Cảnh báo rủi ro: Đề phòng huy động vốn bất hợp pháp dưới danh nghĩa 'tiền điện tử' và 'blockchain'. — Năm cơ quan bao gồm Ủy ban Giám sát Ngân hàng và Bảo hiểm
Thông tin
Khám phá
Tìm kiếm
Đăng nhập
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
Xem thị trường
Các vấn đề về bảo mật và tin cậy của Web3 xuất hiện không ngừng, tập trung vào các giải pháp mới cho ngành
zCloak Network
特邀专栏作者
2023-05-10 10:25
Bài viết này có khoảng 9000 từ, đọc toàn bộ bài viết mất khoảng 13 phút
zCloak Network đã tổ chức một thẩm mỹ viện trực tuyến vào lúc 8 giờ tối ngày 27 tháng 4 năm 2023, giờ Bắc Kinh. Tom từ Asset Think Tank, Tutu, đồng sáng lập của LegalDAO và Adam, đồng sáng lập của SharkTe

Sau đây là phiên bản văn bản của thẩm mỹ viện trực tuyến này.

Cassiel:Hãy giới thiệu ngắn gọn về bản thân bạn.

Trương Hiểu:Xin chào các bạn, hôm nay tôi rất vui khi có thể thảo luận với các bạn về các vấn đề bảo mật của Web3. Tóm lại, mạng zCloak là một cơ sở hạ tầng bảo vệ quyền riêng tư và nhận dạng kỹ thuật số dựa trên bằng chứng không có kiến ​​thức. Một loạt cơ sở hạ tầng như DID tự kiểm soát, chứng chỉ kỹ thuật số có thể xác minh, ví nhận dạng kỹ thuật số và tính toán bằng chứng không có kiến ​​thức cục bộ. Tối nay, tôi cũng hy vọng sẽ có một cuộc thảo luận chuyên sâu với bạn về một sản phẩm mới khác của chúng tôi—ID hợp lệ, cách nó có thể giúp bạn tránh và ngăn chặn gian lận Web3.

Tom: Cảm ơn zCloak về lời mời, tôi là giám đốc của DATT, một nhóm chuyên gia tư vấn về tài sản kỹ thuật số thuộc Trung tâm Công nghệ Tài chính của Khoa Quản trị Kinh doanh, Đại học Bách khoa Hồng Kông. Nền tảng cá nhân của tôi là trong ngành tài chính. Tôi đã từng làm việc trong một ngân hàng đầu tư ở New York và Hồng Kông. Tôi hiện đang quản lý một quỹ phòng hộ. Blockchain hiện là hướng nghiên cứu tiến sĩ của tôi. Nhóm chuyên gia tư vấn về tài sản kỹ thuật số hy vọng sẽ khám phá và nghiên cứu hiện trạng của tài sản kỹ thuật số và ngành công nghệ thông tin trong toàn khu vực châu Á, đồng thời thảo luận với các chuyên gia và học giả trong ngành về cách sử dụng công nghệ chuỗi khối để giải quyết các vấn đề thực tế trong phát triển kinh tế và xã hội. Đồng thời, chúng tôi cũng sẽ thường xuyên chia sẻ kết quả thảo luận với các nhà hoạch định chính sách trong ngành, chẳng hạn như Cơ quan tiền tệ Hồng Kông, Quỹ Hồng Kông, Invest Hong Kong và Cyberport. Cuối cùng, chúng tôi hy vọng rằng thông qua DATT, chúng tôi có thể mang lại nhiều cơ hội hơn cho ngành công nghiệp tương tác và giao tiếp.

Turing: Xin chào mọi người, tôi là Tutu, người đồng sáng lập của Legal DAO. DAO hợp pháp hiện đang làm việc trên một sản phẩm tuân thủ Web3 dựa trên các tài nguyên luật sư toàn cầu. Tôi hy vọng có thể tham gia sâu vào việc xây dựng Web3 và tôi cũng hy vọng có thể cung cấp cho bạn các dịch vụ pháp lý toàn cầu. Chúng tôi đã liên tục tích hợp các công nghệ mới nổi của Web3, bao gồm các công nghệ cơ bản và công nghệ AI, để cung cấp cho người dùng sự hỗ trợ pháp lý tốt hơn. Ngoài ra, chúng tôi cũng đã kết bạn với nhiều người bạn trong ngành, chẳng hạn như zCloak, v.v. Chúng tôi mong muốn được tiếp tục tìm hiểu và thảo luận các vấn đề liên quan với bạn ngày hôm nay!

Adam:Xin chào quý vị và các bạn, tôi là Adam, người đồng sáng lập SharkTeam. SharkTeam chủ yếu tham gia vào các sản phẩm liên quan đến bảo mật Web3, một mặt là kiểm toán hợp đồng thông minh, mặt khác là phân tích bảo mật trên chuỗi, bao gồm cảnh báo bảo mật về rủi ro trên chuỗi, giám sát và phân tích các giao dịch và địa chỉ trên chuỗi , và các báo cáo nghiên cứu bảo mật,… Đồng thời, SharkTeam cũng Tiếp tục cung cấp dịch vụ bảo mật cho các dự án Web3 và các công ty. Thật vui khi được là một phần của cuộc thảo luận ngày hôm nay!

Cassiel:Các vấn đề bảo mật của Web3 sẽ có tác động gì đối với các lĩnh vực tương ứng của chúng? Gần đây, đã xảy ra một số lượng lớn các vụ đánh cắp tài khoản Twitter và Tg. Mối đe dọa trực tiếp nhất đối với người dùng Web3 là tính bảo mật của tài sản kỹ thuật số. Điều xảy ra là Think Tank về tài sản kỹ thuật số của Đại học Bách khoa Hồng Kông do Tom đứng đầu đã khám phá và nghiên cứu các tài sản kỹ thuật số và ngành công nghệ thông tin hiện tại, vì vậy trước tiên hãy yêu cầu Tom chia sẻ quan điểm của bạn dựa trên kinh nghiệm liên quan?

