特币交易所之一Coinsecure在官网发布公告称,该交易所438个BTC失窃,价值约330万美元。[2018/9/10]
Web3通常不需要像Web2.0那样要求行为被授权、验证,但带来的问题就是,通过进行系统更新升级,来解决安全问题的传统途径就比较困难。
我们继续说:Web3用户可以通过目前模式,保持对自己身份的控制和数据的所有权,但是同样也存在一定的问题:例如,不存在中介机构,在发生攻击或关键妥协时,为小白用户提供追索权
就这种层面而言,Web3钱包仍然有机会泄露敏感信息;软件就是软件,总会存在一定的漏洞和缺陷。
何玺研读周小川关于数字货币讲话:区块链创业者不要踩4条红线:资深媒体评论人,酷科技创始人何玺研读了周小川关于数字货币的讲话,提醒区块链创业者要注意:1.虚拟资产交易、兑换方面要特别注意;2.钻政策空子的区块链技术应用;3.影响金融稳定、与现行金融秩序相冲突的区块链创新;4.容易搞出“事情”的非可控创新。[2018/3/10]
所以,Web3的成功取决于如何在安全层面创新,从而解决不同应用架构所带来的新的安全挑战。
现状
对于个人所有权和数据主权的追求,也会引起了各类安全问题,但这些安全问题,不应该成为阻碍Web3的发展势头。
我们回顾一下历史:Web1.0和Web2.0的相似之处。最初版本的SSL/TLS存在严重的漏洞。早期的安全工具通常是初级的,随着时间的推移会进一步优化。从某个角度来看,Web3安全公司和项目,如Certik、Forta、Slithe和Securify,相当于最初为Web1.0和Web2.0应用开发的代码扫描和应用安全测试工具。
然而,在Web2.0中,安全模型的很重要的一部分是关于响应。在Web3中,交易一旦执行就无法改变,因此,安全的思路通常是,需要建立机制来验证交易是否应该具备安全的条件,继而进行,也就是说,安全必须在预防方面做得更好。
Web3社区必须要思考,如何从技术上进行规划,解决系统性的弱点,预防并组织新的攻击载体,这些攻击载体的目标,包括加密原生的问题和智能合约的漏洞等等。
以下有四个方向,可以推动Web3安全模式的预防。
真实来源的漏洞数据
对于已知Web3漏洞和弱点,需要有一个真实的来源。今天,已经有官方漏洞数据库为漏洞管理项目提供了核心数据。
Web3需要去中心化的数据对应工作,消除信息不对称。目前,不完整的信息,分散在像SWCRegistry、Rekt、SmartContractAttackVectors和DeFiThreatMatrix,Immunefi运行的Bug赏金计划就是为了更好地找到新的弱点。
规范的安全决策
Web3中,关键安全设计选择,和事件的决策模型目前还在探索中。去中心化意味着没有人能为这些问题负全部的责任,而这对用户的影响可能是巨大的。比如说,最近的Log4j漏洞,就是将安全问题留给去中心化的社区的一个警醒。
Log4j漏洞是个什么事情?
Java开源工具log4j2在去年12月,突然暴露了远程代码执行漏洞事件。Log4j2是一个应用于Java的开源日志组件工具,被很多包括谷歌、微软、亚马逊等等世界大厂、知名组织和企业广泛用于业务系统。
Log4j2由非营利组织Apache软件基金会的志愿者维护。
因此,需要进一步明确DAO、安全专家、诸如Alchemy和Infura等Web3基础设施提供商,和其他相关部门,到底如何合作,从而处理突发的安全问题。不过,可以参考大型开源社区组建OpenSSF和CNCF咨询小组,建立处理安全问题流程的经验。
认证和签名
目前市面上的多数dApps,很多都没有认证或对APIrespones的签名。这意味着,当用户的钱包从这些DApp中检索数据时,在验证这种respones是否来自预期的应用程序,以及数据是被篡改方面存在着风险。
在一个Dapp没有采用基本安全常规的最优途径的世界里,只能由用户自己,来确认它们的安全状况和可信度,这非常的难,确实需要有更好的方法来向用户提示风险。
更佳的密钥管理体验
密钥管理,是用户在Web3范式中进行交易的基础。密钥也是出了名的难以管理,很多加密业务已经并将继续围绕着密钥管理而进行。
管理私钥的复杂性和风险,也是促使用户选择托管钱包而不是非托管钱包的主要原因之一。不过,使用托管钱包会导致新的现象:导致新的"中介化产物"产生,如Coinbase,这样就会不利于Web3的完全去中心化的方向和理想;从一定程度也会限制了用户利用Web3所提供的所有优势的能力。理想情况下,进一步的安全创新将可以为用户提供更好的可用性保护非托管场景用户体验。
值得注意的是,前两项举措更多的是围绕着人和流程,而第三和第四项举措则需要新的技术变革。让新技术、全新的流程和大量的用户保持同步,是Web3安全的难点之一。
不过,有一点还是很鼓舞大家的:Web3安全创新是在公开、开源的环境下进行的,创造性的解决方案会在这样的场景产生。
*本文不构成任何投资上的建议。
*参考资料:1.https://techcrunch.com/2022/01/31/success-of-web3-hinges-on-remedying-its-security-challenges/
2.https://news.crunchbase.com/news/crypto-security-startups-vc-investment/
3.新智元-2021-12-27Log4j2漏洞闹大了
4.https://www.globalsign.com/en/blog/ssl-vs-tls-difference
区块链上的身份、交易等信息往往是以一串数字的形式呈现的,通过追踪某人的钱包地址就能够知道他的链上行为,这是加密世界独有的开放与透明.
1900/1/1 0:00:00親愛的ZT用戶:ZT創新板即將上線ONSTON,並開啟ONSTON/USDT交易對。具體上線時間如下:充值:已開啟;交易:2022年3月23日18:00;ONSTON項目簡介:ONSTON是一個.
1900/1/1 0:00:00Asacontentcreationincentiveprogram,theStarsofGate.ioCopyTradingEducationaimstoinviteandcultivatea.
1900/1/1 0:00:00一、项目介绍MetrixCoin-强大、安全的PoS加密货币Metrix是一种数字资产,专注于广泛采用和创建易于使用的应用程序.
1900/1/1 0:00:00金色财经报道,YugaLabs今日宣布以40亿美元估值完成新一轮4.5亿美元融资,本轮融资由a16z领投,AdidasVentures,AnimocaBrands,Samsung.
1900/1/1 0:00:00本文来自Banklesshq,原文作者:BenGiove,由Odaily星球日报译者Katie辜编译.
1900/1/1 0:00:00