WEB:觀點：Web3安全的關鍵在于預防，四大方案構建創新安全模型_比特幣

作者：WeiLienDang，UnusualVentures普通合伙人，領導安全、基礎設施軟件和開發工具賽道的投資

來源：Techcrunch

編譯：RichardLee，鏈捕手

在Web1.0和Web2.0中，安全模型隨著應用程序架構的變化而變化，以幫助開啟全新的經濟。

在Web1.0中，安全套接字層由Netscape率先提出，用于在用戶瀏覽器和這些服務器之間提供安全通信；受信任的Web2.0中介機構，如谷歌、微軟、亞馬遜和證書頒發機構，則在推動傳輸層安全的實現方面發揮了核心作用，TLS是SSL的繼任者。

同樣的情況也會發生在Web3上。這就是為什么去年對新的web3安全公司的投資增加了10倍多、總金額達到10億美元以上的關鍵原因。

觀點：研究表明中本聰是一個人而非一個團隊的假設更加可信:研究表明，中本聰是一個人而不是一個團隊的假設更有說服力。Patoshi挖礦模式研究者Sergio Demain Lerner的最新研究表明，中本聰逐漸降低了隨機數（Nonce）的價值。重新挖掘揭示了Patoshi挖掘算法在掃描內部隨機數時，傾向于選擇較高的隨機數。這種趨勢表明隨機數正在減少，這與Satochi客戶端0.1版本相反。也就是說，當一起分析兩個子范圍時，隨機數失衡減少，這表明Patoshi是在并行掃描5個子范圍，但每個子范圍都是內部順序掃描。這與Patoshi部署第一個由50臺獨立計算機組成礦場的理論相矛盾，并支持了Patoshi只是在高端CPU上執行多線程的理論。如果Lerner理論正確，將使中本聰是一個人而不是一個團隊的假設更加可信。同時這也是對澳本聰（Craig Wright）的一次有力打擊，因為他曾多次表示，他使用數十臺計算機來挖掘早期區塊。（Cointelegraph）[2020/8/23]

Web3的成功取決于創新的安全模型，它能解決不同應用程序架構帶來的新型安全挑戰。在web3中，去中心化的應用程序不依賴Web2.0中存在的傳統應用程序邏輯和數據庫層而構建，而是依靠區塊鏈、網絡節點和智能合約管理邏輯和狀態。

觀點：比特幣波動性受抑制原因或是大量持有短期波動性期權的基金涌入市場:根據Skew提供的數據，BTC隱含波動率和實現波動率也出現了下沉，跌至2020年3月以來未曾見過的水平。7月10日，實際波動率降至3.2%，但隱含波動率保持在3.5%。

Blockhead Capital的執行合伙人Matt David Kaye表示，波動性受到抑制的原因可能是市場上大量持有短期波動性期權、尋求收益的基金涌入。對市場上的許多投資者來說，這些工具被宣傳為低風險、產生收益的工具。

隨著比特幣價格的鞏固，做市商正試圖通過不斷調整現貨風險來對沖風險。這導致了一個更緊的價差的產生，并擴展了6月份可預測的價格區間，因為他們以低價買回了比特幣，當比特幣價格稍有上漲時就出售了比特幣。因此，這些短線波動基金正在獲利，Kaye補充說，比特幣期權市場的風險被錯誤定價了。（AMBCrypto）[2020/7/11]

用戶仍然可以訪問連接到這些節點的前端來更新數據，例如發布新內容或進行購買。這些活動要求用戶使用私鑰簽署交易，私鑰通常由錢包管理，這種模式旨在保護用戶控制和隱私。區塊鏈上的交易完全透明、可公開訪問且不可更改。

觀點：比特幣巨鯨往往在交易所安靜的時候大量拋售BTC:分析人士指出，比特幣巨鯨們往往在交易所安靜的時候大量拋售BTC，以吸引眼球。CryptoQuant首席執行官Ki Young Ju表示，比特幣網絡的交易使用量和價格之間的長期相關性很大程度上反映了鯨魚的行為。資金流動比率(fund flow ratio)這一指標顯示了比特幣在鏈上的交易量。3月13日，BTC迅速跌至3600美元的低點，所有交易所的存取款網絡使用率達到24%，從那以后，價格上漲但該比率卻下降了。這意味著鯨魚在以低價隱蔽地積累，當交易所平靜時，巨鯨會出售BTC，并通過價格暴跌吸引其他投資者的關注。（Cointelegraph）[2020/6/17]

與任何系統一樣，這種設計也有安全權衡。區塊鏈不需要像Web2.0那樣信任參與者，但更難進行更新以解決安全問題。用戶可以保持對其身份的控制，但在發生攻擊或密鑰泄露時，沒有中間人提供追索權。錢包仍然可能泄露以太坊地址之類的敏感信息——它仍然是軟件，軟件從來都不是完美的。

