다음은 이 온라인 살롱의 텍스트 버전입니다.

Cassiel：간단한 소개 부탁드립니다.

장 샤오:안녕하세요 여러분, 오늘 Web3 보안 문제에 대해 여러분과 논의할 수 있게 되어 매우 기쁩니다. 간단히 말해서, zCloak Network는 영지식증명 기반의 디지털 신원 및 개인정보 보호 인프라입니다. Web3 시대에 진정으로 사용자 데이터 자율성을 사용자에게 돌려줄 수 있기를 바랍니다. 이 개념을 바탕으로 zCloak은 사용자 친화적인 개발 및 구현 자체 제어 DID, 검증 가능한 디지털 인증서, 디지털 신원 지갑 및 로컬 영지식 증명 계산과 같은 일련의 인프라입니다. 오늘 밤 저는 또한 당사의 또 다른 신제품인 Valid ID에 대해 귀하와 심도 있는 논의를 하고 싶습니다. 이것이 Web3 사기를 피하고 예방하는 데 어떻게 도움이 되는지 말입니다.

Tom: zCloak의 초대 덕분에 저는 홍콩 폴리테크닉 대학교 경영학부 금융 기술 센터 산하 디지털 자산 싱크 탱크인 DATT의 이사입니다. 제 개인 배경은 금융 산업입니다. 뉴욕과 홍콩의 투자 은행에서 일했습니다. 현재 헤지 펀드를 관리하고 있습니다. 현재 블록체인은 저의 박사 연구 방향입니다. 디지털 자산 싱크 탱크는 아시아 전역의 디지털 자산 및 정보 기술 산업의 현상을 탐구하고 연구하고 업계 전문가 및 학자들과 블록체인 기술을 사용하여 경제 및 사회 발전의 실질적인 문제를 해결하는 방법을 논의하기를 희망합니다. 동시에 홍콩통화청, 홍콩재단, 인베스트홍콩, 사이버포트 등 업계 정책입안자들과 논의 결과를 정기적으로 공유할 예정이다. 마지막으로 DATT를 통해 업계가 교류하고 소통할 수 있는 더 많은 기회를 제공할 수 있기를 바랍니다.

Turing: 안녕하세요 여러분 Legal DAO의 공동창업자 뚜뚜입니다. Legal DAO는 현재 글로벌 변호사 리소스를 기반으로 Web3 컴플라이언스 제품을 개발하고 있습니다. Web3 구축에 깊이 참여할 수 있기를 바라며 글로벌 법률 서비스도 제공할 수 있기를 바랍니다. 우리는 사용자에게 더 나은 법적 지원을 제공하기 위해 기반 기술 및 AI 기술을 포함하여 Web3의 새로운 기술을 지속적으로 통합해 왔습니다. 또한 zCloak 등과 같이 업계에서 많은 친구를 사귀었습니다. 오늘 계속해서 관련 문제를 배우고 논의하기를 기대합니다!

Adam：안녕하십니까, 신사 숙녀 여러분, 저는 SharkTeam의 공동 설립자인 Adam입니다. SharkTeam은 주로 Web3 보안 관련 제품, 한편으로는 스마트 계약 감사, 다른 한편으로는 체인의 위험에 대한 보안 경고, 체인의 거래 및 주소 모니터링 및 분석을 포함한 체인의 보안 분석에 종사하고 있습니다. , 보안 연구 보고서 등 동시에 SharkTeam은 Web3 프로젝트 및 회사에 보안 서비스를 계속 제공합니다. 오늘 토론에 참여하게 되어 기쁩니다!

Cassiel：Web3의 보안 이슈는 각자의 분야에 어떤 영향을 미칠까요? 최근 Twitter 및 Tg 계정 도용 사건이 많이 발생하고 있습니다.Web3 사용자에게 가장 직접적인 위협은 디지털 자산의 보안입니다.Tom이 이끄는 Hong Kong Polytechnic University Digital Asset Think Tank가 디지털 자산과 현재 정보 기술 산업을 탐구하고 연구하고 있으므로 먼저 Tom에게 관련 경험을 바탕으로 의견을 공유하도록 요청하시겠습니까?

