以下はこのオンラインサロンのテキスト版です。
Cassiel:簡単に自己紹介をお願いします。
張暁:皆さん、こんにちは。今日は Web3 のセキュリティ問題について皆さんと話し合うことができてとてもうれしいです。 zCloak Network は、簡単に説明すると、ゼロ知識証明に基づいたデジタル ID とプライバシー保護のインフラストラクチャです。Web3 時代にはユーザー データの自律性を真にユーザーに取り戻すことができることを願っています。このコンセプトに基づいて、zCloak はユーザーフレンドリーな開発と実装を行っています。自己管理された DID、検証可能なデジタル証明書、デジタル ID ウォレット、ローカルのゼロ知識証明計算などの一連のインフラストラクチャ。今夜は、当社のもう 1 つの新製品である Valid ID について、Web3 詐欺の回避と防止にどのように役立つかについて、徹底的に議論したいと考えています。
Tom: zCloak の招待に感謝し、私は香港理工大学経営学部金融技術センター傘下のデジタル資産シンクタンク DATT のディレクターを務めています。私の個人的な経歴は金融業界です。以前はニューヨークと香港の投資銀行で働いていました。現在はヘッジファンドを経営しています。現在、ブロックチェーンが博士課程の研究の方向性です。デジタル資産シンクタンクは、アジア地域全体のデジタル資産と情報技術産業の現状を調査、研究し、業界の専門家や学者とブロックチェーン技術を使用して経済的および社会的発展における実際的な問題を解決する方法について議論したいと考えています。同時に、香港金融管理局、香港財団、インベスト香港、サイバーポートなどの業界の政策立案者との協議結果も定期的に共有していきます。最後に、DATT を通じて、業界が交流しコミュニケーションを図る機会をさらに提供できることを願っています。
Turing: 皆さんこんにちは。私は Legal DAO の共同創設者、Tutu です。 Legal DAO は現在、世界的な弁護士リソースに基づいて Web3 コンプライアンス製品の開発に取り組んでいます。 Web3の構築に深く関与させていただき、グローバルなリーガルサービスを提供していきたいと考えております。当社は、ユーザーにより良い法的サポートを提供するために、基盤となるテクノロジーや AI テクノロジーを含む Web3 の新しいテクノロジーを継続的に統合してきました。さらに、zCloak などの業界で多くの友人もできました。今日も引き続き関連する問題について学び、議論できることを楽しみにしています。
Adam:皆さん、こんばんは。私は SharkTeam の共同創設者、Adam です。 SharkTeam は主に Web3 セキュリティ関連製品に従事しており、一方ではスマートコントラクト監査、他方ではチェーン上のリスクのセキュリティ警告、チェーン上のトランザクションとアドレスの監視と分析を含むチェーン上のセキュリティ分析に取り組んでいます。 、セキュリティ調査レポートなど。同時に、SharkTeam は Web3 プロジェクトや企業向けのセキュリティ サービスも提供し続けます。今日のディスカッションに参加できることを光栄に思います。
Cassiel:Web3 のセキュリティ問題はそれぞれの分野にどのような影響を与えるのでしょうか?最近、Twitter や Tg アカウントの盗難事件が多発しています。Web3 ユーザーにとって最も直接的な脅威はデジタル資産のセキュリティです。偶然にも、トム率いる香港理工大学デジタル資産シンクタンクは、デジタル資産と現在の情報技術業界の調査と研究を行っているので、まずトムに関連する経験に基づいた意見を共有してもらいますか?
