Web3的成功取决于对其安全挑战的补救
在Web 1.0和Web 2.0中,安全模式随着应用架构的改变而改变,以帮助互联网释放全新的经济。在Web 1.0中,安全套接字层(SSL)是由网景公司开创的,为用户浏览器和这些服务器之间提供安全通信。受信任的Web2.0中介机构,如谷歌、微软、亚马逊和证书机构,在推动传输层协议安全(TLS)方面发挥了核心作用,TLS是SSL的继承者。
这就是为什么去年加密世界的投资者对新的web3安全公司的投资增加了10倍以上,超过10亿美元的关键原因。
web3的成功取决于创新,以解决不同应用架构所带来的新安全挑战。在web3中,去中心化的应用程序或 "dApps "的建立不依赖于Web 2.0中存在的传统应用逻辑和数据库层;相反,区块链、网络节点和智能合约被用来管理逻辑和状态。
用户仍然访问一个连接到这些节点的前端,以更新数据,如发布新内容或进行购买。这些活动需要用户使用他们的私钥签署交易,通常用钱包来管理,这种模式是为了保护用户的控制权和隐私。区块链上的交易是完全透明的,可以公开访问,并且是不可改变的(意味着它们不能被改变)。
像任何系统一样,这种设计有安全方面的权衡。区块链不需要像Web 2.0那样要求行为者被信任,但进行更新以解决安全问题比较困难。用户可以保持对其身份的控制,但不存在中介机构,在发生攻击或关键妥协时提供追索权(例如,Web 2.0供应商如何恢复被盗资金或重置密码)。钱包仍然可以泄露敏感信息,如以太坊地址 - 它仍然是软件,永远不会完美。
web3的成功取决于创新,以解决不同应用架构所带来的新的安全挑战。
这些权衡理所当然地引起了重大的安全问题,但它们不应该阻碍web3的发展势头,而且从实际情况来看,它们不太可能。
再考虑一下Web 1.0和Web 2.0的相似之处。最初版本的SSL/TLS存在严重的漏洞。早期的安全工具充其量是初级的,随着时间的推移变得更加强大。Web3安全公司和项目,如Certik、Forta、Slithe和Securify,相当于最初为Web 1.0和Web 2.0应用开发的代码扫描和应用安全测试工具。
然而,在Web2.0中,安全模型的很大一部分是关于响应。在Web3中,交易一旦执行就不能被改变,必须建立机制来验证交易是否应该首先发生。换句话说,安全必须在预防方面做得特别好。
这意味着web3社区必须弄清楚如何最好地从技术上解决系统性的弱点,以阻止新的攻击载体,这些攻击载体的目标包括从原始加密到智能合约的漏洞。同时,至少有四项举措可以推动web3安全模式的预防。
漏洞的真实来源数据
对于已知的web3漏洞和弱点,需要有一个真实的来源。今天,国家漏洞数据库为漏洞管理项目提供了核心数据。
Web3需要一个去中心化的对等物。目前,不完整的信息分散在SWC Registry、Rekt、Smart Contract Attack Vectors和DeFi Threat Matrix等地方。像Immunefi运行的Bug赏金计划就是为了浮现新的弱点。
安全决策规范
web3中关键安全设计选择和个人事件的决策模式目前还不清楚。去中心化意味着没有人拥有这些问题,而对用户的影响可能是巨大的。诸如最近的Log4j漏洞就是将安全问题留给去中心化的社区的警示性故事。
需要进一步明确去中心化的自治组织(DAO)、安全专家、Alchemy和Infura等供应商以及其他方面如何合作管理突发的安全问题。大型开源社区如何组建OpenSSF和CNCF咨询小组并建立处理安全问题的流程,都有适用的经验。
认证和签署
大多数dApps,包括最著名的dApps,今天没有认证或签署其API响应。这意味着,当用户的钱包从这些应用程序中检索数据时,在验证响应是否来自预期的应用程序以及数据是否以某种方式被篡改方面存在着差距。
在一个应用程序没有采用基本安全最佳做法的世界里,只能由用户来确定它们的安全状况和可信度,这实际上是一项不可能的任务。至少,需要有更好的方法来向用户揭示风险。
更容易的、由用户控制的密钥管理
密码钥匙是用户在web3范式中进行交易的基础。秘钥也是出了名的难以管理;整个业务已经并将继续围绕着管理秘钥而建立。
管理私钥的复杂性和风险是促使用户选择托管钱包而不是非托管钱包的主要考虑。然而,使用托管钱包会导致两种权衡:它们导致新的 "中介",如Coinbase,这有损于web3的完全去中心化的方向;它们限制了用户利用web3所提供的所有优势的能力。理想情况下,进一步的安全创新将为用户提供更好的可用性和对非托管场景的保护。
值得注意的是,前两项举措更多的是围绕着人和流程,而第三和第四项举措则需要技术变革。让新技术、新生的流程和大量的用户保持一致,是搞清楚web3安全的难点所在。
同时,最令人鼓舞的变化之一是,web3安全创新是在公开场合进行的,我们永远不应该低估这能带来创造性的解决方案。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場