Tom:Tôi đã thực hiện rất nhiều dự án Web2 trong ngân hàng đầu tư trước đây, từ góc độ của Web2, vấn đề chủ yếu xảy ra ở mức logic ứng dụng và dữ liệu. Web3 khác với Web2, có nhiều chế độ ứng dụng phi tập trung trong Web3, chẳng hạn như chuỗi chéo, danh tính, ví, v.v. Kiểu tương tác và đổi mới liên tục này thực sự dễ gây ra các vấn đề về bảo mật trong một số tình huống. Đồng thời, việc áp dụng rộng rãi công nghệ khóa công khai và ví kỹ thuật số có thể bảo vệ quyền tự chủ dữ liệu của người dùng Web3 và đảm bảo tính minh bạch và không giả mạo của quá trình giao dịch.Tuy nhiên, sẽ có một vấn đề về bảo mật ở đây. DApps và các giao thức được nâng cấp, chúng ta sẽ làm như thế nào? Qua tìm hiểu, chúng tôi nhận thấy vấn đề bảo mật của Web1 và Web2 bị hạn chế bởi các công cụ còn khá thô sơ, đối với Web3, vấn đề lớn nhất là vấn đề bảo mật của các giao dịch dường như không thể giải quyết được ở mức độ phòng ngừa, bởi vì một khi các giao dịch được thực hiện thì rất khó, theo tìm hiểu và kinh nghiệm của chúng tôi thì ý tưởng bảo mật nói chung là thiết lập một cơ chế để xác minh xem giao dịch có đáp ứng các điều kiện bảo mật hay không, vậy tôi muốn hỏi các chuyên gia làm thế nào để ngăn chặn những hệ thống này điểm yếu ở cấp độ kỹ thuật Để chống lại một số cuộc tấn công có tổ chức? Bao gồm mã hóa gốc, lỗ hổng hợp đồng thông minh và các vấn đề khác. Cụ thể là các hướng sau: thứ nhất là dữ liệu lỗ hổng, thứ hai là cách thiết kế ra quyết định bảo mật, thứ ba là xác thực và chữ ký, và cuối cùng là làm thế nào để làm cho chính sách quản lý mượt mà hơn và trải nghiệm người dùng mượt mà hơn? Vì vậy, tôi nghĩ rằng sau khi tiếp thu những kinh nghiệm của Web1 và Web2, chúng ta thực sự có thể làm được rất nhiều thứ trong Web3, đó là điều mà DATT đã trăn trở và tìm tòi.

Cassiel:Tiếp theo, tôi muốn đề nghị Adam nói về quan điểm của bạn dưới góc độ của dịch vụ bảo vệ.

Adam:Thẳng thắn mà nói, mặc dù tốc độ phát triển hiện tại của Web3 rất nhanh nhưng vẫn còn ở giai đoạn rất sớm, điều này chủ yếu thể hiện ở ba điểm, thứ nhất là hình thức kinh doanh còn rất sớm và mọi người đã quen thuộc hơn với DeFi, mặc dù nó đã có trong Web3. Nó là một từ cũ, nhưng nó chỉ mới được phát triển hơn hai năm. Sau đó, một số định dạng mới như NFT, GameFi và các công cụ phái sinh mới xuất hiện gần đây, v.v., sự phát triển nhanh chóng của các định dạng này sẽ mang lại một số khía cạnh kinh doanh.Rủi ro và Các vấn đề An toàn. Vì vậy, đối với Web3, rất nhiều hình thức kinh doanh không được dựa vào một công nghệ nhất định để giải quyết tất cả các vấn đề bảo mật. Dựa trên chế độ đa dịch vụ của Web3, các biện pháp phòng ngừa bảo mật của nó vẫn phải được thực hiện theo cách kỹ thuật hệ thống. Chính vì sự phát triển nhanh chóng và mô hình kinh doanh sáng tạo mà các điểm tấn công mở rộng và rộng hơn, chẳng hạn như khóa riêng, cơ sở hạ tầng chuỗi chéo, ví và bảo mật danh tính đều có thể bị tấn công. Do đó, đối với phía dự án, điều đầu tiên cần xem xét là giới thiệu khái niệm về mô hình bảo mật nghiệp vụ như Web2 trong giai đoạn đầu của thiết kế nghiệp vụ, lập kế hoạch và phân tách các rủi ro ở cấp độ nghiệp vụ.

Thứ hai, từ quan điểm kỹ thuật, bên dự án phải có quy trình kỹ thuật thực hành phát triển được tiêu chuẩn hóa và bên dự án phải có nhận thức về đóng băng mã trước khi đưa lên mạng. Nếu không, sau nhiều lần sửa đổi và chỉnh sửa trong giai đoạn sau, các nhà phát triển sẽ vô tình tạo ra nhiều lỗ hổng bảo mật, điều này sẽ gây ra một số vấn đề bảo mật không thể ngăn chặn được. Hiện tại, đối với nhiều bên dự án và nhà phát triển, họ có thể nghĩ rằng kiểm toán hợp đồng thông minh, bảo mật quyền riêng tư danh tính DID, v.v. đều là các vấn đề bảo mật, nhưng đối với một dự án, đây chỉ là một phần của nó.

Khía cạnh cuối cùng là mức độ vận hành và ứng cứu khẩn cấp, sau nhiều dự án bị tấn công lúc nửa đêm, dù đã phát hiện nhưng chúng tôi không liên lạc được với bên dự án trong đêm, chỉ biết đứng nhìn dự án bị tấn công và tài sản của người dùng bị tin tặc đánh cắp. Ứng phó khẩn cấp và bảo mật Các hoạt động diễn ra chậm, bao gồm hành động ngăn chặn liên hệ với việc đóng băng tài sản hoặc liên hệ với các đối tác sinh thái khác sau sự cố bảo mật diễn ra rất chậm. Điều này cũng là do hệ thống vận hành và ứng phó khẩn cấp chưa được thiết lập. Cuối cùng, sự phát triển hiện tại của Web3 là rất nhanh, nhưng bất kể về hình thức kinh doanh, trình độ công nghệ, mức độ vận hành và ứng phó khẩn cấp, một hệ thống bảo mật hoàn chỉnh vẫn chưa được thiết lập, điều này cũng đòi hỏi những nỗ lực chung của chúng ta trong tương lai để xây dựng.

