思考Web3.0时代的信息安全：转向代码、工程和架构 专注于预防

Web3.0 提供了一个摆脱过去网络安全错误的机会——意识到该技术潜力、思想开放的信息安全人士已经投入到其中。

随着 Web3.0 迅速发展，作为一名信息安全从业者，我不禁越来越关注。科技行业的许多人仍然认为区块链、加密货币和 NFT 是局，正在破坏经济，并且注定要消亡。但这些技术的迅速普及、许多跨国公司的采用，更不用说拜登总统最近关于数字资产的行政命令——都表明 Web3.0 不仅仅只是一种流行词。

我们信息安全社区不应该像 Web3.0 激进分子那样行事，应该帮助 Web3.0 社区中那些没有足够资源来保护自己的人。撇开加密市场的炒作周期不谈，我们有真正的机会来对 Web3.0 技术的方向和发展施加影响，现在是时候回顾 Web2.0 的安全“故障”，并利用这些经验来创建更加持久的 Web3.0，以帮助普通人保持安全。没有人值得被。

我第一次看到如此规模的去中心化创新，是 Napster，这是一个成立于 1999 年的点对点音频流媒体服务提供商。

最近，“云”成为类似区块链的流行词。十年前，我和我的同事开玩笑说这个词毫无意义：“没有云，只有别人的电脑。”

今天，云计算已经变得比我们预测的要大得多。事实上，如果不专门研究特定供应商的平台，就很难理解保护云技术所涉及的细微差别。我期待 Web3.0 会出现同样的演变——从流行语到基础互联网技术。

好消息是区块链是 Web3.0 的基础，它提供了一个统一的基础结构，可以帮助解决常见的安全问题，例如治理、访问、完整性和可观察性。区块链技术允许创建“无需信任”和“无需许可”的环境，让用户能够安全地相互交易，因为他们依赖于密码学和高度可用、可扩展且经过实战测试的代码。

邓建鹏：中国作为区块链大国 需要重新思考自己的监管模式:11月16日，由Origin Chain基金会主办的“起源创新·链接未来”Origin Chain--起源应用生态大会圆满落幕。

会中，北大法学博士，中央财经大学教授、博士生导师、中国互联网创新研究院副院长邓建鹏教授表示：与以往业态不同，区块链像空气一样弥散在你我周边，多中心化的技术特征，使得其往往跨越单一主权国家的监管边界，当这个产业成为全球化不可阻挡的洪流之后，中国作为区块链大国，需要重新思考自己的监管模式。

随后，起源链生态合作方、起源库创始人&CEO俊旭表示：“对于区块链，应专注区块链技术落地应用和生态场景搭建，积极探索区块链技术在各行业应用的实际效用，倡导前沿技术的应用，数字化经济的生命，创建强大而可信赖的商业生态。

起源链目前针对商业应用场景进行平行链生态搭建，运用区块链技术将工作量输出到具有商业价值的场所，从而使得平行链参与各方降低彼此间的信任成本，让商业合作变得低成本、更高效、更简单，真正实现区块链大规模应用落地。”[2020/11/18 21:11:29]

尽管现在很多公司在网络安全方面的支出比以往任何时候都多，但我们几乎每周都会听到新的、轰动一时的数据泄露事件。与此同时，与其他技术领域（如云计算）相比，信息安全的创新已经萎靡不振。

信息安全领域普遍缺乏对人为因素的关注，用户成为的牺牲品，例如点击错误的链接，或者不知道如何保证自己上网的安全。以最近关于 Coinbase 超级碗广告的争议为例，该广告以二维码跳转网站为特色。人们应该担心扫描二维码吗？

