链资讯 链资讯
Ctrl+D收藏链资讯

MAG:Web3 安全风险令人生畏?应该如何应对?_有人靠区块链4天就挣了30万

作者:

时间:

Web3和区块链的世界是否像听起来那样令人生畏?拜登竞选活动的首席事件响应官、前英特尔事件响应总监JackieSingh采访了Web3安全从业人员,以了解他们对保护Web3技术的挑战和机遇的看法。

去年12月,当我在S.T.O.P公司的合伙人Jason意外收到加入NFT市场初创公司担任高级软件工程师的邀请时,我一开始很紧张。

决定在一个新行业从事可能不稳定的工作似乎令人生畏,尤其是作为一个有小孩的家庭。

尽管最近加密货币市场出现了波动,但我的担忧随着时间的推移而消失。Jason的职业生涯转向Web3,也让我更加了解了他的工作,包括所有用户的无许可使用、通过Github设计开源代码、与第三方开发者公开合作以及与NFT艺术家建立合作伙伴关系。与他之前在传统金融领域的工作相比,这是一个令人耳目一新的变化!

实话说,我知道Web3社区具有强大的凝聚力,但作为一名信息安全专业人士,我也对广泛的、“技术解决方案主义”的风险以及阻碍Web3崛起的大规模违法行为存有疑问。

“许多Web3开发人员在他们的开发过程中优先考虑安全性,以防止漏洞,这很好,但还有更多工作要做,”网络安全公司Mandiant的高级主管RobertWallace在一份自述文件中写道,“预防是前提,但检测和审计也是必要的。很高兴看到更多关于Web3中的威胁检测和响应方面的研究。”

谷歌云Web3产品经理:谷歌搜索启动指向Etherscan的链接:5月12日消息,谷歌云(Google Cloud)Web3产品经理nalin发推表示,谷歌搜索现启动在搜索以太坊地址时,搜索结果显示以太坊余额,以及指向Etherscan 的链接,目前还在Google Cloud 的 BigQuery 公共数据集中对代币余额进行研究,之后将允许查询任何以太坊钱包地址并查看该钱包持有的所有可替代和不可替代资产。当前该功能尚不支持用 ENS 域名搜索。此前该功能已测试运行几个月时间。[2023/5/12 14:58:59]

多年来,Wallace与他的顾问团队一起应对了多家Web3公司的安全事件。他指出,利用智能合约的黑客已经带来了迄今为止最大的一些有关“DeFi”的黑客攻击。

“另一个挑战是对Web3开发人员的攻击,这些开发人员可能没有安全团队时刻监视系统,”Wallace说,“这可能会引发密钥被盗,导致Web3公司甚至是中心化交易所发生巨额盗窃。”

我邀请了三位在Web3安全方面有经验的专家分享他们的一些见解,并解读他们的日常工作。

MilesNolan是网络安全公司KudelskiSecurity的高级区块链安全分析师,该公司目前也将区块链包含在业务范围内。

您和您的团队在KudelskiSecurity做什么?

元宇宙区块链网络Lamina1旗下生态基金L1EF投资0 Studio和Legitimate两家Web3公司:金色财经报道,由元宇宙区块链网络Lamina1推出的LAMINA1生态系统基金 (L1EF)宣布首次投资于两家构建开放元宇宙沉浸式技术的Web3公司,分别是IP创新实验室/工作室0 Studio和实物和数字体验平台Legitimate,具体投资金额目前暂未披露。L1EF是首个面向Layer1区块链的可公开访问生态系统基金,其目标是投资于建设者、创造者和早期项目,以扩大LAMINA1平台并将开放元宇宙的愿景变为现实。(Businesswire)[2023/4/27 14:29:01]

Miles:

我在Kudelski的应用程序安全团队中担任区块链安全分析师。我们主要审计Web3应用程序和智能合约代码的漏洞。我个人从事智能合约审计/审查工作。

您是如何开始使用Web3的?

