以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > FTT > Info

Web3.0 時代下的信息安全_WEB

Author:

Time:1900/1/1 0:00:00

作者|?JackieSingh

編譯|白澤研究院

JackieSingh是非營利性技術監督項目的主管,也是Web3.0社區的活躍成員。作為美國陸軍退伍軍人和前國防承包商,Singh之前創立了一家網絡安全咨詢公司SpyglassSecurity,并擔任拜登總統競選活動的首席網絡事件響應者。

Web3.0提供了一個擺脫過去網絡安全錯誤的機會——意識到該技術潛力、思想開放的信息安全人士已經投入到其中。

隨著Web3.0迅速發展,作為一名信息安全從業者,我不禁越來越關注。科技行業的許多人仍然認為區塊鏈、加密貨幣和NFT是騙局,正在破壞經濟,并且注定要消亡。但這些技術的迅速普及、許多跨國公司的采用,更不用說拜登總統最近關于數字資產的行政命令——都表明Web3.0不僅僅只是一種流行詞。

我們信息安全社區不應該像Web3.0激進分子那樣行事,應該幫助Web3.0社區中那些沒有足夠資源來保護自己的人。撇開加密市場的炒作周期不談,我們有真正的機會來對Web3.0技術的方向和發展施加影響,現在是時候回顧Web2.0的安全“故障”,并利用這些經驗來創建更加持久的Web3.0,以幫助普通人保持安全。沒有人值得被騙。

從MP3共享到區塊鏈

我第一次看到如此規模的去中心化創新,是Napster,這是一個成立于1999年的點對點音頻流媒體服務提供商。

最近,“云”成為類似區塊鏈的流行詞。十年前,我和我的同事開玩笑說這個詞毫無意義:“沒有云,只有別人的電腦。”

Web3平臺Few and Far宣布與NFT品牌體驗公司RECUR達成合作:金色財經報道,數字收藏品Web3平臺Few and Far宣布與NFT品牌體驗公司RECUR達成合作,RECUR上的用戶現在可以選擇將他們的數字藏品提取到Few and Far賬戶,以開始與 Near 上超過 200 萬潛在買家的新社區進行交易。?此外,Few and Far將通過空投FAR代幣獎勵Few and Far市場上NFT的持有者。

金色財經此前報道,數字收藏品Web3平臺Few and Far完成1050萬美元融資,PanteraCapital領投,CypherCapital、HuobiVentures、Hypersphere、Metaweb、MantisPartners、K5Global等參投。[2023/5/23 15:19:36]

今天,云計算已經變得比我們預測的要大得多。事實上,如果不專門研究特定供應商的平臺,就很難理解保護云技術所涉及的細微差別。我期待Web3.0會出現同樣的演變——從流行語到基礎互聯網技術。

好消息是區塊鏈是Web3.0的基礎,它提供了一個統一的基礎結構,可以幫助解決常見的安全問題,例如治理、訪問、完整性和可觀察性。區塊鏈技術允許創建“無需信任”和“無需許可”的環境,讓用戶能夠安全地相互交易,因為他們依賴于密碼學和高度可用、可擴展且經過實戰測試的代碼。

信息安全停滯不前

盡管現在很多公司在網絡安全方面的支出比以往任何時候都多,但我們幾乎每周都會聽到新的、轟動一時的數據泄露事件。與此同時,與其他技術領域相比,信息安全的創新已經萎靡不振。

吳杰莊委員:將數字港元發展成“穩定幣”也是解決Web3.0安全風險問題很好的方法:金色財經報道,近年來,區塊鏈技術發展迅速,越來越多的國家和地區開始發展元宇宙和Web3.0(第三代互聯網)。港區全國政協委員、香港特區立法會議員吳杰莊近日接受專訪時表示,通過打造香港為國際創新科技中心,必能助力國家經濟發展再上一個臺階。

對于Web3.0的安全風險問題,吳杰莊直言,除了加強金融監管,將數字港元發展成“穩定幣”也是很好的解決方法,相信會有更多國家愿意和我們做這種金融科技的互換,香港有很多企業在網絡安全等方面掌握了很先進的技術,我相信未來香港可以更好地協助人民幣國際化進程。Web3.0應用場景非常廣泛,區塊鏈發展非常快,可以明顯發現,現在的區塊鏈項目和實體生活結合越來越緊密。[2023/2/20 12:17:48]

信息安全領域普遍缺乏對人為因素的關注,用戶成為詐騙的犧牲品,例如點擊錯誤的鏈接,或者不知道如何保證自己上網的安全。以最近關于Coinbase超級碗廣告的爭議為例,該廣告以二維碼跳轉網站為特色。人們應該擔心掃描二維碼嗎?

