Web3.0 提供了一個擺脫過去網絡安全錯誤的機會——意識到該技術潛力、思想開放的信息安全人士已經投入到其中。
隨著 Web3.0 迅速發展,作為一名信息安全從業者,我不禁越來越關注。科技行業的許多人仍然認為區塊鏈、加密貨幣和 NFT 是騙局,正在破壞經濟,并且注定要消亡。但這些技術的迅速普及、許多跨國公司的采用,更不用說拜登總統最近關于數字資產的行政命令——都表明 Web3.0 不僅僅只是一種流行詞。
我們信息安全社區不應該像 Web3.0 激進分子那樣行事,應該幫助 Web3.0 社區中那些沒有足夠資源來保護自己的人。撇開加密市場的炒作周期不談,我們有真正的機會來對 Web3.0 技術的方向和發展施加影響,現在是時候回顧 Web2.0 的安全“故障”,并利用這些經驗來創建更加持久的 Web3.0,以幫助普通人保持安全。沒有人值得被騙。
我第一次看到如此規模的去中心化創新,是 Napster,這是一個成立于 1999 年的點對點音頻流媒體服務提供商。
最近,“云”成為類似區塊鏈的流行詞。十年前,我和我的同事開玩笑說這個詞毫無意義:“沒有云,只有別人的電腦。”
今天,云計算已經變得比我們預測的要大得多。事實上,如果不專門研究特定供應商的平臺,就很難理解保護云技術所涉及的細微差別。我期待 Web3.0 會出現同樣的演變——從流行語到基礎互聯網技術。
好消息是區塊鏈是 Web3.0 的基礎,它提供了一個統一的基礎結構,可以幫助解決常見的安全問題,例如治理、訪問、完整性和可觀察性。區塊鏈技術允許創建“無需信任”和“無需許可”的環境,讓用戶能夠安全地相互交易,因為他們依賴于密碼學和高度可用、可擴展且經過實戰測試的代碼。
天啟資本首席交易員TraderT:高頻交易不止于技術指標,應多觀察和思考:7月2號19:00,合約帝金牌講師、天啟資本首席交易員TraderT做客MXC抹茶社區,就個人在數字貨幣合約市場的投資心得進行分享。
TraderT表示,投資主要分為三個步驟:倉位管理;嚴格的止損;嚴格的提款本金固定及充值紀律。交易員進行一次交易的判斷流程通常是制定計劃,包括預判行情、開單計劃、止盈止損的點位、突發事件下是否入場等綜合因素。每個人都有自己的哈姆雷特,每個人對于技術分析的理解都不同。我做高頻交易的思路是,作為“Day Trader”每天需要觀察什么,做什么,如何進行高頻交易,而不是完全通過技術指標去分析。[2020/7/2]
盡管現在很多公司在網絡安全方面的支出比以往任何時候都多,但我們幾乎每周都會聽到新的、轟動一時的數據泄露事件。與此同時,與其他技術領域(如云計算)相比,信息安全的創新已經萎靡不振。
信息安全領域普遍缺乏對人為因素的關注,用戶成為詐騙的犧牲品,例如點擊錯誤的鏈接,或者不知道如何保證自己上網的安全。以最近關于 Coinbase 超級碗廣告的爭議為例,該廣告以二維碼跳轉網站為特色。人們應該擔心掃描二維碼嗎?
同時,信息安全社區傾向于繼續依賴無效的防御措施,我們以前將防御網絡描述為 M&M 網絡:堅硬、酥脆的外圍與柔軟、融化、易受攻擊的內部。另一方面,敏感日志數據的集中化是每個功能性安全運營中心的核心能力,它會產生與監控相關的數據治理、合規性和道德問題,這些問題只會在規模上變得更糟。
聲音 | Gartner:首席信息官們需要開始思考區塊鏈的價值,以應對未來五年的挑戰:知名信息技術研究和分析公司Gartner今日發文稱,區塊鏈技術的機遇是巨大的,但首席信息官們(CIOs)需要了解該技術將如何影響其業務的關鍵部分。Gartner副總裁Rajesh Kandaswamy表示:“很少有企業部署了區塊鏈,但該技術可以顯著地影響廣泛的業務領域。區塊鏈技術的低使用率讓許多首席信息們認為他們還沒有必要采取行動。” Gartner在文中提到,首席信息官們需要開始思考區塊鏈能為他們的組織帶來什么價值,以及如何在未來五年應對挑戰。[2019/8/12]
我們能否在運營中心之間實現安全交易,而不會使隱私與安全相沖突?
