Web3通常不需要像Web 2.0那样要求行为被授权、验证,但带来的问题就是,通过进行系统更新升级,来解决安全问题的传统途径就比较困难。(举个例子,下面是本兔放出来的勒索软件标本,WannaCry, 当年很多人看到它就会哭...不过通过Windows自带的更新,可以从一定程度防止这种情况) 我们继续说:Web3用户可以通过目前模式,保持对自己身份的控制和数据的所有权,但是同样也存在一定的问题:例如,不存在中介机构,在发生攻击或关键妥协时,为小白用户提供追索权(例如,Web 2.0供应商会协助用户恢复被盗资金或帮助你重置密码) 就这种层面而言,Web3钱包仍然有机会泄露敏感信息;软件就是软件,总会存在一定的漏洞和缺陷。 所以,Web3的成功取决于如何在安全层面创新,从而解决不同应用架构所带来的新的安全挑战。 现状 对于个人所有权和数据主权的追求,也会引起了各类安全问题(因为个体对安全知识理解和熟悉层次的差异),但这些安全问题,不应该成为阻碍Web3的发展势头。 我们回顾一下历史:Web 1.0和Web 2.0的相似之处。最初版本的SSL/TLS存在严重的漏洞。早期的安全工具通常是初级的,随着时间的推移会进一步优化。从某个角度来看,Web3安全公司和项目,如Certik、FORta、Slithe和Securify,相当于最初为Web 1.0和Web 2.0应用开发的代码扫描和应用安全测试工具。 然而,在Web2.0中,安全模型的很重要的一部分是关于响应 (response)。在Web3中,交易一旦执行就无法改变,因此,安全的思路通常是,需要建立机制来验证交易是否应该具备安全的条件,继而进行,也就是说,安全必须在预防方面做得更好。 Web3社区必须要思考,如何从技术上进行规划,解决系统性的弱点,预防并组织新的攻击载体,这些攻击载体的目标,包括加密原生的问题( cryptographic primitives)和智能合约的漏洞等等。 以下有四个方向,可以推动Web3安全模式的预防。 四个方向 真实来源的漏洞数据(Source-of-truth DATA for vulnerabilities) 对于已知Web3(项目)漏洞和弱点,需要有一个真实的来源。今天,已经有官方漏洞数据库为漏洞管理项目提供了核心数据。 Web3需要去中心化的数据对应工作,消除信息不对称。目前,不完整的(漏洞、风险暴露等)信息,分散在像SWC Registry、Rekt、SMART Contract Attack Vectors和DEFI Threat Matrix,Immunefi运行的Bug赏金计划就是为了更好地找到新的弱点。 规范的安全决策(Security decision-making norms) Web3中,关键安全设计选择,和事件的决策模型目前还在探索中。去中心化意味着没有人能为这些问题负全部的责任,而这对用户的影响可能是巨大的。比如说,最近的Log4j漏洞,就是将安全问题留给去中心化的社区的一个警醒。 (责任编辑:admin) |