WEB:Web3.0 時代下的信息安全

原文作者：JackieSingh

原文編譯：白澤研究院

JackieSingh是非營利性技術監督項目的主管，也是Web3.0社區的活躍成員。作為美國陸軍退伍軍人和前國防承包商，Singh之前創立了一家網絡安全咨詢公司SpyglassSecurity，并擔任拜登總統競選活動的首席網絡事件響應者。

Web3.0提供了一個擺脫過去網絡安全錯誤的機會——意識到該技術潛力、思想開放的信息安全人士已經投入到其中。

隨著Web3.0迅速發展，作為一名信息安全從業者，我不禁越來越關注。科技行業的許多人仍然認為區塊鏈、加密貨幣和NFT是騙局，正在破壞經濟，并且注定要消亡。但這些技術的迅速普及、許多跨國公司的采用，更不用說拜登總統最近關于數字資產的行政命令——都表明Web3.0不僅僅只是一種流行詞。

我們信息安全社區不應該像Web3.0激進分子那樣行事，應該幫助Web3.0社區中那些沒有足夠資源來保護自己的人。撇開加密市場的炒作周期不談，我們有真正的機會來對Web3.0技術的方向和發展施加影響，現在是時候回顧Web2.0的安全“故障”，并利用這些經驗來創建更加持久的Web3.0，以幫助普通人保持安全。沒有人值得被騙。

從MP3共享到區塊鏈

日本批準 Web3 白皮書以促進行業發展:金色財經報道，日本執政黨自民黨的Web3項目小組批準了一份白皮書，列出了發展日本互聯網產業的建議。該黨 Web3 項目團隊秘書長 Akihisa Shiozaki 表示，日本的主要參與者已開始進入該市場。日本移動電話運營商 NTT Docomo 承諾向Web3 基礎設施投資高達 6000 億日元（40 億美元），主要金融機構正在尋求發行穩定幣。

該白皮書建議進一步修改稅收法規，并指出已經批準了一項針對代幣發行人的重大豁免。其中包括對持有其他公司發行的不會進行短期交易的代幣的公司免稅。它建議允許進行自我評估，以便投資者可以將損失結轉三年，并且只有在將資產兌換為法定貨幣時才應對加密貨幣征稅。它還建議根據日本的 godo kaisha （一種類似于有限責任公司的業務類型）制定 DAO 法。在 NFT 方面，白皮書提議公私合作，制定夢幻體育服務合法商業模式的指南。[2023/4/6 13:48:34]

我第一次看到如此規模的去中心化創新，是Napster，這是一個成立于1999年的點對點音頻流媒體服務提供商。

最近，“云”成為類似區塊鏈的流行詞。十年前，我和我的同事開玩笑說這個詞毫無意義：“沒有云，只有別人的電腦。”

今天，云計算已經變得比我們預測的要大得多。事實上，如果不專門研究特定供應商的平臺，就很難理解保護云技術所涉及的細微差別。我期待Web3.0會出現同樣的演變——從流行語到基礎互聯網技術。

跨鏈智能合約平臺CLV宣布推出Web3聊天協議Wallet Talk:2月7日，據官方消息，跨鏈智能合約平臺CLV（前Clover Finance）在推特上宣布推出Web3聊天協議Wallet Talk。

據介紹，該協議可在一秒鐘內實現多個區塊鏈的實時點對點通信。用戶可隨時通過不同區塊鏈網絡給任何人留言，進行即時聊天和發送代幣或NFT。此外，Wallet Talk通過端到端加密保護用戶隱私，只有登錄錢包的人可以讀取消息。[2023/2/7 11:52:13]

好消息是區塊鏈是Web3.0的基礎，它提供了一個統一的基礎結構，可以幫助解決常見的安全問題，例如治理、訪問、完整性和可觀察性。區塊鏈技術允許創建“無需信任”和“無需許可”的環境，讓用戶能夠安全地相互交易，因為他們依賴于密碼學和高度可用、可擴展且經過實戰測試的代碼。

