比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

關于目前Web3安全的思考和方向探索_比特幣

Author:

Time:1900/1/1 0:00:00

原文作者:WeiLienDang

原文編譯:阿法兔

UnusualCapital參投了Ebay、Instagram、Dropbox等項目;WeiLienDang是UnusualCapital的合伙人,也是云原生安全公司StackRox的聯合創始人的聯合創始人,他從投資和創業的角度,對Web3安全領域提出了一些思考,筆者給Wei的文章進行了一些注釋,供大家共同探討和思考。

互聯網安全的演化

在Web1.0和Web2.0中,互聯網安全隨著應用架構的演化而改變,以協助全新的互聯網經濟模式的構建;在Web1.0時代,安全套接字協議是由網景公司開創的,逐步為用戶瀏覽器和這些服務器之間提供安全通信。Web2.0時代如谷歌、微軟、亞馬遜這些大廠,和證書機構,在推動傳輸層安全方面發揮了核心作用,從某個角度來看,TLS是SSL的演化。

什么是SSL?

1994年,Netscape公司開發了SSL,起初它被設想為一個系統:主要是為了確保網絡上客戶端和服務器系統之間的安全通信。漸漸地,IETF采用了該協議并將其標準化。

英國財政委員會收集關于加密貨幣風險和機遇的公眾意見:7月13日消息,英國財政部已開始收集有關加密貨幣風險和機遇的公眾意見。財政委員會正在就加密貨幣作為法定替代品的潛力、加密貨幣對社會凝聚力的影響以及政府和監管機構是否準備好抓住加密貨幣帶來的機遇征求意見。意見提交截止時間為9月12日(當地時間)。

英國政府此前宣布,將在 8 月底前收集行業對 DeFi 稅的意見。(CoinDesk)[2022/7/14 2:11:34]

啥是IETF?

互聯網工程任務組,成立于1985年底,是一個由為互聯網技術工程及發展做出貢獻的專家自發參與和管理的國際民間機構,也是全球互聯網的技術標準化組織,主要任務是負責互聯網相關技術規范的研發和制定,當前絕大多數國際互聯網技術標準出自IETF。

什么是TSL?

TLS是安全傳輸層協議,繼承了SSL3.0的特性,于1999年發布;

我們繼續講:從上面的數據看,2021年,對新的Web3安全公司的投資增加了10倍以上,一定程度上體現了安全對整個行業的必要性。

美眾議院農業委員會將于5月12日就FTX關于清算客戶掉期交易的提議舉行聽證會:金色財經報道,美國眾議院農業委員會將于 5 月 12 日舉行聽證會,討論 FTX 關于直接清算客戶掉期交易的提議,以及它如何通過沒有傳統中介的情況下進行交易和清算的想法來證明“新票據交易所模式” 。眾議院農業委員會是監督商品期貨交易委員會 (CFTC)的國會小組,該委員會尚未宣布聽證會證人名單。

此前報道,CFTC 將在 5 月 25 日就同樣問題舉行公開圓桌會議,屆時該機構將邀請行業參與者、學者等參與討論。[2022/5/6 2:53:32]

Web3的成功取決于創新的模式,特別是要解決不同應用架構所帶來的全新的安全挑戰。在Web3中,去中心化的應用程序或"dApps"的建立,并不依賴于Web2.0中存在的傳統應用邏輯和數據層;在Web3時代,是由區塊鏈、網絡節點和智能合約的模式,管理去中心化互聯網的邏輯和狀態。

從用戶的角度來說,仍然需要通過訪問某個連接到這些節點的前端,從而進行交互,更新數據,一個場景就是:發布新內容或進行購買NFT等類似行為。這類用戶行為,都需要使用私鑰簽署交易,私鑰通常用錢包來管理,這種模式是為了保護用戶的控制權和隱私。區塊鏈上的交易是完全透明的,可以公開訪問,并且是不可改變的。

John McAfee三年前關于BTC的價格預測未能實現:三年前,加密貨幣倡導者、殺軟件之父John McAfee在推特預測BTC將在三年內價值超過50萬美元。不過這一預言未能實現,目前比特幣交易價格仍低于1萬美元,這是過去三個月來非常強勁的阻力位。或許人們可以質疑之前反彈的有效性,因為比特幣現在比以往任何時候都更具流動性,越來越多的機構投資者蜂擁而入,需求穩步上升,而山寨幣似乎也在做出積極反應。比特幣在市場的主導地位正在被山寨幣市場動搖,在預期的反彈之后,比特幣可能會進一步下跌。