Tom：예전에 투자은행에서 Web2 프로젝트를 많이 해봤는데 Web2의 관점에서 문제는 주로 애플리케이션 로직과 데이터 레벨에서 발생합니다. Web3는 Web2와 다릅니다.Web3에는 교차 체인, ID, 지갑 등과 같은 다양한 분산 응용 프로그램 모드가 있습니다. 이러한 종류의 끊임없는 상호 작용과 혁신은 실제로 일부 시나리오에서 보안 문제를 일으키기 쉽습니다. 동시에 퍼블릭-프라이빗 키 기술과 디지털 지갑의 광범위한 적용은 Web3 사용자의 데이터 자율성을 보호하고 거래 프로세스의 투명성과 무단 변경을 보장할 수 있습니다.그러나 여기에는 보안 문제가 있습니다. DApp 및 프로토콜이 업그레이드되는 경우 어떻게 해야 합니까?사용자 데이터 및 개인 정보 보안을 보호하십시오. 우리의 연구를 통해 Web1과 Web2의 보안 문제에 대한 솔루션은 상대적으로 기초적인 도구에 의해 제한된다는 것을 발견했습니다.Web3의 경우 가장 큰 문제는 트랜잭션의 보안 문제가 예방 수준에서 해결되지 않는 것 같습니다. 일단 트랜잭션이 실행되면 매우 어렵기 때문에 우리의 연구와 경험에 따르면 보안의 개념은 일반적으로 트랜잭션이 보안 조건을 충족하는지 확인하는 메커니즘을 설정하는 것이므로 전문가에게 방지 방법을 묻고 싶습니다. 기술적 수준에서 이러한 시스템적 약점 일부 조직적인 공격에 저항하려면? 기본 암호화, 스마트 계약 취약성 및 기타 문제를 포함합니다. 특히, 첫 번째는 취약성 데이터, 두 번째는 보안 의사 결정 설계 방법, 세 번째는 인증 및 서명, 마지막은 키를 만드는 방법 더 원활한 관리 및 더 원활한 사용자 경험? 그래서 저는 Web1과 Web2의 경험을 흡수한 후에 Web3에서 실제로 많은 일을 할 수 있다고 생각합니다. 이는 DATT가 생각하고 탐구해 온 것입니다.

Cassiel：다음으로 Adam에게 보안 서비스의 관점에서 본 귀하의 견해에 대해 이야기해 달라고 요청하고 싶습니다.

Adam：솔직히 말해서 현재 Web3의 발전은 매우 빠르지만 아직은 매우 초기 단계에 있으며 주로 세 군데에 반영됩니다.첫 번째는 비즈니스 형태가 매우 초기이며 모든 사람이 DeFi에 더 익숙하지만 이미 Web3에 있습니다.오래된 단어지만 개발된 지 2년이 채 되지 않았습니다.그리고 최근에 등장한 NFT, GameFi 및 파생 상품 등과 같은 새로운 형식, 이러한 형식의 급속한 발전 일부 비즈니스 측면 위험 및 안전 문제를 가져올 것입니다. 따라서 Web3의 경우 많은 비즈니스 형태가 모든 보안 문제를 해결하기 위해 특정 기술에 의존해서는 안 됩니다. Web3의 다중 서비스 모드를 기반으로 보안 예방 조치는 여전히 시스템 엔지니어링 방식으로 수행되어야 합니다. 개인 키, 크로스 체인 인프라, 지갑 및 신원 보안과 같은 공격 지점이 더 광범위하고 개방된 것은 빠른 개발과 혁신적인 비즈니스 모델 때문입니다. 따라서 프로젝트 측면에서는 비즈니스 설계 초기 단계에서 Web2와 같은 비즈니스 보안 모델링 개념을 도입하고 비즈니스 차원에서 위험을 계획하고 분리하는 것이 가장 먼저 고려해야 할 사항입니다.

둘째, 기술적인 관점에서 프로젝트 당사자는 표준화된 개발 관행 기술 프로세스를 가지고 있어야 하며 프로젝트 당사자는 온라인에 들어가기 전에 코드 동결에 대한 인식을 가지고 있어야 합니다. 그렇지 않으면 이후 단계에서 여러 번 수정하고 수정한 후 개발자가 의도하지 않게 많은 보안 허점을 도입하여 예방할 수 없는 일부 보안 문제를 일으킬 수 있습니다. 현재 많은 프로젝트 당사자와 개발자에게는 스마트 계약 감사, DID ID 개인 정보 보호 등이 모두 보안 문제라고 생각할 수 있지만 프로젝트의 경우 이는 일부에 불과합니다.

마지막 측면은 운영 및 비상 대응 수준입니다.많은 프로젝트가 한밤중에 공격을 받은 후, 우리가 알아냈지만 밤에는 프로젝트 당사자에게 연락할 수 없었습니다.우리는 프로젝트가 공격받는 것과 사용자 자산을 지켜볼 수 밖에 없었습니다. 해커에 의해 도난당했습니다 비상 대응 및 보안 보안 사고 후 자산 동결 또는 다른 생태계 파트너와의 접촉 차단 조치를 포함하여 운영이 매우 느립니다. 건전한 운영과 비상대응 체계가 구축되지 않았기 때문이기도 하다. 마지막으로 현재 Web3의 발전 속도는 매우 빠르지만 비즈니스 형태, 기술 수준, 운영 및 비상 대응 수준에 관계없이 완벽한 보안 시스템이 구축되지 않았으므로 후속 공동 구축 노력이 필요합니다.