Cassiel:Adam đã chia sẻ quan điểm của mình từ góc độ công nghệ và kinh doanh, cũng như hoạt động và ứng phó khẩn cấp, sau đó mọi người có thể có một cuộc thảo luận ngắn, đồng thời ông Zhang và Turing cũng được mời trả lời một số câu hỏi liên quan do Tom đưa ra.

Turing:Tôi muốn bổ sung một chút, trước đây bạn đã nói về rất nhiều vấn đề bảo mật hệ thống nên Legal DAO có thể cung cấp cho bạn một số ý kiến ​​từ góc độ pháp lý. Bạn có thể thắc mắc tại sao một số vấn đề pháp lý dựa trên Web3 chậm tiến triển.Thực tế, đó là do các nhà tài chính truyền thống và các chuyên gia pháp lý đã tiếp xúc với các công nghệ mới nổi như chuỗi khối trong một thời gian tương đối ngắn.Không có cơ sở đo lường cho việc thực hiện vấn đề và trách nhiệm giải trình sau đó, hoặc khó có sự đồng thuận để mọi người duy trì. Sau khi phân tích, tôi cho rằng việc không có hệ thống nhận dạng là một nguyên nhân cốt lõi khiến ngành pháp lý Web3 chậm phát triển. Trong Web3, người đó có thể không được tìm thấy bằng cách thay đổi địa chỉ, nhưng trong Web2, miễn là có thẻ ID, người đó có thể được tìm thấy, vì vậy sự khác biệt lớn nhất nằm ở việc thiếu hệ thống nhận dạng trong Web3 so với Web2. Do đó, không thể thiết lập một cơ chế thưởng phạt hoàn chỉnh và hệ thống kinh doanh trong toàn bộ thế giới Web3, kể cả danh tiếng và danh tiếng cũng không thể được tích lũy một cách hiệu quả. Do đó, đối với ngành pháp lý Web3, tôi nghĩ rằng việc hợp tác với các đối tác như zCloak để từng bước thiết lập một hệ thống xác thực danh tính dựa trên bảo vệ quyền riêng tư là một điểm truy cập tốt. Tiếp theo, tôi muốn nghe suy nghĩ của ông Zhang.

Trương Hiểu:Cảm ơn Tutu và các khách mời khác vì những chia sẻ của họ. Cá nhân tôi rất được truyền cảm hứng. Trước hết, tôi muốn trả lời một số câu hỏi mà Tom đã đề cập trước đây. Cơ sở hạ tầng như blockchain hiện mang giá trị cao, cho dù đó là stablecoin và các tổ chức tài chính khác .Tài sản vẫn là tài sản trong thế giới thực trên chuỗi, v.v., nhưng thực sự có những vấn đề lớn về bảo mật tài sản tổng thể và bảo vệ nhà đầu tư. Đối với ngành công nghiệp blockchain, mọi người đều quen thuộc với câu nói “Không phải chìa khóa của bạn, không phải đồng xu của bạn.", nếu khóa riêng tư không nằm trong tầm kiểm soát của bạn, khả năng cao là tiền sẽ không hoàn toàn thuộc về bạn. Cũng như các giao dịch trên chuỗi và một số cơ sở hạ tầng dựa trên hợp đồng thông minh, khi một giao dịch hoặc một khối được tạo ra, rất khó để rút chúng, trừ khi thực hiện một hard fork, nhưng chi phí rất cao, đòi hỏi chúng tôi phải Sử dụng tài khoản của riêng bạn một cách thận trọng để giao dịch theo môi trường.

Tom đã đề cập đến vấn đề ví trước đây và tôi nghĩ ví là một cơ sở hạ tầng cực kỳ quan trọng trong ngành này. Nó chủ yếu được sử dụng để quản lý khóa riêng của chúng tôi và tính bảo mật của khóa riêng xác định tính bảo mật của tài sản của chúng tôi, nhưng tính khả thi của ví được mã hóa hiện tại không phải là lý tưởng. Đối với những người bình thường không có nền tảng kiến ​​thức máy tính nhất định, thì một số thuật ngữ chuyên môn như public key, private key, mnemonic, derivation path,… cũng đủ khiến họ bối rối, điều này vô hình chung đã nâng cao ngưỡng sử dụng ví mã hóa. Nó nên được mở cho công chúng. Do đó, hiện tại có rất nhiều ví thế hệ mới đang cố gắng đơn giản hóa trải nghiệm người dùng, cải thiện tính ứng dụng kiểu này rất tốt nhưng thực tế thì tính bảo mật và tính ứng dụng lại trái ngược nhau ở một mức độ nào đó - thường thì càng dễ sử dụng, tiện lợi thì bảo mật sẽ càng cao. bị tổn hại. Ví dụ: từ góc độ kiểm soát khóa riêng, tính bảo mật của khóa riêng kiểm soát hoàn toàn trong tay người dùng và một phần trong tay người dùng phải khác nhau. Do đó, đối với ngành công nghiệp ví, chúng tôi thực sự đã thấy một số tiến bộ, nhưng bảo mật liên quan phải đứng trước thử thách của thời gian để xác định.

Một vấn đề khác về bảo mật tài sản trên chuỗi mà Tom đã đề cập là ngoài các tài sản công nghiệp được mã hóa ban đầu, dần dần có nhiều tài sản trong thế giới thực nằm trên chuỗi. Hình thức hợp đồng cũng có thể là NFT, hoặc thậm chí 100 tấn dầu trong thế giới thực.Quyền sở hữu, kiểm toán, an ninh, bảo hiểm, và ai sẽ chứng thực điều đó dưới góc độ pháp lý là rất quan trọng sau khi các tài sản này được xâu chuỗi. Do đó, việc xác thực và xác định tính xác thực của tài sản trên chuỗi là rất cần thiết.

