原文作者:WeiLienDang
原文編譯:阿法兔
UnusualCapital參投了Ebay、Instagram、Dropbox等項目;WeiLienDang是UnusualCapital的合伙人,也是云原生安全公司StackRox的聯合創始人的聯合創始人,他從投資和創業的角度,對Web3安全領域提出了一些思考,筆者給Wei的文章進行了一些注釋,供大家共同探討和思考。
互聯網安全的演化
在Web1.0和Web2.0中,互聯網安全隨著應用架構的演化而改變,以協助全新的互聯網經濟模式的構建;在Web1.0時代,安全套接字協議是由網景公司開創的,逐步為用戶瀏覽器和這些服務器之間提供安全通信。Web2.0時代如谷歌、微軟、亞馬遜這些大廠,和證書機構,在推動傳輸層安全方面發揮了核心作用,從某個角度來看,TLS是SSL的演化。
什么是SSL?
1994年,Netscape公司開發了SSL,起初它被設想為一個系統:主要是為了確保網絡上客戶端和服務器系統之間的安全通信。漸漸地,IETF采用了該協議并將其標準化。
Binance.US:SEC從未提供過關于平臺濫用客戶資產的證據:6月19日消息,Binance.US在推特上表示,美國證券交易委員會(SEC)從未提供過任何關于其濫用客戶資產的證據。事實上,本周早些時候,SEC的律師在法官的詢問下在法庭上承認,他們沒有證據表明發生過任何此類事情。這與該機構繼續試圖以任何方式扼殺加密行業是一致的,即使是提出沒有事實支持的指控。這場斗爭損害了我們的業務和聲譽,但沒有損害我們的斗志,以及我們捍衛自己免受不屬于我們司法系統的無端指控和“執法監管”策略的決心。我們期待繼續在法庭上為自己辯護。[2023/6/19 21:46:45]
啥是IETF?
互聯網工程任務組,成立于1985年底,是一個由為互聯網技術工程及發展做出貢獻的專家自發參與和管理的國際民間機構,也是全球互聯網的技術標準化組織,主要任務是負責互聯網相關技術規范的研發和制定,當前絕大多數國際互聯網技術標準出自IETF。
什么是TSL?
Yuga Labs贏得關于BAYC無聊猿知識產權訴訟案:金色財經報道,法庭文件顯示,BAYC 母公司 Yuga Labs 在知識產權訴訟中贏得對加利福尼亞藝術家 Ryder Ripps 及其 BAYC 仿盤項目 RR/BAYC 的簡易判決。
此前報道,Ryder Ripps 從 2021 年 12 月以來一直調查 BAYC 及其創建者 Yuga Labs,認為 BAYC 與互聯網納粹巨魔文化之間存在廣泛的聯系,并推出了 BAYC 仿盤 RR/BAYC 系列;去年 6 月 Yuga Labs 對 Ryder Ripps 提起訴訟,指控他們復制和銷售 Bored Ape Yacht Club (BAYC)系列 NFT 并貶低其原創產品。2 月 7 日,2 月 7 日,Yuga Labs 與為 Ryder Ripps 的 BAYC 仿盤 RR/BAYC 系列建立網站和智能合約的 Thomas Lehman 達成訴訟和解。[2023/4/22 14:19:51]
TLS是安全傳輸層協議,繼承了SSL3.0的特性,于1999年發布;
美國白宮:SBF去年造訪白宮主要是關于大流行病,也涉及加密相關的一般信息:1月4日消息,針對SBF在2022年期間四次訪問美國白宮,白宮新聞秘書KarineJean-Pierre在周二的新聞發布會上回應,白宮官員與SBF之間的所有會議都主要集中在非營利性的大流行病防范計劃上,不過,對話也可能涉及到加密行業和加密貨幣交易所的“一般信息”。
根據最近公開的白宮記錄,SBF最近一次訪問白宮是在2022年9月9日,主要是游說立法者通過數字商品消費者保護法(DCCPA),以調整加密貨幣監管框架。(Decrypt)[2023/1/4 9:51:08]
我們繼續講:從上面的數據看,2021年,對新的Web3安全公司的投資增加了10倍以上,一定程度上體現了安全對整個行業的必要性。
Web3的成功取決于創新的模式,特別是要解決不同應用架構所帶來的全新的安全挑戰。在Web3中,去中心化的應用程序或"dApps"的建立,并不依賴于Web2.0中存在的傳統應用邏輯和數據層;在Web3時代,是由區塊鏈、網絡節點和智能合約的模式,管理去中心化互聯網的邏輯和狀態。
