数藏之家 NFT Web3安全风险令人生畏?应该如何应对?

Web3安全风险令人生畏?应该如何应对?

Web3安全风险令人生畏?应该如何应对?

彩色图库:beekuaibao

Web3 和区块链世界是不是像听上去那般令人生畏?潘基文竞选活动的顶尖事情回应官、前intel事情回应主管 Jackie Singh 采访了 Web3 安全性从业者,以了解他们对维护 Web3 技术的挑战和机遇的看法。

上年 12 月,当我在 S.T.O.P 企业的合作伙伴 Jason 出现意外接到添加 NFT 销售市场新成立公司出任高级软件工程师的邀请时,我一开始特别紧张。

决定在一个新兴行业从业肯定会好的工作好像令人生畏,特别是作为一个有小孩的家庭。

虽然近期加密货币销售市场出现起伏,但是我的担忧随着时间推移而消失。Jason 的职业发展转为 Web3,也让我更加了解了他的工作,包含全部消费者的无批准应用、根据 Github 设计方案开放源码、与第三方开发人员公布协作以及与 NFT 艺术大师创建战略伙伴关系。和他之前在传统式金融行业工作对比,这是一个让人耳目一新的转变!

实话说,我明白 Web3 小区具备强悍的凝集力,但作为一名信息安全专业人员,我还对广泛行骗、“技术解决方法现实主义”风险及其阻拦 Web3 崛起的规模性违纪行为存在疑惑。

“很多 Web3 开发者在他们的开发过程中优先选择安全系数,以防止系统漏洞,这很好,但还有更多工作中需做,”网络安全公司 Mandiant 的高级主管 Robert Wallace 在一份自述文件中写道,“防范是前提条件,但检测和财务审计也是必要的。非常高兴见到更多关于 Web3 里的威胁检测和回应等方面的科学研究。”

多年以来,Wallace 与他的顾问团队一起解决了好几家 Web3 企业的安全事故。他指出,运用智能合约的网络黑客早已增添了目前为止最大的一个一些相关“DeFi”的黑客入侵。

“另一个挑战应该是 Web3 开发者的攻击,这种开发者应该没有安全团队时时刻刻监控系统,”Wallace 说,“这可能会引发密匙失窃,造成 Web3 企业甚至中心化交易所产生高额偷盗。”

我邀请了三位在 Web3 安全生产方面有耐心的权威专家共享他的一些看法,并讲解他的日常工作中。

Miles Nolan 是网络安全公司 Kudelski Security 的高级区块链安全性投资分析师,该公司现阶段都将区块链包含在经营范围内。

Web3安全风险令人生畏?应该如何应对?

您和你的团队在 Kudelski Security 干什么?

Miles:

我还在 Kudelski 的应用软件安全团队中担任区块链安全性投资分析师。大家关键财务审计 Web3 应用软件和智能合约编码的系统漏洞。我个人从业智能合约财务审计/核查工作中。

您是怎样广泛使用 Web3 的?

Miles:

我还在大学三年级时产生了兴趣。我获得了「信息管理系统」学士学位。那是在 2017 年,BTC出现疯狂“大牛市”,DeFi 逐渐小范围发生。你对技术和金融的激情再加上疯狂地蹭热点要我跳进了这个行业,并吸取我能学到的任何专业知识。

对于你来说,每天的工作是怎么样的?

Miles:

我就是该领域多数人所讲的“智能合约审计专员”。我绝大部分都是在核查智能合约编码里的系统漏洞。在一个最典型的工作中日,我会在一天的第一个钟头里核查/撰写与我正在审计的新项目无关的编码,这有利于我热身运动。我将在接下来的一个小时里查询和我在使用的区块链有关的文本文档。Web3 中的事天天都在转变,所以你必须保持掌握。在一天的剩下的时间里,我会一直核查智能合约编码中的各种不正确。

你在该领域遭遇什么挑战?

Miles:

Web3 的高速发展速度非常快,在我第一次添加时,感觉就像我一直在追逐。

区块链或其它 Web3 技术是不是带来了一切特定技术水平,使网络信息安全每日任务比较容易或更艰难?

Miles:

虽然有很多优势必须注重,但是我务必强调一个困扰。区块链引入了一个竞争环境,网络攻击事实上能通过实行系统漏洞来盈利。在 Web2 世界里,网络攻击能够关掉一项关键服务项目、盗取一些数据信息、售卖恶意程序/0-days 等,尽管这可能是能够赚钱,并且还会给其他方导致资产损害,但是不非常值得花费时间和探险执行这种类别的故意个人行为。但在 Web3 世界里,网络攻击能从一个系统漏洞中盗取 3 亿美金之上的资金。因此分布式账本技术原有地为安全专业工作人员增添了这种新风险来应对。

Katelyn Perna 是 BlockFi 的安全性战略和数据资产托管高级副总裁,BlockFi 是一家公司总部美国的加密货币平台交易,提供包括贷款和数据加密银行信用卡在内的各种各样金融理财产品。

Web3安全风险令人生畏?应该如何应对?

您能给我们介绍一下您现阶段的角色吗?

Katelyn:

做为 BlockFi 的安全性战略和数据资产托管高级副总裁,我负责搭建他们的安全工作计划。

安全性战略和数据资产托管精英团队主要从事保证 BlockFi 原生态数据加密技术的安全性。精英团队有着十分与众不同和更专业的技能型人才组成,包含网络信息安全、区块链技术、加密货币安全和代管,包括了几乎所有的数字货币。大家致力于加密货币安全性、密码算法、双因素认证、链上协议和 Web3 安全性。

你精英团队关注什么?