Cassiel：Adam은 기술 및 비즈니스, 운영 및 비상 대응의 관점에서 자신의 견해를 공유한 후 모든 사람이 간단한 토론을 할 수 있으며 Zhang과 Turing도 초대되어 Tom이 제기한 관련 질문에 답변합니다.

Turing：간단한 추가 사항을 말씀드리자면, 이전에 시스템적인 보안 문제에 대해 많이 말씀하셨는데, Legal DAO가 법적 관점에서 몇 가지 아이디어를 줄 수 있습니다. Web3를 기반으로 한 일부 법률 문제가 왜 더디게 진행되었는지 궁금하실 수 있습니다. 문제의 구현 및 후속 책임, 또는 모든 사람이 유지하기 위한 합의를 갖기가 어렵습니다. 분석을 해보니 아이덴티티 시스템의 부재가 Web3 법률 산업의 느린 발전의 핵심 원인이라고 생각합니다. Web3에서는 주소를 변경하여 사람을 찾을 수 없지만 Web2에서는 ID 카드만 있으면 사람을 찾을 수 있으므로 Web2와 비교하여 Web3의 ID 시스템이 부족한 것이 가장 큰 차이점입니다. 결과적으로 평판과 평판을 포함하여 전체 Web3 세계에서 완전한 보상 및 처벌 메커니즘과 비즈니스 시스템을 구축할 수 없으며 효과적으로 축적할 수 없습니다. 따라서 Web3 법률 산업의 경우 zCloak과 같은 파트너와 협력하여 개인 정보 보호를 기반으로 한 신원 인증 시스템을 점진적으로 구축하는 것이 좋은 액세스 포인트라고 생각합니다. 다음으로 Mr. Zhang의 생각을 듣고 싶습니다.

장 샤오:공유해 주신 Tutu 및 다른 게스트들에게 감사드립니다. 개인적으로 큰 영감을 받았습니다. 먼저 Tom이 이전에 언급한 몇 가지 질문에 답하고 싶습니다. .자산은 여전히 ​​체인 등의 실제 자산이지만 전반적인 자산 보안 및 투자자 보호 측면에서 실제로 큰 문제가 있습니다. 블록체인 업계에서는 "Not your key, not your coin.", 개인 키가 귀하의 통제하에 있지 않은 경우 돈이 전적으로 귀하의 것이 아닐 가능성이 높습니다. 온체인 트랜잭션과 스마트 컨트랙트 기반의 일부 인프라는 물론, 트랜잭션이나 블록이 생성되면 하드포크를 하지 않는 한 인출하기가 극도로 어려우나 비용이 극도로 비싸기 때문에 자신의 계정을 신중하게 사용하여 환경에서 거래하십시오.

Tom은 이전에 지갑 문제를 언급했는데 지갑은 이 업계에서 매우 중요한 인프라라고 생각합니다. 주로 우리의 개인키를 관리하는데 사용되며 개인키의 보안이 우리 자산의 보안을 결정하지만 암호화된 지갑의 실용성은 현재 이상적이지 않습니다. 특정 컴퓨터 지식 배경이 없는 일반인의 경우 공개 키, 개인 키, 니모닉, 파생 경로 등과 같은 일부 기술 용어는 혼동을 주기에 충분하여 암호화된 지갑을 사용하기 위한 문턱을 보이지 않게 높입니다. 대중에게 공개되어야 합니다. 따라서 현재 사용자 경험을 단순화하려는 차세대 지갑이 많이 있습니다 이러한 적용성 개선은 매우 좋지만 실제로 보안과 적용성은 어느 정도 모순됩니다-일반적으로 사용하기 쉬울수록 보안은 타협. 예를 들어 개인키를 통제하는 관점에서 개인키가 완전히 사용자의 손에서 통제되는 것과 부분적으로 사용자의 손에서 통제되는 것은 달라야 한다. 따라서 지갑 산업의 경우 실제로 약간의 진전을 보았지만 관련 보안은 시간 테스트를 거쳐 결정해야 합니다.

Tom이 언급한 체인의 자산 보안에 대한 또 다른 문제는 원래 암호화된 산업 자산 외에도 점차 많은 실제 자산이 체인에 있다는 것입니다.계약의 형식은 NFT일 수도 있고 심지어 100달러일 수도 있습니다. 현실 세계에서 엄청난 양의 석유를 소유, 감사, 보안, 보험, 법적 관점에서 누가 승인할 것인지가 매우 중요합니다. 따라서 체인에 있는 자산의 진위 여부에 대한 인증 및 식별이 매우 필요합니다.

