月亮链 月亮链
Ctrl+D收藏月亮链
首页 > Coinw > 正文

WEB:Web3 安全风险令人生畏?应该如何应对?_coinweb交易所合法吗

作者:

时间:1900/1/1 0:00:00

Web3 和区块链的世界是否像听起来那样令人生畏?拜登竞选活动的首席事件响应官、前英特尔事件响应总监 Jackie Singh 采访了 Web3 安全从业人员,以了解他们对保护 Web3 技术的挑战和机遇的看法。

去年 12 月,当我在 S.T.O.P 公司的合伙人 Jason 意外收到加入 NFT 市场初创公司担任高级软件工程师的邀请时,我一开始很紧张。

决定在一个新行业从事可能不稳定的工作似乎令人生畏,尤其是作为一个有小孩的家庭。

尽管最近加密货币市场出现了波动,但我的担忧随着时间的推移而消失。Jason 的职业生涯转向 Web3,也让我更加了解了他的工作,包括所有用户的无许可使用、通过 Github 设计开源代码、与第三方开发者公开合作以及与 NFT 艺术家建立合作伙伴关系。与他之前在传统金融领域的工作相比,这是一个令人耳目一新的变化!

实话说,我知道 Web3 社区具有强大的凝聚力,但作为一名信息安全专业人士,我也对广泛的、“技术解决方案主义”的风险以及阻碍 Web3 崛起的大规模违法行为存有疑问。

“许多 Web3 开发人员在他们的开发过程中优先考虑安全性,以防止漏洞,这很好,但还有更多工作要做,”网络安全公司 Mandiant 的高级主管 Robert Wallace 在一份自述文件中写道,“预防是前提,但检测和审计也是必要的。很高兴看到更多关于 Web3 中的威胁检测和响应方面的研究。”

孙宇晨:波场TRON正在成为引领Web3革命的关键角色:7月25日消息,波场TRON创始人、火币Huobi全球顾问委员会成员孙宇晨受邀出席了在日本举办的WebX大会,并发表《RWAs: TRON如何接近加密领域最令人垂涎的宝藏》主题演讲。

孙宇晨表示,在Web3.0新时代中,波场TRON正成为一个不可或缺的重要角色。作为活跃的并支持稳定币和RWA的生态系统,波场TRON为投资者和企业家们提供了更为广阔的探索空间。未来,波场TRON将继续引领RWA的前进,开创更加包容和繁荣的Web3时代。

据悉,波场TRON作为全球最受欢迎的Layer-1区块链协议之一,目前账户总数已超过1.74亿,且仍在保持稳步增长;其日均活跃地址数约为200万,日交易量为470万,远高于以太坊和比特币。此外,TRON还托管了最大流通量的USDT稳定币,其流通量占到USDT总全球供应的52%。[2023/7/25 15:58:06]

多年来,Wallace 与他的顾问团队一起应对了多家 Web3 公司的安全事件。他指出,利用智能合约的黑客已经带来了迄今为止最大的一些有关“DeFi”的黑客攻击。

“另一个挑战是对 Web3 开发人员的攻击,这些开发人员可能没有安全团队时刻监视系统,”Wallace 说,“这可能会引发密钥被盗,导致 Web3 公司甚至是中心化交易所发生巨额盗窃。”

我邀请了三位在 Web3 安全方面有经验的专家分享他们的一些见解,并解读他们的日常工作。

Crunchbase:Q1 Web3创企所获风投资金为17亿美元,同比下降82%:4月22日消息,据 Crunchbase 数据显示,今年一季度对 Web3 初创企业的风险投资同比下降 82%,从 2022 年第一季度的 91 亿美元下降到 17 亿美元。这是自 2020 年第四季度 11 亿美元以来的 Web3 融资低点,当时许多人从未听说过 Web3。在这种情况下,Web3 初创公司被定义为直接与加密或区块链技术(或两者兼而有之)合作的早期公司。此外,风投和 Web3 初创公司之间的交易总数也出现了显著下降,2023 年第一季度记录了 333 笔交易,同比下降约 33%。

报告指出,最近对 Web3 初创企业的兴趣有所降温,但它也强调,几乎每个领域的风险投资都在减少。Crunchbase 将 Web3 融资的下降归因于投资者在过去几个月里选择了规避风险的方式,风投在其最了解的行业——比如网络安全或 SaaS,而不是下一代互联网(Web3)的承诺中寻找机会。[2023/4/22 14:19:49]

Miles Nolan 是网络安全公司 Kudelski Security 的高级区块链安全分析师,该公司目前也将区块链包含在业务范围内。

您和您的团队在 Kudelski Security 做什么?

