关于目前Web3安全的思考和方向探索

原文作者:Wei Lien Dang

原文编译:阿法兔

Unusual Capital参投了Ebay、Instagram、Dropbox等项目;Wei Lien Dang是Unusual Capital合伙人,也是云原生安全公司StackRox联合创始人(StackRox后来被Red Hat收购,了解Red Hat可以看这一篇:从红帽公司的崛起聊聊开源商业模式)联合创始人,他从投资和创业的角度,对Web3作者对安全领域提出了一些思考Wei文章做了一些注释,供大家讨论和思考。

一组数据

先看一组数据:

根据Crunchbase2021年,该加密安全数据(Security&Regtech)该领域的风险投资已超过10亿美元。请注意,2020年风险投资总额不足1亿美元。

关于目前Web3安全的思考和方向探索-第1张图片-OKX官网

图片来源:Crunchbase

随着加密市场的普及,投资者已经开始关注安全性和合规性。

进化互联网安全

在Web 1.0和Web 2.0随着应用架构的演变,互联网安全发生了变化,以帮助构建新的互联网经济模式;在Web 1.0时代,避孕套接字协议(SSL)网景公司(A16Z创始人的之前的创业公司,以研发浏览器而闻名)开创的,逐步为用户浏览器和这些服务器之间提供安全通信。Web2.0谷歌、微软、亚马逊等大型工厂和证书机构正在促进传输层的安全(TLS:Transport Layer Security)从某种角度来看,它发挥了核心作用,TLS是SSL的演化。

什么是SSL(Secure Socket Layer)?

1994年,Netscape公司开发了SSL,起初,它被设想为一个系统:主要是为了确保网络上的客户端(Client)和服务器(Server)系统之间的安全通信。渐渐地,IETF(国际互联网工程任务组)采用协议并标准化。

啥是IETF?

互联网工程任务组成立于1985年底,是一家自发参与和管理互联网技术工程和发展的专家,也是全球互联网技术标准化组织,主要任务是负责互联网相关技术规范的研发和制定,绝大多数国际互联网技术标准IETF。

什么是TSL?

TLS继承 的是安全传输层协议SSL 3.01999年发布的特点;

继续说:从以上数据来看,2021年,Web3安全公司的投资增加了10倍以上,这在一定程度上反映了安全对整个行业的必要性。

Web3成功取决于创新模式,特别是解决不同应用架构带来的新安全挑战Web3去中心化应用程序或 "dApps "不依赖建立Web 2.0在Web3分散互联网的逻辑和状态由区块链、网络节点和智能合约模式管理。

从用户的角度来看,仍然需要访问连接到这些节点的前端进行交互和更新数据。一个场景是发布新内容或购买NFT类似的行为。这种用户行为需要使用私钥签署交易,通常由钱包管理,以保护用户的控制和隐私。区块链上的交易完全透明,可以公开访问,不可改变。

Web3一般不需要像Web 2.0这需要求行为得到授权和验证,但问题是传统的解决安全问题的方法更难通过系统更新升级。(例如,以下是兔子发布的勒索软件标本,WannaCry,很多人看到它就哭...不过通过Windows自带更新可以在一定程度上防止这种情况)

关于目前Web3安全的思考和方向探索-第2张图片-OKX官网

关于目前Web3安全的思考和方向探索-第3张图片-OKX官网

我们继续说:Web3用户可以通过当前模式保持身份控制和数据所有权,但也存在一些问题:例如,在攻击或关键妥协时,没有中介机构为小白用户提供追索权(例如,Web 2.0供应商将帮助用户恢复被盗资金或重置密码。

