关于目前Web 3安全的思考和方向探索_WEB:APP

原文作者:WeiLienDang

原文编译:阿法兔

UnusualCapital参投了Ebay、Instagram、Dropbox等项目;WeiLienDang是UnusualCapital的合伙人,也是云原生安全公司StackRox的联合创始人的联合创始人,他从投资和创业的角度,对Web3安全领域提出了一些思考,笔者给Wei的文章进行了一些注释,供大家共同探讨和思考。

一组数据

先来看一组数据:

根据Crunchbase的数据,2021年,在该加密安全领域投资的风投资金已经超过10亿美元。注意,这个数字在2020年,风险投资总额还不到1亿美元。

图片来源:Crunchbase

随着加密市场的火热,投资者已经开始关注安全性和合规性功能。

互联网安全的演化

在Web1.0和Web2.0中,互联网安全随着应用架构的演化而改变,以协助全新的互联网经济模式的构建;在Web1.0时代,安全套接字协议是由网景公司开创的,逐步为用户浏览器和这些服务器之间提供安全通信。Web2.0时代如谷歌、微软、亚马逊这些大厂,和证书机构,在推动传输层安全方面发挥了核心作用,从某个角度来看,TLS是SSL的演化。

游戏化区块链资产平台Blocktrade获ABO Digital的1000万美元投资承诺:金色财经报道,区块链资产平台Blocktrade宣布已获得总部位于迪拜的战略融资合作伙伴ABO Digital的1000万美元投资承诺,该平台将利用新资金吸纳更多开发者、扩大其用户群并建立更多战略合作伙伴关系。Blocktrade成立于2018年,通过提供社交和游戏化的体验来促进加密货币交易并优化数字资产交易场景,此前在爱沙尼亚和意大利获得了虚拟资产服务提供商牌照。(fintech)[2023/7/18 11:02:38]

什么是SSL?

1994年,Netscape公司开发了SSL,起初它被设想为一个系统:主要是为了确保网络上客户端和服务器系统之间的安全通信。渐渐地,IETF采用了该协议并将其标准化。

啥是IETF?

互联网工程任务组,成立于1985年底,是一个由为互联网技术工程及发展做出贡献的专家自发参与和管理的国际民间机构,也是全球互联网的技术标准化组织,主要任务是负责互联网相关技术规范的研发和制定,当前绝大多数国际互联网技术标准出自IETF。

第111次以太坊核心开发者共识会议:计划在未来几周将EIP-7044等提案合并到Deneb规范中:6月19日消息,Galaxy研究副总裁Christine Kim发文总结第111次以太坊核心开发者共识会议,共识层团队讨论了Deneb升级的最终范围,验证者证明与聚合期限的潜在变化,以及将最大有效验证人余额从32枚ETH增加到2048枚ETH的建议。首先,开发者讨论了在Deneb中包含哪些以CL为中心的EIP,Teku开发者Mikhail Kalinin围绕EIP-6988进行更新,该提案提出了一个代码更改,以防止强行从网络中弹出的slashed验证器被协议选为区块提议者。开发者还讨论了EIP-7044、EIP-7045与EIP-4788三个提案。其中,EIP-7044提出一个代码更改以改善质押者体验,确保签名的验证器退出永久有效。EIP-7045提出代码更改以加强网络的安全性,扩大证明槽的包含范围。EIP-4788提出一个代码更改,以改善质押者体验,它将公开信标链区块的根,其中包含EVM内部链状态信息,供DApp开发者的信任最小化访问。以太坊基金会研究员AlexStokes表示,计划在未来几周内将上述三个EIP合并到Deneb规范中,并鼓励CL客户端团队尽快对其进行审查。