Miles:

我在大学三年级时产生了兴趣。我获得了「管理信息系统」学位。那是在2017年,比特币出现了疯狂的“牛市”,DeFi开始小范围出现。我对技术和金融的热情加上疯狂地炒作让我跳入了这个领域,并吸收了我能学到的任何知识。

对你来说,每天的工作是怎样的?

Miles:

Bitgert宣布已准备成立Web3风投机构Bitgert Ventures:金色财经报道,由原生区块链驱动的主流加密货币生态系统Bitgert宣布正在准备启动Web3风投机构Bitgert Ventures,该实体将参与pre-seed、种子轮、私募轮、以及其他融资轮的去中心化产品和项目投资。此外,Bitgert Ventures还将协助头部风险投资家将资金投资于处于不同发展阶段的选定产品和做市策略,以推动各个Web3垂直领域的下一代加密货币产品。(U.today)[2023/4/16 14:06:58]

我是该领域大多数人所说的“智能合约审计员”。我大部分时间都在审查智能合约代码中的漏洞。在一个典型的工作日,我会在一天的第一个小时里审查/编写与我正在审计的项目无关的代码,这有助于我热身。我将在接下来的一个小时里查看与我正在使用的区块链相关的文档。Web3中的事情每天都在变化,所以我必须保持了解。在一天的剩余时间里,我会一直审查智能合约代码中的各种错误。

您在该领域面临哪些挑战?

Miles:?

Web3的发展速度非常快,当我第一次加入时,感觉就像我一直在追赶。

区块链或其他Web3技术是否提供了任何特定的技术能力,使信息安全任务更容易或更困难?

Miles:

东方国信:公司有Web3.0底层技术栈储备:金色财经报道,东方国信(300166.SZ)2月1日在投资者互动平台表示,目前Web3.0的概念尚不明晰,还处在应用场景探索阶段。公司有Web3.0底层技术栈储备,包括区块链、云计算、人工智能、数字孪生/元宇宙。[2023/2/1 11:41:16]

虽然有很多优点需要强调,但我必须指出一个痛点。区块链引入了一个竞争环境,攻击者实际上可以通过执行漏洞来获利。在Web2世界中,攻击者可以关闭一项主要服务、窃取一些数据、出售恶意软件/0-days等,虽然这可能是有利可图,并且会给其他方造成资金损失,但不值得花时间和冒险实施这些类型的恶意行为。但是在Web3世界中,攻击者可以从一个漏洞中窃取3亿美元以上的资金。所以分布式账本技术固有地为安全专业人员带来了这些新的风险来应对。

KatelynPerna是BlockFi的安全战略和数字资产托管副总裁,BlockFi是一家总部位于美国的加密货币交易平台,提供包括贷款和加密信用卡在内的各种金融产品。

您能给我们介绍一下您目前的角色吗?

Katelyn:

作为BlockFi的安全战略和数字资产托管副总裁,我负责构建我们的安全计划。

安全战略和数字资产托管团队主要负责确保BlockFi原生加密技术的安全性。团队拥有非常独特和专业的技能人才组合,涵盖网络安全、区块链技术、加密货币安全和托管,涵盖了几乎所有的数字资产。我们专注于加密货币安全、密码学、密钥管理、链上协议和Web3安全。

CCN测试网2.0启动在即:Computecoin将为Web3.0和元宇宙的建构提供算力基础:4月22日,金色财经举办主题为“算力和隐私:Web3和元宇宙基础设施”AMA,邀请到了三位嘉宾分别是Computecoin 的CMO John Hrzic、CCN产品与矿工关系负责人Joseph Mennillo、Oasis中国区大使计划顾问Bill。

根据John Hrzic的回顾,CCN第一期测试网Dome-A吸引了来自25个国家的超过20万的计算与存储节点,其为CCN网络贡献了总计82万亿的元算力(MP / s),这相当于4000PB的存储空间,或10万张Nvidia 3080显卡的计算能力。该计算能力比Fugaku——具有537212 万亿次浮点运算能力的世界上最强大的超级计算机更加强劲,这也正是CCN能为Web3.0和元宇宙的建构提供算力基础的原因。

