Web3.0 的时代已经到来,其去中心化的特殊性使其有着独特的安全能力,然而许多在Web2.0时期的安全问题依旧困扰着Web3.0。同时,这两种技术之间的差异也会产生新的安全风险并凸显其他问题。在以下的内容中,我们将围绕Web3.0和Web2.0在挑战和机遇上的差异,浅谈如何关注新时代的信息安全。
在互联网诞生至今,已经经历了多个发展阶段,最初的 Web(Web 1.0)是由静态页面组成的,Web 2.0 添加了动态和交互式网页以及由用户生成的内容,也就成为了我们今天所熟悉的互联网。一个在中心化机构掌控下提供服务来交换个人数据的网络。中心化网络已经帮助数十亿人融入了互联网,并在其上创建了稳定、可靠的基础设施。与此同时,少数中心化巨头几乎垄断了互联网,甚至可以为所欲为。
近年来Web3.0的大热似乎预示着Web 3.0将成为互联网发展的下一个阶段。Web3 指的是在区块链上运行的去中心化应用。不同于科技巨头垄断的传统互联网,Web3 采用去中心化,由所有用户构建、运营和拥有,将权力赋予个人而非公司,任何用户都可以参与这些应用,不用担心个人数据被出卖。
01.
Web3.0的特点?
Web3 是去中心化的:大部分互联网不是由中心化实体控制和拥有的,而是由构建者和用户分配所有权。去中心化的核心优势是,能够通过运用数据加密、时间戳、分布式共识和经济激励等手段,在节点无需互相信任的分布式系统中实现基于去中心化信用的点对点交易、协调与协作,从而解决中心化机构普遍存在的高成本、低效率和数据存储不安全等问题。
Web3 是无需许可的:Web3 允许你使用以太坊地址和以太坊域名服务配置文件控制你的数字身份,不受其他人控制,因此每个人都有参与 Web3 的平等权限。
Web3 具有原生支付功能:它使用加密货币进行线上消费和汇款,而不是依赖传统银行或第三方支付机构过时的中心化基础设施。
Web3 是无需信任的:它通过激励措施、经济机制和智能合约运转,而不是依赖受信任的第三方。智能合约的特点是规则和交易数据公开透明,不存在任何虚假或者隐藏交易,从而建立了公平公正的游戏规则,并在一定程度上赋能了区块链技术“公开透明,不可篡改”的特性。签订智能合约的各方不需要相互了解或信任,也无需中心化的机构作为中间人,而智能合约一旦被部署,将无法被更改或停止,从而保证了交易双方的利益。
即使Web3.0在去中心化方面有着诸多好处,但也不是完美的,许多在Web2.0时期的安全问题依旧困扰着Web3.0。同时,这两种技术之间的差异也会产生新的安全风险。在Web3.0真正成为新一代的互联网之前,我们需要对这些安全问题进行思考并加以解决。
02.
Web3和Web2的安全差异
修复与预防
在 Web 2.0 和传统 IT 中,很大一部分 IT 安全工作是响应式的。如果在生产应用程序中发现漏洞,通常会部署补丁来修复该问题。如果服务器上的数据或服务被破坏,可以用回滚的方式进行修复。
在 Web3.0上,数据存储在区块链的账本上。由于区块链的记录不能被篡改的特性,攻击一旦发生,将无法挽回造成的损失,Web3.0时代需要更加关注预防阶段,而不是像过去一样主要关注检测和响应。这意味着在Web3.0时代,安全思路将由事后补救转换为事前预防。
身份管理
在 Web 2.0 中,用户是以实名身份使用各种应用和服务的,虽然欺诈和泄露用户数据等问题无法避免,但不可否认的是,实名制在遏制各种威胁行为上颇有成效。
但在 Web3.0 这样的基于区块链的系统中,用户则是完全匿名的,用户由他们的公钥和区块链地址来识别身份。从安全角度来看,在 Web3.0 中需要考虑密钥管理和密钥安全,弱用户身份验证使攻击后更容易逃逸,并更难以识别攻击者的身份。
系统中心化
中心化是Web2时期应用和服务的典型特征,主要的科技公司控制着绝大多数的 Web 流量和基础设施。虽然数据以中心化存放在公司的基础设施里,可能存在隐私和滥用等问题,但也意味着这些组织拥有自己的安全防护手段,并且可以投入大量资源来保护其基础设施。
去中心化是 Web3.0 的主要宗旨;然而,权力下放有安全隐患。通过去中心化,将没有人能单独决定系统的安全性,决策也是分布式的。共识治理通常需要漫长的过程,去中心化系统无法强制节点安装安全更新,去中心化治理方案也可能成为攻击的目标。
支付
网络犯罪通常是出于利益动机。许多最常见的攻击(例如勒索)能够带来金钱上的回报。一般来说,在 Web 2.0 上窃取资金涉及窃取有价值的数据(支付卡信息、可用于欺诈的数据等)并以黑灰产等方式转化成利润。
在 Web 3.0 中,金钱以加密货币的形式存在。这使得网络犯罪分子更容易将他们的攻击转化为金钱,迄今为止造成超过 260 亿美元损失的 DeFi 黑客攻击证明了这一点,这使得金融攻击和安全性变得更加重要。
透明度与安全性
Kerckhoffs 原则指出,任何系统都不应该通过被动防守来保障安全,开发者不能寄希望于黑客无法发现那些漏洞。但这种做法在 Web 2.0 中很常见。尽管不是最优解,但它确实有好处,被封装和加固的代码不太可能被发现和利用其漏洞。
在 Web 3.0 中,隐蔽性不复存在。GitHub上很多项目都是开源的,没有开源的项目都有可以从区块链上下载反编译的源代码。这增加了发现和利用漏洞的可能性,因此需要在将代码部署到区块链之前找到并修复漏洞。
网络安全是一个不断发展的过程,是一场攻击和防御的军备竞赛。从这个角度上说,Web3.0 安全不仅是 Web3.0 生态系统的先决条件,而且是一个需要持续关注的问题——要求开发者随着时间的推移进行更新维护,而非一蹴而就。
文章作者:王 锐
排版设计:王蔚棋
手绘插画:岳 媛
在看不好意思,那就点个赞吧
原创文章,作者:EBCloud,如若转载,请注明出处:https://www.sudun.com/ask/33079.html