现场 | 安妮股份CTO郝汉 ：区块链应用落地要思考七个问题:金色财经现场报道，2020年1月12日，“2020传媒区块链高级研讨会暨传媒区块链产业智库筹备会”在中国人民大学明德楼召开。该活动由区块链产业智库、中国人民大学新闻学院现代广告研究中心、清华大学技术创新研究中心、《媒介》杂志社、国研智库&清华x-lab数权经济实验室以及区块链产业人才研究所等机构联合举办。安妮股份CTO郝汉在会上，区块链应用落地要思考七个问题：联盟链还是公链、应用场景是否适用、性能是否符合要求、如何确保信息安全、能否满足监管要求、架构体系与现有IT体系如何兼容、区块链网络节点的动力在哪？他表示现在国内主要发展的是联盟链技术。[2020/1/12]

同时，信息安全社区倾向于继续依赖无效的防御措施，我们以前将防御网络描述为 M&M 网络：坚硬、酥脆的外围与柔软、融化、易受攻击的内部。另一方面，敏感日志数据的集中化是每个功能性安全运营中心的核心能力，它会产生与监控相关的数据治理、合规性和道德问题，这些问题只会在规模上变得更糟。

我们能否在运营中心之间实现安全交易，而不会使隐私与安全相冲突？

最终，依靠分布式生态系统（如区块链）的底层防御，要比试图在使用私有集中式监控的易受攻击的网络更有效。

不使用 PoW、更高效的区块链可以减轻对比特币等系统能源消耗的担忧。包括我自己在内的许多人都厌倦了等待以太坊长期计划升级到不需要大量使用能源的共识机制，这使得目前使用以太坊对我们的星球来说是一个全面的坏选择。尽管以太坊具有先发优势，但其他区块链已经出现了比以太坊或比特币的工作量证明机制更环保的特性。例如，Solana 是一种碳中和区块链，它使开发者能够通过使用 Rust 编程语言实施的智能合约从一开始就建立安全性。使用 Rust 消除了所有类别的安全风险，并且可能是我们防止代码漏洞的最佳工具之一。

声音 | 美国商会Julie Stitzel：美国必须以不同方式思考如何将现有监管原则应用于数字资产:据Cointelegraph消息，美国商会资本市场竞争力中心副总裁Julie Stitzel表示，美国在金融部门通过和修改法律框架的历史导致了强有力的监管结构，使市场稳定并有效管理风险。尽管数字资产市场仍处于萌芽阶段，但存在着美国可能落后的风险和担忧——错过利用新兴技术培育创新、创造就业和增长经济的机会。作为世界上最大的经济体，美国必须以不同的方式思考如何将现有的监管原则应用于数字资产——包括加密货币。对数字资产进行适当分类，并确定有权监管和监督数字资产的联邦实体，这是为创新者提供监管清晰度的一种方式。[2019/8/5]

可能没有比向用户公开接口更好的方法来发现错误了。当攻击者和防御者可以访问相同的信息时，它会以一种更加注重预防的方式来平衡竞争环境。这将使信息安全行业能够随着时间的推移解决系统性弱点。

然而，今天没有区块链是完全去中心化的。真正的去中心化仍然是许多 Web3.0 爱好者的崇高目标——很少有人试图解释这样的系统在实践中的样子。然而，无需信任和无需许可仍然是积极指导 Web3.0 生态系统中系统设计的关键原则。理想情况下，区块链本身和部署到它的智能合约调解用户之间的交易——而不是服务器上的不透明代码，只能管理员看到。

区块链可以让我们通过使用密码学来确认某些基本事实，当我们需要知道一些事情时，我们会在区块链上查看。去中心化应用程序 (dApp) 开发人员被激励在链上存储数据，避免在链下执行关键计算，并不用开发个人钱包以外的访问机制。这转化为更高的数据完整性和更完整的输入、计算和输出的可观察性。

声音 | 广州省青联委员：支撑比特币主体是用长线思维思考问题的人:5月31日，广州省青联委员戴斌在微博平台发文表示，比特币其实没有任何实际价值，也不是货币。但是比特币是靠认可它的人用信仰支撑的。目前已挖掘出来的1700万比特币（总量2100万枚），有1050万枚在最近一年是完全没有移动过（即没有交易过），所以支撑它的主体都是一些用长线思维思考问题的人[2019/5/31]

