UnusualCapital參投了Ebay、Instagram、Dropbox等項目;WeiLienDang是UnusualCapital的合伙人,也是云原生安全公司StackRox的聯合創始人的聯合創始人,他從投資和創業的角度,對Web3安全領域提出了一些思考,筆者給Wei的文章進行了一些注釋,供大家共同探討和思考。一組數據
先來看一組數據:根據Crunchbase的數據,2021年,在該加密安全領域投資的風投資金已經超過10億美元。注意,這個數字在2020年,風險投資總額還不到1億美元。
圖片來源:Crunchbase隨著加密市場的火熱,投資者已經開始關注安全性和合規性功能。互聯網安全的演化
在Web1.0和Web2.0中,互聯網安全隨著應用架構的演化而改變,以協助全新的互聯網經濟模式的構建;在Web1.0時代,安全套接字協議是由網景公司開創的,逐步為用戶瀏覽器和這些服務器之間提供安全通信。Web2.0時代如谷歌、微軟、亞馬遜這些大廠,和證書機構,在推動傳輸層安全方面發揮了核心作用,從某個角度來看,TLS是SSL的演化。什么是SSL?1994年,Netscape公司開發了SSL,起初它被設想為一個系統:主要是為了確保網絡上客戶端和服務器系統之間的安全通信。漸漸地,IETF采用了該協議并將其標準化。啥是IETF?互聯網工程任務組,成立于1985年底,是一個由為互聯網技術工程及發展做出貢獻的專家自發參與和管理的國際民間機構,也是全球互聯網的技術標準化組織,主要任務是負責互聯網相關技術規范的研發和制定,當前絕大多數國際互聯網技術標準出自IETF。什么是TSL?TLS是安全傳輸層協議,繼承了SSL3.0的特性,于1999年發布;我們繼續講:從上面的數據看,2021年,對新的Web3安全公司的投資增加了10倍以上,一定程度上體現了安全對整個行業的必要性。Web3的成功取決于創新的模式,特別是要解決不同應用架構所帶來的全新的安全挑戰。在Web3中,去中心化的應用程序或"dApps"的建立,并不依賴于Web2.0中存在的傳統應用邏輯和數據層;在Web3時代,是由區塊鏈、網絡節點和智能合約的模式,管理去中心化互聯網的邏輯和狀態。從用戶的角度來說,仍然需要通過訪問某個連接到這些節點的前端,從而進行交互,更新數據,一個場景就是:發布新內容或進行購買NFT等類似行為。這類用戶行為,都需要使用私鑰簽署交易,私鑰通常用錢包來管理,這種模式是為了保護用戶的控制權和隱私。區塊鏈上的交易是完全透明的,可以公開訪問,并且是不可改變的。Web3通常不需要像Web2.0那樣要求行為被授權、驗證,但帶來的問題就是,通過進行系統更新升級,來解決安全問題的傳統途徑就比較困難。
Coinbase首席法務官:就關于PEPE的不當言論向社區道歉:5月12日消息,加密交易所Coinbase首席法務官Paul Grewal在推特發文稱:“我們搞砸了關于PEPE的報道,我們很抱歉”。他表示,昨天該公司分享了有關PEPE的介紹,但沒有準確反映出事實全貌,措辭不當,向社區道歉。
此前推特用戶borovik.eth表示,其收到了Coinbase最新客戶郵件,郵件中稱PEPE的青蛙符號源自網絡模因,在互聯網上以“種族主義”的方式流傳,這在推特上引發激烈討論,“deletecoinbase”標簽在周四凌晨成為推特上的熱門話題。市場數據顯示,PEPE在過去24小時內下跌了超過21%,Coinbase股票下跌超過4%。[2023/5/12 14:58:20]
央行數研所公布兩項關于區塊鏈共識、數字貨幣支付的新專利:10月13日消息,中國人民銀行數字貨幣研究所的兩項專利近日公布,一是區塊鏈共識方法及裝置。該專利于2022年5月20日由清華大學和數研所聯合申請。發明人包括數研所所長穆長春、副所長狄剛等在內。該發明可有效提升共識效率和交易吞吐量。二是一種數字貨幣的流轉方法及系統。該專利于2022年6月10日由數研所和上海古鰲電子科技股份有限公司聯合申請。本申請對應的數字貨幣發行及流轉采用無差別的各地就近部署的方式,便于通過動態擴容來支持大規模并行處理數字貨幣的支付。[2022/10/13 14:26:40]
