買比特幣 買比特幣
Ctrl+D 買比特幣
ads

WEB:關于目前Web3安全的思考和方向_web3域名有什么用

Author:

Time:1900/1/1 0:00:00

UnusualCapital參投了Ebay、Instagram、Dropbox等項目;WeiLienDang是UnusualCapital的合伙人,也是云原生安全公司StackRox的聯合創始人(StackRox后來被RedHat收購,他從投資和創業的角度,對Web3安全領域提出了一些思考,筆者給Wei的文章進行了一些注釋,供大家共同探討和思考。

一組數據

本文3000字左右,閱讀時間18-25分鐘

先來看一組數據:

根據Crunchbase的數據,2021年,在該加密安全領域投資的風投資金已經超過10億美元。注意,這個數字在2020年,風險投資總額還不到1億美元。

圖片來源:Crunchbase

隨著加密市場的火熱,投資者已經開始關注安全性和合規性功能。??

國際清算銀行發布關于應對加密貨幣風險報告:金色財經報道,國際清算銀行 (BIS) 建議,在經歷了特別動蕩的一年之后,有關加密貨幣的當局可以采取三種不同的方法:監管、遏制或呼吁全面禁止該行業。 根據周四發布的關于應對加密貨幣風險的報告,全球央行行長們還提出了一種替代方案,即通過央行數字貨幣“鼓勵健全的創新” 。BIS 概述了這三種方法中每一種方法的優點和缺點,并指出可以將它們混合和匹配以應用于他們認為的不同風險。圍繞 FTX 崩潰和穩定幣 TerraUSD 崩潰的持續傳奇是引用的主要事件。

報告稱,如果沒有像中心化交易所這樣的“網關”,“加密貨幣將不得不依賴用戶使用私鑰在數字錢包中自行保管他們的資金”。禁止加密將是一種“極端選擇”并限制創新。國際清算銀行表示,禁止無邊界的去中心化活動很困難,而禁止中心化中介會更有效。但可能會將此類活動推向另一個司法管轄區,或將加密貨幣與傳統金融經濟隔離開來,并以類似于金融服務部門的方式對該部門進行監管。[2023/1/13 11:09:22]

互聯網安全的演化

萊特幣認證賬戶刪除關于沃爾瑪協議的推文:市場消息:萊特幣認證賬戶刪除關于沃爾瑪協議的推文。(金十)[2021/9/13 23:22:28]

在Web1.0和Web2.0中,互聯網安全隨著應用架構的演化而改變,以協助全新的互聯網經濟模式的構建;在Web1.0時代,安全套接字協議是由網景公司開創的,逐步為用戶瀏覽器和這些服務器之間提供安全通信。Web2.0時代如谷歌、微軟、亞馬遜這些大廠,和證書機構,在推動傳輸層安全方面發揮了核心作用,從某個角度來看,TLS是SSL的演化。

什么是SSL?

1994年,Netscape公司開發了SSL,起初它被設想為一個系統:主要是為了確保網絡上客戶端和服務器系統之間的安全通信。漸漸地,IETF采用了該協議并將其標準化。

啥是IETF?

互聯網工程任務組,成立于1985年底,是一個由為互聯網技術工程及發展做出貢獻的專家自發參與和管理的國際民間機構,也是全球互聯網的技術標準化組織,主要任務是負責互聯網相關技術規范的研發和制定,當前絕大多數國際互聯網技術標準出自IETF。

OKEx首席執行官:OKEx今日將有一些關于EOS和DeFi的重大更新:OKEx首席執行官Jay Hao發推稱,OKEx今日將有一些關于EOS和DeFi的重大更新,疑似將接入基于EOS區塊鏈的DeFi項目挖礦產品。注:此前,OKEx已接入了Uniswap、YFII及Curve挖礦產品。[2020/9/21]

什么是TSL?

