Можливості безпеки Web3 і уроки, які ми повинні винести з Web2

Ознайомтеся з усіма сесіями на замовлення саміту Intelligent Security Summit тут.


Незважаючи на те, що значна частина початкового ажіотажу навколо криптоекономіки була пов’язана з використанням нею технології блокчейн, все більше людей за останні кілька років (особливо після буму децентралізованих фінансів у 2020 році) почали усвідомлювати, що триваюча революція Web3 є значною ширше, ніж базова технологія.

Іншими словами, Web3 представляє абсолютно нову парадигму всесвітньої павутини (Web2), яка базується не лише на духі децентралізації та спільного володіння даними, але й на прозорості.

Однак, як і будь-яка інша технологія, Web3 також має свої проблеми. Оскільки за останні кілька років цей сектор зріс, зросла кількість зловмисників і хакерів. Оскільки ці люди фінансово стимулюються для здійснення своїх мерзенних схем, вони можуть незаконно отримати мільйони доларів за допомогою одного експлойту, що є абсолютно нечуваним у світі традиційних систем Web2.

Щоб уточнити, хоча сьогодні на ринку Web3 є кілька добре налагоджених систем безпеки/конфіденційності (таких як безпечна бібліотека контрактів OpenZeppelin, винагорода за помилки Immunefi, маркер шахрайства Peckshield і захист від фішингових сайтів), він продовжує стикатися зі зростаючою кількістю хаків, здається, щомісяця. Наприклад, раніше в жовтні з мосту BSC Token Hub Binance було вичерпано понад 500 мільйонів доларів після того, як хакерам вдалося підробити штучні докази виведення коштів. Подібним чином, на початку цього року зламали міст Роніна Axie Infinity на 650 мільйонів доларів.

Подія

Intelligent Security Summit On-Demand

Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Дивіться сеанси за запитом сьогодні.

Дивіться тут

Як Web3 може стати безпечнішим?

Відразу ж варто зазначити, що жодне чарівне рішення не може зробити системи Web2 і Web3 повністю герметичними. Однак ми можемо застосувати багаторівневий комплексний підхід до безпеки, щоб мінімізувати ризик, включаючи моніторинг і реагування на інциденти.

У цьому відношенні децентралізовані мережі виявлення загроз у режимі реального часу, здатні підвищити безпеку платформ Web3 — і водночас забезпечувати моніторинг активності блокчейну — можуть бути дуже корисними. Крім того, може бути корисно включити такі функції, як стимулювання спільноти, оскільки вони дозволяють учасникам цих платформ формувати майбутнє мережі та володіти цінністю, яку вони створюють.

Тим не менш, аналіз подібностей і відмінностей між Web2 і Web3 може відкрити великі можливості для зміцнення та інновацій у безпеці Web3. Отже, без зайвих слів, перейдемо безпосередньо до суті справи.

Подивіться на схожість між Web3 і Web2

Багато хто стверджує, що блокчейн-транзакції мають високий ступінь атомарності; однак, коли справа доходить до систем Web2, хакери повинні пройти через цілу низку складних кроків, щоб полегшити свої незаконні дії. По суті, атомарність означає ідею, що одна транзакція містить багато різних дій, усі з яких мають бути правильними, щоб бути прийнятими. Іншими словами, якщо будь-яка окрема частина транзакції є неправильною або конфліктною, вся транзакція буде невдалою.

Тим не менш, коли мова заходить про платформи Web3, зловмисники все одно повинні виконувати кілька етапів дій, включаючи фінансування, підготовку, використання та, нарешті, відмивання коштів, отриманих незаконним шляхом. Але кожен із цих кроків дозволяє постачальникам послуг безпеки відстежувати, запобігати й пом’якшувати потенційні атаки.

Ще однією ключовою подібністю між Web2 і Web3 є елемент соціально спровокованих атак. Оскільки цифрова інфраструктура, що лежить в основі Web3, все ще відстає від централізованої аналогії, потрібні кращі рішення, щоб ускладнити атаки соціальної інженерії в Web3.

Відмінності

Під час обговорення технологій Web2 проблема «дисбалансу зловмисника/захисника» завжди є важливою, оскільки зловмиснику потрібно мати рацію лише один раз, тоді як захисникам безпеки потрібно мати рацію постійно. Однак із розподіленим налаштуванням систем Web3 ситуація змінюється: у той час як зловмиснику потрібно мати рацію лише один раз, лише один із багатьох тисяч захисників має мати рацію принаймні один раз.

Крім того, дані, що містяться в блокчейнах, доступні для всіх учасників мережі — на відміну від того, як працюють системи Web2, оскільки лише вибрані фрагменти інформації оприлюднюються, особливо з точки зору безпеки. Завдяки розподіленій природі Web3 потенціал сприяння інноваціям ширшого дослідницького співтовариства безпеки (через використання різноманітних підходів) набагато більший.

Інша явна відмінність полягає в тому, що коли мова йде про Web3, оцінити збитки легше, оскільки всі транзакції зловмисника доступні в загальнодоступній книзі. У результаті можна розробити чудові моделі кількісної оцінки ризику, здатні забезпечити надійне кіберстрахування та стратегії зменшення ризиків протоколу.

Нарешті, атаки у сфері Web3 мають певну остаточність завдяки незмінній природі блокчейну. Однак, коли справа доходить до Web2, ситуація набагато сіріша, оскільки викрадені дані (наприклад, особисті облікові дані) можуть призвести до подальших неперевірених втрат. Таким чином, у Web3 це, ймовірно, призведе до нових стратегій пом’якшення наслідків і дасть початок прийняттю кіберстрахування в найближчій або середньостроковій перспективі.

Що чекає попереду екосистему Web3?

Як, мабуть, уже стало очевидним, технологічна парадигма Web3 має повністю революціонізувати те, як люди в усьому світі працюють щодня; однак, у той же час, він також стикається з кількома проблемами. З огляду на це, останніми роками зростає кількість кваліфікованих розробників, які увійшли в цю нішу, що швидко розвивається, допомагаючи впроваджувати інновації та вирішувати багато нагальних проблем безпеки, з якими стикаються сьогодні користувачі Web3.

Крістіан Зайферт — дослідник безпеки у спільноті Forta, який раніше 14 років працював у сфері веб-безпеки в Microsoft.

DataDecisionMakers

Ласкаво просимо до спільноти VentureBeat!

DataDecisionMakers — це місце, де експерти, включно з технічними спеціалістами, які працюють з даними, можуть ділитися інформацією та інноваціями, пов’язаними з даними.

Якщо ви хочете прочитати про передові ідеї та актуальну інформацію, найкращі практики та майбутнє даних і технологій обробки даних, приєднуйтесь до нас у DataDecisionMakers.

Ви навіть можете подумати про те, щоб написати власну статтю!

Докладніше від DataDecisionMakers

Leave a Comment