我們繼續說:Web3用戶可以通過目前模式,保持對自己身份的控制和數據的所有權,但是同樣也存在一定的問題:例如,不存在中介機構,在發生攻擊或關鍵妥協時,為小白用戶提供追索權就這種層面而言,Web3錢包仍然有機會泄露敏感信息;軟件就是軟件,總會存在一定的漏洞和缺陷。所以,Web3的成功取決于如何在安全層面創新,從而解決不同應用架構所帶來的新的安全挑戰。現狀
IEX發布關于支持基于EOS協議USDT的公告:IEX現已上線基于EOS網絡的USDT充值服務,提現服務開放將另行公告。IEX目前已支持USDT-ERC20、USDT-Omni、USDT-TRC20(USDT-TRON)和USDT-EOS四種形式。詳情請查看原文[2020/9/5]
對于個人所有權和數據主權的追求,也會引起了各類安全問題,但這些安全問題,不應該成為阻礙Web3的發展勢頭。我們回顧一下歷史:Web1.0和Web2.0的相似之處。最初版本的SSL/TLS存在嚴重的漏洞。早期的安全工具通常是初級的,隨著時間的推移會進一步優化。從某個角度來看,Web3安全公司和項目,如Certik、Forta、Slithe和Securify,相當于最初為Web1.0和Web2.0應用開發的代碼掃描和應用安全測試工具。然而,在Web2.0中,安全模型的很重要的一部分是關于響應。在Web3中,交易一旦執行就無法改變,因此,安全的思路通常是,需要建立機制來驗證交易是否應該具備安全的條件,繼而進行,也就是說,安全必須在預防方面做得更好。Web3社區必須要思考,如何從技術上進行規劃,解決系統性的弱點,預防并組織新的攻擊載體,這些攻擊載體的目標,包括加密原生的問題和智能合約的漏洞等等。以下有四個方向,可以推動Web3安全模式的預防。四個方向
火幣全球專業站關于恢復NAS提幣業務的公告:火幣全球專業站現已恢復NAS提幣業務。目前不支持提幣到合約地址,當您在地址欄里填寫了合約地址進行提幣操作時,會提示無效地址。暫停期間造成的不便,敬請諒解。[2018/5/24]
真實來源的漏洞數據對于已知Web3漏洞和弱點,需要有一個真實的來源。今天,已經有官方漏洞數據庫為漏洞管理項目提供了核心數據。Web3需要去中心化的數據對應工作,消除信息不對稱。目前,不完整的信息,分散在像SWCRegistry、Rekt、SmartContractAttackVectors和DeFiThreatMatrix,Immunefi運行的Bug賞金計劃就是為了更好地找到新的弱點。規范的安全決策Web3中,關鍵安全設計選擇,和事件的決策模型目前還在探索中。去中心化意味著沒有人能為這些問題負全部的責任,而這對用戶的影響可能是巨大的。比如說,最近的Log4j漏洞,就是將安全問題留給去中心化的社區的一個警醒。Log4j漏洞是個什么事情?Java開源工具log4j2在去年12月,突然暴露了遠程代碼執行漏洞事件。Log4j2是一個應用于Java的開源日志組件工具,被很多包括谷歌、微軟、亞馬遜等等世界大廠、知名組織和企業廣泛用于業務系統。Log4j2由非營利組織Apache軟件基金會的志愿者維護。因此,需要進一步明確DAO、安全專家、諸如Alchemy和Infura等Web3基礎設施提供商,和其他相關部門,到底如何合作,從而處理突發的安全問題。不過,可以參考大型開源社區組建OpenSSF和CNCF咨詢小組,建立處理安全問題流程的經驗。認證和簽名目前市面上的多數dApps,很多都沒有認證或對APIrespones的簽名。這意味著,當用戶的錢包從這些DApp中檢索數據時,在驗證這種respones是否來自預期的應用程序,以及數據是被篡改方面存在著風險。