TLS是安全傳輸層協議,繼承了SSL3.0的特性,于1999年發布;

我們繼續講:從上面的數據看,2021年,對新的Web3安全公司的投資增加了10倍以上,一定程度上體現了安全對整個行業的必要性。

Web3的成功取決于創新的模式,特別是要解決不同應用架構所帶來的全新的安全挑戰。在Web3中,去中心化的應用程序或"dApps"的建立,并不依賴于Web2.0中存在的傳統應用邏輯和數據層;在Web3時代,是由區塊鏈、網絡節點和智能合約的模式,管理去中心化互聯網的邏輯和狀態。

從用戶的角度來說,仍然需要通過訪問某個連接到這些節點的前端,從而進行交互,更新數據,一個場景就是:發布新內容或進行購買NFT等類似行為。這類用戶行為,都需要使用私鑰簽署交易,私鑰通常用錢包來管理,這種模式是為了保護用戶的控制權和隱私。區塊鏈上的交易是完全透明的,可以公開訪問,并且是不可改變的。

動態 | 2019夏季達沃斯明日開幕 議程中共有五場關于區塊鏈和加密貨幣議題的論壇:2019年7月1日,大連再次迎來“達沃斯時間”。在為期3天的議程中,共有五場關于區塊鏈和加密貨幣議題的論壇,分別圍繞在區塊鏈投資、區塊鏈慈善、區塊鏈基礎設施建設和區塊鏈供應鏈金融領域。[2019/6/30]

Web3通常不需要像Web2.0那樣要求行為被授權、驗證,但帶來的問題就是,通過進行系統更新升級,來解決安全問題的傳統途徑就比較困難。

我們繼續說:Web3用戶可以通過目前模式,保持對自己身份的控制和數據的所有權,但是同樣也存在一定的問題:例如,不存在中介機構,在發生攻擊或關鍵妥協時,為小白用戶提供追索權

水滴籌、水滴互助母公司關于區塊鏈代幣發行與交易活動的聲明:水滴公司近日發布聲明稱,水滴公司以及旗下業務所做的區塊鏈研究均為推動行業發展的科技應用探索,沒有一項與代幣發行有關。水滴公司從未以代幣投資或股權投資等直接或間接的任何形式參與發行代幣及交易活動,也未與任何機構和個人就此開展過任何合作,更未授權任何主體或個人在代幣活動中使用水滴公司與業務名稱或標識。[2018/3/27]

就這種層面而言,Web3錢包仍然有機會泄露敏感信息;軟件就是軟件,總會存在一定的漏洞和缺陷。

所以,Web3的成功取決于如何在安全層面創新,從而解決不同應用架構所帶來的新的安全挑戰。

現狀

對于個人所有權和數據主權的追求,也會引起了各類安全問題,但這些安全問題,不應該成為阻礙Web3的發展勢頭。

我們回顧一下歷史:Web1.0和Web2.0的相似之處。最初版本的SSL/TLS存在嚴重的漏洞。早期的安全工具通常是初級的,隨著時間的推移會進一步優化。從某個角度來看,Web3安全公司和項目,如Certik、Forta、Slithe和Securify,相當于最初為Web1.0和Web2.0應用開發的代碼掃描和應用安全測試工具。

然而,在Web2.0中,安全模型的很重要的一部分是關于響應。在Web3中,交易一旦執行就無法改變,因此,安全的思路通常是,需要建立機制來驗證交易是否應該具備安全的條件,繼而進行,也就是說,安全必須在預防方面做得更好。

Web3社區必須要思考,如何從技術上進行規劃,解決系統性的弱點,預防并組織新的攻擊載體,這些攻擊載體的目標,包括加密原生的問題和智能合約的漏洞等等。

以下有四個方向,可以推動Web3安全模式的預防。

四個方向

真實來源的漏洞數據

對于已知Web3漏洞和弱點,需要有一個真實的來源。今天,已經有官方漏洞數據庫為漏洞管理項目提供了核心數據。

Web3需要去中心化的數據對應工作,消除信息不對稱。目前,不完整的信息,分散在像SWCRegistry、Rekt、SmartContractAttackVectors和DeFiThreatMatrix,Immunefi運行的Bug賞金計劃就是為了更好地找到新的弱點。

規范的安全決策

Web3中,關鍵安全設計選擇,和事件的決策模型目前還在探索中。去中心化意味著沒有人能為這些問題負全部的責任,而這對用戶的影響可能是巨大的。比如說,最近的Log4j漏洞,就是將安全問題留給去中心化的社區的一個警醒。

Log4j漏洞是個什么事情?