同時,信息安全社區傾向于繼續依賴無效的防御措施,我們以前將防御網絡描述為M&M網絡:堅硬、酥脆的外圍與柔軟、融化、易受攻擊的內部。另一方面,敏感日志數據的集中化是每個功能性安全運營中心的核心能力,它會產生與監控相關的數據治理、合規性和道德問題,這些問題只會在規模上變得更糟。

我們能否在運營中心之間實現安全交易,而不會使隱私與安全相沖突?

日本Web3初創公司HashPort計劃進行9億日元融資:金色財經報道,日本Web3初創公司HashPort計劃通過第三方配股的方式融資9億日元(約700萬美元),承銷商包括了三井住友銀行和東京大學Edge Capital Partners所運營的基金。融資將用于加強企業咨詢業務,并投資采用日本IP的NFT業務。[2023/1/20 11:23:34]

?

進入Web3.0

最終,依靠分布式生態系統的底層防御,要比試圖在使用私有集中式監控的易受攻擊的網絡更有效。

不使用PoW、更高效的區塊鏈可以減輕對比特幣等系統能源消耗的擔憂。包括我自己在內的許多人都厭倦了等待以太坊長期計劃升級到不需要大量使用能源的共識機制,這使得目前使用以太坊對我們的星球來說是一個全面的壞選擇。盡管以太坊具有先發優勢,但其他區塊鏈已經出現了比以太坊或比特幣的工作量證明機制更環保的特性。例如,Solana是一種碳中和區塊鏈,它使開發者能夠通過使用Rust編程語言實施的智能合約從一開始就建立安全性。使用Rust消除了所有類別的安全風險,并且可能是我們防止代碼漏洞的最佳工具之一。

可能沒有比向用戶公開接口更好的方法來發現錯誤了。當攻擊者和防御者可以訪問相同的信息時,它會以一種更加注重預防的方式來平衡競爭環境。這將使信息安全行業能夠隨著時間的推移解決系統性弱點。

歐盟官員:數字歐元將專注于個人使用而不是Web3:金色財經報道,歐盟(EU)官員周三表示,在第一階段,零售數字歐元將僅支持由人發起的支付,而不是允許企業結算發票、發放薪水或用于去中心化金融。歐盟尚未決定是否發行央行數字貨幣(CBDC),甚至是否會使用比特幣式的區塊鏈技術。但一項啟用紙幣和硬幣的數字替代品的法案將于明年初公布。

歐洲中央銀行數字歐元項目經理 Evelien Witlox 在歐洲經濟和社會委員會主辦的活動中表示,我們為數字歐元的首次發布挑選了三個用例。三個直接應用將是點對點支付,支持家人和朋友之間的交易,實體店或在線商店中的消費者對企業支付,以及向政府或由政府支付的款項。[2022/9/7 13:14:45]

然而,今天沒有區塊鏈是完全去中心化的。真正的去中心化仍然是許多Web3.0愛好者的崇高目標——很少有人試圖解釋這樣的系統在實踐中的樣子。然而,無需信任和無需許可仍然是積極指導Web3.0生態系統中系統設計的關鍵原則。理想情況下,區塊鏈本身和部署到它的智能合約調解用戶之間的交易——而不是服務器上的不透明代碼,只能管理員看到。

區塊鏈可以讓我們通過使用密碼學來確認某些基本事實,當我們需要知道一些事情時,我們會在區塊鏈上查看。去中心化應用程序(dApp)開發人員被激勵在鏈上存儲數據,避免在鏈下執行關鍵計算,并不用開發個人錢包以外的訪問機制。這轉化為更高的數據完整性和更完整的輸入、計算和輸出的可觀察性。

用戶需要對他們的數據擁有更大的主權,而開發人員則有興趣最大限度地減少數據收集以保護隱私。Web3.0可以通過將密鑰的保管權轉移給用戶來幫助實現這些目標,從而使人們能夠更好地控制他們的數據。個人保管個人的密鑰,為用戶提供了在區塊鏈上維護其身份所有權的終極機會。盡管這與我們之前管理企業級網絡的方式不同,但我們應該歡迎這些新架構作為增強用戶能力的方式,同時降低與數據收集和訪問管理相關的組織風險。