就这个层面而言,Web3钱包仍有机会泄露敏感信息;软件就是软件,总会有一些漏洞和缺陷。

所以,Web3成功取决于如何在安全层面上创新,从而解决不同应用架构带来的新安全挑战。

现状

追求个人所有权和数据主权也会导致各种安全问题(由于个人对安全知识的理解和熟悉程度的差异),但这些安全问题不应该成为障碍Web3发展势头。

回顾历史:Web 1.0和Web 2.0相似之处。原版本SSL/TLS有严重的漏洞。早期的安全工具通常是初级的,随着时间的推移会进一步优化。从某种角度来看,Web3安全公司和项目,如Certik、Forta、Slithe和Securify,相当于最初的Web 1.0和Web 2.0代码扫描和应用安全测试工具的应用开发。

然而,在Web2.0安全模型的重要组成部分是响应 (response)。在Web3一旦交易实施,它就不能改变。因此,安全的想法通常是建立一个机制来验证交易是否应该具备安全条件,然后进行,也就是说,安全必须在预防方面做得更好。

Web3社区必须考虑如何规划技术,解决系统的弱点,预防和组织新的攻击载体,包括加密原始问题( cryptographic primitives)以及智能合的漏洞等。

有四个方向可以推动Web3预防安全模式。

四个方向漏洞数据的真实来源(Source-of-truth data for vulnerabilities)

对于已知Web3(项目)漏洞和弱点需要真正的来源。今天,官方漏洞数据库为漏洞管理项目提供了核心数据。

Web3消除信息不对称需要分散的数据对应工作。目前,不完整的信息(漏洞、风险暴露等)分散在图像中SWC Registry、Rekt、Smart Contract Attack Vectors和DeFiThreat Matrix,Immunefi运行的Bug赏金计划是为了更好地发现新的弱点。

规范安全决策(Security decision-making norms)

Web3在中国,关键的安全设计选择和事件决策模型仍在探索中。分散意味着没有人能对这些问题负全部责任,这可能会对用户产生巨大的影响。例如,最近Log4j漏洞是对分散社区安全问题的警告。

Log4j漏洞是什么?

Java开源工具log4j2去年12月,远程代码执行漏洞事件突然暴露(恶意人士可以利用漏洞在受影响的系统上安装恶意软件)。Log4j2是应用Java开源日志组件工具广泛应用于谷歌、微软、亚马逊等世界大型工厂、知名组织和企业。

Log4j2 由非营利组织 Apache 软件基金会志愿者维护。

因此,需要进一步澄清DAO、安全专家,如Alchemy和Infura等Web3如何与其他相关部门合作,解决突发安全问题,基础设施提供商。但是,可以参考建立大型开源社区OpenSSF和CNCF建立处理安全问题的经验。

认证和签名(Authentication and signing)

目前市场上大多数dApps,许多人没有认证或正确API respones签名。这意味着当用户的钱包从这里来的时候DApp在检索数据时,验证这一点respones该应用程序是否来自预期(真实而非伪造),以及数据是否被篡改。

在一个Dapp在一个没有基本安全常规的最佳方式的世界里,用户很难确认自己的安全状况和可信度,真的需要更好的方法来提醒用户风险。

更好的密钥管理体验(Easier,user-controlled key management)

用户在密钥管理Web3范式中交易的基础。密钥也以难以管理而闻名,许多加密业务已经并将继续围绕密钥管理。

私钥管理的复杂性和风险也是用户选择托管钱包而不是非托管钱包的主要原因之一。然而,使用托管钱包会导致新现象:新 "中介化产物"产生,如Coinbase,这将是不利的Web3完全分散的方向和理想;在一定程度上限制了用户的使用Web3所有优势的能力。理想情况下,进一步的安全创新将为非托管场景的用户体验提供更好的可用性保护。

值得注意的是,前两项措施(真实来源的漏洞数据和标准化的安全决策)更多地围绕着人和过程,而第三和第四项措施需要新的技术变革。保持新技术、新流程与大量用户同步是的Web3安全难点之一。

然而,有一点非常鼓舞人心:Web3在开放、开源的环境下进行安全创新,创造性的解决方案就会在这样的场景中产生。