Adam은 또한 보안 문제는 전반적인 문제이며 스마트 계약의 보안 문제를 해결한다고 해서 보안 문제가 완전히 해결된 것은 아니며 스마트 계약 수준의 보안이 해결되지 않았을 수도 있음을 언급했습니다. 아직. 스마트 계약은 감사 후 체인에 업로드되지만 나중에 업데이트되며 대부분의 사람들은 감사 후 실행 중인 스마트 계약이 스마트 계약인지 여부를 알 수 없습니다. 특히 감사 수준에서 감사된 코드는 코드 A일 수 있지만 프로젝트 당사자가 실제로 체인에 배포하는 것은 코드 B이며 일반 사람들은 코드를 구별할 수 없습니다. 여기에서 zCloak은 비교적 새로운 개념을 제안했는데, 이는 체인 상의 자산 또는 체인 상의 계약의 정체성입니다. 예를 들어, SharkTeam에서 스마트 계약을 감사한 후 감사를 받은 계약이 해당 감사 정보를 동시에 표시할 수 있습니까, 아니면 어떤 방식으로든 체인에서 실행되는 스마트 계약을 추적할 수 있습니까? 같은 방식으로 특정 체인의 자산이 이러한 방식으로 감사 결과를 표시하고 상호 작용할 수 있습니다. 따라서 우리는 체인의 보안 문제가 결국 정체성으로 돌아간다는 것을 알게 될 것입니다. 모든 스마트 계약 및 자산은 신원을 가질 수 있으므로 누가 신원을 효과적으로 공증하고 보증할지, 어디에 표시할지, 어떤 형식으로 사용자가 확인할 수 있는지 등 산업 과정에서 해결해야 할 모든 것입니다. 기술 개발 매우 흥미로운 질문입니다.

Tom：방금 말씀하신 사항에 대해 연장하고 싶은 몇 가지 질문이 있습니다. 첫 번째는 방금 Zhang 씨가 언급한 스마트 계약의 식별이지만 Web3에는 다양한 감사 회사가 있습니다.다른 감사 회사 간의 기술적 차이점은 무엇입니까? 일반적인 프로젝트에서 여러 감사 회사가 감사를 수행해야 하는 이유는 무엇입니까? 국제적으로 승인된 감사 표준을 가질 수 있습니까? 두 번째 질문은 Turing과 Adam이 방금 언급한 법과 기술 측면에서 법이 항상 뒤처지는가?와 결합됩니다. 뒤쳐져 있다면 기술이 규정을 준수하는지 어떻게 확인할 수 있습니까? 스테이블코인, 거래소, 실물자산 등의 이슈에 대해 홍콩 규제당국과 소통해왔지만 현재 법적 감독이 미흡하다는 판단이 들었기 때문이다. , 규정을 면밀히 조사한 결과 Web3 세계의 본질적인 혁신을 만족시킬 수 없다는 것이 밝혀졌습니다. 그렇다면 Web3 혁신, 법적 감독 및 보안 기술 간의 균형을 어떻게 보장합니까?

 Adam：그럼 제 생각을 간단히 말씀드리겠습니다. Tom의 첫 번째 감사 질문 및 감사 기준과 관련하여 현재로서는 명확한 기준을 형성하기가 사실상 어렵습니다. Web2의 다양한 감사도 여러 서비스 제공자에 의해 수행됩니다.근본적인 이유는 100% 보안이 없다는 것입니다.계속 추가할 수 있을 뿐 정량적 기준을 형성할 수는 없으며 이 기준에 도달하는 것이 안전하다고 생각합니다. 두 번째는 Zhang 씨가 언급 한 계약서의 "스탬핑"입니다. 이것은 또한 보안 서비스를 수행 할 때 자주 발생하는 문제입니다. 현재 감사 보고서에서 특정 감사 계약에 대해 일대일 감사를 수행합니다. GitHub의 커밋과의 바인딩을 포함한 해시 바인딩. 그러나 또한 문제가 있을 것입니다.사실 감사자와 프로젝트는 같은 참호에 있습니다.모두의 합의는 프로젝트 당사자가 우리가 감사하고 수정한 계약을 배포해야 한다는 것입니다. 그러나 실제로 나중에 수정한 개발자가 있으며 일부는 심지어 머리 동의입니다. 일부 프로젝트 당사자는 감사 후 계약서를 고의로 배포하지 않으며 일반 투자자는 감사 보고서의 내용이 실제 배포된 계약서와 동일한지 여부를 알 수 없습니다. 기술적인 관점에서는 달성할 수 있지만 구현하기는 어렵습니다. 아마도 보험과 같은 새로운 비즈니스 형태가 이 문제를 해결하기 위해 사용될 수 있을 것입니다.물론 여기에는 일부 법적 측면도 포함되지만 이것이 해결책이라고 생각합니다.