Web3自行車健身Ride To Earn項目BikeRush社區用戶突破10萬:5月23日消息,Web3 自行車健身 Ride To Earn 項目 BikeRush 官方宣布,目前社區用戶已經突破 10 萬人,申請 NFT 首輪空投及內測邀請碼排隊人數突破 15 萬。據悉,BikeRush 項目治理 Token BRT 即將上線主流交易平臺及 pancake 去中心化平臺,BRT 總量 50 億個,首期流通量 2.2 億個,發行價格為 0.05USD,團隊鎖倉 24 個月不釋放,機構投資者鎖倉 12 個月不釋放。[2022/5/23 3:35:23]

但首先,我們更多的信息安全從業者需要克服最初不愿探索Web3.0技術的問題,要認識到Web3.0用戶應該得到安全,而不是詐騙。

新的機會

Web3.0時代的信息安全領域似乎正在發生變化,越來越多的信息安全工作、以及成功利用區塊鏈和智能合約漏洞造成的巨大損失都可以證明這一點。

由于標準化的網絡保險等緩解因素以及對公司沒有長期影響,Web2.0中的公司通常可以對違規行為不屑一顧,但Web3.0組織不能忽視安全問題,一個錯誤可能導致損失數百萬美元,甚至由于資金全部流失而導致整個組織解散。

在這種背景下,Web3.0中的漏洞賞金獎勵達到了驚人的數字。在最大的Web3.0漏洞賞金平臺Immunefi的指南中,該公司表示:“一些信息安全人員、白帽黑客加入Web3.0之前,在Web2.0中受到了惡劣的待遇和過低的薪酬,他們將這種態度帶到了Immunefi——他們現在已經獲得以前更多的權利和尊重”。

正如著名黑客JayFreeman最近因找到一個安全漏洞而獲得200萬美元賞金后所說:“然而,我們看到一個又一個加密項目試圖將其核心設計的審查成本外包給信息安全人員,而不是建立一個圍繞數學家、經濟學家和安全專家的團隊。”?雖然政策和監管正在進行中,而且合規要求可能會與傳統金融領域的要求相匹配——但Web3.0行業也將出現與傳統金融領域相應的信息安全漏洞,這些最終必須由高度技術性的安全專家、長期戰略家應對,而不是當前的外部審計師和賞金系統。

安全公司Hacken在最近的一份報告中描述了其對Web3.0行業的展望,預計未來五年內的定期安全審計需求將不斷增加。

還有一種新興的“區塊鏈分析”或“區塊鏈調查”公司的利基市場,其名稱包括Chainalysis、CipherTrace、Elliptic和TRMLabs。這些公司使用專業軟件和人工分析師來分析、檢測和跟蹤區塊鏈的威脅,它們讓人想起Mandiant和Foundstone等早期Web2.0的網絡安全公司,這些公司隨著Web2.0的發展而迅速壯大。

前中央情報局局長MikeMorell在2021年撰寫的題為《比特幣在非法金融中的使用分析》的報告中認為,“記錄比特幣交易的區塊鏈是一種未被充分利用的取證工具,執法部門和情報界可以更廣泛地使用它來識別和破壞非法活動。簡而言之,區塊鏈分析是一種高效的打擊犯罪和情報收集工具。”

有什么不同?

區塊鏈是透明的、開放的,對于習慣于封閉數據庫和操作不透明的人來說,這是一種需要全新看待的事物。與典型的Web2.0公司相比,區塊鏈和加密公司往往不太關注知識產權保護。代碼通常是開源的,并根據公開的安全審計以激發用戶的信心。

Web2.0安全實踐專注于處理后果,而不是一開始就避免它;Web3.0的信息安全轉向代碼、工程和架構,專注于預防。

Web3.0生態系統本質上更加開放,項目通常在Discord、Twitter上托管在社區中。兩個Web3.0項目經理LennyRachitsky和JasonShah最近在一篇文章中描述了他們從原先的職業如何向Web3.0過渡,并呼吁應徹底擺脫當前的技術工作模式。他們認為缺乏監視/數據收集驅動的生態系統來支撐Web3.0、以及確保代碼在發布時盡可能無漏洞的必要性。

結果是,Web3.0對信息安全、隱私和監視產生了一定的影響,信息安全專業人員對于在監管要求之前以及除監管要求之外建立行業標準至關重要。

人才在流動

不僅僅是看到潛力的人已經投身于Web3.0中,世界上一些最優秀的黑客已經在全職研究Web3.0。例如:

信息安全專業人士應該熟悉各種“第一層”區塊鏈網絡,例如比特幣和以太坊,與信息安全領域特別相關的隱私幣,例如Monero和Zcash,以及更多地了解加密貨幣、代幣、DeFi、NFT的含義。