Adam cũng đề cập rằng vấn đề bảo mật là một vấn đề tổng thể và việc giải quyết vấn đề bảo mật của hợp đồng thông minh không có nghĩa là toàn bộ vấn đề bảo mật đã được giải quyết, chưa kể đến việc bảo mật ở cấp độ hợp đồng thông minh có thể chưa được giải quyết chưa. Một hợp đồng thông minh được tải lên chuỗi sau khi kiểm toán, nhưng nó được cập nhật sau đó và hầu hết mọi người không thể biết liệu hợp đồng thông minh đang chạy có phải là hợp đồng thông minh sau khi kiểm toán hay không. Đặc biệt ở cấp độ kiểm toán, mã được kiểm toán có thể là mã A, nhưng thứ mà bên dự án thực sự triển khai trên chuỗi là mã B và người bình thường không thể phân biệt được đó là mã nào. Ở đây, chúng tôi zCloak đã đề xuất một khái niệm tương đối mới, đó là danh tính của tài sản trên chuỗi hoặc hợp đồng trên chuỗi. Ví dụ: sau khi hợp đồng thông minh được SharkTeam kiểm toán, hợp đồng được kiểm toán có thể hiển thị thông tin kiểm toán tương ứng cùng lúc hay chúng tôi có thể theo dõi hợp đồng thông minh đang chạy trên chuỗi theo một cách nào đó không? Theo cách tương tự, tài sản trên một chuỗi nhất định có thể hiển thị và tương tác với kết quả kiểm tra của chúng theo cách này không. Do đó, chúng tôi sẽ thấy rằng vấn đề bảo mật trên chuỗi cuối cùng cũng trở lại với danh tính. Bất kỳ hợp đồng và tài sản thông minh nào cũng có thể có danh tính, vì vậy ai sẽ công chứng và chứng thực danh tính của nó một cách hiệu quả, hiển thị ở đâu, ở dạng nào và làm thế nào để cho phép người dùng xác minh danh tính đó, đây là tất cả những gì chúng ta cần giải quyết trong quá trình công nghiệp và phát triển công nghệ Câu hỏi rất thú vị.

Tom:Trước những điểm bạn vừa nêu, tôi cũng có một số câu hỏi muốn mở rộng. Đầu tiên là việc xác định các hợp đồng thông minh mà ông Zhang vừa đề cập, nhưng có rất nhiều công ty kiểm toán khác nhau trong Web3.Sự khác biệt kỹ thuật giữa các công ty kiểm toán khác nhau là gì? Làm và tại sao các dự án điển hình yêu cầu nhiều công ty kiểm toán tiến hành kiểm toán? Có thể có một tiêu chuẩn kiểm toán được quốc tế chấp nhận không? Câu hỏi thứ hai được kết hợp với điều mà Turing và Adam vừa đề cập, về khía cạnh luật pháp và công nghệ, có phải luật pháp luôn tụt hậu? Nếu nó bị chậm, làm thế nào chúng tôi có thể đảm bảo rằng công nghệ của chúng tôi tuân thủ các quy định? Bởi vì chúng tôi đã liên lạc với các cơ quan quản lý của Hồng Kông về các vấn đề như stablecoin, sàn giao dịch và tài sản thực, nhưng nhận thấy rằng sự giám sát pháp lý hiện tại là chưa đủ. Tiên tiến nhất có thể là stablecoin mới được giới thiệu và các quy định về tiền tệ khác ở Châu Âu. , sau khi nghiên cứu kỹ các quy định của nó, người ta thấy rằng nó không thể đáp ứng được sự đổi mới thiết yếu của thế giới Web3, vậy làm thế nào để đảm bảo sự cân bằng giữa đổi mới Web3, giám sát pháp lý và công nghệ bảo mật?

 Adam:Sau đó, hãy để tôi nói ngắn gọn về ý kiến ​​​​của tôi. Về câu hỏi kiểm toán đầu tiên của Tom và các tiêu chuẩn kiểm toán, hiện tại thực sự rất khó để hình thành một tiêu chuẩn rõ ràng. Các loại kiểm tra khác nhau trong Web2 cũng được thực hiện bởi nhiều nhà cung cấp dịch vụ, lý do cơ bản là không có bảo mật 100%, chúng tôi chỉ có thể tiếp tục bổ sung chứ không thể hình thành tiêu chuẩn định lượng và chúng tôi cho rằng đạt được tiêu chuẩn này là an toàn. Thứ hai là việc “đóng dấu” hợp đồng mà ông Zhang đã đề cập, đây cũng là vấn đề mà chúng tôi thường gặp phải khi làm dịch vụ bảo vệ, hiện tại chúng tôi sẽ tiến hành kiểm toán từng hợp đồng cụ thể đã được kiểm toán trong báo cáo kiểm toán của hợp đồng.Ràng buộc băm, bao gồm ràng buộc với Cam kết trên GitHub. Nhưng cũng sẽ có vấn đề, trên thực tế kiểm toán viên và dự án cùng một rãnh, mọi người đều nhất trí là bên dự án nên triển khai hợp đồng mà chúng tôi đã kiểm toán và sửa đổi. Nhưng thực sự có những nhà phát triển đã thực hiện các sửa đổi sau đó, và một số thậm chí còn là những thỏa thuận ban đầu. Cũng có một số bên dự án cố tình không triển khai hợp đồng sau khi kiểm toán, và các nhà đầu tư bình thường không thể biết liệu nội dung của báo cáo kiểm toán có giống với hợp đồng được triển khai thực tế hay không. Từ quan điểm kỹ thuật, nó có thể đạt được, nhưng rất khó để thực hiện nó. Có lẽ một số hình thức kinh doanh mới nổi, chẳng hạn như bảo hiểm, có thể được sử dụng để giải quyết vấn đề này, tất nhiên, điều này cũng sẽ liên quan đến một số khía cạnh pháp lý, nhưng tôi nghĩ đó là một giải pháp.