在一個Dapp沒有采用基本安全常規的最優途徑的世界里,只能由用戶自己,來確認它們的安全狀況和可信度,這非常的難,確實需要有更好的方法來向用戶提示風險。更佳的密鑰管理體驗密鑰管理,是用戶在Web3范式中進行交易的基礎。密鑰也是出了名的難以管理,很多加密業務已經并將繼續圍繞著密鑰管理而進行。管理私鑰的復雜性和風險,也是促使用戶選擇托管錢包而不是非托管錢包的主要原因之一。不過,使用托管錢包會導致新的現象:導致新的"中介化產物"產生,如Coinbase,這樣就會不利于Web3的完全去中心化的方向和理想;從一定程度也會限制了用戶利用Web3所提供的所有優勢的能力。理想情況下,進一步的安全創新將可以為用戶提供更好的可用性保護非托管場景用戶體驗。值得注意的是,前兩項舉措更多的是圍繞著人和流程,而第三和第四項舉措則需要新的技術變革。讓新技術、全新的流程和大量的用戶保持同步,是Web3安全的難點之一。不過,有一點還是很鼓舞大家的:Web3安全創新是在公開、開源的環境下進行的,創造性的解決方案會在這樣的場景產生。*本文不構成任何投資上的建議。*參考資料:1.https://techcrunch.com/2022/01/31/success-of-web3-hinges-on-remedying-its-security-challenges/2.https://news.crunchbase.com/news/crypto-security-startups-vc-investment/3.新智元-2021-12-27Log4j2漏洞鬧大了4.https://www.globalsign.com/en/blog/ssl-vs-tls-difference
日本警察廳和Bic Camera合作,簽訂關于對非法使用虛擬貨幣解決方案的協議:日本警察廳和日本屈指可數的大型綜合購物中心Bic Camera等簽訂協議,在客戶的虛擬貨幣非法使用等網絡犯罪發生時共享信息。據警察廳介紹,這是首次與用虛擬貨幣作為結算方式的商家合作進行合作。KOJIMA、Sofmap公司也參與了協議。除了虛擬貨幣以外,公司方面掌握了非法訪問導致的會員積分的擅自使用等可疑交易的情況下,也將向警察廳舉報。該廳為了防止損失擴大,除調查外,還就安全問題提供咨詢意見。Bic Camera公司川村仁志副社長指出,由于支付手段多樣化導致非法使用的風險增加,并表示“為減少犯罪,我將促進與警察局的信息共享”。[2018/2/6]
反饋和迭代是任何新技術或產品中最重要的兩個組成部分。創造一些東西給別人使用,然后傾聽意見,改進產品,無限重復。加密生態系統已經經歷了許多這樣的反饋循環,才達到今天的成績.
1900/1/1 0:00:00不出意外,美聯儲預計將在3月17日發布利率決議,上調聯邦基準利率成為大概率事件。除了2月美國CPI的高企外,俄羅斯與烏克蘭的沖突也推高了能源、糧食等大宗商品的價格,加劇了通脹水平,全球金融市場都.
1900/1/1 0:00:00要點:機構投資者終于開始推動加密貨幣的進一步增長。最近的報告顯示,70-80%的人計劃在短期內進行分配投資組合。上一個周期錯過的投資急需的基礎設施和入口現在有了.
1900/1/1 0:00:00Odaily星球日報譯者|胡蘿卜須貝恩資本(BainCapitalVentures,簡稱BCV)周二宣布專門成立一個新的加密團隊——貝恩資本加密基金,由一支5.6億美元的基金支持.
1900/1/1 0:00:00撰文:Karen「下注賽道比下注賽手更重要」,這對紅杉資本和其創始人DonValentine投資風格的精辟總結.
1900/1/1 0:00:00本期重點: 大家是從什么時候開始相信Web3的?Web3最令人期待的東西是什么?在實現Web3的道路上最大的阻礙是什么?Web2公司想轉型Web3需要改變什么?如何從Web3的視角看待Web2存.
1900/1/1 0:00:00