PraSaga關于將計算機操作系統置于區塊鏈上的方法獲得美國專利授權:9月7日消息,據美國專利商標局周二發布的一份最新公告稱,總部位于瑞士的區塊鏈初創公司PraSaga獲得了一項專利,將其名為“SagaOS”的操作系統安裝在區塊鏈上。標題為“包含一流對象模型和分布式賬本技術的系統可擴展區塊鏈對象模型”,該方法在美國專利號11436039B2涉及通過區塊鏈處理多個消息傳遞事物。
目前,智能合約只允許在任何給定時間處理一筆交易或一個動作。 然而,PraSaga聲稱其專利方法可以同時執行多個動作,而且數量更多。 SagaOS團隊表示,他們希望在原生SagaChain上建立一個操作系統,將智能資產的類樹和邏輯存儲到SagaChain 上的個人賬戶中。
該專利于2019年提交,歷時三年才獲得授權。PraSaga還沒有自己的公開交易代幣或主網。根據其路線圖,該公司計劃在2023年第二季度末完成這兩項任務。(Cointelegraph)[2022/9/7 13:13:44]
從用戶的角度來說,仍然需要通過訪問某個連接到這些節點的前端,從而進行交互,更新數據,一個場景就是:發布新內容或進行購買NFT等類似行為。這類用戶行為,都需要使用私鑰簽署交易,私鑰通常用錢包來管理,這種模式是為了保護用戶的控制權和隱私。區塊鏈上的交易是完全透明的,可以公開訪問,并且是不可改變的。
國際清算銀行研究人員:COVID-19將加劇關于CBDC的爭論:國際清算銀行(BIS)的研究人員認為,COVID-19可能會加速數字支付的采用,并加劇關于央行數字貨幣(CBDC)的爭論。研究人員在報告中表示,COVID-19正在改變公眾與現金的關系,盡管科學界一致認為,通過鈔票傳播新型冠狀病的可能性相對較小。研究人員稱,如果現金作為一種付款方式沒有被普遍接受,這將在有數字支付能力的人和沒有數字支付能力的人之間造成“支付差距”。研究人員承認,現金可能會因此而卷土重來,但這種大流行“也對建立CBDC有要求”。[2020/4/4]
Web3通常不需要像Web2.0那樣要求行為被授權、驗證,但帶來的問題就是,通過進行系統更新升級,來解決安全問題的傳統途徑就比較困難。
我們繼續說:Web3用戶可以通過目前模式,保持對自己身份的控制和數據的所有權,但是同樣也存在一定的問題:例如,不存在中介機構,在發生攻擊或關鍵妥協時,為小白用戶提供追索權
就這種層面而言,Web3錢包仍然有機會泄露敏感信息;軟件就是軟件,總會存在一定的漏洞和缺陷。
所以,Web3的成功取決于如何在安全層面創新,從而解決不同應用架構所帶來的新的安全挑戰。
現狀
對于個人所有權和數據主權的追求,也會引起了各類安全問題,但這些安全問題,不應該成為阻礙Web3的發展勢頭。
我們回顧一下歷史:Web1.0和Web2.0的相似之處。最初版本的SSL/TLS存在嚴重的漏洞。早期的安全工具通常是初級的,隨著時間的推移會進一步優化。從某個角度來看,Web3安全公司和項目,如Certik、Forta、Slithe和Securify,相當于最初為Web1.0和Web2.0應用開發的代碼掃描和應用安全測試工具。
然而,在Web2.0中,安全模型的很重要的一部分是關于響應。在Web3中,交易一旦執行就無法改變,因此,安全的思路通常是,需要建立機制來驗證交易是否應該具備安全的條件,繼而進行,也就是說,安全必須在預防方面做得更好。
Web3社區必須要思考,如何從技術上進行規劃,解決系統性的弱點,預防并組織新的攻擊載體,這些攻擊載體的目標,包括加密原生的問題和智能合約的漏洞等等。
以下有四個方向,可以推動Web3安全模式的預防。
真實來源的漏洞數據
對于已知Web3漏洞和弱點,需要有一個真實的來源。今天,已經有官方漏洞數據庫為漏洞管理項目提供了核心數據。
Web3需要去中心化的數據對應工作,消除信息不對稱。目前,不完整的信息,分散在像SWCRegistry、Rekt、SmartContractAttackVectors和DeFiThreatMatrix,Immunefi運行的Bug賞金計劃就是為了更好地找到新的弱點。
規范的安全決策
Web3中,關鍵安全設計選擇,和事件的決策模型目前還在探索中。去中心化意味著沒有人能為這些問題負全部的責任,而這對用戶的影響可能是巨大的。比如說,最近的Log4j漏洞,就是將安全問題留給去中心化的社區的一個警醒。
Log4j漏洞是個什么事情?