2023香港Web3嘉年华“Web3.0 Demo Day”公布首批16个入选项目:3月26日消息,由万向区块链实验室、HashKey Group联合主办,数码港作为支持单位的“Web3.0应用展示日(Demo Day)”分会场活动将于4月14日-15日香港Web3嘉年华活动期间在香港会议展览中心(Sub-stage1)举行,该活动由ETH VC和MetaWeb Ventures提供技术支持。

目前已确认加入的首批项目为0xScope、BCDEx、BlockSec、Chatpuppy、Coinsdo、Createra、dappOS、DeSchool、Gameland、Mail3、Opside、Pawnfi、PlutoStudio、Portkey、Voty、xBank,项目类型涵盖Web3基础设施、DeFi、社交媒体、游戏、公链等多条赛道。[2023/3/26 13:27:25]

Miles:

我在 Kudelski 的应用程序安全团队中担任区块链安全分析师。我们主要审计 Web3 应用程序和智能合约代码的漏洞。我个人从事智能合约审计/审查工作。

您是如何开始使用 Web3 的?

我在大学三年级时产生了兴趣。我获得了「管理信息系统」学位。那是在 2017 年,比特币出现了疯狂的“牛市”,DeFi 开始小范围出现。我对技术和金融的热情加上疯狂地炒作让我跳入了这个领域,并吸收了我能学到的任何知识。

Web3生物识别初创公司Reltime完成5000万美元融资,GEM Digital Limited参投:金色财经报道,挪威Web3生物识别初创公司Reltime宣布完成了一笔5000万美元融资,数字资产投资公司 GEM Digital Limited 战略投资,该公司表示计划利用这笔最新融资拓展全球Layer 1权威证明 Web3 金融生态系统,其中包括带有冷存储和数字 ID 的生物识别支付卡。Reltime 旗下 Web3 金融生态系统还包括:“存款证明”协议、Reltime 去中心化交易所和 NFT 市场、Web3 银行即服务解决方案、以及元宇宙软件开发包(Metaverse SDK)。Reltime 此前曾表示,其生物识别卡将首先在欧洲、日本、印度、墨西哥和巴西推出,然后再拓展到更广泛的全球市场。(biometricupdate)[2022/7/29 2:45:13]

对你来说,每天的工作是怎样的?

我是该领域大多数人所说的“智能合约审计员”。我大部分时间都在审查智能合约代码中的漏洞。在一个典型的工作日,我会在一天的第一个小时里审查/编写与我正在审计的项目无关的代码,这有助于我热身。我将在接下来的一个小时里查看与我正在使用的区块链相关的文档。Web3 中的事情每天都在变化,所以我必须保持了解。在一天的剩余时间里,我会一直审查智能合约代码中的各种错误。

您在该领域面临哪些挑战?

Immutable X与游戏平台Kongregate合作,将共同开发Web3游戏:2月21日消息,据 Play to Earn Online Magazine 报道,NFT Layer2 解决方案 Immutable X 与 Flash 休闲游戏平台 Kongregate 合作,双方将共同开发 Web3 游戏,并将于今年晚些时候发布两款基于区块链技术的 NFT 游戏。

Kongregate 曾是 GameStop 旗下的游戏平台,2017 年被 Modern Times Group 收购。此前报道,2 月 3 日,GameStop 宣布与 Immutable X 达成合作,二者将共同开发 NFT 交易平台,并推出 1 亿美元游戏基金,用于支持其生态系统中的 Web 3 游戏开发。[2022/2/21 10:06:14]

Miles:?

Web3 的发展速度非常快,当我第一次加入时,感觉就像我一直在追赶。

区块链或其他 Web3 技术是否提供了任何特定的技术能力,使信息安全任务更容易或更困难?

