WEB:關于目前Web3安全的思考和方向探索

原文作者：WeiLienDang

原文編譯：阿法兔

UnusualCapital參投了Ebay、Instagram、Dropbox等項目；WeiLienDang是UnusualCapital的合伙人，也是云原生安全公司StackRox的聯合創始人的聯合創始人，他從投資和創業的角度，對Web3安全領域提出了一些思考，筆者給Wei的文章進行了一些注釋，供大家共同探討和思考。

互聯網安全的演化

在Web1.0和Web2.0中，互聯網安全隨著應用架構的演化而改變，以協助全新的互聯網經濟模式的構建；在Web1.0時代，安全套接字協議是由網景公司開創的，逐步為用戶瀏覽器和這些服務器之間提供安全通信。Web2.0時代如谷歌、微軟、亞馬遜這些大廠，和證書機構，在推動傳輸層安全方面發揮了核心作用，從某個角度來看，TLS是SSL的演化。

什么是SSL?

1994年，Netscape公司開發了SSL，起初它被設想為一個系統：主要是為了確保網絡上客戶端和服務器系統之間的安全通信。漸漸地，IETF采用了該協議并將其標準化。

日本自民黨Web3項目組發布了關于Web3公司加密資產會計審計的新指南:金色財經報道，日本自民黨Web3項目組（web3PT）發布了關于Web3公司加密資產會計審計的新指南，以降低企業進入Web3業務的審計門檻，幫助發行代幣的web3運營商進行會計審計。

發布指南的頁面包含來自日本加密資產商業協會（JCBA）和日本注冊會計師協會（JICPA）一份題為《加密資產發行人會計時應考慮的事項》報告，該報告著眼于IEO相關制度。旨在“考慮與加密資產發行相關的會計處理時明確需要理解的交易形式，并考慮到日本的監管環境”。JCBA和JICPA寫道，他們將努力改善審計環境，并繼續要求澄清發行加密資產時的會計審計問題。[2023/9/7 13:23:45]

啥是IETF?

互聯網工程任務組，成立于1985年底，是一個由為互聯網技術工程及發展做出貢獻的專家自發參與和管理的國際民間機構,也是全球互聯網的技術標準化組織，主要任務是負責互聯網相關技術規范的研發和制定，當前絕大多數國際互聯網技術標準出自IETF。

巴拿馬議員將于7月提出關于采用加密貨幣作為法定貨幣的法案:巴拿馬國會議員Gabriel Silva計劃下個月提出一項法案，該法案可能會涉及采用加密貨幣作為法定貨幣，并為加密相關企業創造稅收優惠。本月Silva和他的團隊現在將收集來自不同方面的評論，包括律師、比特幣用戶、加密相關公司和政府官員。Silva沒有透露有關該法案具體細節的更多細節，但他表示將在與利益相關者會談后確定其內容。巴拿馬現行憲法禁止政府只強制規定某些貨幣為法定貨幣，這可能有助于將比特幣納入法定貨幣。 關于稅收優惠，Silva表示，該國已經制定了通過工作許可和免稅等機制吸引加密公司的計劃。（CoinDesk）

此前消息，巴拿馬議員Gabriel Silva發推表示：“巴拿馬不能掉隊，如果我們想成為真正的技術和創業中心，就必須支持加密貨幣。我們將準備一份提案給議會。如果你有興趣，可以聯系我。”[2021/6/16 23:42:07]

什么是TSL？

TLS是安全傳輸層協議，繼承了SSL3.0的特性，于1999年發布；

分析：關于冠狀病的討論與比特幣價格之間存在負相關關系:數據平臺Santiment發推稱，不可否認，新型冠狀病（COVID-19）確實對加密貨幣市場產生了影響。關于新型冠狀病的討論與比特幣價格之間存在持續的負相關關系。在Telegram、Reddit、Pro Traders Chats和Discord這些平臺上，每當關于新型冠狀病的討論激增時，比特幣就會暴跌。[2020/3/10]

