Unusualcapital参与了Ebay、Instagram、Dropbox等项目；Welilindang是Unusualcapital的合作伙伴，也是云原生安全公司Stackrox的联合创始人(Stackrox后来被Redhat收购，了解Redhat可以看到这篇文章:从红帽公司的崛起来看开源商业模式)，他从投资和创业的角度对Web3安全领域提出了一些思考。
一组数据
先看一组数据：
根据Crunchbase的数据，2021年在加密安全领域的风险投资已超过10亿美元。请注意，2020年风险投资总额不足1亿美元。
用户

图片来源：Crunchbase。
随着加密市场的普及，投资者开始关注安全性和合规性。
互联网安全的演变。
在Web1.0和Web2.0中，随着应用架构的演变，互联网安全发生了变化，以帮助构建新的互联网经济模式；在Web1.0时代，避孕套连接协议（SSL）由网络景观公司（A16Z创始人以开发浏览器而闻名）创建，逐步为用户浏览器和这些服务器提供安全通信。在Web2.0时代，谷歌、微软、亚马逊等大型工厂和证书机构在促进传输层安全方面发挥了核心作用。从某种角度来看，TLS是SSL的演变。
SSL是什么？
1994年，Netscape开发了SSL，最初被设想为一个系统：主要是为了确保在线客户端与服务器（Server）系统之间的安全通信。渐渐地，IETF（国际互联网工程任务组）采用了它。
IETF是什么？
互联网工程任务组成立于1985年底，由互联网技术工程和开发专家自发参与和管理国际私人组织，也是全球互联网技术标准化组织，主要任务是负责互联网相关技术规范的研发，绝大多数国际互联网技术标准来自IETF。
什么是TSL？
TLS是1999年发布的继承SSL3.0特征的安全传输层协议；
从以上数据来看，2021年对新Web3安全公司的投资增加了10倍以上，在一定程度上反映了安全对整个行业的必要性。
Web3的成功取决于创新模式，特别是解决不同应用架构带来的新安全挑战。在Web3中，分散应用程序或daps的建立不依赖于传统的应用逻辑和数据层；在Web3时代，区块链、网络节点和智能管理分散互联网的逻辑和状态。
从用户的角度来看，仍然需要访问连接到这些节点的前端来交互和更新数据。一个场景是发布新内容或购买NFT。这种用户行为需要用私钥签署交易，通常用钱包管理，以保护用户的控制和隐私。区块链上的交易完全透明，可以公开访问，不能改变。
Web3通常不需要像Web2.0那样授权和验证行为，但问题是很难通过系统更新和升级来解决传统的安全问题。（例如，以下是兔子发布的勒索软件标本，Wanacry，很多人看到它会哭。但通过Windows的更新，这种情况可以在一定程度上预防）
用户

用户
我们继续说：Web3用户可以通过当前模式保持身份控制和数据所有权，但也存在一些问题：例如，在攻击或关键妥协中，没有中介机构为小白提供追索权（例如，Web2.0供应商将帮助用户恢复被盗资金或重置密码）
Web3钱包，Web3钱包仍然有机会泄露敏感信息；软件件，总有一些漏洞和缺陷。
因此，Web3的成功取决于如何在安全层面进行创新，从而解决不同应用架构带来的新安全挑战。
现状
追求个人所有权和数据主权也会导致各种安全问题（由于个人对安全知识的理解和熟悉程度的差异），但这些安全问题不应成为阻碍Web3发展的势头。
让我们回顾一下历史:Web1.0和Web2.0的相似之处。SSL/TLS的初始版本存在严重漏洞。早期的安全工具通常是初级的，随着时间的推移会进一步优化。从某种角度来看，Web3安全公司和项目，如certik、Forta、Slithe和Securify，相当于代码扫描和应用安全测试工具，最初是为Web1.0和Web2.0应用程序开发的。
然而，在Web2.0中，安全模型的一个非常重要的部分是关于响应的。在Web3中，一旦交易实施，就无法改变。因此，安全思维通常需要建立机制来验证交易是否应该具备安全条件，然后进行，即安全必须在预防方面做得更好。
Web3社区必须考虑如何规划技术，解决系统性弱点，预防和组织新的攻击载体，包括加密原始问题和智能合同漏洞。
预防Web3安全模式有四个方向。
四个方向
真实来源的漏洞数据(Source-of-truthdaforabilities)
对于已知的Web3(项目)漏洞和弱点，有一个真正的来源。今天，官方漏洞数据库为漏洞管理项目提供了核心数据。
Web3需要分散的数据对应工作来消除信息不对称。目前，SWCRegistry、Rekt、Smartcontackvectors、Defithreatmatrix等不完整的信息分散在SWCRegistry、Rekt、Smartcontackvectors、Defithreatmatrix等。Immunefi运行的bug赏金计划是为了更好地发现新的弱点。
标准安全决策(Securitydecision-makingnorms)
在Web3中，关键的安全设计选择和事件决策模型仍在探索中。分散意味着没有人能对这些问题负全部责任，这可能会对用户产生巨大的影响。例如，最近的Log4j漏洞是对分散社区安全问题的警告。
Log4j漏洞是什么？
去年12月，Java开源工具log4j2突然暴露了远程代码执行漏洞(恶意人员可以利用漏洞在受影响的系统上安装恶意软件)。log4j2是Java开源日志组件工具，广泛应用于谷歌、微软、亚马逊等世界知名组织和企业。
Log4j2由非营利组织Apache软件基金会的志愿者维护。
因此，有必要进一步澄清DAO、Alchemy、Infura和其他Web3基础设施提供商，以及如何与其他相关部门合作，以处理紧急安全问题。但是，建立OpenSSF和CNCF咨询团队可以参考大型开源社区，建立处理安全问题的经验。

认证签名(Authenticationing)
目前，市场上大多数daps中的许多人都没有认证或签署apirespones。这意味着，当用户的钱包从这些dapp中搜索数据时，有风险验证respones是否来自预期的真实性，而不是伪造），以及数据是否被篡改。
在没有基本安全常规的世界里，用户很难确认自己的安全状况和可信度，确实需要更好的方法来提醒用户风险。
更好的密钥管理体验(easier，user-controledeymagement)
密钥管理是用户在web3范式下交易的基础。密钥也很难管理。许多加密业务已经开展，并将继续关注密钥管理。
私钥管理的复杂性和风险也是用户选择托管钱包而不是非托管钱包的主要原因之一。然而，使用托管钱包会导致新的现象：新的中介产品，如coinbase，不利于web3完全分散的方向和理想；在一定程度上，它还将限制用户使用web3提供的所有优势进一步的安全创新将为用户提供更好的可用性，以保护非托管场景的用户体验。
值得注意的是，前两项措施（真实来源的漏洞数据和标准化的安全决策）更注重人员和流程，而第三项和第四项则需要新的技术变革。Web3安全的困难之一是与大量用户同步新技术和新流程。
然而，有一点非常令人鼓舞：Web3的安全创新是在开放开源的环境中进行的，创造性的解决方案将在这样的场景中产生。
免责声明：作为区块链信息平台，本网站提供的信息并不代表任何投资暗示。

转载请注明：比特币区块链时代 » Web3安全的思考和方向该如何探索