觀點：新冠肺炎疫情正在影響比特幣礦業市場發展:3月30日消息，新冠肺炎正在影響比特幣礦業市場的發展狀況。F2Pool業務主管Thomas Heller表示，市場低迷已經使得一些比特幣礦商無法盈利。F2Pool已從客戶處（亞洲和歐洲）損失了10%的比特幣算力，而一些競爭對手可能損失已經接近30%。同時北美比特幣采礦業務也受到了影響，在加拿大油田經營比特幣礦場的Upstream Data創始人Steve Barbour表示，至少到目前為止，分配資源進行比特幣挖礦的公司較少。這些公司幾乎都在強調不要花錢節約成本，而Upstream Data是這些公司的服務商，雖然此前公司利潤一直在增長，本月持平，但預計下月盈利開始下降。與此同時，冠狀病危機正在威脅全球比特幣采礦硬件供應鏈。有伊朗礦工表示，其業務停滯正是因為比特幣采礦設備無法到達。此外，許多伊朗礦商正考慮將比特幣礦業遷往俄羅斯或其他擁有廉價電力的地方，因為伊朗政府目前正積極致力于對采礦業務征稅。（CoinDesk）[2020/3/31]

這些權衡理所當然地引發了重大的安全問題，但它們不應該阻礙web3的發展勢頭，實際上，它們不太可能。

再考慮一下Web1和Web2的相似之處。SSL/TLS的初始版本存在嚴重漏洞。早期的安全工具充其量只是初步的，隨著時間的推移變得更加健壯。Web3安全公司和Certik、Forta、Slita和Securify等項目與最初為Web1.0和Web2.0應用程序開發的代碼掃描和應用程序安全測試工具相當。

然而，在Web2.0中，安全模型的很大一部分是關于響應的。在web3中，事務一旦執行就無法更改，必須內置機制來驗證事務是否應該首先發生。換句話說，安全必須非常善于預防。

這意味著Web3社區必須找出如何在技術上最好地解決系統性弱點，以阻止針對從加密原語到智能合約漏洞的所有新攻擊向量。同時，至少有四項計劃可以推進預防性web3安全模型：

一、漏洞的真相數據來源

對于已知的web3漏洞和弱點，需要有一個真相來源。如今，國家脆弱性數據庫為脆弱性管理計劃提供了核心數據。

Web3需要一個去中心化的等價物。目前，不完整信息散布在SWC注冊表、Rekt、智能合約攻擊向量和DeFi威脅矩陣等地方，諸如Immunefi運行的漏洞賞金程序旨在暴露新的弱點。

二、安全決策規范

web3中關鍵安全設計選擇和個別事件的決策模型目前尚不清楚。權力下放意味著沒有人對這些問題負責，這對用戶的影響可能是巨大的。最近的Log4j漏洞等例子是將安全留給去中心化社區的警示故事。

需要更清楚地了解分散自治組織、安全專家、Alchemy和Infura等提供商以及其他人如何協作管理緊急安全問題。從大型開源社區如何組建OpenSSF和CNCF咨詢小組，以及如何建立解決安全問題的流程中，可以得到一些適用的經驗教訓。

三、身份驗證和簽名

如今，大多數DAPP，包括最著名的DAPP，都不會對其API響應進行身份驗證或簽名。這意味著，當用戶的錢包從這些應用程序檢索數據時，在驗證響應是否來自預期應用程序以及數據是否以某種方式被篡改等方面，存在差距。

在一個應用程序不采用基本安全最佳實踐的世界里，由用戶決定他們的安全態勢和可信度，這幾乎是不可能的任務。至少，需要有更好的方法向用戶暴露風險。

四、更簡單、用戶控制的私鑰管理

加密私鑰奠定了用戶在web3范式中進行交易的能力。眾所周知，加密私鑰也很難正確管理。目前已有整個業務圍繞密鑰管理而建立。

管理私鑰的復雜性和風險是促使用戶選擇托管錢包，而非非托管錢包的主要考慮因素。然而，使用托管錢包會帶來兩個權衡：它們會產生新的“中介”，比如Coinbase，這有損于web3完全去中心化的方向；它們還限制了用戶接觸web3事物的能力。理想情況下，進一步的安全創新將為用戶提供更好的可用性和對非托管場景的保護。

總結

值得注意的是，前兩項計劃更多地圍繞人和流程展開，而第三和第四項計劃將需要技術變革。讓新技術、新興流程和大量用戶保持一致，是讓了解web3安全性變得困難的原因。

與此同時，最令人鼓舞的變化之一是web3安全創新正在公開進行，我們永遠不應該低估這會帶來創造性的解決方案。

Tags：WEB比特幣WEB3ATOWeb3Gold比特幣行情走勢k線圖軟件web3游戲龍之島PLATO幣

DAI