同时,CCN还将在四月下旬推出Computecoin测试网第二阶段Huygens。Huygens将会扩大测试参与者的规模以及加强生态系统的建设,在Dome-A的成功基础上再接再厉。

算力是构建元宇宙和Web 3.0的未来不可或缺的基础,而隐私泄露的隐患一直是全球用户相当关注的问题。[2022/4/22 14:41:55]

你的团队关注什么?

Katelyn:

一直以来,我的日常工作主要集中在加密货币方面,可以是分析资产和各种链上协议,构建资产存储、托管和密钥管理的技术和解决方案,分析智能合约漏洞。

你是如何开始使用Web3的?是什么引起了你的兴趣?

Katelyn:

在Web3/区块链之前,我的背景是传统的网络安全。我第一次了解加密货币是在2016年,很快就被迷住了。当时我在为大型科技和银行公司从事网络工作,我很快意识到传统金融服务方面需要改进。

我看到了区块链技术和加密货币在科技和银行业方面的巨大潜力,可以让社会通过更少的第三方中介来管理他们自己的数据和资金,我想成为其中的一员。然而,建立新的资金、平台和文化并不容易,更何况很难安全、可靠地做到这一点。当我们专注于将权力和控制权交到用户手中时,我最感兴趣的是各种可能性以及不同的“社会面貌”。我告诉自己,我将在接下来的5年里从事区块链/加密货币领域的工作,然后看看情况如何。

你在该领域面临哪些挑战?

Katelyn:

其中一个挑战是这是一项完全新兴的技术。区块链和加密货币出现的时间并不长,想想管理数十亿美元的资金会给这些公司的安全带来巨大的责任。

总的来说,我认为技术人才,尤其是安全方面的人才目前在Web3领域很稀缺。

进一步的挑战包括:

用户和机构在Web3领域普遍缺乏教育和意识,造成了技术和安全方面的巨大知识差距。

确保管理数十亿美元所需的真正安全。没有捷径。安全性可能因资产和底层协议而异。这需要进行严格的调查和尽职的审查。

区块链互操作性和安全性具有挑战性,尤其是在智能合约逻辑和密钥管理方面。以可扩展的方式管理节点和保护节点也是一项重大挑战。

区块链或其他Web3技术是否提供了任何特定的技术能力,使信息安全更容易或更困难?

Katelyn:

从Web2到Web3的转变带来了围绕安全、隐私的思维方式的巨大转变。

在Web2,我们要让某人为我们做所有事情——我们所需要管理的只是一个密码,也许还有2FA。

Web3并非如此。如果你不知道自己在Web2中做什么,Web3会更糟。自己管理自己的资产和数据,即成为自己的“银行”,听起来不错,但你必须学会这些工作:必须了解如何管理钱包、私钥,并且必须考虑安全性。

对于CeFi或机构,这个工作需要提高10倍!

此外,Web3生态系统的空投和有针对性的网络钓鱼行为依然会继续发展。

你会对不喜欢区块链技术的信息安全专业人士说些什么?

Katelyn:

区块链技术其实并不是新事物,它只是以不同的方式融合了一些已经存在了几十年的不同技术。

Web3支持更多的自主权和去中心化应用程序。这是一件好事。因为任何一家公司都不应该拥有用户的所有数据或金钱或任何东西。

安全始终是推动因素。

技术可以做很多事情,作为信息安全人员,我们应该尽最大努力确保它可以尽可能安全地被使用。

你会给对Web3感兴趣的信息安全专业人员提供的最重要的一条建议是什么?

