Web3 和區塊鏈的世界是否像聽起來那樣令人生畏?拜登競選活動的首席事件響應官、前英特爾事件響應總監 Jackie Singh 採訪了 Web3 安全從業人員,以了解他們對保護 Web3 技術的挑戰和機遇的看法。

原文:3 infosec pros demystify Web3 security(README_)

作者:Jackie Singh

編譯:黑米

封面: Photo by Marek Piwnicki on Unsplash

去年 12 月,當我在 STOP 公司的合夥人 Jason 意外收到加入 NFT 市場初創公司擔任高級軟件工程師的邀請時,我一開始很緊張。

決定在一個新行業從事可能不穩定的工作似乎令人生畏,尤其是作為一個有小孩的家庭。

儘管最近加密貨幣市場出現了波動,但我的擔憂隨著時間的推移而消失。Jason 的職業生涯轉向 Web3,也讓我更加了解了他的工作,包括所有用戶的無許可使用、通過 Github 設計開源代碼、與第三方開發者公開合作以及與 NFT 藝術家建立合作夥伴關係。與他之前在傳統金融領域的工作相比,這是一個令人耳目一新的變化!

實話說,我知道 Web3 社區具有強大的凝聚力,但作為一名信息安全專業人士,我也對廣泛的詐騙、“技術解決方案主義” 的風險以及阻礙 Web3 崛起的大規模違法行為存有疑問。

“許多 Web3 開發人員在他們的開發過程中優先考慮安全性,以防止漏洞,這很好,但還有更多工作要做,” 網絡安全公司 Mandiant 的高級主管 Robert Wallace 在一份自述文件中寫道,“預防是前提,但檢測和審計也是必要的。很高興看到更多關於 Web3 中的威脅檢測和響應方面的研究。”

多年來,Wallace 與他的顧問團隊一起應對了多家 Web3 公司的安全事件。他指出,利用智能合約的黑客已經帶來了迄今為止最大的一些有關 “DeFi” 的黑客攻擊。

“另一個挑戰是對 Web3 開發人員的攻擊,這些開發人員可能沒有安全團隊時刻監視系統,”Wallace 說,“這可能會引發密鑰被盜,導致 Web3 公司甚至是中心化交易所發生巨額盜竊。”

我邀請了三位在 Web3 安全方面有經驗的專家分享他們的一些見解,並解讀他們的日常工作。

Miles Nolan 是網絡安全公司 Kudelski Security 的高級區塊鏈安全分析師,該公司目前也將區塊鏈包含在業務範圍內。

您和您的團隊在 Kudelski Security 做什麼?

Miles:

我在 Kudelski 的應用程序安全團隊中擔任區塊鏈安全分析師。我們主要審計 Web3 應用程序和智能合約代碼的漏洞。我個人從事智能合約審計/審查工作。

您是如何開始使用 Web3 的?

Miles:

我在大學三年級時產生了興趣。我獲得了「管理信息系統」學位。那是在 2017 年,比特幣出現了瘋狂的 “牛市”,DeFi 開始小範圍出現。我對技術和金融的熱情加上瘋狂地炒作讓我跳入了這個領域,並吸收了我能學到的任何知識。

對你來說,每天的工作是怎樣的?

Miles:

我是該領域大多數人所說的 “智能合約審計員”。我大部分時間都在審查智能合約代碼中的漏洞。在一個典型的工作日,我會在一天的第一個小時裡審查/編寫與我正在審計的項目無關的代碼,這有助於我熱身。我將在接下來的一個小時裡查看與我正在使用的區塊鏈相關的文檔。Web3 中的事情每天都在變化,所以我必須保持了解。在一天的剩餘時間裡,我會一直審查智能合約代碼中的各種錯誤。

您在該領域面臨哪些挑戰?

Miles: 

Web3 的發展速度非常快,當我第一次加入時,感覺就像我一直在追趕。

區塊鍊或其他 Web3 技術是否提供了任何特定的技術能力,使信息安全任務更容易或更困難?

Miles:

雖然有很多優點需要強調,但我必須指出一個痛點。區塊鏈引入了一個競爭環境,攻擊者實際上可以通過執行漏洞來獲利。在 Web2 世界中,攻擊者可以關閉一項主要服務、竊取一些數據、出售惡意軟件/0-days 等,雖然這可能是有利可圖,並且會給其他方造成資金損失,但不值得花時間和冒險實施這些類型的惡意行為。但是在 Web3 世界中,攻擊者可以從一個漏洞中竊取 3 億美元以上的資金。所以分佈式賬本技術固有地為安全專業人員帶來了這些新的風險來應對。

Katelyn Perna 是 BlockFi 的安全戰略和數字資產託管副總裁,BlockFi 是一家總部位於美國的加密貨幣交易平台,提供包括貸款和加密信用卡在內的各種金融產品。

您能給我們介紹一下您目前的角色嗎?

Katelyn:

作為 BlockFi 的安全戰略和數字資產託管副總裁,我負責構建我們的安全計劃。

安全戰略和數字資產託管團隊主要負責確保 BlockFi 原生加密技術的安全性。團隊擁有非常獨特和專業的技能人才組合,涵蓋網絡安全、區塊鏈技術、加密貨幣安全和託管,涵蓋了幾乎所有的數字資產。我們專注於加密貨幣安全、密碼學、密鑰管理、鏈上協議和 Web3 安全。

你的團隊關注什麼?

