作者:WeiLienDang,UnusualVentures普通合伙人,领导安全、基础设施软件和开发工具赛道的投资
来源:Techcrunch
编译:RichardLee,链捕手
在Web1.0和Web2.0中,安全模型随着应用程序架构的变化而变化,以帮助开启全新的经济。
在Web1.0中,安全套接字层由Netscape率先提出,用于在用户浏览器和这些服务器之间提供安全通信;受信任的Web2.0中介机构,如谷歌、微软、亚马逊和证书颁发机构,则在推动传输层安全的实现方面发挥了核心作用,TLS是SSL的继任者。
同样的情况也会发生在Web3上。这就是为什么去年对新的web3安全公司的投资增加了10倍多、总金额达到10亿美元以上的关键原因。
观点:上海升级完成后预计将存在约3亿美元ETH抛压:金色财经报道,Glassnode分析师Alice Kohn在其报告中表示,预计上海升级完成后将存在约17万枚ETH(价值约3.26亿美元)的抛压,,其中大约70,000枚ETH将来自接触质押的网络验证者,剩余100,000枚ETH抛压预计将来提取其质押奖励并在市场上出售的地址。[2023/4/12 13:59:56]
Web3的成功取决于创新的安全模型,它能解决不同应用程序架构带来的新型安全挑战。在web3中,去中心化的应用程序不依赖Web2.0中存在的传统应用程序逻辑和数据库层而构建,而是依靠区块链、网络节点和智能合约管理逻辑和状态。
用户仍然可以访问连接到这些节点的前端来更新数据,例如发布新内容或进行购买。这些活动要求用户使用私钥签署交易,私钥通常由钱包管理,这种模式旨在保护用户控制和隐私。区块链上的交易完全透明、可公开访问且不可更改。
观点:让用户能够真正理解隐私的重要性,才能推进产业发展:7月13日19:00,LatticeX中国区大使Jason、Oasis Network中国社区技术顾问Vic、Secret Network中国营销经理Kelvin、Findora内容负责人James参与了由ULink主办的“区块链技术不断前行的当下隐私充当着怎样的角色呢?”线上圆桌论坛。
Jason表示,区块链技术的公开、透明、不可篡改特性是把双刃剑,如果这个行业只有Token,隐私保护就是一个炒作的噱头,但如果区块链想要实现大规模使用,它承载的信息只会越来越多,数据之间的关联性会越来越多,这时数据的主权和保护问题便不可忽视,
Vic表示,滴滴事件给整个隐私行业带来了利好,从而推动用户对于整个隐私行业和数据保护意识的提升,让更多人意识到数据安全的重要性和必要性,也让更多的企业意识到数据获取需要在合法的范围内进行。
Kelvin表示,在DeFi世界中存在着抢先交易的问题,大型的抢购活动之前一些公司或个人就可以获取到大众的矿工费,从而利用机器人矿工费抢先完成交易,获取相应的利益,但这个隐私的暴露问题对于大多数人来说是不公平的。
James表示,我们需要通过现有案例分析、立法监管不断推进、大数据行业的自觉性、隐私从业者的推进与教育让用户能够真正理解隐私的重要性,才能推进产业发展。[2021/7/14 0:50:37]
与任何系统一样,这种设计也有安全权衡。区块链不需要像Web2.0那样信任参与者,但更难进行更新以解决安全问题。用户可以保持对其身份的控制,但在发生攻击或密钥泄露时,没有中间人提供追索权。钱包仍然可能泄露以太坊地址之类的敏感信息——它仍然是软件,软件从来都不是完美的。
观点:区块链可以消除互联网主要协议TCP/IP的基本安全缺陷:RSA Conference发布了一篇博文,建议将互联网的主要协议TCP/IP替换为区块链。该文章的作者、区块链支付公司RocketFuel的首席技术官Rohan Hall建议将互联网集中化,并对信用卡的增加负责。Hall认为,“区块链可以消除TCP/IP的基本安全缺陷。”
由于这些协议不是为大规模使用而设计的,它们缺乏保护数据不受攻击的安全条款。然而,这些天来,互联网已经加强了它的安全性,以弥补TCP/IP提供的保护的不足。霍尔认为,“区块链可以消除TCP/IP的基本安全缺陷。”[2021/7/5 0:26:57]
这些权衡理所当然地引发了重大的安全问题,但它们不应该阻碍web3的发展势头,实际上,它们不太可能。
观点:若数字支付系统设计不能确保隐私 则其从根本上是危险的:8月10日消息,针对加密社区一直谈论政府主导央行数字货币CBDC所涉及的隐私有关概念,美国程序员,自由软件活动家Richard Stallman表示,加密货币是一种特殊技术方法的使用。如果政府实施这种方法,并不认为这是矛盾的。但如果政府把它用作监控设备,则是邪恶的。如果数字支付系统被设计并不能确保隐私,那么它们从根本上是危险的。(Cointelegraph)[2020/8/10]