我們繼續講：從上面的數據看，2021年，對新的Web3安全公司的投資增加了10倍以上，一定程度上體現了安全對整個行業的必要性。

Web3的成功取決于創新的模式，特別是要解決不同應用架構所帶來的全新的安全挑戰。在Web3中，去中心化的應用程序或"dApps"的建立，并不依賴于Web2.0中存在的傳統應用邏輯和數據層；在Web3時代，是由區塊鏈、網絡節點和智能合約的模式，管理去中心化互聯網的邏輯和狀態。

從用戶的角度來說，仍然需要通過訪問某個連接到這些節點的前端，從而進行交互，更新數據，一個場景就是：發布新內容或進行購買NFT等類似行為。這類用戶行為，都需要使用私鑰簽署交易，私鑰通常用錢包來管理，這種模式是為了保護用戶的控制權和隱私。區塊鏈上的交易是完全透明的，可以公開訪問，并且是不可改變的。

關于法幣交易區行為規范的公告:OKEx將于北京時間5月10日19:30修改法幣交易區每日超時取消的單數限制，由每日可取消5單降低至3單。即用戶在一天內超時取消3單，將凍結24小時法幣區交易權限。同時，以下行為將被視為惡意行為：1、已收款卻故意卡單延遲放幣；2、未支付卻點擊已支付，且無付款憑證；3、偽造付款憑證；4、掛無效的支付方式；5、發生金額分歧，概不配合調解（多收錢不退款、少付錢不補交）；6、經提醒后，仍使用非實名支付方式打款；7、其他惡意交易行為。詳見公告。[2018/5/10]

Web3通常不需要像Web2.0那樣要求行為被授權、驗證，但帶來的問題就是，通過進行系統更新升級，來解決安全問題的傳統途徑就比較困難。

我們繼續說：Web3用戶可以通過目前模式，保持對自己身份的控制和數據的所有權，但是同樣也存在一定的問題：例如，不存在中介機構，在發生攻擊或關鍵妥協時，為小白用戶提供追索權

就這種層面而言，Web3錢包仍然有機會泄露敏感信息；軟件就是軟件，總會存在一定的漏洞和缺陷。

越南總理簽署關于“加強對比特幣和其他數字貨幣管理的法律框架”的指示:據《越南新聞》消息，越南總理辦公室昨日發出公告，越南總理Nguy?nXuanPhúc已簽署了關于“加強對比特幣和其他數字貨幣管理的法律框架”的指示。1.國家銀行應指示信貸機構和中介支付服務機構不要進行數字貨幣的非法交易。2.上述組織須加強管理，審查和報告與數字貨幣有關的可疑交易。3.SBV將與部合作，處理使用數字貨幣作為支付手段的行為。4.財政部將引導上市公司、證券公司、基金管理公司和證券投資基金，不進行涉及數字貨幣的非法發行、交易和經紀活動。財政部須研究國際經驗，提出實際措施來管理ICO。5.用于挖掘虛擬貨幣的硬件進口應受到限制。6.、工貿、信息、通信、司法等部門應加大與數字貨幣有關的營銷詐騙活動的調查、預防和處理。7.各部委和地方當局必須加強傳播有關數字貨幣投資和交易風險的信息。8.副總理根據財政部、信息通信部和國家銀行的意見，委托司法部研究和完善法律框架。[2018/4/12]

所以，Web3的成功取決于如何在安全層面創新，從而解決不同應用架構所帶來的新的安全挑戰。

現狀

對于個人所有權和數據主權的追求，也會引起了各類安全問題，但這些安全問題，不應該成為阻礙Web3的發展勢頭。

我們回顧一下歷史：Web1.0和Web2.0的相似之處。最初版本的SSL/TLS存在嚴重的漏洞。早期的安全工具通常是初級的，隨著時間的推移會進一步優化。從某個角度來看，Web3安全公司和項目，如Certik、Forta、Slithe和Securify，相當于最初為Web1.0和Web2.0應用開發的代碼掃描和應用安全測試工具。