同时,CL客户端团队已同意在下一个EIP-4844测试网Devnet6上测试增加的blob数量,并在两周内就此事做出最终决定。与围绕最大blob计数的讨论相关,Nimbus开发者arnetheduck提出了在上海升级后主网上增加区块重组的问题。arnetheduck提议考虑更改4秒的最后期限,以聚合验证者证明并通过网络发送它们,并决定进一步予以调查。以太坊基金会研究员MichaelNeuder提出取消32枚ETH质押上限,以帮助减少活跃验证者集的增长。开发者讨论了这一变化的潜在缺陷,以及将该提案与智能合约启动的部分和全部提款直接从EL中启动的可能性。开发者同意继续讨论在ETH Magicians和Discord上异步更改以太坊验证器有效余额的实施细节。此外,以太坊核心开发者就Holesky测试网启动进行了第一次协调电话会议,Holesky预计将在年底前取代现有的Goerli测试网。[2023/6/19 21:46:42]

什么是TSL?

为codeislight.eth提供6000 APE激励的提案获ApeCoin社区通过:金色财经报道,ApeCoin社区已通过了为智能合约开发者codeislight.eth提供6000 APE(约合2.5万美元)激励的提案,据悉codeislight.eth开发了质押合约gas优化解决方案,每天可为APE质押用户节省大量的gas费用资金,根据Dune Analytics数据显示,截至目前已节省179.14 ETH费用(按当前价格计算价值超过30万美元),预计未来三年将节省超过1500 ETH费用。据悉,本次投票的赞成票比例为65.87%,弃权票比例33.23%,反对票比例近0.9%。[2023/4/9 13:53:13]

TLS是安全传输层协议,继承了SSL3.0的特性,于1999年发布;

我们继续讲:从上面的数据看,2021年,对新的Web3安全公司的投资增加了10倍以上,一定程度上体现了安全对整个行业的必要性。

交易员预计:7月份联邦基金终端利率预期从此前的5.38%左右升至5.4%左右:金色财经报道,掉期交易员继续定价美联储可能在未来三次会议上将政策利率上调25个基点的预期。交易员预计,7月份联邦基金终端利率预期从早些时候的5.38%左右升至5.4%左右。[2023/2/24 12:27:45]

Web3的成功取决于创新的模式,特别是要解决不同应用架构所带来的全新的安全挑战。在Web3中,去中心化的应用程序或"dApps"的建立,并不依赖于Web2.0中存在的传统应用逻辑和数据层;在Web3时代,是由区块链、网络节点和智能合约的模式,管理去中心化互联网的逻辑和状态。

从用户的角度来说,仍然需要通过访问某个连接到这些节点的前端,从而进行交互,更新数据,一个场景就是:发布新内容或进行购买NFT等类似行为。这类用户行为,都需要使用私钥签署交易,私钥通常用钱包来管理,这种模式是为了保护用户的控制权和隐私。区块链上的交易是完全透明的,可以公开访问,并且是不可改变的。

金色晨讯 | 11月10日隔夜重要动态一览:21:00-7:00关键词:放弃收购FTX、Genesis、ArkInvest

1. Alameda从FTX.US交易所提取3700万美元的wBTC;

2. 知情人士:如没有新资金注入,FTX将申请破产;

3. Binance:根据尽职调查结果决定放弃收购FTX;

4. 支付平台Ping筹得1500万美元种子轮融资;

5. 报告:Genesis在对冲市场波动中损失约700万美元;

6. 数据:币安现货交易量占交易市场的71%;

7. 过去24小时Coinbase比特币流出量超过4万枚;

8. 美国调查FTX有关处理客户资金和贷款的问题;

9. ArkInvest购买2100万美元的Coinbase股票,抛售990万美元Robinhood股票。[2022/11/10 12:40:55]

Web3通常不需要像Web2.0那样要求行为被授权、验证,但带来的问题就是,通过进行系统更新升级,来解决安全问题的传统途径就比较困难。

我们继续说:Web3用户可以通过目前模式,保持对自己身份的控制和数据的所有权,但是同样也存在一定的问题:例如,不存在中介机构,在发生攻击或关键妥协时,为小白用户提供追索权