Tom:私はこれまで投資銀行で多くの Web2 プロジェクトに携わってきましたが、Web2 の観点から見ると、問題は主にアプリケーション ロジックとデータ レベルで発生します。 Web3 は Web2 とは異なり、クロスチェーン、アイデンティティ、ウォレットなど、Web3 には分散型アプリケーションの多くのモードがあります。この種の継続的な対話と革新は、シナリオによってはセキュリティ上の問題を引き起こしやすいです。同時に、公開秘密鍵技術とデジタル ウォレットを幅広く適用することで、Web3 ユーザーのデータ自律性を保護し、トランザクション プロセスの透明性と改ざん防止を確保できますが、ここでセキュリティ上の問題が発生します。 DApps とプロトコルがアップグレードされましたが、どうすればよいでしょうか? ユーザー データとプライバシーのセキュリティを保護します。私たちの調査を通じて、Web1 と Web2 のセキュリティ問題は比較的初歩的なツールによって制限されていることがわかりました。Web3 の最大の問題は、トランザクションのセキュリティ問題を予防レベルで解決できないことです。私たちの研究と経験によれば、一般的にセキュリティの考え方は、トランザクションがセキュリティ条件を満たしているかどうかを検証する仕組みを確立することであるため、これらのシステム的なセキュリティの要件をどのように防止するかを専門家に尋ねたいと思います。技術レベルでの弱点 組織的な攻撃に対抗するには?ネイティブ暗号化、スマートコントラクトの脆弱性、その他の問題が含まれます。具体的には、次の方向性です。1 つ目は脆弱性データ、2 つ目はセキュリティの意思決定設計を行う方法、3 つ目は認証と署名、最後に鍵を作成する方法です。よりスムーズな管理とよりスムーズなユーザー エクスペリエンス? Web1 と Web2 の経験を吸収した後、Web3 では実際に多くのことができると思います。それが DATT が考え、模索してきたことです。
Cassiel:次に、アダムさんにセキュリティサービスの観点からお話を伺いたいと思います。
Adam:率直に言って、Web3 の現在の発展は非常に急速ですが、まだ非常に初期段階にあり、それは主に 3 つの場所に反映されています。1 つ目は、ビジネス形式が非常に初期段階にあり、誰もが DeFi に慣れ親しんでいるということです。すでにWeb3に存在しており、古い言葉ではありますが、開発されてまだ2年以上しか経っていませんが、最近ではNFTやGameFiなどの新しいフォーマットやその派生型が登場するなど、急速に発展しています。リスクと安全性の問題など、いくつかのビジネス面がもたらされます。そのため、Web3 の場合、非常に多くのビジネス フォームが、すべてのセキュリティ問題を解決するために特定のテクノロジに依存する必要はありません。 Web3 のマルチサービス モードに基づいて、そのセキュリティ予防措置は依然としてシステム エンジニアリングの方法で実行される必要があります。急速な発展と革新的なビジネス モデルだからこそ、攻撃ポイントはより広範囲かつオープンになり、秘密鍵、クロスチェーン インフラストラクチャ、ウォレット、アイデンティティ セキュリティなどすべてが攻撃される可能性があります。そのため、プロジェクト側としては、まずビジネス設計の初期段階でWeb2のようなビジネスセキュリティモデリングの概念を導入し、ビジネスレベルでリスクを計画・分離することが考えられます。
次に、技術的な観点から、プロジェクト当事者は標準化された開発実践技術プロセスを持っている必要があり、プロジェクト当事者はオンライン化する前にコードのフリーズについての認識を持っている必要があります。そうしないと、後の段階で複数の改訂と修正が行われた後、開発者が意図せずに多くのセキュリティ ホールを導入し、防止できないセキュリティ上の問題が発生する可能性があります。現時点では、多くのプロジェクト関係者や開発者にとって、スマート コントラクトの監査、DID アイデンティティ プライバシー セキュリティなどはすべてセキュリティ問題であると考えられているかもしれませんが、プロジェクトにとって、これらは一部にすぎません。