最終,依靠分布式生態系統(如區塊鏈)的底層防御,要比試圖在使用私有集中式監控的易受攻擊的網絡更有效。
不使用 PoW、更高效的區塊鏈可以減輕對比特幣等系統能源消耗的擔憂。包括我自己在內的許多人都厭倦了等待以太坊長期計劃升級到不需要大量使用能源的共識機制,這使得目前使用以太坊對我們的星球來說是一個全面的壞選擇。盡管以太坊具有先發優勢,但其他區塊鏈已經出現了比以太坊或比特幣的工作量證明機制更環保的特性。例如,Solana 是一種碳中和區塊鏈,它使開發者能夠通過使用 Rust 編程語言實施的智能合約從一開始就建立安全性。使用 Rust 消除了所有類別的安全風險,并且可能是我們防止代碼漏洞的最佳工具之一。
聲音 | OK戰略副總裁徐坤:USDT是否在利用其影響力操縱市場 確實值得思考:今日,金色財經記者就“USDT增發”的問題對OK戰略副總裁徐坤進行了專訪,徐坤表示,穩定幣的核心在于信用,尤其對于法幣抵押型的穩定幣,必須確保每一枚代幣,背后要有相應的資產支撐。USDT在資產透明性方面所做的工作與其現有的體量相比是明顯不足的,這也是其頻頻被市場質疑的原因。USDT目前占據了很大的市場份額,有明顯的壟斷性,從對其每次增發時點進行市場復盤來看,確實與幣價波動有很強的關聯性。那么USDT是否在利用其影響力操縱市場,確實值得思考。[2019/7/10]
可能沒有比向用戶公開接口更好的方法來發現錯誤了。當攻擊者和防御者可以訪問相同的信息時,它會以一種更加注重預防的方式來平衡競爭環境。這將使信息安全行業能夠隨著時間的推移解決系統性弱點。
然而,今天沒有區塊鏈是完全去中心化的。真正的去中心化仍然是許多 Web3.0 愛好者的崇高目標——很少有人試圖解釋這樣的系統在實踐中的樣子。然而,無需信任和無需許可仍然是積極指導 Web3.0 生態系統中系統設計的關鍵原則。理想情況下,區塊鏈本身和部署到它的智能合約調解用戶之間的交易——而不是服務器上的不透明代碼,只能管理員看到。
區塊鏈可以讓我們通過使用密碼學來確認某些基本事實,當我們需要知道一些事情時,我們會在區塊鏈上查看。去中心化應用程序 (dApp) 開發人員被激勵在鏈上存儲數據,避免在鏈下執行關鍵計算,并不用開發個人錢包以外的訪問機制。這轉化為更高的數據完整性和更完整的輸入、計算和輸出的可觀察性。
聲音 | 郭宇航:Libra對中國金融監管最大的觸動是,將重新思考金融安全與金融創新的關系:6月24日訊,今日,在“火訊Facebook Libra周”線上沙龍上,中國區塊鏈應用研究中心理事長、星合資本董事長郭宇航表示,Facebook Libra同樣會引發美國聯邦與州政府之間的監管博弈。Libra被美國本土采用的難度比發展中國家的難度更大。Libra若被傳統的金融支付的基礎設施落后的小國所漠視和放任的話,會迅速構建一個新的金融帝國。呼吁政府能夠開放數字貨幣與資產的討論,并進行創新試驗的試驗田。Libra對中國金融監管最大的觸動是,將重新思考金融安全與金融創新的關系。[2019/6/25]
用戶需要對他們的數據擁有更大的主權,而開發人員則有興趣最大限度地減少數據收集以保護隱私。Web3.0 可以通過將密鑰的保管權轉移給用戶來幫助實現這些目標,從而使人們能夠更好地控制他們的數據。個人保管個人的密鑰,為用戶提供了在區塊鏈上維護其身份所有權的終極機會。盡管這與我們之前管理企業級網絡的方式不同,但我們應該歡迎這些新架構作為增強用戶能力的方式,同時降低與數據收集和訪問管理相關的組織風險。
但首先,我們更多的信息安全從業者需要克服最初不愿探索 Web3.0 技術的問題,要認識到 Web3.0 用戶應該得到安全,而不是詐騙。
Web3.0 時代的信息安全領域似乎正在發生變化,越來越多的信息安全工作、以及成功利用區塊鏈和智能合約漏洞造成的巨大損失都可以證明這一點。