用户需要对他们的数据拥有更大的主权，而开发人员则有兴趣最大限度地减少数据收集以保护隐私。Web3.0 可以通过将密钥的保管权转移给用户来帮助实现这些目标，从而使人们能够更好地控制他们的数据。个人保管个人的密钥，为用户提供了在区块链上维护其身份所有权的终极机会。尽管这与我们之前管理企业级网络的方式不同，但我们应该欢迎这些新架构作为增强用户能力的方式，同时降低与数据收集和访问管理相关的组织风险。

但首先，我们更多的信息安全从业者需要克服最初不愿探索 Web3.0 技术的问题，要认识到 Web3.0 用户应该得到安全，而不是。

Web3.0 时代的信息安全领域似乎正在发生变化，越来越多的信息安全工作、以及成功利用区块链和智能合约漏洞造成的巨大损失都可以证明这一点。

由于标准化的网络保险等缓解因素以及对公司没有长期影响，Web2.0 中的公司通常可以对违规行为不屑一顾，但 Web3.0 组织不能忽视安全问题，一个错误可能导致损失数百万美元，甚至由于资金全部流失而导致整个组织解散。

现场|工信部电子业标准化研究室主任：应思考让区块链赋能实体经济:金色财经现场报道，8月5日，在第四届中国区块链产业交流峰会上，工信部电子业标准化研究室主任李鸣在《区块链标准化和应用实践》为题的演讲中主要谈到了如何将区块链技术组件化，跨链技术，上链技术三个方面。并指出：现在应思考的问题是让区块链赋能实体经济，如何让更多人使用区块链技术，也要思考区块链给整个社会带来的价值。[2018/8/5]

在这种背景下，Web3.0 中的漏洞赏金奖励达到了惊人的数字。在最大的 Web3.0 漏洞赏金平台Immunefi 的指南中，该公司表示：“一些信息安全人员、白帽黑客加入 Web3.0 之前，在 Web2.0 中受到了恶劣的待遇和过低的薪酬，他们将这种态度带到了 Immunefi ——他们现在已经获得以前更多的权利和尊重”。

正如著名黑客Jay Freeman最近因找到一个安全漏洞而获得 200 万美元赏金后所说：“然而，我们看到一个又一个加密项目试图将其核心设计的审查成本外包给信息安全人员，而不是建立一个围绕数学家、经济学家和安全专家的团队。”虽然政策和监管正在进行中，而且合规要求可能会与传统金融领域的要求相匹配——但 Web3.0 行业也将出现与传统金融领域相应的信息安全漏洞，这些最终必须由高度技术性的安全专家、长期战略家应对，而不是当前的外部审计师和赏金系统。

安全公司 Hacken 在最近的一份报告中描述了其对 Web3.0 行业的展望，预计未来五年内的定期安全审计需求将不断增加。

还有一种新兴的“区块链分析”或“区块链调查”公司的利基市场，其名称包括Chainalysis、CipherTrace（最近被万事达卡收购）、Elliptic 和 TRM Labs（由 A16z、摩根大通、PayPal、Salesforce等公司资助）。这些公司使用专业软件和人工分析师来分析、检测和跟踪区块链的威胁，它们让人想起 Mandiant 和 Foundstone 等早期 Web2.0 的网络安全公司，这些公司随着 Web2.0 的发展而迅速壮大。

前中央情报局局长 Mike Morell 在 2021年撰写的题为《比特币在非法金融中的使用分析》的报告中认为，“记录比特币交易的区块链是一种未被充分利用的取证工具，执法部门和情报界可以更广泛地使用它来识别和破坏非法活动。简而言之，区块链分析是一种高效的打击犯罪和情报收集工具。”

区块链是透明的、开放的，对于习惯于封闭数据库和操作不透明的人来说，这是一种需要全新看待的事物。与典型的 Web2.0 公司相比，区块链和加密公司往往不太关注知识产权保护。代码通常是开源的，并根据公开的安全审计以激发用户的信心。