Coinbase超級碗廣告的爭議為例，該廣告以二維碼跳轉網站為特色。人們應該擔心掃描二維碼嗎？

同時，信息安全社區傾向于繼續依賴無效的防御措施，我們以前將防御網絡描述為M&M網絡：堅硬、酥脆的外圍與柔軟、融化、易受攻擊的內部。另一方面，敏感日志數據的集中化是每個功能性安全運營中心的核心能力，它會產生與監控相關的數據治理、合規性和道德問題，這些問題只會在規模上變得更糟。

Web3 SaaS開發者工具集平臺Hamster Network完成百萬美元種子輪融資，測試版產品正式上線:1月30日消息，據官方消息，Web3 SaaS 開發者工具集平臺 Hamster 宣布完成種子輪融資，本輪融資由 Waterdrip Capital 和 Stratified Capital 等機構參投。

Hamster 是一個一站式 DevOps 開發及運維工具，此次 Hamster 發布的版本里，Solidity5 模板、NFT，DAO 等多個合約模板被順利集成，用戶可以選擇相應模板來實現快速創建智能合約以及一鍵部署。同時可以使用 Hamster 進行合約的檢測和運維、有效提高開發的效率及質量。

Hamster 目前已開放公開測評，用戶可以自行注冊測試并在 Hamster Discord 相應頻道中提供反饋。[2023/1/30 11:36:31]

我們能否在運營中心之間實現安全交易，而不會使隱私與安全相沖突？

PoW、更高效的區塊鏈可以減輕對比特幣等系統能源消耗的擔憂。包括我自己在內的許多人都厭倦了等待以太坊長期計劃升級到不需要大量使用能源的共識機制，這使得目前使用以太坊對我們的星球來說是一個全面的壞選擇。盡管以太坊具有先發優勢，但其他區塊鏈已經出現了比以太坊或比特幣的工作量證明機制更環保的特性。例如，Solana是一種碳中和區塊鏈，它使開發者能夠通過使用Rust編程語言實施的智能合約從一開始就建立安全性。使用Rust消除了所有類別的安全風險，并且可能是我們防止代碼漏洞的最佳工具之一。

報告：盡管加密貨幣低迷，Web3開發仍然強勁:金色財經報道，數據風險投資公司Telstra Ventures發布了一份新報告，這份題為“區塊鏈開源開發者對 Web3 社區的信號強度”的報告審查了以太坊、比特幣和 Solana 區塊鏈上的開發者活動。以太坊的貢獻者社區的復合年增長率接近 25%，Solana 的復合年增長率為 173%，比特幣的復合年增長率為 17%。Telstra Ventures 報告指出，風險投資者和企業投資者支持了三個區塊鏈中 10 個最活躍的項目中的 7 個。上個月，Crunchbase 的數據顯示，雖然風險投資對加密公司的投資同比下降了 26%，但小型交易的數量卻有所增加。（coindesk）[2022/8/3 2:56:47]

可能沒有比向用戶公開接口更好的方法來發現錯誤了。當攻擊者和防御者可以訪問相同的信息時，它會以一種更加注重預防的方式來平衡競爭環境。這將使信息安全行業能夠隨著時間的推移解決系統性弱點。