聲音 | CFTC首席創新官:區塊鏈的發展使社會重新思考貨幣的性質:美國商品期貨委員會(CFTC)首席創新官兼LabCFTC的負責人Daniel Gorfine今日在美國眾議院農業委員會題為“加密貨幣:數字時代對新資產的監督”的聽證會上發表他的證詞時稱:“私有和公共區塊鏈的發展使社會重新思考貨幣的性質,人們的交易方式,以及我們如何更有效地參與監管,經濟和市場活動。有一件事是肯定的,我們誰都無法準確預測創新的發展方向,因此,我們有責任繼續學習并跟上變革的步伐。我們都有共同的目標,為市場帶來明確性和確定性,但也需要確保我們的方法是周到的,不要引導或阻礙這一創新領域的發展。雖然有些人可能會尋求立即建立‘亮線’,但倉促的監管聲明可能會錯過一些標志,產生意想不到的后果或未能捕捉到有關新產品結構的重要細微差別。”重要的是,不應急于弄清楚這一領域如何應用到證券法和商品監管框架。據悉,LabCFTC是美國商品期貨委員會的一項金融科技計劃。[2018/7/19]
由于標準化的網絡保險等緩解因素以及對公司沒有長期影響,Web2.0 中的公司通常可以對違規行為不屑一顧,但 Web3.0 組織不能忽視安全問題,一個錯誤可能導致損失數百萬美元,甚至由于資金全部流失而導致整個組織解散。
在這種背景下,Web3.0 中的漏洞賞金獎勵達到了驚人的數字。在最大的 Web3.0 漏洞賞金平臺Immunefi 的指南中,該公司表示:“一些信息安全人員、白帽黑客加入 Web3.0 之前,在 Web2.0 中受到了惡劣的待遇和過低的薪酬,他們將這種態度帶到了 Immunefi ——他們現在已經獲得以前更多的權利和尊重”。
正如著名黑客Jay Freeman最近因找到一個安全漏洞而獲得 200 萬美元賞金后所說:“然而,我們看到一個又一個加密項目試圖將其核心設計的審查成本外包給信息安全人員,而不是建立一個圍繞數學家、經濟學家和安全專家的團隊。”雖然政策和監管正在進行中,而且合規要求可能會與傳統金融領域的要求相匹配——但 Web3.0 行業也將出現與傳統金融領域相應的信息安全漏洞,這些最終必須由高度技術性的安全專家、長期戰略家應對,而不是當前的外部審計師和賞金系統。
安全公司 Hacken 在最近的一份報告中描述了其對 Web3.0 行業的展望,預計未來五年內的定期安全審計需求將不斷增加。
還有一種新興的“區塊鏈分析”或“區塊鏈調查”公司的利基市場,其名稱包括Chainalysis、CipherTrace(最近被萬事達卡收購)、Elliptic 和 TRM Labs(由 A16z、摩根大通、PayPal、Salesforce等公司資助)。這些公司使用專業軟件和人工分析師來分析、檢測和跟蹤區塊鏈的威脅,它們讓人想起 Mandiant 和 Foundstone 等早期 Web2.0 的網絡安全公司,這些公司隨著 Web2.0 的發展而迅速壯大。
前中央情報局局長 Mike Morell 在 2021年撰寫的題為《比特幣在非法金融中的使用分析》的報告中認為,“記錄比特幣交易的區塊鏈是一種未被充分利用的取證工具,執法部門和情報界可以更廣泛地使用它來識別和破壞非法活動。簡而言之,區塊鏈分析是一種高效的打擊犯罪和情報收集工具。”
區塊鏈是透明的、開放的,對于習慣于封閉數據庫和操作不透明的人來說,這是一種需要全新看待的事物。與典型的 Web2.0 公司相比,區塊鏈和加密公司往往不太關注知識產權保護。代碼通常是開源的,并根據公開的安全審計以激發用戶的信心。
Web2.0 安全實踐專注于處理后果,而不是一開始就避免它;Web3.0 的信息安全轉向代碼、工程和架構,專注于預防。
Web3.0 生態系統本質上更加開放,項目通常在 Discord、Twitter 上托管在社區中。兩個 Web3.0 項目經理 Lenny Rachitsky 和 Jason Shah 最近在一篇文章中描述了他們從原先的職業如何向 Web3.0 過渡,并呼吁應徹底擺脫當前的技術工作模式。他們認為缺乏監視/數據收集驅動的生態系統來支撐 Web3.0 、以及確保代碼在發布時盡可能無漏洞的必要性。
結果是,Web3.0 對信息安全、隱私和監視產生了一定的影響,信息安全專業人員對于在監管要求之前以及除監管要求之外建立行業標準至關重要。
不僅僅是看到潛力的人已經投身于 Web3.0 中,世界上一些最優秀的黑客已經在全職研究 Web3.0。例如:
信息安全專業人士應該熟悉各種“第一層”區塊鏈網絡,例如比特幣和以太坊,與信息安全領域特別相關的隱私幣,例如Monero和 Zcash,以及更多地了解加密貨幣、代幣、DeFi、NFT的含義。