Turing:Bảo hiểm thực sự là một phương tiện phòng ngừa rủi ro tương đối rõ ràng, từ quan điểm pháp lý, nó hơi giống với tích hợp kiểm toán trong Web2, trong tích hợp kiểm toán của Web2, nếu một công ty chi tiêu nhiều hơn một giá trị nhất định, thì công ty đó phải chấp nhận so sánh Xác nhận thư cao và xem xét số tiền giao dịch. Tương tự như toàn bộ Web3, các công ty kiểm toán trong thế giới Web3 hiện có các phương pháp và nguyên tắc riêng để kiểm toán các dự án và một tiêu chuẩn thống nhất vẫn chưa xuất hiện, nhưng các liên minh ngành có liên quan đang liên tục xuất hiện, vì vậy tôi nghĩ rằng sự đồng thuận thống nhất này của Ngành đã xuất hiện thời gian. Nguồn luật sư của Legal DAO bao phủ nhiều quốc gia trên thế giới, và việc thúc đẩy hình thành sự đồng thuận trong ngành này cũng phải cần đến sự kêu gọi của nhiều bên.

Adam:Có, nền tảng dữ liệu Wallet kết hợp với cơ chế bảo hiểm để phòng ngừa rủi ro trong các hình thức kinh doanh có thể hiệu quả hơn. Chúng tôi cũng đang mong đợi sự xuất hiện của giải pháp này. Liệu hợp đồng được kiểm toán và hợp đồng được triển khai thực tế có phải là cùng một hợp đồng hay không thực sự có thể được sử dụng như một hệ thống chứng nhận có liên quan, đặc biệt là để giải Rug Pull.

Tom:Tôi cũng muốn nói thêm về bảo hiểm, theo kinh nghiệm đầu tư vào các dự án DeFi trước đây của tôi, vấn đề lớn nhất của loại bảo hiểm này là mặc dù phí bảo hiểm không cao, khoảng 1% nhưng thời gian bảo hành của nó rất ngắn, thường là trong vòng 3 Bên trong, số lượng được đảm bảo cũng bị hạn chế và việc đảm bảo cho DeFi vẫn còn rất sớm, bao gồm cả tính thanh khoản và hiệu quả không cao lắm.

Adam:Những khó khăn trong việc thực hiện bảo hiểm phi tập trung có liên quan đến việc thu thập và xác định bằng chứng, điều này có liên quan đến pháp luật không?

Turing:Để tôi cho bạn một ví dụ, chẳng hạn như xác định quyền sở hữu hàng hóa trong hậu cần, đầu tiên bạn có thể dán một con chip năng lượng thấp lên gói hàng chuyển phát nhanh và bấm thẻ mỗi khi hàng hóa đi qua trạm gốc. Tuy nhiên, sau khi hàng hóa đến nơi, hàng hóa sẽ có vấn đề sau khi mở gói, thực sự không có cách nào giải quyết về mặt pháp lý, vì không thể xác định được thiệt hại đối với hàng hóa xảy ra trong quá trình vận chuyển hay sau khi nhận được. Vẫn rất khó xác định điều này vấn đề cụ thể.

Trương Hiểu:Adam vừa đề cập đến một điểm mà tôi nghĩ thậm chí có thể được sử dụng như một hướng đi cho sản phẩm. Kiểm tra hợp đồng, sau khi bên dự án triển khai trên chuỗi, mỗi hợp đồng có một địa chỉ, nhưng hợp đồng cũng có thể được nâng cấp, vậy nếu bên dự án nâng cấp hợp đồng thì địa chỉ hợp đồng có giữ nguyên địa chỉ ban đầu không?

Adam:Địa chỉ sẽ thay đổi nhưng vấn đề bảo mật rất dễ xảy ra trong quá trình nâng cấp hợp đồng.Trước hội nghị Hong Kong cách đây một thời gian, một bên dự án đã mất 800 ETH vì nâng cấp hợp đồng mới, vì điều này thực sự rất dễ xảy ra sai sót, nhưng mọi người đều rất quan tâm đến nó và rất dễ bỏ qua nó.

Trương Hiểu:Do đó, để kiểm tra, bên dự án thực sự gửi một phiên bản nhất định để xem xét hoặc từ góc độ của công nghệ GitHub, kiểm toán thực sự là một phiên bản nhất định của hợp đồng thông minh của Cam kết. bên dự án thực sự Hợp đồng thông minh được triển khai trên chuỗi, hay hợp đồng ban đầu được triển khai nhưng sau này có bị thay thế hay không thực sự rất khó để các nhà đầu tư đánh giá.

Adam:Có, đặc biệt đối với một số nhóm tự đánh cắp, nhiều người trong số họ sẽ sử dụng các bản nâng cấp hợp đồng để thay thế một số hợp đồng cốt lõi và người dùng sẽ không thể tìm thấy những vấn đề này. Tuy nhiên, sẽ có một hợp đồng ủy quyền ở lớp ngoài của hợp đồng, sau khi hợp đồng được nâng cấp, hợp đồng ủy quyền sẽ thay đổi, vì vậy nó thực sự có thể được tìm thấy, nhưng hiện tại không có cơ sở hạ tầng liên quan, bởi vì yêu cầu này cần phải được làm rõ thêm. Có bất cứ điều gì khác Tom muốn thảo luận?

Tom:Có hai vấn đề chính, thứ nhất là bảo hiểm, chúng ta triển khai hình thức kinh doanh bảo hiểm như thế nào, bao gồm trung gian giải quyết bồi thường và thanh toán, ai sẽ thực hiện giám sát, v.v.. Chúng ta vẫn cần tìm một mô hình kinh doanh hoàn hảo, thứ hai là hợp đồng và Việc tiêu chuẩn hóa địa chỉ, chúng tôi đã kết nối với Trung tâm kiểm tra chất lượng Trung Quốc trước đây, họ sẽ cấp chứng chỉ và phù hợp với tiêu chuẩn quốc tế, họ thực sự là chuyên nghiệp nhất, họ đang đưa ra các tiêu chuẩn trong mọi lĩnh vực và họ cũng có blockchain -các nhóm liên quan , Vậy chúng ta có thể sử dụng sức mạnh của đất nước, có thể không chỉ là Trung Quốc, để xây dựng và cải thiện tiêu chuẩn ngành này với các nước khác không? Tất nhiên, sử dụng các tiêu chuẩn tư duy của Web2 để hỗ trợ các nhận dạng khác nhau của Web3, những điều này không thể giải quyết được vấn đề tự đánh cắp, vì vậy tôi thấy rằng nhiều báo cáo kiểm toán do các công ty kiểm toán phát hành cũng sẽ cho điểm nhóm dự án, vì vậy có thể đối với Web3, nó vẫn cần toàn diện hơn.Định hướng phát triển. Cuối cùng, tôi nghĩ rằng tam giác bất khả thi của Web3 cũng tồn tại, đó là phân cấp, ẩn danh và quyền riêng tư, giám sát và trách nhiệm giải trình, đúng là không có cách nào để ba điều này cùng tồn tại một cách hợp lý.