然而，今天沒有區塊鏈是完全去中心化的。真正的去中心化仍然是許多Web3.0愛好者的崇高目標——很少有人試圖解釋這樣的系統在實踐中的樣子。然而，無需信任和無需許可仍然是積極指導Web3.0生態系統中系統設計的關鍵原則。理想情況下，區塊鏈本身和部署到它的智能合約調解用戶之間的交易——而不是服務器上的不透明代碼，只能管理員看到。

a16z報告：以太坊在Web3中占主導地位，但Solana、Polygon等競爭對手也在努力追趕:5月17日消息，Andreessen Horowitz（a16z）在發布的2022年加密貨幣概括報告中指出，加密貨幣正處于第四個“價格創新”周期的中間；對于創作者來說，Web3比Web2要好得多；加密貨幣正在對現實世界產生影響，包括創作者支付、改善碳信用以及控制自己的身份等；以太坊在Web3中占主導地位，但Solana、Polygon、BNBChain、Avalanche和Fantom等競爭對手也在努力追趕，目前以太坊上每月有近4000名活躍開發者，Solana上有1000名，比特幣上有大約500名開發者。a16z稱，加密貨幣的發展還為時過早，估計目前以太坊上活躍用戶有700萬到5000萬。[2022/5/17 3:22:43]

區塊鏈可以讓我們通過使用密碼學來確認某些基本事實，當我們需要知道一些事情時，我們會在區塊鏈上查看。去中心化應用程序(dApp)開發人員被激勵在鏈上存儲數據，避免在鏈下執行關鍵計算，并不用開發個人錢包以外的訪問機制。這轉化為更高的數據完整性和更完整的輸入、計算和輸出的可觀察性。

用戶需要對他們的數據擁有更大的主權，而開發人員則有興趣最大限度地減少數據收集以保護隱私。Web3.0可以通過將密鑰的保管權轉移給用戶來幫助實現這些目標，從而使人們能夠更好地控制他們的數據。個人保管個人的密鑰，為用戶提供了在區塊鏈上維護其身份所有權的終極機會。盡管這與我們之前管理企業級網絡的方式不同，但我們應該歡迎這些新架構作為增強用戶能力的方式，同時降低與數據收集和訪問管理相關的組織風險。

但首先，我們更多的信息安全從業者需要克服最初不愿探索Web3.0技術的問題，要認識到Web3.0用戶應該得到安全，而不是詐騙。

在這種背景下，Web3.0中的漏洞賞金獎勵達到了驚人的數字。在最大的Web3.0漏洞賞金平臺Immunefi的指南中，該公司表示：“一些信息安全人員、白帽黑客加入Web3.0之前，在Web2.0中受到了惡劣的待遇和過低的薪酬，他們將這種態度帶到了Immunefi——他們現在已經獲得以前更多的權利和尊重”。

正如著名黑客JayFreeman最近因找到一個安全漏洞而獲得200萬美元賞金后所說：“然而，我們看到一個又一個加密項目試圖將其核心設計的審查成本外包給信息安全人員，而不是建立一個圍繞數學家、經濟學家和安全專家的團隊。”雖然政策和監管正在進行中，而且合規要求可能會與傳統金融領域的要求相匹配——但Web3.0行業也將出現與傳統金融領域相應的信息安全漏洞，這些最終必須由高度技術性的安全專家、長期戰略家應對，而不是當前的外部審計師和賞金系統。

安全公司Hacken在最近的一份報告中描述了其對Web3.0行業的展望，預計未來五年內的定期安全審計需求將不斷增加。

還有一種新興的“區塊鏈分析”或“區塊鏈調查”公司的利基市場，其名稱包括Chainalysis、CipherTrace、Elliptic和TRMLabs。這些公司使用專業軟件和人工分析師來分析、檢測和跟蹤區塊鏈的威脅，它們讓人想起Mandiant和Foundstone等早期Web2.0的網絡安全公司，這些公司隨著Web2.0的發展而迅速壯大。

前中央情報局局長MikeMorell在2021年撰寫的題為《比特幣在非法金融中的使用分析》的報告中認為，“記錄比特幣交易的區塊鏈是一種未被充分利用的取證工具，執法部門和情報界可以更廣泛地使用它來識別和破壞非法活動。簡而言之，區塊鏈分析是一種高效的打擊犯罪和情報收集工具。”