最後の側面は、運用レベルと緊急対応です。多くのプロジェクトが深夜に攻撃された後、発見したものの、夜になるとプロジェクト関係者と連絡が取れなくなり、攻撃されるプロジェクトとユーザー資産をただ見守ることしかできませんでした。緊急対応とセキュリティ セキュリティインシデント発生後の資産凍結や他のエコロジカルパートナーへの連絡をブロックするアクションなど、オペレーションが非常に遅い。健全な運営や緊急時の対応体制が確立されていないことも原因だ。最後に、現在の Web3 の発展は非常に早いものですが、ビジネス形態、技術レベル、運用レベル、緊急時対応レベルのいずれにおいても、完全なセキュリティ体制は確立されておらず、その後の構築にも共同で取り組む必要があります。
Cassiel:アダム氏はテクノロジーとビジネス、運営と緊急対応の観点から意見を共有し、その後全員で簡単なディスカッションを行い、チャン氏とチューリング氏もトム氏からの関連質問に答えるよう招待されています。
Turing:簡単に付け加えさせていただきたいのですが、あなたはこれまでにシステム上のセキュリティ問題について多くのことを話してきましたので、Legal DAO が法的な観点からいくつかのアイデアを提供してくれると思います。 Web3 に基づく一部の法的問題の進展がなぜ遅いのか疑問に思われるかもしれませんが、実際、それは伝統的な金融家や法律専門家が比較的短期間でブロックチェーンなどの新興テクノロジーに接触しているためです。問題の実装とその後の説明責任がなければ、全員が維持するためのコンセンサスを得ることが困難です。分析した結果、ID システムの欠如が、Web3 法律業界の発展が遅れている主な理由だと思います。 Web3 では住所を変えるだけでは本人が見つからないこともありますが、Web2 では ID カードがあれば本人が見つかるため、Web3 では ID システムが Web2 と比べて存在しないことが最大の違いです。その結果、評判や名声を効果的に蓄積することができず、Web3 世界全体で完全な賞罰メカニズムやビジネス システムを確立することができません。したがって、Web3 法律業界にとって、zCloak のようなパートナーと協力して、プライバシー保護に基づいた本人認証システムを段階的に確立することは、良いアクセスポイントであると思います。次に、張さんの御意見を伺いたいと思います。
張暁:共有してくれたツツと他のゲストに感謝します。個人的には非常に刺激を受けました。まず第一に、トムが前に言及したいくつかの質問に答えたいと思います。ブロックチェーンなどのインフラストラクチャは現在、ステーブルコインや他の金融機関にかかわらず、高い価値を持っています資産は依然としてチェーン上の現実世界の資産などですが、全体的な資産の安全性と投資家保護の観点からは確かに大きな問題があります。ブロックチェーン業界では、「キーではなく、コインでもありません。」というフレーズは誰もがよく知っています。", 秘密鍵が自分の管理下にない場合、お金が完全に自分のものにならない可能性が高くなります。オンチェーントランザクションやスマートコントラクトに基づく一部のインフラと同様に、トランザクションやブロックが生成されると、ハードフォークを行わない限りそれらを撤回することは非常に困難ですが、そのコストは非常に高くつくため、この環境下で取引を行うためには、ご自身のアカウントを慎重に使用してください。
先ほどトムがウォレットの問題について触れましたが、この業界においてウォレットは非常に重要なインフラだと思います。これは主に秘密鍵の管理に使用され、秘密鍵の安全性が資産の安全性を決定しますが、現時点では暗号化ウォレットの実用性は理想的ではありません。特定のコンピューター知識のない一般人にとって、公開鍵、秘密鍵、ニーモニック、導出パスなどのいくつかの専門用語は混乱を招くだけでなく、暗号化ウォレットを使用する敷居を目に見えず高めています。それは一般に公開されるべきです。したがって、現在多くの新世代ウォレットがユーザーエクスペリエンスを簡素化しようとしていますが、この種の適用性の向上は非常に良いことですが、実際には、セキュリティと適用性はある程度矛盾しており、通常は使いやすいほど、利便性、セキュリティが向上します。妥協した。たとえば、秘密鍵を管理するという観点から見ると、秘密鍵の管理が完全にユーザーの手に渡っている場合と、部分的にユーザーの手に渡っている場合とでは、セキュリティが異なる必要があります。したがって、ウォレット業界に関しては確かにある程度の進歩が見られますが、関連するセキュリティについては時間の試練に耐えて判断する必要があります。