Turing：보험은 실로 상대적으로 명확한 헤징 수단입니다.법률적인 관점에서 볼 때 Web2의 감사 통합과 다소 유사합니다.Web2의 감사 통합에서 회사가 일정 가치 이상을 지출하면 회사는 수락해야 합니다. 비교 높은 문자 확인 및 거래 금액 검토. 전체 Web3와 유사하게 Web3 세계의 감사 회사는 이제 감사 프로젝트에 대한 고유한 방법과 원칙을 가지고 있으며 통일된 표준은 아직 나타나지 않았지만 관련 산업 동맹이 지속적으로 등장하고 있으므로 이러한 통합된 업계 합의가 시간. Legal DAO의 변호사 리소스는 전 세계 여러 국가를 포괄하며, 이러한 업계 합의 형성을 촉진하려면 여러 당사자가 이를 요구해야 합니다.

Adam：예, 비즈니스 형태의 위험을 헤지하기 위한 보험 메커니즘과 결합된 월렛 데이터 플랫폼이 더 효과적일 수 있습니다. 우리는 또한 이 솔루션의 출현을 기대하고 있습니다. 감사된 계약과 실제로 배포된 계약이 동일한 계약인지 여부는 특히 Rug Pull 해결을 위한 관련 인증 시스템으로 실제로 사용될 수 있습니다.

Tom：보험에 대해서도 추가하고 싶습니다.이전 DeFi 프로젝트에 투자 한 경험에 따르면 이러한 유형의 보험의 가장 큰 문제는 보험료가 1 % 정도로 높지 않지만 보증 기간이 매우 짧다는 것입니다. 보통 3 내부적으로는 보장되는 금액도 제한적이며 DeFi에 대한 보장은 유동성을 포함하여 아직 매우 초기이며 효율성은 그다지 높지 않습니다.

Adam：분산형 보험 시행의 어려움은 증거 수집 및 신원 확인과 관련이 있는데, 이것이 법과 관련이 있는 건가요?

Turing：예를 들어 물류에서 상품의 소유권을 정의하는 것과 같이 먼저 익스프레스 패키지에 저전력 칩을 붙여 기지국을 통과할 때마다 카드를 펀칭할 수 있습니다. 상품이 도착하면 포장을 푼 후 문제가 발생하게 됩니다. 상품의 파손이 운송 중 발생한 것인지, 수령한 후에 발생한 것인지 판단할 수 없기 때문에 법적으로 해결할 방법이 사실상 없습니다. 아직 정의하기 어렵습니다. 특정 문제.

장 샤오:Adam은 제품 방향으로도 사용할 수 있다고 생각하는 포인트를 언급했습니다. 계약 감사, 프로젝트 당사자가 체인에 배포한 후 각 계약에는 주소가 있지만 계약도 업그레이드할 수 있으므로 프로젝트 당사자가 계약을 업그레이드하면 계약 주소가 원래 주소로 유지됩니까?

Adam：주소는 변경되겠지만 컨트랙트 업그레이드 과정에서 보안 문제가 발생하기 매우 쉽습니다.얼마전 홍콩 회의 전에 프로젝트 당사자는 새로운 컨트랙트 업그레이드로 인해 800 ETH를 잃었습니다. 하지만 모두가 그것에 대해 매우 염려하고 있어 간과하기 쉽습니다.

장 샤오:따라서 감사를 위해 프로젝트 당사자는 실제로 검토를 위해 특정 버전을 제출하거나 GitHub 기술의 관점에서 감사는 실제로 특정 버전의 Commit 스마트 계약입니다.이 버전의 계약에 대한 감사가 완료된 후, 프로젝트 당사자는 정말 체인에 배치된 스마트 계약, 또는 원래 배치되었지만 나중에 대체되었는지 여부는 실제로 투자자가 판단하기 매우 어렵습니다.

Adam：예, 특히 일부 자기 도둑질 팀의 경우 많은 팀이 계약 업그레이드를 사용하여 일부 핵심 계약을 대체할 것이며 사용자는 이러한 문제를 찾을 수 없습니다. 그러나 계약의 외부 레이어에 대리 계약이 있을 것입니다. 계약이 업그레이드된 후 대리 계약이 변경되므로 실제로 찾을 수 있지만 이 요구 사항이 필요하기 때문에 현재 관련 인프라가 없습니다. 더 명확히. Tom이 논의하고 싶은 다른 사항이 있습니까?

