作者:WeiLienDang,UnusualVentures普通合伙人,領導安全、基礎設施軟件和開發工具賽道的投資
來源:Techcrunch
編譯:RichardLee,鏈捕手
在Web1.0和Web2.0中,安全模型隨著應用程序架構的變化而變化,以幫助開啟全新的經濟。
在Web1.0中,安全套接字層由Netscape率先提出,用于在用戶瀏覽器和這些服務器之間提供安全通信;受信任的Web2.0中介機構,如谷歌、微軟、亞馬遜和證書頒發機構,則在推動傳輸層安全的實現方面發揮了核心作用,TLS是SSL的繼任者。
同樣的情況也會發生在Web3上。這就是為什么去年對新的web3安全公司的投資增加了10倍多、總金額達到10億美元以上的關鍵原因。
觀點:Web3的應用正在擴大并對世界產生積極影響:5月29日消息,由Wikiexpo主辦,金色財經、Wikifx、Wikibit協辦的Wiki Finance Expo Singapore 2023活動中,Coinbase的新加坡負責人Hassan Ahmed就“如何增加主流對Web3的接受”這一話題進行討論時指出,雖然Web3目前沒有被主流廣泛接受的應用,但是這一過程正在進行中,例如錨定美元的穩定幣允許在美國沒有賬戶的人,基于美元進行交易,例如星巴克的奧德賽計劃像會員發放數字頭像,這是回饋會員的新方式,例如去中心化社交平臺允許用戶擁有自己的所有社交數據,Web3的主流應用是個漫長但不斷持續的過程。[2023/5/29 9:49:20]
Web3的成功取決于創新的安全模型,它能解決不同應用程序架構帶來的新型安全挑戰。在web3中,去中心化的應用程序不依賴Web2.0中存在的傳統應用程序邏輯和數據庫層而構建,而是依靠區塊鏈、網絡節點和智能合約管理邏輯和狀態。
觀點:做市商Jane Street和Jump Trading的退出或進一步打壓市場流動性:金色財經報道,Kaiko 分析師 Riyad Carey 表示,Jane Street 和 Jump Trading 這兩家有影響力的加密貨幣做市商的突然退出有可能加劇整個行業脆弱的流動性。此前知情人士稱,在 11 月 FTX 崩潰引發的監管打擊之后,Jane Street 和 Jump 將停止其在美國的加密貨幣交易業務,Jump 的加密部門將繼續在全球擴張,而 Jane Street 將縮減其增長計劃。Riyad Carey 評論稱:“考慮到最近的事態發展,這個消息并不一定令人驚訝,令人擔憂的是,流動性仍未從FTX的崩潰中恢復過來,而兩個最大的老牌做市商的退出可能會進一步打壓流動性。該行業填補 Alameda 空缺的速度如此之慢,這有點令人驚訝。”
市場深度是一種衡量交易所流動性的指標,通過評估推高/低市場需要多少資本來衡量,數據顯示,市場深度指標在 FTX 崩潰后下跌了 50% 以上,盡管加密貨幣價格上漲,但該指標仍未能恢復。[2023/5/11 14:56:03]
用戶仍然可以訪問連接到這些節點的前端來更新數據,例如發布新內容或進行購買。這些活動要求用戶使用私鑰簽署交易,私鑰通常由錢包管理,這種模式旨在保護用戶控制和隱私。區塊鏈上的交易完全透明、可公開訪問且不可更改。
現場 | 觀點:安全是一個相對的問題:金色財經現場報道,10月15日,華山論劍2020網絡安全大會于西安召開,在大會的區塊鏈安全與應用創新分論壇圓桌討論環節,
陜西省區塊鏈產業聯盟執行理事長楊若松分享表示,區塊鏈領域的業務仍分為中心化和去中心化,在中心化考慮傳統思路,在鏈上的需要考慮去中心化思路。此外,安全是一個相對的問題,要在場景里細節討論,例如私鑰的使用,黑客攻擊,金融監管等等。
西安靈動CEO晏梓桐分享表示,目前,區塊鏈安全問題分為:鏈上、節點、交易平臺,重點在于個人存儲私鑰以及交易平臺的私鑰安全,其實我們不需要過于擔心區塊鏈透明性帶來的安全問題,用于后續的一些事項,不用擔心公鏈的透明性問題。
小得書院院長陳曉璞分享表示,當區塊鏈的透明性和隱私需求出現對立的時候,需要利用技術方案在透明化和安全性找到平衡。[2020/10/15]
與任何系統一樣,這種設計也有安全權衡。區塊鏈不需要像Web2.0那樣信任參與者,但更難進行更新以解決安全問題。用戶可以保持對其身份的控制,但在發生攻擊或密鑰泄露時,沒有中間人提供追索權。錢包仍然可能泄露以太坊地址之類的敏感信息——它仍然是軟件,軟件從來都不是完美的。
觀點:機構投資者對比特幣市場的興趣正在下降:AMBCrypto發文稱,盡管散戶市場活躍,但機構投資者對比特幣市場的興趣在過去幾天里一直在下降。數據提供商Skew稱,機構投資者目前正在遠離比特幣期貨合約,Bakkt上的未平倉合約不斷下降就突顯了這一點。8月3日,Bakkt平臺上的未平倉合約(OI)達到了2700萬美元的峰值,目前為990萬美元。另一方面,CME也指出,未平倉合約從9.48億美元的高點降至7.89億美元。此外,在比特幣期權市場上,人們對比特幣的興趣也在下降。在8月21日到期之前,8月20日的看跌/看漲比率為0.72,這被視為看跌信號。[2020/8/22]