トムが言及したチェーン上の資産セキュリティに関するもう 1 つの問題は、元の暗号化された業界資産に加えて、徐々に多くの現実世界の資産がチェーン上に存在することです。契約の形式は NFT または 100 の場合もあります。現実世界には何トンもの石油が存在します。これらの資産が連鎖した後は、所有権、監査、セキュリティ、保険、そして法的な観点から誰がそれを承認するかが非常に重要です。したがって、チェーン上の資産の信頼性の認証と識別は非常に必要です。
アダム氏はまた、セキュリティ問題は全体的な問題であり、スマートコントラクトのセキュリティ問題を解決しても、スマートコントラクトレベルのセキュリティが解決されていない可能性があることは言うまでもなく、セキュリティ問題全体が解決されたことを意味するわけではないとも述べた。まだ。スマートコントラクトは監査後にチェーンにアップロードされますが、後で更新されるため、実行中のスマートコントラクトが監査後のスマートコントラクトであるかどうかはほとんどの人にはわかりません。特に監査レベルでは、監査対象のコードはコード A であっても、プロジェクト当事者が実際にチェーン上にデプロイするのはコード B であり、一般の人にはそれがどのコードであるかを区別できません。ここで、zCloak は、チェーン上の資産またはチェーン上のコントラクトの ID という比較的新しい概念を提案しました。たとえば、スマート コントラクトが SharkTeam によって監査された後、監査されたコントラクトは対応する監査情報を同時に表示できますか、またはチェーン上で実行されているスマート コントラクトを何らかの方法で追跡できますか? それは監査されていますか?同様に、特定のチェーン上の資産は、この方法で監査結果を表示し、操作することができます。したがって、チェーン上のセキュリティ問題は最終的にアイデンティティに戻ることがわかります。あらゆるスマートコントラクトと資産はアイデンティティを持つことができるため、誰がそのアイデンティティを効果的に公証し承認するのか、それをどこに、どのような形式で表示し、どのようにユーザーに検証させるのか、これらは業界のプロセスで解決する必要があるすべてです。技術開発 非常に興味深い質問です。
Tom:今おっしゃった点を受けて、私もさらに質問させていただきたいことがございます。 1つ目は、先ほど張さんがおっしゃったスマートコントラクトの識別ですが、Web3にはいろいろな監査会社がありますが、それぞれの監査会社の技術的な違いは何でしょうか?一般的なプロジェクトでは複数の監査法人による監査が必要ですか?また、その理由は何ですか?国際的に受け入れられる監査基準を設けることは可能でしょうか? 2 番目の質問は、チューリングとアダムが今述べたことと結びついていますが、法律とテクノロジーの観点から言えば、法律は常に遅れているのでしょうか?遅れている場合、テクノロジーが規制に準拠していることをどのように確認すればよいでしょうか?なぜなら、私たちはステーブルコイン、取引所、実物資産などの問題について香港の規制当局とコミュニケーションをとってきましたが、現在の法的監督だけでは不十分であることが判明したためであり、最も進んでいるのはヨーロッパで新たに導入されたステーブルコインやその他の通貨規制かもしれません。の規制を注意深く検討した結果、Web3 の世界の本質的なイノベーションを満足させることができないことが判明しました。では、Web3 のイノベーション、法的監視、セキュリティ テクノロジのバランスをどのように確保するのでしょうか?