有一些潛在的基本面不利于比特幣及其預期的下一波走勢。首先,新冠病大流行給企業和人們的日常活動帶來壓力。因此,看到更多人投資高度波動的市場和被認為有風險的市場(如加密資產)的可能性非常小。其次,比特幣是基于PoW機制開采,在監管機構推動清潔能源項目之際,比特幣因高能耗而受到影響。另一個可能壓制比特幣價格的主要原因是交易成本高,以及交易活動大量涌入導致處理速度慢。

McAfee的案例表明,價格預測,尤其是加密行業的價格預測無法得到保證,因為沒有人能單獨控制市場。幣安CEO評論稱,“這就是為什么我不做價格預測。”(Zycrypto)[2020/7/18]

Web3通常不需要像Web2.0那樣要求行為被授權、驗證,但帶來的問題就是,通過進行系統更新升級,來解決安全問題的傳統途徑就比較困難。

動態 | 韓國關于虛擬貨幣的請愿事件達到9354件:今日(6月27日)韓國青瓦臺國民請愿記事板中關于虛擬貨幣的請愿是9,354件,其討論群是339個。但是值得關注的是,國民請愿數量雖多,但是得到共鳴的極少。其中最吸引的是,一名虛擬貨幣交易所有關人員指出“在記事板中比起關于構造虛擬貨幣生態和區塊鏈技術開發等政策提案,更多的是關于要求政府因交易所受到黑客攻擊發生個人損失賠償。因虛擬貨幣價格上升得到利潤的時候不希望有政府用規定來干涉,價格下跌時讓卻讓政府負責”這一矛盾。[2018/6/27]

我們繼續說:Web3用戶可以通過目前模式,保持對自己身份的控制和數據的所有權,但是同樣也存在一定的問題:例如,不存在中介機構,在發生攻擊或關鍵妥協時,為小白用戶提供追索權

就這種層面而言,Web3錢包仍然有機會泄露敏感信息;軟件就是軟件,總會存在一定的漏洞和缺陷。

所以,Web3的成功取決于如何在安全層面創新,從而解決不同應用架構所帶來的新的安全挑戰。

OKEx關于PST開放充提的公告:OKEx公告,OKEx已經完成對PST合約更新的部署,所有PST代幣資產已切換至新合約之上,新合約的PST代幣充值提現服務已經開啟。[2018/6/12]

現狀

對于個人所有權和數據主權的追求,也會引起了各類安全問題,但這些安全問題,不應該成為阻礙Web3的發展勢頭。

我們回顧一下歷史:Web1.0和Web2.0的相似之處。最初版本的SSL/TLS存在嚴重的漏洞。早期的安全工具通常是初級的,隨著時間的推移會進一步優化。從某個角度來看,Web3安全公司和項目,如Certik、Forta、Slithe和Securify,相當于最初為Web1.0和Web2.0應用開發的代碼掃描和應用安全測試工具。

然而,在Web2.0中,安全模型的很重要的一部分是關于響應。在Web3中,交易一旦執行就無法改變,因此,安全的思路通常是,需要建立機制來驗證交易是否應該具備安全的條件,繼而進行,也就是說,安全必須在預防方面做得更好。

Web3社區必須要思考,如何從技術上進行規劃,解決系統性的弱點,預防并組織新的攻擊載體,這些攻擊載體的目標,包括加密原生的問題和智能合約的漏洞等等。

以下有四個方向,可以推動Web3安全模式的預防。

真實來源的漏洞數據

對于已知Web3漏洞和弱點,需要有一個真實的來源。今天,已經有官方漏洞數據庫為漏洞管理項目提供了核心數據。

Web3需要去中心化的數據對應工作,消除信息不對稱。目前,不完整的信息,分散在像SWCRegistry、Rekt、SmartContractAttackVectors和DeFiThreatMatrix,Immunefi運行的Bug賞金計劃就是為了更好地找到新的弱點。

規范的安全決策

Web3中,關鍵安全設計選擇,和事件的決策模型目前還在探索中。去中心化意味著沒有人能為這些問題負全部的責任,而這對用戶的影響可能是巨大的。比如說,最近的Log4j漏洞,就是將安全問題留給去中心化的社區的一個警醒。

Log4j漏洞是個什么事情?