虽然有很多优点需要强调,但我必须指出一个痛点。区块链引入了一个竞争环境,攻击者实际上可以通过执行漏洞来获利。在 Web2 世界中,攻击者可以关闭一项主要服务、窃取一些数据、出售恶意软件/0-days 等,虽然这可能是有利可图,并且会给其他方造成资金损失,但不值得花时间和冒险实施这些类型的恶意行为。但是在 Web3 世界中,攻击者可以从一个漏洞中窃取 3 亿美元以上的资金。所以分布式账本技术固有地为安全专业人员带来了这些新的风险来应对。

Katelyn Perna 是 BlockFi 的安全战略和数字资产托管副总裁,BlockFi 是一家总部位于美国的加密货币交易平台,提供包括贷款和加密信用卡在内的各种金融产品。

您能给我们介绍一下您目前的角色吗?

Katelyn:

作为 BlockFi 的安全战略和数字资产托管副总裁,我负责构建我们的安全计划。

安全战略和数字资产托管团队主要负责确保 BlockFi 原生加密技术的安全性。团队拥有非常独特和专业的技能人才组合,涵盖网络安全、区块链技术、加密货币安全和托管,涵盖了几乎所有的数字资产。我们专注于加密货币安全、密码学、密钥管理、链上协议和 Web3 安全。

你的团队关注什么?

一直以来,我的日常工作主要集中在加密货币方面,可以是分析资产和各种链上协议,构建资产存储、托管和密钥管理的技术和解决方案,分析智能合约漏洞。

你是如何开始使用 Web3 的?是什么引起了你的兴趣?

在 Web3/区块链之前,我的背景是传统的网络安全。我第一次了解加密货币是在 2016 年,很快就被迷住了。当时我在为大型科技和银行公司从事网络工作,我很快意识到传统金融服务方面需要改进。

我看到了区块链技术和加密货币在科技和银行业方面的巨大潜力,可以让社会通过更少的第三方中介来管理他们自己的数据和资金,我想成为其中的一员。然而,建立新的资金、平台和文化并不容易,更何况很难安全、可靠地做到这一点。当我们专注于将权力和控制权交到用户手中时,我最感兴趣的是各种可能性以及不同的“社会面貌”。我告诉自己,我将在接下来的 5 年里从事区块链/加密货币领域的工作,然后看看情况如何。

你在该领域面临哪些挑战?

其中一个挑战是这是一项完全新兴的技术。区块链和加密货币出现的时间并不长,想想管理数十亿美元的资金会给这些公司的安全带来巨大的责任。

总的来说,我认为技术人才,尤其是安全方面的人才目前在 Web3 领域很稀缺。

进一步的挑战包括:

用户和机构在 Web3 领域普遍缺乏教育和意识,造成了技术和安全方面的巨大知识差距。

确保管理数十亿美元所需的真正安全。没有捷径。安全性可能因资产和底层协议而异。这需要进行严格的调查和尽职的审查。

区块链互操作性和安全性具有挑战性,尤其是在智能合约逻辑和密钥管理方面。以可扩展的方式管理节点和保护节点也是一项重大挑战。

区块链或其他 Web3 技术是否提供了任何特定的技术能力,使信息安全更容易或更困难?

从 Web2 到 Web3 的转变带来了围绕安全、隐私的思维方式的巨大转变。

在 Web2,我们要让某人(银行、技术等)为我们做所有事情——我们所需要管理的只是一个密码,也许还有 2FA。

Web3 并非如此。如果你不知道自己在 Web2 中做什么,Web3 会更糟。自己管理自己的资产和数据,即成为自己的“银行”,听起来不错(而且确实如此),但你必须学会这些工作:必须了解如何管理钱包、私钥,并且必须考虑安全性。

对于 CeFi 或机构,这个工作需要提高 10 倍!( CeFi,即中心化金融,旨在通过传统金融的易用性和安全性提供与 DeFi 类似的收益。)

此外,Web3 生态系统的空投和有针对性的网络钓鱼行为依然会继续发展。

你会对不喜欢区块链技术的信息安全专业人士说些什么?

区块链技术其实并不是新事物,它只是以不同的方式融合了一些已经存在了几十年的不同技术。

Web3 支持更多的自主权和去中心化应用程序。这是一件好事。因为任何一家公司都不应该拥有用户的所有数据或金钱或任何东西。

安全始终是推动因素。

技术可以做很多事情,作为信息安全人员,我们应该尽最大努力确保它可以尽可能安全地被使用。

你会给对 Web3 感兴趣的信息安全专业人员提供的最重要的一条建议是什么?