然而，在Web2.0中，安全模型的很重要的一部分是關于響應。在Web3中，交易一旦執行就無法改變，因此，安全的思路通常是，需要建立機制來驗證交易是否應該具備安全的條件，繼而進行，也就是說，安全必須在預防方面做得更好。

Web3社區必須要思考，如何從技術上進行規劃，解決系統性的弱點，預防并組織新的攻擊載體，這些攻擊載體的目標，包括加密原生的問題和智能合約的漏洞等等。

以下有四個方向，可以推動Web3安全模式的預防。

真實來源的漏洞數據

對于已知Web3漏洞和弱點，需要有一個真實的來源。今天，已經有官方漏洞數據庫為漏洞管理項目提供了核心數據。

Web3需要去中心化的數據對應工作，消除信息不對稱。目前，不完整的信息，分散在像SWCRegistry、Rekt、SmartContractAttackVectors和DeFiThreatMatrix，Immunefi運行的Bug賞金計劃就是為了更好地找到新的弱點。

規范的安全決策

Web3中，關鍵安全設計選擇，和事件的決策模型目前還在探索中。去中心化意味著沒有人能為這些問題負全部的責任，而這對用戶的影響可能是巨大的。比如說，最近的Log4j漏洞，就是將安全問題留給去中心化的社區的一個警醒。

Log4j漏洞是個什么事情？

Java開源工具log4j2在去年12月，突然暴露了遠程代碼執行漏洞事件。Log4j2是一個應用于Java的開源日志組件工具，被很多包括谷歌、微軟、亞馬遜等等世界大廠、知名組織和企業廣泛用于業務系統。

Log4j2由非營利組織Apache軟件基金會的志愿者維護。

因此，需要進一步明確DAO、安全專家、諸如Alchemy和Infura等Web3基礎設施提供商，和其他相關部門，到底如何合作，從而處理突發的安全問題。不過，可以參考大型開源社區組建OpenSSF和CNCF咨詢小組，建立處理安全問題流程的經驗。

認證和簽名

目前市面上的多數dApps，很多都沒有認證或對APIrespones的簽名。這意味著，當用戶的錢包從這些DApp中檢索數據時，在驗證這種respones是否來自預期的應用程序，以及數據是被篡改方面存在著風險。

在一個Dapp沒有采用基本安全常規的最優途徑的世界里，只能由用戶自己，來確認它們的安全狀況和可信度，這非常的難，確實需要有更好的方法來向用戶提示風險。

更佳的密鑰管理體驗

密鑰管理，是用戶在Web3范式中進行交易的基礎。密鑰也是出了名的難以管理，很多加密業務已經并將繼續圍繞著密鑰管理而進行。

管理私鑰的復雜性和風險，也是促使用戶選擇托管錢包而不是非托管錢包的主要原因之一。不過，使用托管錢包會導致新的現象：導致新的"中介化產物"產生，如Coinbase，這樣就會不利于Web3的完全去中心化的方向和理想；從一定程度也會限制了用戶利用Web3所提供的所有優勢的能力。理想情況下，進一步的安全創新將可以為用戶提供更好的可用性保護非托管場景用戶體驗。

值得注意的是，前兩項舉措更多的是圍繞著人和流程，而第三和第四項舉措則需要新的技術變革。讓新技術、全新的流程和大量的用戶保持同步，是Web3安全的難點之一。

不過，有一點還是很鼓舞大家的：Web3安全創新是在公開、開源的環境下進行的，創造性的解決方案會在這樣的場景產生。

*本文不構成任何投資上的建議。

*參考資料：1.https://techcrunch.com/2022/01/31/success-of-web3-hinges-on-remedying-its-security-challenges/

2.https://news.crunchbase.com/news/crypto-security-startups-vc-investment/

3.新智元-2021-12-27Log4j2漏洞鬧大了

4.https://www.globalsign.com/en/blog/ssl-vs-tls-difference

Tags：WEBWEB3數字貨幣比特幣WEBFOURweb3.0幣現價多少錢數字貨幣交易合法嗎安全嗎穩定幣和比特幣的區別在哪

聚幣