Tom：두 가지 주요 문제가 있습니다. 첫 번째는 보험입니다. 보험의 비즈니스 형태를 구현하는 방법, 중간 클레임 정산 및 지불, 감독을 구현할 사람 등 완벽한 비즈니스 모델을 찾아야 합니다. 두 번째는 계약 및 주소 표준화, 우리는 이전에 중국 품질 검사 센터와 연결하여 인증서를 발급하고 국제 표준에 부합하며 실제로 가장 전문적이며 각계 각층의 표준을 발표하고 있으며 블록 체인도 있습니다. 관련 단체 , 그렇다면 우리는 중국뿐만 아니라 다른 국가와 함께 이 산업 표준을 공식화하고 개선하기 위해 국가의 강점을 사용할 수 있습니까? Web2 사고 표준을 사용하여 Web3의 다양한 식별을 지원하는 것은 물론 자기 도둑질 문제를 해결할 수 없으므로 감사 회사에서 발행하는 많은 감사 보고서도 프로젝트 팀에 점수를 매기므로 Web3의 경우 보다 포괄적인 것이 여전히 필요합니다 오리엔테이션 개발. 마지막으로 Web3의 불가능한 삼각관계도 존재한다고 생각합니다 탈중앙화, 익명성과 프라이버시, 감시와 책임성 이 세 가지가 합리적으로 공존할 수 있는 방법은 없는 것이 사실입니다.

Cassiel：실제로 현재의 보안 문제 빈도로 볼 때 과거에 등장한 일부 보안 문제 솔루션의 구현 효과가 기대만큼 좋지 않거나 모두 일정한 한계가 있습니다. ? Zhang 씨는 방금 zCloak이 이달 초 Valid ID 플랫폼을 공식적으로 출시했다고 언급했습니다.Web3의 신뢰 위기를 해결하기 위한 새로운 아이디어인 것 같습니다.동시에 zCloak은 사용자에게 개인 정보 컴퓨팅 서비스를 기반으로 제공하기 위해 노력했습니다. 영지식 증명 기술에 대해, 그리고 ""프라이버시"와 "보안"이라는 두 단어는 실제로 분리할 수 없습니다. 따라서 Zhang 씨는 Web3 개인 정보 데이터의 보안을 위해 어떤 솔루션이 구축 중이거나 이미 구축되어 있는지 공유해 주십시오. 세워짐?

장 샤오:자, 이 주제는 참으로 우리의 신제품과 깊은 관련이 있습니다.이전에 논의한 다양한 보안 문제 중 핵심 문제 중 하나는 신뢰와 신뢰의 전달이라고 생각합니다. 신뢰 문제는 체인에 ID 시스템 기능이 부족하기 때문에 추적할 수 있으며, Valid ID가 해결할 수 있는 문제는 "누가 누구인가"라는 매우 간단한 문제입니다. 현재 체인에는 지갑 주소가 하나씩만 존재하며, 어떤 주소가 서명되었는지, 몇 개의 계정이 전송되었는지, 어떤 거래가 이루어졌는지 등이 보여지는 것입니다. -블록체인 주소의 익명성 개인의 이익인 개인 정보를 보호합니다. 그러나 체인에 있는 기관의 요구는 실제로 개인의 요구와 반대입니다.기관(감사 회사, 법률 회사, 정부 기관)은 주소 뒤에 누가 있는지 모든 사람에게 알려야 하므로 체인의 ID 시스템이 특히 중요합니다. . 전통적인 세계에서는 웹사이트 뒤에 누가 있는지 알고 싶다면 CA 인증서를 통해 쿼리할 수 있지만 블록체인 세계에서는 주소 뒤에 누가 있는지 알 수 있는 방법이 없습니다. Vliad ID는 이러한 방향의 작은 탐색입니다. 우리는 Web2의 신원 문제 해결 아이디어를 Web3에 적용하기를 희망합니다. 물론 Web3의 기본 기술을 사용하여 문제를 해결합니다. 방법은 매우 간단합니다. , 엔티티의 신원 기술 테스트 및 인증을 받아야 합니다. 테스트 및 인증이 완료된 후 Web2 세계의 ID는 Web3 체인의 주소에 연결되어 기관 ID라고 하는 인증서를 형성합니다. 동시에 우리는 이러한 인증서를 변조할 수 없는 체인 또는 Arweave 데이터베이스에 저장하여 체인의 주소와 변조할 수 없는 체인 외부의 실제 ID 간에 구속력 있는 관계를 형성합니다. 다른 사람들이 특정 주소를 보면 그 뒤에 어떤 기관이 있는지 명확하게 알 수 있습니다.