Java開源工具log4j2在去年12月,突然暴露了遠程代碼執行漏洞事件。Log4j2是一個應用于Java的開源日志組件工具,被很多包括谷歌、微軟、亞馬遜等等世界大廠、知名組織和企業廣泛用于業務系統。

Log4j2由非營利組織Apache軟件基金會的志愿者維護。

因此,需要進一步明確DAO、安全專家、諸如Alchemy和Infura等Web3基礎設施提供商,和其他相關部門,到底如何合作,從而處理突發的安全問題。不過,可以參考大型開源社區組建OpenSSF和CNCF咨詢小組,建立處理安全問題流程的經驗。

認證和簽名

目前市面上的多數dApps,很多都沒有認證或對APIrespones的簽名。這意味著,當用戶的錢包從這些DApp中檢索數據時,在驗證這種respones是否來自預期的應用程序,以及數據是被篡改方面存在著風險。

在一個Dapp沒有采用基本安全常規的最優途徑的世界里,只能由用戶自己,來確認它們的安全狀況和可信度,這非常的難,確實需要有更好的方法來向用戶提示風險。

更佳的密鑰管理體驗

密鑰管理,是用戶在Web3范式中進行交易的基礎。密鑰也是出了名的難以管理,很多加密業務已經并將繼續圍繞著密鑰管理而進行。

管理私鑰的復雜性和風險,也是促使用戶選擇托管錢包而不是非托管錢包的主要原因之一。不過,使用托管錢包會導致新的現象:導致新的"中介化產物"產生,如Coinbase,這樣就會不利于Web3的完全去中心化的方向和理想;從一定程度也會限制了用戶利用Web3所提供的所有優勢的能力。理想情況下,進一步的安全創新將可以為用戶提供更好的可用性保護非托管場景用戶體驗。

值得注意的是,前兩項舉措更多的是圍繞著人和流程,而第三和第四項舉措則需要新的技術變革。讓新技術、全新的流程和大量的用戶保持同步,是Web3安全的難點之一。

不過,有一點還是很鼓舞大家的:Web3安全創新是在公開、開源的環境下進行的,創造性的解決方案會在這樣的場景產生。

Tags:WEBWEB3區塊鏈加密貨幣web3域名有什么用web3游戲平臺區塊鏈的核心是什么加密貨幣軟件

狗狗幣最新價格
PPL:國家文物局力推博物館藏品數字化 博物館NFT即將迎來新時代_NFTC幣

近日,國家文物局官方網站公布了部分人大建議的答復情況。其中在“關于制定數字化博物館建設長期發展規劃和實施條例的建議”答復中提到:“我局對加強博物館數字化建設的建議表示贊同,并將在《關于推進博物館.

1900/1/1 0:00:00
SYNC:使用zkSync參與Gitcoin捐贈:低Gas、二層交互記錄_zksync幣什么時候能買

Gitcoin第13輪捐贈開始了。捐贈Gitcoin不光是為了回饋和支持Web3.0,也有機會獲得項目方的空投,參與一下,也許就有福報.

1900/1/1 0:00:00
數字金融:標準化建設提升數字人民幣國際影響力_AIGO Protocol

提要 法定數字貨幣標準建設是一項開創性事業,也是一項系統工程,要積極構建各主體多元參與、協同聯動的建設機制,不斷提升我國法定數字貨幣標準建設水平和國際競爭力、話語權.

1900/1/1 0:00:00
GAL:讀懂Gala Games 傳統游戲人如何塑造鏈游版Steam?_GALAXY幣

GalaGames是如何工作的?GalaGames是一個區塊鏈游戲聚合平臺,游戲以及游戲內資產發行在以太坊上。未來,GalaGames計劃推出對游戲用戶和開發者更友好的游戲公鏈.

1900/1/1 0:00:00
KEN:dYdX的絕地反擊:從瀕臨倒閉到單日交易量20億美元_DYDX

原文標題:《TheHistoryofdYdX(sofar)》這是迄今為止dYdX的簡史。我認為對于任何對dYdX感興趣的人來說,這應該是一個很好的背景.

1900/1/1 0:00:00
UPS:搶占L2淘金熱 深度解析L2代幣經濟學_Tether EUR

前言 二層代幣要來了。 Arbitrum,Optimism,zkSync,Starkware——所有這些當前大熱的二層網絡都還沒有代幣!但這些二層網絡都增速飛快,目前已鎖定了數十億美元的TVL,

1900/1/1 0:00:00
ads