信息安全專業人士需要盡早開始學習,以便在未來的安全案例和調查中具備加密貨幣知識。
以下是一些提示和資源,供那些尋求了解更多信息的人使用:
-查看編寫 Web3.0 研究的安全公司博客,以及那些認為 Web3.0 有可能賦予人們數字權力和自由表達的聲音。
-嘗試設置一個加密錢包并進行加密貨幣的轉入和支出,隨后查看區塊鏈以了解這些交易的原理。
-了解主要的智能合約平臺、它們的執行環境和相關的編程語言。想要建造 dApp?可以參考幾個 BuildSpace 的教程或加入像Developer DAO、Surge這樣的資源社區。查看 Github 上的區塊鏈特定安全存儲庫,例如awesome-ethereum-security 和 awesome-evm-security。
-參與幾個Immunefi上的開放賞金。
-想想如何監控各種區塊鏈的錢包,以及如何獲取這些數據。
-了解釣魚網站的常見載體和方法,尤其是 Discord 和 Twitter 上的威脅。了解 NFT 清洗交易和其他詐騙等危險信號。查看以前的大型黑客攻擊和最近的騙局。
-對于大型組織,請確保將加密貨幣處理納入安全事件響應計劃,并確保針對任何涉及加密行業的事件制定業務和技術程序。例如 Marsh 的勒索軟件指南既方便又全面。
信息安全沒有靈丹妙藥,區塊鏈也不例外,去中心化系統也同樣會面臨與其他計算機類似的風險。區塊鏈是一種本質上并不安全的網絡——但它確實為大規模安全交易奠定了基礎,而這種能力對于繼續擴展互聯網服務至關重要。
同樣值得注意的是,去中心化技術不會自動產生去中心化的權力,Web3.0 還有很長的路要走。安全專家可以通過促進在 Web3.0 系統中建立公平的權力結構、將安全和隱私置于系統的核心來提供幫助。
正如科技戰略家Scott Smith 和 Lina Srivastava 在斯坦福社會創新雜志上所寫的那樣:“如果 Web3.0 提供了解決 Web2.0 問題的機會,那它需要一個完整的價值體系。這意味著社會公益必須不僅是社會思潮的組成部分,而且也是任何新網絡或新技術架構的組成部分。”
盡管 Web3.0、區塊鏈具有明顯的潛力,但這些技術并沒有內在的能力來支撐人權或民主。信息安全從業者可以幫助它們整合積極的價值觀,作為保護互聯網用戶的愿景的延伸。一旦我們克服了在 Web3.0 領域工作的不情愿,相信我們一定可以做到這一點。
編譯 | 白澤研究院(已獲得原作者轉載授權)
Tags:WEBWEB3.0WEB3區塊鏈web3域名注冊web3.0幣現價多少錢web3游戲是什么意思區塊鏈dapp開發白富美
web3運動應用STEPN近日火爆加密社區,2022年3月21日晚STEPN團隊發文剖析了STEPN成功的關鍵。以下為文章內容在STEPN只有兩件事重要:I、社區;II、建設.
1900/1/1 0:00:00談到計算的未來,區塊鏈和量子計算是最引人入勝和最具爭議的兩個行業。 雖然區塊鏈在其實際應用中要先進得多 — — 包括創建個人和企業都可以使用的加密貨幣和密碼學 — — 但量子計算行業也在以驚人的.
1900/1/1 0:00:00數字藏品市場正持續火熱,繼阿里、騰訊等互聯網大廠早早布局之后,近期多家互聯網數字內容平臺、文藝界公司等紛紛開展數字平臺的研究與規劃。多家數字藏品平臺即將密集上線.
1900/1/1 0:00:00從文章結構看:雖然本文是針對具體Gamefi項目的深度研究,但邏輯清晰,結構明了,可讀性很強。文章在深入探索項目代幣經濟前,也為讀者簡明扼要地介紹了該項目的概況以及為什么選擇研究它.
1900/1/1 0:00:00移動支付網消息:4月2日,數字人民幣第三批試點地區公布,新增11個城市。當前,很多人對數字人民幣個人錢包比較關注,對公錢包表示“有些受傷”。其實,數字人民幣對公錢包也在“飛速成長”.
1900/1/1 0:00:003月23日消息,庫客音樂(KUKE.US)投資孵化的古典音樂NFT平臺KOLO.Market任命陳葦芬女士擔任藝術總監.
1900/1/1 0:00:00