永远不要只从表面上评判任何东西。仅仅因为有人说它是真的,并不能使它成为真的。没有人知道所有的答案,也没有人知道所有的一切。挑战自己和遇到的每一个人。Web3 行业需要信息安全。

Bobby Tonic 是一家数字支付公司的安全工程师。过去,他曾是安全公司 Trail of Bits 的顾问,在那里他领导了执行复杂安全审计的团队。

Web3 组织面临的最大挑战是什么?

Bobby:

在担任现职之前,我与各种各样的 Web3 组织都有过接触。我发现他们经常面临与传统组织类似的挑战。在这些挑战中,了解系统中使用的技术的复杂性以及能够确保其应用程序设计的正确性是最值得注意的两个。

对于 Web3 组织而言,未能成功应对这些挑战可能会产生灾难性后果,因为攻击者通常可以随时查看其系统和应用程序的源代码。

因此,Web3 组织开发其应用程序及其基础架构并将其提交给第三方安全研究公司进行审查已成为一种共识。这样做可以向客户承诺,应用程序的设计和实施已经过对抗性测试,并表明该组织对其未来客户的尽职与负责。

当今 Web3 最需要哪些信息安全研究?

在我看来,对于成熟的 Web3,信息安全最有影响力的研究是测试 Web3 系统和应用程序。我们作为第三方安全人员,代替开发人员关注设计上的安全环节,这样会节省时间,并加快后续的开发工作。

此外,Web3 通常要求开发人员为被测系统实现样板,导致他们需要花费时间建立测试系统,而不是用工具实际开发测试。我们在各种各样的测试技术中看到了这一点,比如模糊化、属性测试。这些问题极大地劝阻了大多数希望在日常开发工作中使用这些测试技术的开发人员。

并不是开发人员不想使用这些测试技术,或者他们不知道它们的存在,而是在使用它们时存在很多“摩擦”!

根据央行等部门发布的《关于进一步防范和处置虚拟货币交易炒作风险的通知》,本文内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。

标签:WEBWEB3区块链加密货币coinweb交易所合法吗Web3 Inu区块链通俗易懂的例子加密货币是不是局

Coinw热门资讯
元宇宙:?元宇宙办公 打工人的终极梦想_HBAY价格

文:章鱼哥细想一下自打元宇宙概念火热后,围绕着元宇宙应用的讨论就没有停止过。元宇宙的设计初衷绝不仅仅是成为一个虚拟现实应用程序那么简单,它对未来整个工作形式可能带来质的影响,我们可以在元宇宙中工.

1900/1/1 0:00:00
NFT:投资性大于游戏性 NFT游戏到底是不是门好生意_加密货币

从育碧推出NFT平台Quartz,到暴雪发放问卷询问玩家对“Play-to-Earn”模式的看法,再到SE总裁重申希望《最终幻想》发行商推出区块链游戏,近来,游戏大厂们似乎都对NFT提起了兴趣.

1900/1/1 0:00:00
ETC:金色观察|矿工转向以太坊经典 ETC能否接得住?_以太坊

继以太坊创始人 Vitalik Buterin 鼓励支持PoW的矿工转向以太坊经典(ETC)之后,DCG(Digital Currency Group)创始人也作出了类似呼吁.

1900/1/1 0:00:00
加密货币:一文解析虚拟币 “出海挖矿”的法律风险_加密货币市场总市值数量级

国内虚拟货币“挖矿”活动以2021年9月24日国家发改委等部委联合发布《关于整治虚拟货币“挖矿”活动的通知(发改运行〔2021〕1283号)》(以下简称“924通知”)为转折点.

1900/1/1 0:00:00
CRV:分析 20 个 veToken 生态系统协议 这种代币模型为何受欢迎?_Galaxy Toad Token

原文标题:《什么是 veTokenomics?20 个 veToken 生态系统协议分析》撰文:Ignas.

1900/1/1 0:00:00
NFT:从社交图谱出发 看看Web3.0在做什么?_INFTEE

作者:LD Capital Research出品:Jill社交图谱价值社交图谱是个人之间社会关系的映射,它反映了用户通过各种途径认识的人:家庭成员、工作同事、学校同学等.

1900/1/1 0:00:00