Java開源工具log4j2在去年12月,突然暴露了遠程代碼執行漏洞事件。Log4j2是一個應用于Java的開源日志組件工具,被很多包括谷歌、微軟、亞馬遜等等世界大廠、知名組織和企業廣泛用于業務系統。

Log4j2由非營利組織Apache軟件基金會的志愿者維護。

因此,需要進一步明確DAO、安全專家、諸如Alchemy和Infura等Web3基礎設施提供商,和其他相關部門,到底如何合作,從而處理突發的安全問題。不過,可以參考大型開源社區組建OpenSSF和CNCF咨詢小組,建立處理安全問題流程的經驗。

認證和簽名

目前市面上的多數dApps,很多都沒有認證或對APIrespones的簽名。這意味著,當用戶的錢包從這些DApp中檢索數據時,在驗證這種respones是否來自預期的應用程序,以及數據是被篡改方面存在著風險。

在一個Dapp沒有采用基本安全常規的最優途徑的世界里,只能由用戶自己,來確認它們的安全狀況和可信度,這非常的難,確實需要有更好的方法來向用戶提示風險。

更佳的密鑰管理體驗

密鑰管理,是用戶在Web3范式中進行交易的基礎。密鑰也是出了名的難以管理,很多加密業務已經并將繼續圍繞著密鑰管理而進行。

管理私鑰的復雜性和風險,也是促使用戶選擇托管錢包而不是非托管錢包的主要原因之一。不過,使用托管錢包會導致新的現象:導致新的"中介化產物"產生,如Coinbase,這樣就會不利于Web3的完全去中心化的方向和理想;從一定程度也會限制了用戶利用Web3所提供的所有優勢的能力。理想情況下,進一步的安全創新將可以為用戶提供更好的可用性保護非托管場景用戶體驗。

值得注意的是,前兩項舉措更多的是圍繞著人和流程,而第三和第四項舉措則需要新的技術變革。讓新技術、全新的流程和大量的用戶保持同步,是Web3安全的難點之一。

不過,有一點還是很鼓舞大家的:Web3安全創新是在公開、開源的環境下進行的,創造性的解決方案會在這樣的場景產生。

*本文不構成任何投資上的建議。

*參考資料:1.https://techcrunch.com/2022/01/31/success-of-web3-hinges-on-remedying-its-security-challenges/

2.https://news.crunchbase.com/news/crypto-security-startups-vc-investment/

3.新智元-2021-12-27Log4j2漏洞鬧大了

4.https://www.globalsign.com/en/blog/ssl-vs-tls-difference

Tags:WEBWEB3比特幣加密貨幣Endless Web Worldsweb3.0幣現價多少錢比特幣實時行情加密貨幣是不是騙局3023

幣安app官網下載
Gate.io 非首發上線Startup項目Manchester City Fan Token(CITY)及免費認購規則公告(免費瓜分8,334 個CITY)_CITY

關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.

1900/1/1 0:00:00
BKEX 關于上線 VTX(Vector Finance) 并開放充值功能的公告_GLO

尊敬的用戶:?????????BKEX即將上線VTX,詳情如下:上線交易對:VTX/USDT??幣種類型:AVAX-C充值功能開放時間:已開放交易功能開放時間:2022年3月19日15:00提現.

1900/1/1 0:00:00
阿布扎比自由區就NFT規則征求意見_ADG

金色財經報道,阿布扎比全球市場(ADGM)監管機構周一在一份咨詢文件中發布了關于非同質代幣(NFT)的指南,試圖將數字資產納入其監管生態系統.

1900/1/1 0:00:00
法國巴黎銀行:區塊鏈有可能成為基金行業最具變革性的技術_CBD

據TradersMagazine3月16日消息,法國巴黎銀行證券服務公司分銷產品和解決方案主管PaulDaly和基金分銷高級全球產品經理CaroleMichel探討了DLT和代幣化將如何重塑基金.

1900/1/1 0:00:00
對話Filecoin創始人:未來有可能會產生第一個互聯網本土國家_WEB

本文由深潮TechFlow志愿者0xz整理編譯自DelphiPodcast對話協議實驗室創始人兼IPFS、Filecoin創始人JuanBenet.

1900/1/1 0:00:00
ByzantineDAO國際社區開啟新數字時代的共治方式_DAO

ByzantineDAO國際社區聯合AMMGLOBALMEDIALTD(亞洲心動娛樂)、MetaLife、BitkubCapitalCo.

1900/1/1 0:00:00
ads