Web2.0安全實踐專注于處理后果，而不是一開始就避免它；Web3.0的信息安全轉向代碼、工程和架構，專注于預防。

Web3.0生態系統本質上更加開放，項目通常在Discord、Twitter上托管在社區中。兩個Web3.0項目經理LennyRachitsky和JasonShah最近在一篇文章中描述了他們從原先的職業如何向Web3.0過渡，并呼吁應徹底擺脫當前的技術工作模式。他們認為缺乏監視/數據收集驅動的生態系統來支撐Web3.0、以及確保代碼在發布時盡可能無漏洞的必要性。

結果是，Web3.0對信息安全、隱私和監視產生了一定的影響，信息安全專業人員對于在監管要求之前以及除監管要求之外建立行業標準至關重要。

信息安全專業人士應該熟悉各種“第一層”區塊鏈網絡，例如比特幣和以太坊，與信息安全領域特別相關的隱私幣，例如Monero和Zcash，以及更多地了解加密貨幣、代幣、DeFi、NFT的含義。

信息安全專業人士需要盡早開始學習，以便在未來的安全案例和調查中具備加密貨幣知識。

以下是一些提示和資源，供那些尋求了解更多信息的人使用：

查看編寫Web3.0研究的安全公司博客，以及那些認為Web3.0有可能賦予人們數字權力和自由表達的聲音。

嘗試設置一個加密錢包并進行加密貨幣的轉入和支出，隨后查看區塊鏈以了解這些交易的原理。

了解主要的智能合約平臺、它們的執行環境和相關的編程語言。想要建造dApp？可以參考幾個BuildSpace的教程或加入像DeveloperDAO、Surge這樣的資源社區。查看Github上的區塊鏈特定安全存儲庫，例如awesome-ethereum-security和awesome-evm-security。

參與幾個Immunefi上的開放賞金。

想想如何監控各種區塊鏈的錢包，以及如何獲取這些數據。

了解釣魚網站的常見載體和方法，尤其是Discord和Twitter上的威脅。了解NFT清洗交易和其他詐騙等危險信號。查看以前的大型黑客攻擊和最近的騙局。

對于大型組織，請確保將加密貨幣處理納入安全事件響應計劃，并確保針對任何涉及加密行業的事件制定業務和技術程序。例如Marsh的勒索軟件指南既方便又全面。

前路漫漫

信息安全沒有靈丹妙藥，區塊鏈也不例外，去中心化系統也同樣會面臨與其他計算機類似的風險。區塊鏈是一種本質上并不安全的網絡——但它確實為大規模安全交易奠定了基礎，而這種能力對于繼續擴展互聯網服務至關重要。

同樣值得注意的是，去中心化技術不會自動產生去中心化的權力，Web3.0還有很長的路要走。安全專家可以通過促進在Web3.0系統中建立公平的權力結構、將安全和隱私置于系統的核心來提供幫助。

正如科技戰略家ScottSmith和LinaSrivastava在斯坦福社會創新雜志上所寫的那樣：“如果Web3.0提供了解決Web2.0問題的機會，那它需要一個完整的價值體系。這意味著社會公益必須不僅是社會思潮的組成部分，而且也是任何新網絡或新技術架構的組成部分。”

盡管Web3.0、區塊鏈具有明顯的潛力，但這些技術并沒有內在的能力來支撐人權或民主。信息安全從業者可以幫助它們整合積極的價值觀，作為保護互聯網用戶的愿景的延伸。一旦我們克服了在Web3.0領域工作的不情愿，相信我們一定可以做到這一點。

風險提示：

根據央行等部門發布的《關于進一步防范和處置虛擬貨幣交易炒作風險的通知》，本文內容僅用于信息分享，不對任何經營與投資行為進行推廣與背書，請讀者嚴格遵守所在地區法律法規，不參與任何非法金融行為。

Tags：WEBWEB3WEB3.0區塊鏈web3.0幣圈WEB3.0價格區塊鏈專業畢業后到底做什么

幣贏交易所