Java開源工具log4j2在去年12月,突然暴露了遠程代碼執行漏洞事件。Log4j2是一個應用于Java的開源日志組件工具,被很多包括谷歌、微軟、亞馬遜等等世界大廠、知名組織和企業廣泛用于業務系統。
Log4j2由非營利組織Apache軟件基金會的志愿者維護。
因此,需要進一步明確DAO、安全專家、諸如Alchemy和Infura等Web3基礎設施提供商,和其他相關部門,到底如何合作,從而處理突發的安全問題。不過,可以參考大型開源社區組建OpenSSF和CNCF咨詢小組,建立處理安全問題流程的經驗。
認證和簽名
目前市面上的多數dApps,很多都沒有認證或對APIrespones的簽名。這意味著,當用戶的錢包從這些DApp中檢索數據時,在驗證這種respones是否來自預期的應用程序,以及數據是被篡改方面存在著風險。
在一個Dapp沒有采用基本安全常規的最優途徑的世界里,只能由用戶自己,來確認它們的安全狀況和可信度,這非常的難,確實需要有更好的方法來向用戶提示風險。
更佳的密鑰管理體驗
密鑰管理,是用戶在Web3范式中進行交易的基礎。密鑰也是出了名的難以管理,很多加密業務已經并將繼續圍繞著密鑰管理而進行。
管理私鑰的復雜性和風險,也是促使用戶選擇托管錢包而不是非托管錢包的主要原因之一。不過,使用托管錢包會導致新的現象:導致新的"中介化產物"產生,如Coinbase,這樣就會不利于Web3的完全去中心化的方向和理想;從一定程度也會限制了用戶利用Web3所提供的所有優勢的能力。理想情況下,進一步的安全創新將可以為用戶提供更好的可用性保護非托管場景用戶體驗。
值得注意的是,前兩項舉措更多的是圍繞著人和流程,而第三和第四項舉措則需要新的技術變革。讓新技術、全新的流程和大量的用戶保持同步,是Web3安全的難點之一。
不過,有一點還是很鼓舞大家的:Web3安全創新是在公開、開源的環境下進行的,創造性的解決方案會在這樣的場景產生。
*本文不構成任何投資上的建議。
*參考資料:1.https://techcrunch.com/2022/01/31/success-of-web3-hinges-on-remedying-its-security-challenges/
2.https://news.crunchbase.com/news/crypto-security-startups-vc-investment/
3.新智元-2021-12-27Log4j2漏洞鬧大了
4.https://www.globalsign.com/en/blog/ssl-vs-tls-difference
根據VAIOT(VAI)官方團隊,由於$VAI項目受到黑客攻擊,$VAI進行代幣兌換。Gate.io現已經根據VAIOT官方團隊要求,完成$VAI的代幣兌換,並將開啓新代幣的交易市場.
1900/1/1 0:00:00尊敬的唯客用戶您好! 唯客歡鼓舞千金好禮獎不停 活動四:天天空投 活動方式: 活動期間每天抽出10位有完成合約交易的用戶隨機送8、18、38、68、88USDT,周一至周五不限幣種.
1900/1/1 0:00:00親愛的ZT用戶: ZT自助板即將上線FLAG,並開啟FLAG/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年3月22日18:00; FLAG 項目簡介:FlagNetwor.
1900/1/1 0:00:00一、項目簡介? Chhipscoin是一個ICO平臺,用戶可以通過多種功能來管理代幣銷售。它們旨在為投資者提供有效且用戶友好的儀表盤,以參與代幣銷售并獲取代幣.
1900/1/1 0:00:00關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
1900/1/1 0:00:001GalaxyBlitz(MIT)TokenSaleResultTheGate.ioStartupGalaxyBlitz(MIT)saleresultisasfollows:MITStartup.
1900/1/1 0:00:00