Cassiel:Trên thực tế, xét về tần suất xảy ra sự cố bảo mật hiện nay, hiệu quả triển khai của một số giải pháp xử lý sự cố bảo mật đã xuất hiện trong quá khứ không được như mong đợi hoặc đều có những hạn chế nhất định. ? Ông Zhang vừa đề cập rằng zCloak đã chính thức ra mắt nền tảng ID hợp lệ vào đầu tháng này. Đây dường như là một ý tưởng mới để giải quyết cuộc khủng hoảng niềm tin trong Web3. Đồng thời, zCloak đã cam kết cung cấp cho người dùng các dịch vụ điện toán bảo mật dựa trên về công nghệ bằng chứng không có kiến ​​​​thức và " Hai từ "quyền riêng tư" và "bảo mật" thực sự không thể tách rời, vì vậy, ông Zhang, vui lòng chia sẻ với chúng tôi, để bảo mật dữ liệu riêng tư của Web3, zCloak đang xây dựng hoặc đã có những giải pháp nào được xây dựng?

Trương Hiểu:Được rồi, chủ đề này thực sự có liên quan sâu sắc đến các sản phẩm mới của chúng tôi. Vấn đề về lòng tin có thể bắt nguồn từ việc thiếu cơ sở hệ thống nhận dạng trên chuỗi, vấn đề mà ID hợp lệ có thể giải quyết cũng rất đơn giản, đó là "ai là ai". Hiện tại, chỉ có từng địa chỉ ví trên chuỗi và những gì được hiển thị là địa chỉ đã ký, bao nhiêu tài khoản đã được chuyển, giao dịch nào đã được thực hiện, v.v. Đồng thời, đối với các cá nhân, ẩn danh hoặc bán -anonymity của địa chỉ blockchain Nó bảo vệ quyền riêng tư của tôi, đó là một lợi ích cá nhân. Tuy nhiên, nhu cầu của các tổ chức trên chuỗi thực sự ngược lại với nhu cầu của các cá nhân, các tổ chức (công ty kiểm toán, công ty luật, cơ quan chính phủ) cần cho mọi người biết địa chỉ của ai, vì vậy hệ thống nhận dạng trên chuỗi đặc biệt quan trọng . Trong thế giới truyền thống, nếu chúng ta muốn biết ai đứng sau một trang web, chúng ta có thể truy vấn thông qua chứng chỉ CA, nhưng chúng ta không có cách nào biết ai đứng sau địa chỉ trong thế giới blockchain. Vliad ID là một khám phá nhỏ theo hướng này. Chúng tôi hy vọng có thể áp dụng ý tưởng giải quyết vấn đề nhận dạng của Web2 cho Web3. Tất nhiên, chúng tôi sử dụng công nghệ gốc của Web3 để giải quyết vấn đề. Phương pháp này rất đơn giản. Nhận dạng thực thể phải được kiểm tra và chứng nhận kỹ thuật. Sau khi quá trình kiểm tra và chứng nhận hoàn tất, danh tính của nó trong thế giới Web2 được liên kết với địa chỉ của nó trên chuỗi Web3 để tạo thành một chứng chỉ mà chúng tôi gọi là danh tính tổ chức. Đồng thời, chúng tôi lưu trữ các chứng chỉ này trên chuỗi không thể bị giả mạo hoặc trong cơ sở dữ liệu Arweave, do đó hình thành mối quan hệ ràng buộc giữa các địa chỉ trên chuỗi và danh tính thực bên ngoài chuỗi không thể bị giả mạo. Khi những người khác nhìn thấy một địa chỉ nhất định, họ có thể biết rõ tổ chức nào đứng đằng sau địa chỉ đó.

Ở đây còn một vấn đề vô cùng quan trọng khác, quyết định ai là người đứng sau địa chỉ. Nếu bạn tiếp tục sử dụng phương pháp CA để chứng nhận, điều đó sẽ trái với khái niệm phân cấp của Web3 và chuỗi khối. Khi bắt đầu xây dựng ID hợp lệ, chúng tôi muốn xây dựng nó thành một nền tảng phi tập trung nên đã giới thiệu cơ chế xác thực nhiều bên, xác thực danh tính đằng sau địa chỉ không được xác định bởi một tổ chức nhất định mà bởi nhiều tổ chức được xác định. Càng nhiều người lặp lại một sự thật, thì càng có nhiều khả năng nó là sự thật. Vì vậy, chúng tôi sử dụng phương pháp xác thực xã hội (Social Attestiation) trên nền tảng ID hợp lệ.