Adam:それでは、簡単に私の意見を述べさせていただきます。トムの最初の監査の質問と監査の基準については、現時点では明確な基準を形成することは実際には困難です。 Web2の各種監査も複数のサービスプロバイダーによって行われており、100%のセキュリティは存在しないというのが根本的な理由であり、追加していくしかないが、定量的な基準を設けることはできず、この基準に達していれば安全であると考えている。 2つ目は、張氏が言及した契約書への「押印」ですが、これもセキュリティサービスを行う際によく遭遇する問題であり、現在、監査報告書において特定の監査対象契約に対して1対1の監査を実施する予定です。 GitHub 上の Commit とのバインディングを含むハッシュ バインディング。しかし、問題もあります。実際、監査人とプロジェクトは同じ溝にいます。全員のコンセンサスは、プロジェクト当事者が監査し、修正した契約を展開するべきであるということです。しかし、実際に後から変更を加えた開発者もおり、中には合意を得た開発者もいます。プロジェクト当事者の中には、契約書を監査した後に意図的に展開しないケースもあり、監査報告書の内容が実際に展開された契約書と同じかどうかは一般の投資家には分からない。技術的な観点からは実現可能ですが、実装するのは困難です。おそらく保険などの新興ビジネス形態がこの問題を解決できるのではないか、もちろん法的な側面も含まれますが、一つの解決策ではないかと思います。
Turing:保険は確かに比較的明確なヘッジ手段です。法的な観点から見ると、これは Web2 の監査統合に似ています。Web2 の監査統合では、企業が一定の金額を超える支出をした場合、企業は受け入れなければなりません比較ハイレターの確認と取引金額の見直し。 Web3 全体に類推すると、Web3 世界の監査会社は現在、プロジェクトを監査するための独自の方法と原則を持っており、統一された標準はまだ登場していませんが、関連する業界の提携は絶えず出現しているため、この統一された業界のコンセンサスは徐々に形成されてきていると思います。時間。 Legal DAO の弁護士リソースは世界中の多くの国をカバーしており、この業界のコンセンサスの形成を促進するには、複数の関係者がそれを呼びかけることも必要です。
Adam:はい、ビジネスフォームのリスクをヘッジするための保険メカニズムと組み合わせたウォレットデータプラットフォームは、より効果的である可能性があります。私たちもこのソリューションの登場を楽しみにしています。監査された契約と実際に導入された契約が同じ契約であるかどうかは、特に Rug Pull を解決するための関連認証システムとして実際に使用できます。
Tom:保険についても付け加えたいと思いますが、DeFiプロジェクトへの投資における私のこれまでの経験によれば、このタイプの保険の最大の問題は、保険料は1%程度と高くないものの、保証期間が非常に短く、通常は3年以内であることです。内部では、保証される金額も限られており、DeFi の保証は流動性を含めてまだ非常に初期段階であり、効率はあまり高くありません。
Adam:分散型保険の導入の難しさは証拠の収集と特定に関連していますが、これは法律と関係していますか?
Turing:物流における商品の所有権の定義などを例に挙げると、まず、エクスプレスパッケージに低電力チップを貼り付け、基地局を通過するたびにカードをパンチすることができますが、商品が到着した後は、商品が到着した場合、開梱後に問題が発生する可能性がありますが、商品の損傷が輸送中に発生したのか、それとも受け取り後に発生したのかを判断することはできないため、法的に解決する方法はありません。これを定義することはまだ困難です具体的な問題。
張暁:アダムが言及したポイントは、製品の方向性としても使用できると思います。契約監査。プロジェクト当事者がチェーン上にデプロイした後、各契約にはアドレスがありますが、契約はアップグレードすることもできます。そのため、プロジェクト当事者が契約をアップグレードした場合、契約アドレスは元のアドレスのままになりますか?
Adam:住所は変わりますが、契約アップグレードのプロセスではセキュリティ上の問題が非常に起こりやすく、少し前の香港カンファレンスの前に、あるプロジェクト関係者が新たな契約アップグレードのせいで800ETHを失ってしまいました、これは実は失敗しやすいので、しかし、誰もがそれを非常に気にしているので、見落とされがちです。
張暁:したがって、監査の場合、プロジェクト当事者は実際にレビューのために特定のバージョンを送信するか、GitHub テクノロジーの観点から見ると、監査は実際には Commit のスマート コントラクトの特定のバージョンになります。このバージョンの契約の監査が完了した後、プロジェクトパーティーは実際にチェーン上に展開されたスマートコントラクト、または最初に展開されたコントラクトですが、それが後で置き換えられたかどうかは、投資家にとって実際には判断するのが非常に困難です。
Adam:はい、特に一部の自己盗用チームの場合、その多くは契約のアップグレードを使用して一部のコア契約を置き換えるため、ユーザーはこれらの問題を見つけることができません。ただし、契約の外層には代理契約があり、契約がアップグレードされると代理契約が変更されるため、実際には見つけることができますが、この要件を満たしている必要があるため、現時点では関連するインフラストラクチャがありません。さらに明確化されました。トムが他に話したいことはありますか?