Katelyn:

一直以来,我自己的日常工作中主要在加密货币层面,能是剖析财产以及各种链上协议书,搭建财产储存、代管和双因素认证的技术和解决方法,剖析智能合约系统漏洞。

你是如何广泛使用 Web3 的?是啥导致了你兴趣爱好?

Katelyn:

在 Web3/区块链以前,我自己的背景是传统网络信息安全。我第一次掌握加密货币要在 2016 年,马上就被迷住了。当时我在为大中型科技和银行公司从业网络运营,我迅速意识到了传统式金融信息服务层面必须改善。

我看见了区块链技术和加密货币在科技和商业银行层面巨大的发展潜力,能让社会发展根据更少的第三方中介公司来管理他们自己的数据和资产,我想成为在其中的一员。但是,建立新的资产、平台和文化艺术并不容易,何况难以安全性、靠谱地做到这一点。在我们致力于将权力和管控权交给客户手上时,我最感兴趣的是各种概率及其不同类型的“社会面貌”。我告诉自己,我将在接下来的 5 年来从业区块链/加密货币领域内的工作中,随后看一下情况怎么样。

你一直在该领域遭遇什么挑战?

Katelyn:

其中一个挑战是这是一项彻底新兴的技术。区块链和加密货币发生的时间也并不长,想一想管理方法数十亿美元的资金能给这些公司的安全性带来巨大的义务。

总体来说,我觉得技术优秀人才,特别是安全生产方面的人才目前在 Web3 行业很稀有。

进一步的挑战包含:

  • 用户和机构在 Web3 行业广泛欠缺教育和观念,导致了技术和安全生产方面巨大的专业知识差别。
  • 保证管理方法数十亿美元所需要的真真正正安全性。没有捷径。安全系数可能因资产和底层协议而不同。这需要进行严格的调查和敬业的核查。
  • 区块链互用和安全具备挑战性,尤其是在智能合约逻辑和双因素认证层面。以可扩展的形式管理节点和保护连接点也是一项重要挑战。

区块链或其它 Web3 技术是不是带来了一切特定技术水平,使网络信息安全比较容易或更艰难?

Katelyn:

从 Web2 到 Web3 的改变增添了紧紧围绕安全性、个人隐私的思维模式巨大的变化。

在 Web2,大家想让别人(金融机构、技术等)为我们做所有事情——大家所需要管理方法的只是一个密码,或许也有 2FA。

Web3 并不是这样。假如你不知道在 Web2 中干什么,Web3 会更糟糕。自身管理自己的财产和数据,即成为自己的“金融机构”,听起来不错(并且确实如此),但是你必须学会这些工作:必须了解怎么管理钱夹、公钥,而且一定要考虑安全系数。

针对 CeFi 或组织,这一工作要提升 10 倍!( CeFi,即去中心化金融业,希望通过传统金融的实用性和安全性给予与 DeFi 相似的盈利。)

除此之外,Web3 生态体系的空投物资行骗和有目的性的钓鱼攻击个人行为依然会进一步发展。

你能对不太喜欢区块链技术的信息安全专业人员说什么?

Katelyn:

区块链技术其实不是新生事物,它只是以不同的方式融合了一些早已存在了几十年的不一样技术。

Web3 适用更多管理权和区块链技术应用软件。这是一件好事。由于一切一家公司都不应该有着消费者的全部信息或钱财或其他东西。

安全性始终是促进要素。

技术能做很多事,做为网络信息安全工作人员,我们要尽最大努力保证它能够尽量安全性的被应用。

你能给对 Web3 有兴趣的信息安全专业人员提供的最重要的一条建议是什么?

Katelyn:

千万不要只从表面评定其他东西。仅仅因为有些人说它是确实,根本无法让它变成确实。没人知道每一个回答,也没人知道所有的一切。挑战自己和碰到的每一个人。Web3 领域必须网络信息安全。

Bobby Tonic 是一家数字支付企业的注安师。以往,她曾是安全公司 Trail of Bits 的咨询顾问,在那儿他带领了实行繁杂网络安全审计的团队。

Web3安全风险令人生畏?应该如何应对?

Web3 机构所面临的较大挑战是啥?

Bobby:

在担任任职以前,我和各种各样 Web3 机构都有过触碰。我发现了他们经常遭遇和传统机构相似的挑战。在这些挑战中,掌握系统软件中使用的技术的多元性及其能够确保其运用编程设计的正确性是最特别注意的两个。

针对 Web3 机构来讲,无法取得成功解决这种挑战可能会产生毁灭性不良影响,由于网络攻击一般随时可以查询其系统和应用软件的源码。

因而,Web3 组织开发其应用软件以及基础架构并将其提交给第三方安全研究企业进行审查已成为一种的共识。这么做可以向客户承诺,应用软件的设计和执行已经过竞技性检测,并说明该机构并对将来客户敬业与承担。

现如今 Web3 最需要什么网络信息安全科学研究?

Bobby:

我认为,针对完善的 Web3,网络信息安全最有影响力的科学研究是检测 Web3 系统和应用软件。我们作为第三方安全人员,替代开发者关心设计上的安全性阶段,这样会省时省力,并加速后续的开发工作。

除此之外,Web3 一般规定开发者为被检测系统完成样版,导致他们需要投入时长创建测试系统,而不是用专用工具具体软件开发测试。大家在各种各样检测技术中看见了这一点,例如模糊、属性测试。各种问题很好地劝说了大部分希望能在日常开发工作中应用这种检测技术的开发者。

并不是开发者不愿使用这些检测技术,或是他们不知道他们它的存在,反而是使用他们时存在许多“磨擦”!

来源:白泽神兽研究所

注:本文所发布的全部内容源于互联网,仅限于个人学习和文献参考,不包含投资或交易建议。如有侵权请联系我们删除。敬请谅解!https://www.f6ex.com/archives/66750.html
返回顶部