信息安全專業人士需要盡早開始學習,以便在未來的安全案例和調查中具備加密貨幣知識。

以下是一些提示和資源,供那些尋求了解更多信息的人使用:

查看編寫Web3.0研究的安全公司博客,以及那些認為Web3.0有可能賦予人們數字權力和自由表達的聲音。嘗試設置一個加密錢包并進行加密貨幣的轉入和支出,隨后查看區塊鏈以了解這些交易的原理。了解主要的智能合約平臺、它們的執行環境和相關的編程語言。想要建造dApp?可以參考幾個BuildSpace的教程或加入像DeveloperDAO、Surge這樣的資源社區。查看Github上的區塊鏈特定安全存儲庫,例如awesome-ethereum-security和awesome-evm-security。參與幾個Immunefi上的開放賞金。想想如何監控各種區塊鏈的錢包,以及如何獲取這些數據。了解釣魚網站的常見載體和方法,尤其是Discord和Twitter上的威脅。了解NFT清洗交易和其他詐騙等危險信號。查看以前的大型黑客攻擊和最近的騙局。對于大型組織,請確保將加密貨幣處理納入安全事件響應計劃,并確保針對任何涉及加密行業的事件制定業務和技術程序。例如Marsh的勒索軟件指南既方便又全面。

前路漫漫

信息安全沒有靈丹妙藥,區塊鏈也不例外,去中心化系統也同樣會面臨與其他計算機類似的風險。區塊鏈是一種本質上并不安全的網絡——但它確實為大規模安全交易奠定了基礎,而這種能力對于繼續擴展互聯網服務至關重要。

同樣值得注意的是,去中心化技術不會自動產生去中心化的權力,Web3.0還有很長的路要走。安全專家可以通過促進在Web3.0系統中建立公平的權力結構、將安全和隱私置于系統的核心來提供幫助。

正如科技戰略家ScottSmith和LinaSrivastava在斯坦福社會創新雜志上所寫的那樣:“如果Web3.0提供了解決Web2.0問題的機會,那它需要一個完整的價值體系。這意味著社會公益必須不僅是社會思潮的組成部分,而且也是任何新網絡或新技術架構的組成部分。”

盡管Web3.0、區塊鏈具有明顯的潛力,但這些技術并沒有內在的能力來支撐人權或民主。信息安全從業者可以幫助它們整合積極的價值觀,作為保護互聯網用戶的愿景的延伸。一旦我們克服了在Web3.0領域工作的不情愿,相信我們一定可以做到這一點。

風險提示:

根據央行等部門發布的《關于進一步防范和處置虛擬貨幣交易炒作風險的通知》,本文內容僅用于信息分享,不對任何經營與投資行為進行推廣與背書,請讀者嚴格遵守所在地區法律法規,不參與任何非法金融行為。

Tags:WEBWEB3WEB3.0區塊鏈web3游戲邊玩邊賺Web3Campweb3.0幣種怎么提現區塊鏈技術的應用

FTT
friend.tech的虛空交易:撥動價格時間軸的“有創新”_BSP

作者 : Loopy Lu 一項金融產品/資產的增長空間,往往由市場容量決定。而這個市場容量,既包括資金規模,又包括投資者數量.

1900/1/1 0:00:00
深入探討Intents的生態現狀和未來發展趨勢_區塊鏈

原文作者:BRIDGET HARRIS  原文編譯:MarsBit,MK意圖(Intents)及其對賬戶抽象化、存儲證明、rollups 等的影響.

1900/1/1 0:00:00
大廠打工人的新出路,All in Web3_WEB

來源:深潮撰文&采訪:0x5willows面對三月上旬中概股史無前例的一瀉千里,縱是財大氣粗的互聯網大廠也坐不住了,Web2大廠頻繁傳出裁員消息.

1900/1/1 0:00:00
OpenSea 是如何成為最受歡迎的 NFT 市場的?_PEN

原文標題:《HowdidOpenSeabecomethemostpopularNFTmarketplace?》作者:supreet.eth譯者:H.ForestVentures.

1900/1/1 0:00:00
ETHGlobal Superhack 2023前十獲勝項目一覽_ETH

撰文:金色財經0xxz 2023年8月19日,為期三周的ETHGlobal Superhack黑客松活動結束.

1900/1/1 0:00:00
friend.tech爆火 一文梳理5大熱門的數據追蹤工具_END

原文作者:Kaori、Bob、Jingtian,BlockBeats8 月 18 日,比特幣多次跌破 26, 000 美元,多重因素疊加讓整個加密貨幣領域再一次陷入深熊情緒.

1900/1/1 0:00:00
ads