就这种层面而言,Web3钱包仍然有机会泄露敏感信息;软件就是软件,总会存在一定的漏洞和缺陷。

所以,Web3的成功取决于如何在安全层面创新,从而解决不同应用架构所带来的新的安全挑战。

现状

对于个人所有权和数据主权的追求,也会引起了各类安全问题,但这些安全问题,不应该成为阻碍Web3的发展势头。

我们回顾一下历史:Web1.0和Web2.0的相似之处。最初版本的SSL/TLS存在严重的漏洞。早期的安全工具通常是初级的,随着时间的推移会进一步优化。从某个角度来看,Web3安全公司和项目,如Certik、Forta、Slithe和Securify,相当于最初为Web1.0和Web2.0应用开发的代码扫描和应用安全测试工具。

然而,在Web2.0中,安全模型的很重要的一部分是关于响应。在Web3中,交易一旦执行就无法改变,因此,安全的思路通常是,需要建立机制来验证交易是否应该具备安全的条件,继而进行,也就是说,安全必须在预防方面做得更好。

Web3社区必须要思考,如何从技术上进行规划,解决系统性的弱点,预防并组织新的攻击载体,这些攻击载体的目标,包括加密原生的问题和智能合约的漏洞等等。

以下有四个方向,可以推动Web3安全模式的预防。

四个方向

真实来源的漏洞数据对于已知Web3漏洞和弱点,需要有一个真实的来源。今天,已经有官方漏洞数据库为漏洞管理项目提供了核心数据。

Web3需要去中心化的数据对应工作,消除信息不对称。目前,不完整的信息,分散在像SWCRegistry、Rekt、SmartContractAttackVectors和DeFi?ThreatMatrix,Immunefi运行的Bug赏金计划就是为了更好地找到新的弱点。

规范的安全决策Web3中,关键安全设计选择,和事件的决策模型目前还在探索中。去中心化意味着没有人能为这些问题负全部的责任,而这对用户的影响可能是巨大的。比如说,最近的Log4j漏洞,就是将安全问题留给去中心化的社区的一个警醒。

Log4j漏洞是个什么事情?

Java开源工具log4j2在去年12月,突然暴露了远程代码执行漏洞事件。Log4j2是一个应用于Java的开源日志组件工具,被很多包括谷歌、微软、亚马逊等等世界大厂、知名组织和企业广泛用于业务系统。

Log4j2由非营利组织Apache软件基金会的志愿者维护。

因此,需要进一步明确DAO、安全专家、诸如Alchemy和Infura等Web3基础设施提供商,和其他相关部门,到底如何合作,从而处理突发的安全问题。不过,可以参考大型开源社区组建OpenSSF和CNCF咨询小组,建立处理安全问题流程的经验。

认证和签名目前市面上的多数dApps,很多都没有认证或对APIrespones的签名。这意味着,当用户的钱包从这些DApp中检索数据时,在验证这种respones是否来自预期的应用程序,以及数据是被篡改方面存在着风险。

在一个Dapp没有采用基本安全常规的最优途径的世界里,只能由用户自己,来确认它们的安全状况和可信度,这非常的难,确实需要有更好的方法来向用户提示风险。

更佳的密钥管理体验密钥管理,是用户在Web3范式中进行交易的基础。密钥也是出了名的难以管理,很多加密业务已经并将继续围绕着密钥管理而进行。

管理私钥的复杂性和风险,也是促使用户选择托管钱包而不是非托管钱包的主要原因之一。不过,使用托管钱包会导致新的现象:导致新的"中介化产物"产生,如Coinbase,这样就会不利于Web3的完全去中心化的方向和理想;从一定程度也会限制了用户利用Web3所提供的所有优势的能力。理想情况下,进一步的安全创新将可以为用户提供更好的可用性保护非托管场景用户体验。

值得注意的是,前两项举措更多的是围绕着人和流程,而第三和第四项举措则需要新的技术变革。让新技术、全新的流程和大量的用户保持同步,是Web3安全的难点之一。

不过,有一点还是很鼓舞大家的:Web3安全创新是在公开、开源的环境下进行的,创造性的解决方案会在这样的场景产生。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-4:357ms