Katelyn:

一直以來,我的日常工作主要集中在加密貨幣方面,可以是分析資產和各種鏈上協議,構建資產存儲、託管和密鑰管理的技術和解決方案,分析智能合約漏洞。

你是如何開始使用 Web3 的?是什麼引起了你的興趣?

Katelyn:

在 Web3/區塊鏈之前,我的背景是傳統的網絡安全。我第一次了解加密貨幣是在 2016 年,很快就被迷住了。當時我在為大型科技和銀行公司從事網絡工作,我很快意識到傳統金融服務方面需要改進。

我看到了區塊鏈技術和加密貨幣在科技和銀行業方面的巨大潛力,可以讓社會通過更少的第三方中介來管理他們自己的數據和資金,我想成為其中的一員。然而,建立新的資金、平台和文化並不容易,更何況很難安全、可靠地做到這一點。當我們專注於將權力和控制權交到用戶手中時,我最感興趣的是各種可能性以及不同的 “社會面貌”。我告訴自己,我將在接下來的 5 年裡從事區塊鏈/加密貨幣領域的工作,然後看看情況如何。

你在該領域面臨哪些挑戰?

Katelyn:

其中一個挑戰是這是一項完全新興的技術。區塊鍊和加密貨幣出現的時間並不長,想想管理數十億美元的資金會給這些公司的安全帶來巨大的責任。

總的來說,我認為技術人才,尤其是安全方面的人才目前在 Web3 領域很稀缺。

進一步的挑戰包括:

  • 用戶和機構在 Web3 領域普遍缺乏教育和意識,造成了技術和安全方面的巨大知識差距。
  • 確保管理數十億美元所需的真正安全。沒有捷徑。安全性可能因資產和底層協議而異。這需要進行嚴格的調查和盡職的審查。
  • 區塊鏈互操作性和安全性具有挑戰性,尤其是在智能合約邏輯和密鑰管理方面。以可擴展的方式管理節點和保護節點也是一項重大挑戰。

區塊鍊或其他 Web3 技術是否提供了任何特定的技術能力,使信息安全更容易或更困難?

Katelyn:

從 Web2 到 Web3 的轉變帶來了圍繞安全、隱私的思維方式的巨大轉變。

在 Web2,我們要讓某人(銀行、技術等)為我們做所有事情——我們所需要管理的只是一個密碼,也許還有 2FA。

Web3 並非如此。如果你不知道自己在 Web2 中做什麼,Web3 會更糟。自己管理自己的資產和數據,即成為自己的 “銀行”,聽起來不錯(而且確實如此),但你必須學會這些工作:必須了解如何管理錢包、私鑰,並且必須考慮安全性。

對於 CeFi 或機構,這個工作需要提高 10 倍!(CeFi,即中心化金融,旨在通過傳統金融的易用性和安全性提供與 DeFi 類似的收益。)

此外,Web3 生態系統的空投詐騙和有針對性的網絡釣魚行為依然會繼續發展。

你會對不喜歡區塊鏈技術的信息安全專業人士說些什麼?

Katelyn:

區塊鏈技術其實並不是新事物,它只是以不同的方式融合了一些已經存在了幾十年的不同技術。

Web3 支持更多的自主權和去中心化應用程序。這是一件好事。因為任何一家公司都不應該擁有用戶的所有數據或金錢或任何東西。

安全始終是推動因素。

技術可以做很多事情,作為信息安全人員,我們應該盡最大努力確保它可以盡可能安全地被使用。

你會給對 Web3 感興趣的信息安全專業人員提供的最重要的一條建議是什麼?

Katelyn:

永遠不要只從表面上評判任何東西。僅僅因為有人說它是真的,並不能使它成為真的。沒有人知道所有的答案,也沒有人知道所有的一切。挑戰自己和遇到的每一個人。Web3 行業需要信息安全。

Bobby Tonic 是一家數字支付公司的安全工程師。過去,他曾是安全公司 Trail of Bits 的顧問,在那裡他領導了執行複雜安全審計的團隊。

Web3 組織面臨的最大挑戰是什麼?

Bobby:

在擔任現職之前,我與各種各樣的 Web3 組織都有過接觸。我發現他們經常面臨與傳統組織類似的挑戰。在這些挑戰中,了解系統中使用的技術的複雜性以及能夠確保其應用程序設計的正確性是最值得注意的兩個。

對於 Web3 組織而言,未能成功應對這些挑戰可能會產生災難性後果,因為攻擊者通常可以隨時查看其係統和應用程序的源代碼。

因此,Web3 組織開發其應用程序及其基礎架構並將其提交給第三方安全研究公司進行審查已成為一種共識。這樣做可以向客戶承諾,應用程序的設計和實施已經過對抗性測試,並表明該組織對其未來客戶的盡職與負責。

當今 Web3 最需要哪些信息安全研究?

Bobby:

在我看來,對於成熟的 Web3,信息安全最有影響力的研究是測試 Web3 系統和應用程序。我們作為第三方安全人員,代替開發人員關注設計上的安全環節,這樣會節省時間,並加快後續的開發工作。

此外,Web3 通常要求開發人員為被測系統實現樣板,導致他們需要花費時間建立測試系統,而不是用工具實際開發測試。我們在各種各樣的測試技術中看到了這一點,比如模糊化、屬性測試。這些問題極大地勸阻了大多數希望在日常開發工作中使用這些測試技術的開發人員。

並不是開發人員不想使用這些測試技術,或者他們不知道它們的存在,而是在使用它們時存在很多 “摩擦”!

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。