Web2.0 安全实践专注于处理后果，而不是一开始就避免它；Web3.0 的信息安全转向代码、工程和架构，专注于预防。

Web3.0 生态系统本质上更加开放，项目通常在 Discord、Twitter 上托管在社区中。两个 Web3.0 项目经理 Lenny Rachitsky 和 Jason Shah 最近在一篇文章中描述了他们从原先的职业如何向 Web3.0 过渡，并呼吁应彻底摆脱当前的技术工作模式。他们认为缺乏监视/数据收集驱动的生态系统来支撑 Web3.0 、以及确保代码在发布时尽可能无漏洞的必要性。

结果是，Web3.0 对信息安全、隐私和监视产生了一定的影响，信息安全专业人员对于在监管要求之前以及除监管要求之外建立行业标准至关重要。

不仅仅是看到潜力的人已经投身于 Web3.0 中，世界上一些最优秀的黑客已经在全职研究 Web3.0。例如：

信息安全专业人士应该熟悉各种“第一层”区块链网络，例如比特币和以太坊，与信息安全领域特别相关的隐私币，例如Monero和 Zcash，以及更多地了解加密货币、代币、DeFi、NFT的含义。

信息安全专业人士需要尽早开始学习，以便在未来的安全案例和调查中具备加密货币知识。

以下是一些提示和资源，供那些寻求了解更多信息的人使用：

-查看编写 Web3.0 研究的安全公司博客，以及那些认为 Web3.0 有可能赋予人们数字权力和自由表达的声音。

-尝试设置一个加密钱包并进行加密货币的转入和支出，随后查看区块链以了解这些交易的原理。

-了解主要的智能合约平台、它们的执行环境和相关的编程语言。想要建造 dApp？可以参考几个 BuildSpace 的教程或加入像Developer DAO、Surge这样的资源社区。查看 Github 上的区块链特定安全存储库，例如awesome-ethereum-security 和 awesome-evm-security。

-参与几个Immunefi上的开放赏金。

-想想如何监控各种区块链的钱包，以及如何获取这些数据。

-了解钓鱼网站的常见载体和方法，尤其是 Discord 和 Twitter 上的威胁。了解 NFT 清洗交易和其他等危险信号。查看以前的大型黑客攻击和最近的局。

-对于大型组织，请确保将加密货币处理纳入安全事件响应计划，并确保针对任何涉及加密行业的事件制定业务和技术程序。例如 Marsh 的勒索软件指南既方便又全面。

信息安全没有灵丹妙药，区块链也不例外，去中心化系统也同样会面临与其他计算机类似的风险。区块链是一种本质上并不安全的网络——但它确实为大规模安全交易奠定了基础，而这种能力对于继续扩展互联网服务至关重要。

同样值得注意的是，去中心化技术不会自动产生去中心化的权力，Web3.0 还有很长的路要走。安全专家可以通过促进在 Web3.0 系统中建立公平的权力结构、将安全和隐私置于系统的核心来提供帮助。

正如科技战略家Scott Smith 和 Lina Srivastava 在斯坦福社会创新杂志上所写的那样：“如果 Web3.0 提供了解决 Web2.0 问题的机会，那它需要一个完整的价值体系。这意味着社会公益必须不仅是社会思潮的组成部分，而且也是任何新网络或新技术架构的组成部分。”

尽管 Web3.0、区块链具有明显的潜力，但这些技术并没有内在的能力来支撑人权或民主。信息安全从业者可以帮助它们整合积极的价值观，作为保护互联网用户的愿景的延伸。一旦我们克服了在 Web3.0 领域工作的不情愿，相信我们一定可以做到这一点。

编译 | 白泽研究院（已获得原作者转载授权）

标签：区块链WEBWEB3WEB3.0区块链域名如何注册Webuyweb3域名交易记录web3.0币种有哪些

BNB热门资讯