Hiện tại, chúng tôi đã thúc đẩy một số điểm ứng dụng nhỏ, một là thực hiện các chữ ký số khác nhau dựa trên địa chỉ được chứng nhận này, chúng tôi nhận thấy rằng mặc dù nhiều học viên Web3 đã làm việc trong ngành lâu năm nhưng họ vẫn đang sử dụng các công cụ xã hội của Web2. , Chẳng hạn như Twitter, INS và các nền tảng xã hội khác để bày tỏ ý kiến ​​​​hoặc quảng bá dự án, vốn có rủi ro bảo mật lớn. Tôi nên làm gì nếu tài khoản chính thức của tổ chức bị đánh cắp và thông tin lừa đảo bị phát tán khiến người dùng mất tài sản? Danh tính của dự án Web3 được đảm bảo bởi nền tảng Web2, đây không phải là điều mà một xã hội phi tập trung muốn thấy. Do đó, giải pháp của ID hợp lệ là kết hợp danh tính Web2 với địa chỉ Web3, nghĩa là, thứ kiểm soát danh tính của tổ chức thực sự là khóa riêng do chính tổ chức đó nắm giữ. Tin tặc có thể đánh cắp tài khoản của tổ chức, nhưng không thể lấy được khóa riêng của danh tính của tổ chức, do đó, quyền kiểm soát danh tính vẫn nằm trong tay của chính tổ chức. Chức năng Ký hợp lệ cho phép mọi người đính kèm chữ ký số của riêng họ khi xuất bản bất kỳ thông tin nào trên bất kỳ nền tảng nào, điều này rất quan trọng trong nhiều tình huống ứng dụng. Ví dụ: khi xuất bản thông tin cho vay, hãy thêm chữ ký của riêng bạn và người nhận tin nhắn có thể ký Xác minh trên nền tảng của chúng tôi xem đó có thực sự là thông báo do tôi đăng hay không, để ngăn chặn hàng loạt vụ lừa đảo.

Và việc kiểm toán hợp đồng mà chúng ta vừa nói đã truyền cho tôi rất nhiều cảm hứng, có thể thể hiện thông tin kiểm toán của hợp đồng trên chuỗi, liên kết tệp hợp đồng với danh tính của tổ chức và khi người dùng xem hợp đồng, họ có thể kiểm tra nó trong Hợp lệ Nền tảng ID tiến hành xác minh để kiểm tra xem hợp đồng có phải là hợp đồng được xác minh bởi một tổ chức được xác minh trên nền tảng ID hợp lệ hay không. Do đó, chúng tôi tin rằng ID hợp lệ là một phần bổ sung rất có lợi cho zCloak trong việc khám phá quyền riêng tư và danh tính cá nhân, bởi vì zCloak đã và đang cung cấp bằng chứng không cần biết về dữ liệu riêng tư ở cuối người dùng, nhưng nó chỉ có thể đảm bảo tính chính xác của phép tính quy trình và tính xác thực của dữ liệu tính toán phụ thuộc vào DID và chứng chỉ kỹ thuật số có thể xác minh, đồng thời độ tin cậy của chứng chỉ kỹ thuật số có thể xác minh phụ thuộc vào sự chứng thực danh tiếng của tổ chức phát hành và ID hợp lệ là giải pháp cho danh tính và danh tiếng của tổ chức. Cuối cùng, trên thực tế, zCloak truyền tính xác thực của Chứng thực thông qua xác thực danh tính của tổ chức, sau đó thêm phương pháp bằng chứng không có kiến ​​thức để cho phép người dùng chứng minh rằng danh tính của họ có các thuộc tính và đặc điểm đáng tin cậy nhất định.

Cassiel:Cảm ơn anh Zhang đã chia sẻ, Tom và Adam nghĩ gì về các giải pháp bảo mật trong tương lai?

Adam:Hiện tại, Web3 thiếu cơ sở hạ tầng bảo mật danh tính và nhiều vấn đề bảo mật có thể có một số giải pháp trong quá trình xử lý, vì vậy chúng tôi có thể làm điều gì đó xung quanh vấn đề bảo mật và danh tính sau này và tôi rất mong chờ điều đó. Một điều nữa tôi muốn thảo luận là nhiều giải pháp bảo mật thực sự đã xuất hiện, nhưng tại sao các vấn đề bảo mật vẫn tiếp tục xảy ra. Có hai lý do, thứ nhất là cơ sở hạ tầng bảo mật của toàn bộ Web3 chưa hoàn thiện, chi phí ủy thác cao và hiệu quả ủy thác rất thấp. Trong trường hợp này, nhiều người sẽ vô tình tạo ra sơ hở để tin tặc tấn công; một lý do khác là quá trình triển khai nhiều biện pháp bảo mật không vững chắc, bởi vì ngành Web3 là một lĩnh vực tương đối thông minh và mọi người sẽ có nhiều ý tưởng sáng tạo và sản phẩm tốt , nhưng sẽ bị quấy rầy bởi nhiều vấn đề trong quá trình hạ cánh, cho dù đó là sự thay đổi của thị trường hay các yếu tố khác, nó sẽ ảnh hưởng đến sự nhiệt tình và hiệu quả của mọi người trong công việc. Do đó, một số sản phẩm và dự án đã không được triển khai hiệu quả và hoàn thiện dịch vụ, chẳng hạn như DeFi vừa đề cập Bản thân bảo hiểm là một ngành rất tốt, nhưng nó chưa phát triển tốt như chúng ta mong đợi, bản chất là nó chưa được thực hiện nghiêm túc. Các vấn đề về bảo mật web3, kiểm toán, phân tích bảo mật trên chuỗi, cảnh báo rủi ro, giám sát tấn công, chống rửa tiền, v.v., vẫn còn rất nhiều dự án mang tính hệ thống đang chờ chúng tôi xây dựng và phát triển. được sử dụng rộng rãi bởi người dùng Các vấn đề sử dụng giá trị năng suất. Đây cũng là một điểm mà chúng tôi không ngừng thúc đẩy bản thân với tư cách là nhà cung cấp dịch vụ bảo mật Web3. Chúng tôi không được quên mục đích ban đầu của mình là thực hiện công việc vững chắc trong các sản phẩm và dịch vụ. Chúng tôi hy vọng rằng ngành công nghiệp Web3 cũng có thể hình thành sự đồng thuận như vậy.