주소 뒤에 누가 있는지 결정하는 또 다른 매우 중요한 문제가 있습니다. 인증에 CA 방식을 계속 사용하면 Web3 및 블록체인의 탈중앙화 개념에 위배됩니다. Valid ID 구축 초기에는 탈중앙화 플랫폼으로 구축하고자 했기 때문에 다자간 인증 메커니즘을 도입하였으며, 주소 뒤의 신원 인증은 특정 기관이 아닌 여러 기관에 의해 확인됩니다. 사람들이 사실을 반복할수록 그것이 사실일 가능성이 높아집니다. 그래서 우리는 Valid ID 플랫폼에서 소셜 인증(Social Attestiation) 방식을 사용합니다.

현재 우리는 몇 가지 작은 응용 포인트를 홍보했습니다.하나는 이 인증된 주소를 기반으로 다양한 디지털 서명을 수행하는 것입니다.우리는 많은 Web3 실무자가 업계에서 오랫동안 일해 왔지만 여전히 Web2 소셜 도구를 사용하고 있음을 발견했습니다. , Twitter, INS 및 기타 소셜 플랫폼과 같이 보안 위험이 큰 프로젝트를 홍보하거나 의견을 표현합니다. 단체의 공식 계정이 도용되어 피싱 정보가 유출되어 이용자의 재산 피해가 발생한 경우 어떻게 해야 하나요? Web3 프로젝트의 정체성은 Web2 플랫폼에 의해 보장되며, 이는 탈중앙화 사회가 원하는 것이 아닙니다. 따라서 유효한 ID의 솔루션은 Web2 ID를 Web3 주소와 결합하는 것입니다. 즉, 조직의 ID를 제어하는 ​​것은 실제로 조직 자체가 보유한 개인 키입니다. 해커는 조직의 계정을 훔칠 수 있지만 조직 ID의 개인 키를 얻을 수 없으므로 ID 제어는 여전히 조직 자체의 손에 있습니다. 유효한 서명 기능을 사용하면 플랫폼에 정보를 게시할 때 모든 사람이 자신의 디지털 서명을 첨부할 수 있으며, 이는 많은 애플리케이션 시나리오에서 매우 중요합니다.예를 들어 대출 정보를 게시할 때 자신의 서명을 추가하면 메시지를 받는 사람이 메시지를 받을 수 있습니다. 일련의 피싱 사기를 방지하기 위해 내가 게시한 메시지가 정말 맞는지 저희 플랫폼에서 확인하십시오.

그리고 방금 이야기한 계약 감사는 저에게 많은 영감을 주었습니다.계약의 감사 정보를 체인에 표현하고, 계약 파일을 조직의 아이덴티티와 바인딩하고, 사용자가 계약을 볼 때 그들은 Valid에서 확인할 수 있습니다. ID 플랫폼은 해당 계약이 Valid ID 플랫폼에서 검증된 조직이 검증한 계약인지 확인하기 위해 검증을 수행합니다. 따라서 zCloak은 사용자 측에서 개인 데이터의 영지식 증명을 제공하고 있지만 계산의 정확성만 보장할 수 있기 때문에 Valid ID는 개인 프라이버시 및 신원 탐색에 있어 zCloak에 매우 유익한 보완책이라고 생각합니다. 연산 데이터의 진위 여부는 DID와 검증 가능한 전자 증명서에 달려 있고 검증 가능한 전자 증명서의 신뢰성은 발급 기관의 평판 보증에 달려 있으며 Valid ID는 기관의 신원과 평판에 대한 솔루션입니다. 마지막으로 실제로 zCloak은 조직의 신원 인증을 통해 Attestation의 진정성을 전송한 다음 사용자가 자신의 신원이 신뢰할 수 있는 특정 속성과 특성을 가지고 있음을 증명할 수 있도록 영지식 증명 방법을 추가합니다.

Cassiel：Mr. Zhang의 공유 덕분에 Tom과 Adam은 미래의 보안 솔루션에 대해 어떻게 생각합니까?