Tom:大きな課題は2つあり、1つ目は保険、中間保険金の決済や支払いを含めた保険のビジネス形態をどうするか、監督は誰が行うかなど、完璧なビジネスモデルを模索する必要がある。2つ目は契約と契約である。住所の標準化については、以前に中国品質検査センターと連携しました。彼らは証明書を発行し、国際標準に準拠しています。彼らは実際に最も専門的で、あらゆる分野で標準をリリースしており、ブロックチェーンも備えています。では、中国に限らず、国の力を利用して、他の国とこの業界標準を策定し、向上させることはできないでしょうか? Web3 のさまざまな識別を支援するために Web2 の思考基準を使用しても、もちろん、これらは自己盗用の問題を解決することはできません。そのため、監査会社によって発行される多くの監査報告書もプロジェクト チームに採点されることがわかります。そのため、Web3 の場合はそうかもしれません。より包括的なものにする必要があります。最後に、Web3 にも不可能な三角形が存在すると思いますが、それは分散化、匿名性とプライバシー、監視と説明責任であり、これら 3 つを合理的に共存させる方法がないことは事実です。
Cassiel:実際、現在のセキュリティ問題の発生頻度から判断すると、過去に登場したセキュリティ問題の解決策の中には、導入効果が期待ほど高くない、あるいは限界があるものもあります。 ?張氏は、zCloakが今月初めにValid IDプラットフォームを正式に開始したと述べたばかりで、これはWeb3の信頼の危機を解決するための新しいアイデアのようであると同時に、zCloakはユーザーにプライバシー・コンピューティング・サービスをベースにしたサービスを提供することに尽力している。ゼロ知識証明技術について、「 「プライバシー」と「セキュリティ」という 2 つの単語は実際には切り離せないものです。そこで、Zhang さん、Web3 プライバシー データのセキュリティについて、zCloak が構築中またはすでに構築されているソリューションを教えてください。建てられた?
張暁:さて、このテーマは確かに当社の新製品に深く関係していますが、これまで議論してきたさまざまなセキュリティ問題の中でも、核となる問題の 1 つは信頼と信頼の伝達だと思います。信頼の問題は、チェーン上の ID システム機能の欠如に遡ることができますが、Valid ID で解決できる問題も、「誰が誰なのか」という非常に単純なものです。現時点では、チェーン上にはウォレットアドレスが一つずつ存在するだけで、そのアドレスが何に署名したか、何個のアカウントが転送されたか、どのような取引が行われたかなどが表示されます。同時に、個人にとっては匿名性または半永久的です。 - ブロックチェーンアドレスの匿名性 これは私のプライバシーを保護し、個人的な利益となります。しかし、チェーン上の機関のニーズは実際には個人のニーズとは逆であり、機関 (監査会社、法律事務所、政府機関) はアドレスの背後に誰がいるのかを全員に知らせる必要があるため、チェーン上の ID システムは特に重要です。従来の世界では、Web サイトの背後に誰がいるかを知りたければ、CA 証明書を通じてクエリを実行できますが、ブロックチェーンの世界ではアドレスの背後に誰がいるかを知る方法がありません。 Vliad ID は、この方向の小さな探求です。アイデンティティの問題を解決するという Web2 のアイデアを Web3 に適用したいと考えています。もちろん、問題を解決するために Web3 のネイティブ テクノロジーを使用します。方法は非常に簡単です。エンティティのアイデンティティは技術的なテストと認証の対象となり、テストと認証が完了すると、Web2 世界におけるそのアイデンティティは Web3 チェーン上のアドレスにバインドされ、機関アイデンティティと呼ばれる証明書を形成します。同時に、これらの証明書を改ざんできないチェーン上または Arweave データベースに保存し、チェーン上のアドレスと改ざんできないチェーン外の実際の ID との間に拘束関係を形成します。他の人が特定のアドレスを見ると、その背後にどの機関があるのかを明確に知ることができます。