Tom:Một điểm vừa được Adam đề cập, liệu chúng tôi có thể tạo công cụ kiểm tra bảo mật phía 2C không? Có vẻ như hầu hết các cuộc kiểm toán bảo mật hiện tại là 2B và bên dự án xếp hàng để kiểm tra rồi tải lên chuỗi, do đó, bên 2C có thể thực hiện một phần bổ trợ sau khi người dùng đăng nhập vào nhiều Dapp khác nhau không, người dùng có thể được nhắc trong thời gian thực và người dùng thông thường không thể nắm bắt nhiều hợp đồng. Nếu có vấn đề với mã sau khi cập nhật, thì trình cắm này có thể đưa ra cảnh báo rủi ro và cảnh báo điểm đáng ngờ trong quá trình tương tác giữa người dùng và người dùng hợp đồng và hỗ trợ người dùng dừng các hành động có thể gây ra tổn thất, chẳng hạn như chuyển giao dịch, cho đến khi bên dự án xác định được các kẽ hở. Cảnh báo biến mất và người dùng tương tác trong một môi trường an toàn. Tôi nghĩ người dùng DeFi thường sử dụng ví có nhu cầu và khả năng thanh toán nhất định đối với sản phẩm này. Tôi không biết liệu sản phẩm này đã xuất hiện trong ngành trước đây chưa?

Adam:Các công cụ cảnh báo bảo mật phía C đã tồn tại và hiện tại chúng chủ yếu được kết nối với các cổng lưu lượng phía C như DeFi hoặc ví dưới dạng API, API Cypto/API bảo mật, v.v. Nếu người dùng tương tác với một địa chỉ có rủi ro cao, sự phát triển của ví có thể Nhóm và nhóm vận hành không biết về điều này, nhưng sau khi truy cập API của chúng tôi, nó được phản ánh dưới dạng các chức năng bên C, đây là điều mà mọi người hiện đang làm nhiều hơn. Tất nhiên, sẽ thật tuyệt nếu có một mục nhập an toàn có thể bao gồm mọi thứ, nhưng hiện tại, thị trường vẫn chủ yếu ở dạng API cho người dùng C-end và tất nhiên điều này đang dần phát triển.

【FAQ】

Tom:Tôi nghĩ rằng một giải pháp tổng hợp có thể vẫn cần thiết trong tương lai. Hiện tại, một vấn đề lớn của Web3 là có quá nhiều sản phẩm và dịch vụ quá phân tán. Điều này cũng đúng với các sản phẩm bảo mật. Tôi không biết liệu sẽ có là một bộ giải pháp hoàn chỉnh trong tương lai, ngoài ra còn có xác minh và giám sát danh tính, đồng thời cũng sẽ bao gồm trách nhiệm giải trình và bồi thường sau khi xảy ra sự cố. Hiện giờ có bên dự án nào làm sản phẩm tích hợp không? Cho dù đó là bên B hay bên C. Nếu không, tại sao bạn không làm điều đó?

Trương Hiểu:Tôi nghĩ loại giải pháp trọn gói này vẫn rất khó, đòi hỏi năng lực chuyên môn, sức mạnh kỹ thuật, hiểu biết về luật pháp và các quy định, kiến ​​thức tài chính, giám sát và chính sách của bên dự án, trừ khi đó là một tổ chức quy mô lớn. lo liệu mọi thứ khi các tổ chức có nền tảng của chính phủ tham gia. Đối với các công ty và tổ chức bình thường, việc làm tốt một trong số chúng đã là một điều rất tốt.

Adam:Đúng vậy, nhiều sản phẩm cần được phát triển theo từng giai đoạn. Một số sản phẩm và dịch vụ hiện tại không nhất thiết được người dùng chấp nhận hoặc hiểu, bởi vì hiệu quả và an toàn phải được cân bằng. Đôi khi quá nhiều bảo mật chắc chắn sẽ ảnh hưởng đến hiệu quả, vì vậy nó vẫn là một quá trình. vấn đề .

Liên kết nguồn
cái ví
Sự an toàn
hợp đồng thông minh
tài chính
đầu tư
DeFi
DAO
người sáng lập
DID
công nghệ
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Bài viết đề xuất
Trong khi LetsBonk đang hồi sinh, PumpFun lại chiến lược ẩn mình để đổi lấy sự thống trị trong chu kỳ tiếp theo.
Quả bom thuế quan của Trump đã phát nổ và thị trường tiền điện tử chuyển sang "chế độ phòng thủ". Thị trường sẽ đi về đâu vào tháng 8?
Các cuộc đàm phán về quy định, mua lại giấy phép, thành lập liên minh: Nhìn lại những động thái gần đây của lãnh đạo RWA Ondo
Tóm tắt AI
Trở về đầu trang
zCloak Network đã tổ chức một thẩm mỹ viện trực tuyến vào lúc 8 giờ tối ngày 27 tháng 4 năm 2023, giờ Bắc Kinh. Tom từ Asset Think Tank, Tutu, đồng sáng lập của LegalDAO và Adam, đồng sáng lập của SharkTe
Thư viện tác giả
zCloak Network
Các vấn đề về bảo mật và tin cậy của Web3 xuất hiện không ngừng, tập trung vào các giải pháp mới cho ngành
​Web3 "Ai Là Ai"? Sản phẩm mới của zCloak Network ID hợp lệ mở phiên bản beta công khai
FATF ban hành hướng dẫn về tài sản ảo, sẽ định hình lại các tiêu chuẩn ngành tiền điện tử
Bảng xếp hạng bài viết nóng
Daily
Weekly
Khám phá hai nhân vật chính đứng sau sự tăng vọt hiện tại của ETH: Tom Lee và Joseph Rubin
Khám phá hai nhân vật chính đứng sau sự tăng vọt hiện tại của ETH: Tom Lee và Joseph Rubin
Đếm ngược Mainnet, nâng cấp BRC 2.0 thúc đẩy hệ sinh thái BTC, NFT tăng gấp 100 lần trong một tháng | Hệ sinh thái BTC
Chi 500 triệu đô la, YZi Labs, CEA và 140 tổ chức đặt cược vào BNB Treasury
Mô hình kinh tế token của Linea đã được công bố. Định giá hợp lý cho điểm LXP là bao nhiêu?
Nỗi ám ảnh mười năm của Ethereum: Lý tưởng, tình thế tiến thoái lưỡng nan và lối thoát khỏi thế giới máy tính
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android