Katelyn:

永远不要只从表面上评判任何东西。仅仅因为有人说它是真的,并不能使它成为真的。没有人知道所有的答案,也没有人知道所有的一切。挑战自己和遇到的每一个人。Web3行业需要信息安全。

BobbyTonic是一家数字支付公司的安全工程师。过去,他曾是安全公司TrailofBits的顾问,在那里他领导了执行复杂安全审计的团队。

Web3组织面临的最大挑战是什么?

Bobby:

在担任现职之前,我与各种各样的Web3组织都有过接触。我发现他们经常面临与传统组织类似的挑战。在这些挑战中,了解系统中使用的技术的复杂性以及能够确保其应用程序设计的正确性是最值得注意的两个。

对于Web3组织而言,未能成功应对这些挑战可能会产生灾难性后果,因为攻击者通常可以随时查看其系统和应用程序的源代码。

因此,Web3组织开发其应用程序及其基础架构并将其提交给第三方安全研究公司进行审查已成为一种共识。这样做可以向客户承诺,应用程序的设计和实施已经过对抗性测试,并表明该组织对其未来客户的尽职与负责。

当今Web3最需要哪些信息安全研究?

Bobby:

在我看来,对于成熟的Web3,信息安全最有影响力的研究是测试Web3系统和应用程序。我们作为第三方安全人员,代替开发人员关注设计上的安全环节,这样会节省时间,并加快后续的开发工作。

此外,Web3通常要求开发人员为被测系统实现样板,导致他们需要花费时间建立测试系统,而不是用工具实际开发测试。我们在各种各样的测试技术中看到了这一点,比如模糊化、属性测试。这些问题极大地劝阻了大多数希望在日常开发工作中使用这些测试技术的开发人员。

并不是开发人员不想使用这些测试技术,或者他们不知道它们的存在,而是在使用它们时存在很多“摩擦”!

风险提示:

根据央行等部门发布的《关于进一步防范和处置虚拟货币交易炒作风险的通知》,本文内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。

来源:金色财经

标签:MAG区块链CRYPCRYmag币下载有人靠区块链4天就挣了30万CryptoMarketAdsCryptoJetski

比特币最新价格热门资讯
BTC:金色趋势丨BTC波段反弹已经结束?_ETH

如图BTC周线自前期跌破趋势线支撑便开启单边下跌走势,后面插针至17600止跌转入震荡行情,而目前又重新站回至趋势线上方,到目前已有3周时间,本周回撤也是触碰反弹,支撑22500-22700.

MAG:8.6以太强势领涨上行 日内看多不追多_SPACE

8.6BTC行情分析 文中给的单子多空均有获利,昨晚行情先涨后跌,空单到达第二目标附近后到手做多,早间多头发力向上拉升,高位触及23350附近承压回落,恭喜跟上思路的币友共计获利1200美刀.

MAG:托管风波下 Magic Eden 的 Solana NFT 交易宝座难保?_GICC价格

随着MagicEden崛起,SolanaNFT社区成员越来越担心平台在其发展过程中变得过于中心化.

数字人:8.6回调结束姨太领涨 大饼持续震荡_INB

8.6今日热点 央行相关负责人:将出台数字人民币相关法规政策8月6日消息,近日,人民银行召开2022年下半年工作会议提出,数字人民币稳步扩大试点测试范围.

NBA:币圈院士:8.4欧盘上升美延续,震荡行情需注意,比特币以太坊最新行情分析及操作建议解析_OIN

 圣路易斯联储主席布拉德周三重申,美国经济没有陷入衰退,美联储将继续加息以抑制高通胀。 虽然加密资产公司的交易已有欧盟27个成员国的监管机构的管控,但ESMA将监督更大的加密交易参与者.

加密货币:金色早报 | 美参议院拟将比特币和以太坊视为商品由CFTC监管_coincheck交易平台会跑吗

头条 ▌美参议院拟将比特币和以太坊视为商品由CFTC监管8月3日消息,美国参议院拟议的立法将比特币和以太坊视为商品并由美国商品期货交易委员会监管.