ここには、演説の背後に誰がいるのかを誰が決めるのかという、もう一つの非常に重要な問題もあります。認証に CA 方式を使用し続けると、Web3 とブロックチェーンの分散化の概念に反します。 Valid IDの構築当初は、分散型プラットフォームに構築したいと考えていたため、アドレスの裏にある本人認証を特定の組織ではなく、複数の組織で行うマルチパーティ認証の仕組みを導入しました。事実を繰り返す人が多ければ多いほど、それが真実である可能性が高くなります。そこで、Valid ID プラットフォーム上でソーシャル認証 (Social Attestiation) 方式を使用します。
現在、私たちはいくつかの小さなアプリケーション ポイントを推進しています。1 つは、この認証されたアドレスに基づいてさまざまなデジタル署名を実行することです。多くの Web3 実践者がこの業界で長年働いているにもかかわらず、依然として Web2 ソーシャル ツールを使用していることがわかりました。 , Twitter、INS、その他のソーシャル プラットフォームなど、意見を表明したり、プロジェクトを推進したりする場合には、セキュリティ上のリスクが大きくなります。組織の公式アカウントが盗まれ、フィッシング情報が流出し、ユーザーが財産を失った場合はどうすればよいですか? Web3 プロジェクトのアイデンティティは Web2 プラットフォームによって保証されていますが、これは分散型社会が望むものではありません。したがって、Valid ID の解決策は、Web2 ID を Web3 アドレスと結合することです。つまり、組織の ID を制御するのは、実際には組織自体が保持する秘密キーです。ハッカーは組織のアカウントを盗むことはできますが、組織の ID の秘密キーを取得することはできないため、ID の管理は依然として組織自体の手にあります。有効な署名機能を使用すると、あらゆるプラットフォームで情報を公開するときに、誰もが独自のデジタル署名を添付できます。これは、多くのアプリケーション シナリオで非常に重要です。たとえば、ローン情報を公開するときに、自分の署名を追加すると、メッセージを受信する人は次のことができます。一連のフィッシング詐欺を防ぐために、それが本当に私が投稿したメッセージであるかどうかをプラットフォーム上で確認してください。
そして、先ほど話した契約監査は私に多くのインスピレーションを与えてくれました 契約の監査情報をチェーン上で表現し、契約ファイルを組織の ID とバインドして、ユーザーが契約を見たときに、 Validで確認できる IDプラットフォームは、契約がValid IDプラットフォームで認証された組織によって認証された契約であるかどうかを確認する検証を行います。したがって、zCloak はユーザー側で個人データのゼロ知識証明を提供してきましたが、それは計算の正確性を保証することしかできないため、Valid ID は個人のプライバシーとアイデンティティの探求において zCloak にとって非常に有益な補足であると考えています。計算データの信頼性は DID と検証可能なデジタル証明書に依存し、検証可能なデジタル証明書の信頼性は発行機関の評判の承認に依存し、Valid ID は機関のアイデンティティと評判に対するソリューションです。最後に、実際には、zCloak は組織の ID 認証を通じて Attestation の信頼性を伝達し、ゼロ知識証明の方法を追加して、ユーザーが自分の ID が特定の信頼できる属性と特性を備えていることを証明できるようにします。
Cassiel:共有してくれた Zhang さんに感謝します。Tom と Adam は将来のセキュリティ ソリューションについてどう考えていますか?