Adam：이제 Web3에는 신원 보안 인프라가 부족하고 많은 보안 문제가 프로세스에서 몇 가지 해결책이 있을 수 있으므로 나중에 보안 및 신원과 관련하여 무언가를 할 수 있으며 기대하고 있습니다. 또 논의하고 싶은 것은 실제로 많은 보안 솔루션이 등장했지만 보안 문제가 계속 발생하는 이유입니다. 두 가지 이유가 있는데, 첫 번째는 전체 Web3의 보안 인프라가 완전하지 않고 신뢰 비용이 높고 신뢰 효율성이 매우 낮기 때문입니다. 이 경우 많은 사람들이 무의식적으로 해커가 공격할 수 있는 허점을 만들 것입니다. 또 다른 이유는 Web3 산업이 상대적으로 인기 있는 분야이기 때문에 많은 보안 조치의 구현 프로세스가 견고하지 않고 모든 사람이 많은 혁신적인 아이디어와 좋은 제품을 갖게 될 것이기 때문입니다. , 그러나 상륙 과정에서 많은 문제에 의해 교란될 것이며 시장 변화이든 기타 요인이든 모든 사람의 일에 대한 열정과 효율성에 영향을 미칠 것입니다.따라서 일부 제품과 프로젝트는 효과적으로 구현되지 않고 서비스를 완성하지 못합니다.예: 방금 언급한 DeFi 보험 자체는 매우 좋은 산업이지만 우리가 기대했던 만큼 발전하지 못했다. Web3 보안 문제, 감사, 온체인 보안 분석, 위험 경고, 공격 모니터링, 돈세탁 방지 등 우리가 구축하고 개발하기를 기다리고 있는 많은 체계적인 프로젝트가 있습니다. 사용자들에게 널리 사용되는 수율 값을 사용하는 문제. 이는 우리가 Web3 보안 서비스 제공업체로서 끊임없이 노력하는 지점이기도 합니다.

Tom：방금 Adam이 언급한 요점은 2C 측 보안 감사 도구를 만드는 것이 가능합니까? 현재 대부분의 보안 감사는 2B 인 것 같고 프로젝트 당사자는 감사를 위해 대기 한 다음 체인에 업로드하므로 사용자가 다양한 Dapp에 로그인 한 후 2C 측에서 플러그인을 만들 수 있습니까? 사용자는 실시간으로 프롬프트를 표시할 수 있으며 일반 사용자는 많은 계약을 캡처할 수 없습니다.업데이트 후 코드에 문제가 있는 경우 이 플러그인은 사용자와 계약자 간의 상호 작용 과정에서 위험 경고 및 의심 지점 경고를 제공할 수 있습니다. 프로젝트 당사자가 허점을 식별할 때까지 거래 이체와 같이 손실을 초래할 수 있는 행위를 중지하도록 사용자를 지원합니다 경고가 사라지고 사용자는 안전한 환경에서 상호 작용합니다. 지갑을 자주 사용하는 DeFi 사용자는 이 제품에 대한 특정 요구 사항과 결제 기능이 있다고 생각합니다. 이 제품이 이전에 업계에 등장했는지 모르겠습니다.

Adam：C-side 보안 경고 도구가 존재하며 현재는 API, Cypto API/Security API 등의 형태로 주로 DeFi나 지갑과 같은 C-side 트래픽 포털에 연결되어 있습니다. 개발팀과 운영팀은 이 사실을 모르고 있다가 저희 API에 접속한 후 C-side 기능의 형태로 반영이 되어서 지금은 모두가 더 많이 하는 일입니다. 물론 모든 것을 커버할 수 있는 보안 엔트리가 있다면 좋겠지만 현재 시장은 여전히 ​​대부분 C-end 사용자를 위한 API 형태이며, 물론 이것은 천천히 발전하고 있습니다.

【FAQ】

Tom：집약된 솔루션은 앞으로도 필요할지 모른다고 생각합니다 지금 Web3의 큰 문제는 너무 분산된 제품과 서비스가 너무 많다는 것입니다 보안 제품도 마찬가지입니다. 향후 완전한 솔루션 세트가 될 것입니다.신원 확인 및 모니터링도 있으며 문제 발생 후 책임과 보상도 포함됩니다. 현재 통합 제품을 만드는 프로젝트 파티가 있습니까? B면이든 C면이든. 그렇지 않다면 왜 하지 않습니까?

장 샤오:대규모 조직이 아닌 이상, 프로젝트 당사자의 전문적인 능력, 기술력, 법률 및 규정에 대한 이해, 금융 지식, 감독 및 정책을 필요로 하는 이러한 패키지 솔루션은 여전히 ​​매우 어렵다고 생각합니다. 정부 배경을 가진 기관이 참여할 때 모든 것을 처리합니다. 일반 기업과 기관의 경우 이미 그 중 하나를 잘하는 것은 매우 좋은 일입니다.

Adam：예, 많은 제품을 단계적으로 개발해야 합니다.일부 제품과 서비스는 효율성과 안전성이 균형을 이루어야 하기 때문에 현재 사용자가 반드시 수용하거나 이해하지 못할 수 있습니다.때로는 너무 많은 보안이 효율성에 영향을 미칠 수 있으므로 여전히 프로세스입니다.문제 .