再考虑一下Web1和Web2的相似之处。SSL/TLS的初始版本存在严重漏洞。早期的安全工具充其量只是初步的,随着时间的推移变得更加健壮。Web3安全公司和Certik、Forta、Slita和Securify等项目与最初为Web1.0和Web2.0应用程序开发的代码扫描和应用程序安全测试工具相当。
然而,在Web2.0中,安全模型的很大一部分是关于响应的。在web3中,事务一旦执行就无法更改,必须内置机制来验证事务是否应该首先发生。换句话说,安全必须非常善于预防。
这意味着Web3社区必须找出如何在技术上最好地解决系统性弱点,以阻止针对从加密原语到智能合约漏洞的所有新攻击向量。同时,至少有四项计划可以推进预防性web3安全模型:
一、漏洞的真相数据来源
对于已知的web3漏洞和弱点,需要有一个真相来源。如今,国家脆弱性数据库为脆弱性管理计划提供了核心数据。
Web3需要一个去中心化的等价物。目前,不完整信息散布在SWC注册表、Rekt、智能合约攻击向量和DeFi威胁矩阵等地方,诸如Immunefi运行的漏洞赏金程序旨在暴露新的弱点。
二、安全决策规范
web3中关键安全设计选择和个别事件的决策模型目前尚不清楚。权力下放意味着没有人对这些问题负责,这对用户的影响可能是巨大的。最近的Log4j漏洞等例子是将安全留给去中心化社区的警示故事。
需要更清楚地了解分散自治组织、安全专家、Alchemy和Infura等提供商以及其他人如何协作管理紧急安全问题。从大型开源社区如何组建OpenSSF和CNCF咨询小组,以及如何建立解决安全问题的流程中,可以得到一些适用的经验教训。
三、身份验证和签名
如今,大多数DAPP,包括最著名的DAPP,都不会对其API响应进行身份验证或签名。这意味着,当用户的钱包从这些应用程序检索数据时,在验证响应是否来自预期应用程序以及数据是否以某种方式被篡改等方面,存在差距。
在一个应用程序不采用基本安全最佳实践的世界里,由用户决定他们的安全态势和可信度,这几乎是不可能的任务。至少,需要有更好的方法向用户暴露风险。
四、更简单、用户控制的私钥管理
加密私钥奠定了用户在web3范式中进行交易的能力。众所周知,加密私钥也很难正确管理。目前已有整个业务围绕密钥管理而建立。
管理私钥的复杂性和风险是促使用户选择托管钱包,而非非托管钱包的主要考虑因素。然而,使用托管钱包会带来两个权衡:它们会产生新的“中介”,比如Coinbase,这有损于web3完全去中心化的方向;它们还限制了用户接触web3事物的能力。理想情况下,进一步的安全创新将为用户提供更好的可用性和对非托管场景的保护。
总结
值得注意的是,前两项计划更多地围绕人和流程展开,而第三和第四项计划将需要技术变革。让新技术、新兴流程和大量用户保持一致,是让了解web3安全性变得困难的原因。
与此同时,最令人鼓舞的变化之一是web3安全创新正在公开进行,我们永远不应该低估这会带来创造性的解决方案。
链捕手消息,摩根大通周二宣布在Decentraland开设了一个虚拟空间OnyxLounge,名称来源于其专注于加密和区块链的部门Onyx,摩根大通声称是银行业第一家进入元宇宙的公司.
1900/1/1 0:00:00链捕手消息,DragonCity龙城的开发团队MetaverseLabs将于1月31日除夕夜在Decentraland上举办一场元宇宙盛会.
1900/1/1 0:00:00链捕手消息,据Cointelegraph报道,DAO创建平台Syndicate用户在3周内通过该平台创建450个DAO组织,超过全网DAO总数的10%.
1900/1/1 0:00:00链捕手消息,香港拟2023/24年之前引入新的加密货币监管计划。据悉香港金融管理局发布一份关于加密资产和稳定币的讨论文件,邀请业界和公众就有关的监管模式在今年3月31日或之前提出意见,预计会在今.
1900/1/1 0:00:00作者:MomirAmidzic,?InvestmentAssociate来源:IOSG_VC2021年,Web3.0进入大众视野并成为流行词汇,与此同时.
1900/1/1 0:00:00作者:MaggieHsu,a16z合伙人原标题:《Go-to-MarketinWeb3:NewMindsets,Tactics,Metrics》编译:Web3erLiu.
1900/1/1 0:00:00