Adam:現在、Web3 には ID セキュリティ インフラストラクチャが不足しており、多くのセキュリティ問題はその過程で何らかの解決策が見つかる可能性があるため、セキュリティと ID に関しては後から何かできる可能性があり、私はそれを楽しみにしています。もう 1 つ議論したいのは、実際に多くのセキュリティ ソリューションが登場しているにもかかわらず、なぜセキュリティ問題が発生し続けるのかということです。理由は 2 つあり、1 つ目は、Web3 全体のセキュリティ インフラストラクチャが完全ではなく、信頼コストが高く、信頼効率が非常に低いことです。この場合、多くの人が無意識のうちにハッカーが攻撃するための抜け穴を作ってしまう可能性があり、もう一つの理由は、Web3 業界は比較的弱い分野であり、誰もが多くの革新的なアイデアや優れた製品を持っているため、多くのセキュリティ対策の実装プロセスがしっかりしていないことです。 , しかし、着陸プロセス中に多くの問題によって妨げられるでしょう. 市場の変化であろうと他の要因であろうと、物事を行う際の全員の熱意と効率に影響します. したがって、一部の製品やプロジェクトは効果的に実装され、サービスが完成していません。保険自体は非常に優れた産業ですが、私たちが期待していたほど発展しておらず、本質的には真剣に導入されていないということです。 Web3 のセキュリティ問題、監査、オンチェーン セキュリティ分析、リスク警告、攻撃監視、マネーロンダリング対策など、構築と開発を待っている体系的なプロジェクトがまだたくさんありますが、これらの同じプロジェクトも着陸の問題に直面しており、実行することはできません。ユーザーによって広く使用されています 降伏値を使用する問題。これはWeb3セキュリティサービスプロバイダーとして常に努力している点でもありますが、製品やサービスをしっかりやっていくという初心を忘れずに、Web3業界としてもそのような合意形成ができればと考えています。
Tom:先ほどアダムさんがおっしゃった点ですが、2C側のセキュリティ監査ツールを作ることは可能でしょうか?現在のセキュリティ監査のほとんどは 2B のようで、プロジェクト パーティは監査のためにキューに入れてからチェーンにアップロードするため、ユーザーがさまざまな Dapps にログインした後、2C 側でプラグインを作成できるでしょうか。リアルタイムでユーザーにプロンプトを表示することができ、通常のユーザーは多くの契約を取得することはできませんが、アップデート後にコードに問題がある場合、このプラグインはユーザーとユーザー間の対話プロセス中にリスク警告と不審点警告を提供できます。プロジェクト当事者が抜け穴を特定するまで、ユーザーが取引転送などの損失を引き起こす可能性のあるアクションを停止できるように支援し、アラートが消え、ユーザーは安全な環境で対話を行うことができます。ウォレットをよく利用するDeFiユーザーは、この製品に対して一定のニーズと決済機能を持っていると思います。この製品が以前に業界に登場したことがあるかどうかはわかりません。
Adam:C サイドのセキュリティ警告ツールが存在し、現在では主に API、Cypto API/セキュリティ API などの形式で DeFi やウォレットなどの C サイドのトラフィック ポータルに接続されています。ユーザーが高リスクのアドレスを操作すると、ウォレットの開発チームや運用チームはそれを知りませんが、API にアクセスすると、それが C サイド関数の形で反映され、今では誰もがそれを行うことが増えています。もちろん、すべてをカバーできる安全なエントリーがあればそれに越したことはありませんが、現時点では市場は依然として C エンド ユーザー向けの API の形が主流であり、もちろんこれはゆっくりと発展しています。
【FAQ】
Tom:「将来的にも、集約されたソリューションが必要になる可能性があると思います。Web3 の大きな問題は、製品やサービスが多すぎて分散しすぎていることです。セキュリティ製品についても同様です。今後も必要になるかどうかはわかりません」将来的には、本人確認や監視、問題発生後の説明責任や補償も含まれる完全なソリューションとなる予定です。現在、統合製品を作成しているプロジェクト パーティはありますか? B面でもC面でも。そうでないなら、なぜやらないのですか?
張暁:このようなパッケージソリューションは、プロジェクト当事者の専門能力、技術力、法規制の理解、財務知識、監督、政策が必要となり、大規模な組織でない限り、まだ非常に難しいと思いますが、それさえ可能です。政府の背景を持つ機関が参加する場合には、すべての面倒を見てもらいます。一般の企業や団体にとって、そのうちの 1 つをうまくやることはすでに非常に良いことです。
Adam:はい、多くの製品は段階的に開発する必要があります。一部の製品やサービスは、効率と安全性のバランスをとる必要があるため、必ずしも現時点でユーザーに受け入れられたり、理解されたりするわけではありません。場合によっては、セキュリティが高すぎると必然的に効率に影響を与えるため、それはまだプロセスです。 。
IOS
Android