Web3.0 時代下的信息安全
原文作者:Jackie Singh
原文作者:Jackie Singh
原文編譯:白澤研究院(已獲得原作者轉載授權)
Jackie Singh 是非營利性技術監督項目的主管,也是Web3.0 社區的活躍成員。作為美國陸軍退伍軍人和前國防承包商,Singh 之前創立了一家網絡安全諮詢公司Spyglass Security,並擔任拜登總統競選活動的首席網絡事件響應者。
一級標題
一級標題
一級標題
從MP3 共享到區塊鏈
我第一次看到如此規模的去中心化創新,是Napster,這是一個成立於1999 年的點對點音頻流媒體服務提供商。
一級標題
一級標題
一級標題
信息安全停滯不前
儘管現在很多公司在網絡安全方面的支出比以往任何時候都多,但我們幾乎每週都會聽到新的、轟動一時的數據洩露事件。與此同時,與其他技術領域(如雲計算)相比,信息安全的創新已經萎靡不振。
一級標題
一級標題
一級標題
進入Web3.0
最終,依靠分佈式生態系統(如區塊鏈)的底層防禦,要比試圖在使用私有集中式監控的易受攻擊的網絡更有效。
不使用PoW、更高效的區塊鏈可以減輕對比特幣等系統能源消耗的擔憂。包括我自己在內的許多人都厭倦了等待以太坊長期計劃升級到不需要大量使用能源的共識機制,這使得目前使用以太坊對我們的Odaily 來說是一個全面的壞選擇。儘管以太坊具有先發優勢,但其他區塊鏈已經出現了比以太坊或比特幣的工作量證明機制更環保的特性。例如,Solana 是一種碳中和區塊鏈,它使開發者能夠通過使用Rust 編程語言實施的智能合約從一開始就建立安全性。使用Rust 消除了所有類別的安全風險,並且可能是我們防止代碼漏洞的最佳工具之一。
可能沒有比向用戶公開接口更好的方法來發現錯誤了。當攻擊者和防御者可以訪問相同的信息時,它會以一種更加註重預防的方式來平衡競爭環境。這將使信息安全行業能夠隨著時間的推移解決系統性弱點。
然而,今天沒有區塊鍊是完全去中心化的。真正的去中心化仍然是許多Web3.0 愛好者的崇高目標——很少有人試圖解釋這樣的系統在實踐中的樣子。然而,無需信任和無需許可仍然是積極指導Web3.0 生態系統中系統設計的關鍵原則。理想情況下,區塊鏈本身和部署到它的智能合約調解用戶之間的交易——而不是服務器上的不透明代碼,只能管理員看到。
一級標題
一級標題
一級標題
新的機會
Web3.0 時代的信息安全領域似乎正在發生變化,越來越多的信息安全工作、以及成功利用區塊鍊和智能合約漏洞造成的巨大損失都可以證明這一點。
由於標準化的網絡保險等緩解因素以及對公司沒有長期影響,Web2.0 中的公司通常可以對違規行為不屑一顧,但Web3.0 組織不能忽視安全問題,一個錯誤可能導致損失數百萬美元,甚至由於資金全部流失而導致整個組織解散。
在這種背景下,Web3.0 中的漏洞賞金獎勵達到了驚人的數字。在最大的Web3.0 漏洞賞金平台Immunefi 的指南中,該公司表示:“一些信息安全人員、白帽黑客加入Web3.0 之前,在Web2.0 中受到了惡劣的待遇和過低的薪酬,他們將這種態度帶到了Immunefi ——他們現在已經獲得以前更多的權利和尊重”。
正如著名黑客Jay Freeman 最近因找到一個安全漏洞而獲得200 萬美元賞金後所說:“然而,我們看到一個又一個加密項目試圖將其核心設計的審查成本外包給信息安全人員,而不是建立一個圍繞數學家、經濟學家和安全專家的團隊。” 雖然政策和監管正在進行中,而且合規要求可能會與傳統金融領域的要求相匹配——但Web3.0 行業也將出現與傳統金融領域相應的信息安全漏洞,這些最終必須由高度技術性的安全專家、長期戰略家應對,而不是當前的外部審計師和賞金系統。
一級標題
一級標題
一級標題
區塊鍊是透明的、開放的,對於習慣於封閉數據庫和操作不透明的人來說,這是一種需要全新看待的事物。與典型的Web2.0 公司相比,區塊鍊和加密公司往往不太關注知識產權保護。代碼通常是開源的,並根據公開的安全審計以激髮用戶的信心。
一級標題
一級標題
一級標題
不僅僅是看到潛力的人已經投身於Web3.0 中,世界上一些最優秀的黑客已經在全職研究Web3.0。例如:
信息安全專業人士應該熟悉各種“第一層”區塊鍊網絡,例如比特幣和以太坊,與信息安全領域特別相關的隱私幣,例如Monero 和Zcash,以及更多地了解加密貨幣、代幣、 DeFi、NFT 的含義。
信息安全專業人士需要儘早開始學習,以便在未來的安全案例和調查中具備加密貨幣知識。
以下是一些提示和資源,供那些尋求了解更多信息的人使用:
查看編寫Web3.0 研究的安全公司博客,以及那些認為Web3.0 有可能賦予人們數字權力和自由表達的聲音。
嘗試設置一個加密錢包並進行加密貨幣的轉入和支出,隨後查看區塊鏈以了解這些交易的原理。
了解主要的智能合約平台、它們的執行環境和相關的編程語言。想要建造dApp?可以參考幾個BuildSpace 的教程或加入像Developer DAO、Surge 這樣的資源社區。查看Github 上的區塊鏈特定安全存儲庫,例如awesome-ethereum-security 和awesome-evm-security。
一級標題
前路漫漫
前路漫漫
信息安全沒有靈丹妙藥,區塊鏈也不例外,去中心化系統也同樣會面臨與其他計算機類似的風險。區塊鍊是一種本質上並不安全的網絡——但它確實為大規模安全交易奠定了基礎,而這種能力對於繼續擴展互聯網服務至關重要。同樣值得注意的是,去中心化技術不會自動產生去中心化的權力,Web3.0 還有很長的路要走。
安全專家可以通過促進在Web3.0 系統中建立公平的權力結構、將安全和隱私置於系統的核心來提供幫助。
風險提示:根據央行等部門發布的《關於進一步防範和處置虛擬貨幣交易炒作風險的通知》,本文內容僅用於信息分享,不對任何經營與投資行為進行推廣與背書,請讀者嚴格遵守所在地區法律法規,不參與任何非法金融行為。
風險提示:
根據央行等部門發布的《關於進一步防範和處置虛擬貨幣交易炒作風險的通知》,本文內容僅用於信息分享,不對任何經營與投資行為進行推廣與背書,請讀者嚴格遵守所在地區法律法規,不參與任何非法金融行為。