這些權衡理所當然地引發了重大的安全問題,但它們不應該阻礙web3的發展勢頭,實際上,它們不太可能。
再考慮一下Web1和Web2的相似之處。SSL/TLS的初始版本存在嚴重漏洞。早期的安全工具充其量只是初步的,隨著時間的推移變得更加健壯。Web3安全公司和Certik、Forta、Slita和Securify等項目與最初為Web1.0和Web2.0應用程序開發的代碼掃描和應用程序安全測試工具相當。
然而,在Web2.0中,安全模型的很大一部分是關于響應的。在web3中,事務一旦執行就無法更改,必須內置機制來驗證事務是否應該首先發生。換句話說,安全必須非常善于預防。
這意味著Web3社區必須找出如何在技術上最好地解決系統性弱點,以阻止針對從加密原語到智能合約漏洞的所有新攻擊向量。同時,至少有四項計劃可以推進預防性web3安全模型:
一、漏洞的真相數據來源
對于已知的web3漏洞和弱點,需要有一個真相來源。如今,國家脆弱性數據庫為脆弱性管理計劃提供了核心數據。
Web3需要一個去中心化的等價物。目前,不完整信息散布在SWC注冊表、Rekt、智能合約攻擊向量和DeFi威脅矩陣等地方,諸如Immunefi運行的漏洞賞金程序旨在暴露新的弱點。
二、安全決策規范
web3中關鍵安全設計選擇和個別事件的決策模型目前尚不清楚。權力下放意味著沒有人對這些問題負責,這對用戶的影響可能是巨大的。最近的Log4j漏洞等例子是將安全留給去中心化社區的警示故事。
需要更清楚地了解分散自治組織、安全專家、Alchemy和Infura等提供商以及其他人如何協作管理緊急安全問題。從大型開源社區如何組建OpenSSF和CNCF咨詢小組,以及如何建立解決安全問題的流程中,可以得到一些適用的經驗教訓。
三、身份驗證和簽名
如今,大多數DAPP,包括最著名的DAPP,都不會對其API響應進行身份驗證或簽名。這意味著,當用戶的錢包從這些應用程序檢索數據時,在驗證響應是否來自預期應用程序以及數據是否以某種方式被篡改等方面,存在差距。
在一個應用程序不采用基本安全最佳實踐的世界里,由用戶決定他們的安全態勢和可信度,這幾乎是不可能的任務。至少,需要有更好的方法向用戶暴露風險。
四、更簡單、用戶控制的私鑰管理
加密私鑰奠定了用戶在web3范式中進行交易的能力。眾所周知,加密私鑰也很難正確管理。目前已有整個業務圍繞密鑰管理而建立。
管理私鑰的復雜性和風險是促使用戶選擇托管錢包,而非非托管錢包的主要考慮因素。然而,使用托管錢包會帶來兩個權衡:它們會產生新的“中介”,比如Coinbase,這有損于web3完全去中心化的方向;它們還限制了用戶接觸web3事物的能力。理想情況下,進一步的安全創新將為用戶提供更好的可用性和對非托管場景的保護。
總結
值得注意的是,前兩項計劃更多地圍繞人和流程展開,而第三和第四項計劃將需要技術變革。讓新技術、新興流程和大量用戶保持一致,是讓了解web3安全性變得困難的原因。
與此同時,最令人鼓舞的變化之一是web3安全創新正在公開進行,我們永遠不應該低估這會帶來創造性的解決方案。
鏈捕手消息,多家加密風投機構為Web3和區塊鏈數據索引層TheGraph推出規模為2.05億美元的生態系統基金.
1900/1/1 0:00:00整理:RichardLee1、《PanteraCapital創始人:預計加密市場將繼續被美聯儲政策拖累》本周末以加密市場的大行情開啟.
1900/1/1 0:00:00鏈捕手消息,加密生物識別網絡Humanode完成200萬美元種子輪融資,RepublicCapital領投.
1900/1/1 0:00:00鏈捕手消息,前美國CFTC主席J.ChristopherGiancarlo已加入DigitalAsset董事會,并將在一系列區塊鏈問題上為這家專注于智能合約的金融服務軟件和服務提供商提供建議.
1900/1/1 0:00:00來源:?CryptoYCTech Celestia是什么 Celestia前身叫LazyLedger。是一個專精于“數據可用性”的基礎設施。當然它自己本身就是一條鏈,但是卻不涉及狀態計算的問題.
1900/1/1 0:00:00作者:隔夜的粥/DeFi之道以太坊巨鯨thomasg.eth因其錢包存放了價值超過1.3億美元的ETH,而遭遇了一場精心策劃的社會工程騙局,詐騙者偽裝成社區貢獻者,并通過免費贈送NFT的方式.
1900/1/1 0:00:00