Sowohl im Web 1.0 als auch im Web 2.0 haben sich die Sicherheitsmodelle geändert, um völlig neue Wirtschaften zu erschließen. In Web 1.0 war Netscape das erste Unternehmen, das Secure Sockets Layer (SSL) verwendete, um eine sichere Kommunikation zwischen den Browsern der Benutzer und diesen Servern bereitzustellen. Vertrauenswürdige Web 2.0-Intermediäre wie Google, Microsoft, Amazon und Zertifizierungsstellen spielten eine zentrale Rolle bei der Einführung von Transport Layer Security (TLS), dem Nachfolger von SSL.
Dasselbe wird mit web3 passieren. Dies ist der Hauptgrund, warum man in Web3-Sicherheits-Startups investiert stieg im vergangenen Jahr um mehr als das Zehnfache auf über 10 Milliarde Dollar.
Der Erfolg von web3 hängt von Innovationen ab, um neue Sicherheitsherausforderungen zu lösen, die durch verschiedene Anwendungsarchitekturen entstehen. In web3 werden dezentrale Anwendungen oder "dApps" erstellt, ohne sich auf die traditionelle Anwendungslogik und Datenbankschichten zu verlassen, die in Web 2.0 vorhanden sind; Stattdessen werden eine Blockchain, Netzwerkknoten und Smart Contracts verwendet, um Logik und Status zu verwalten.
Benutzer greifen immer noch auf eine Schnittstelle zu, die mit diesen Knoten verbunden ist, um Daten zu aktualisieren, z. B. neue Inhalte zu posten oder einen Kauf zu tätigen. Diese Aktivitäten erfordern, dass Benutzer Transaktionen mit ihren privaten Schlüsseln signieren, die normalerweise mit einer Brieftasche verwaltet werden, ein Modell, das die Benutzerkontrolle und Privatsphäre wahren soll. Transaktionen auf der Blockchain sind vollständig transparent, öffentlich zugänglich und unveränderlich (d. h. sie können nicht geändert werden).
Wie jedes System hat dieses Design Sicherheitskompromisse. Blockchain erfordert keine vertrauenswürdigen Akteure wie in Web 2.0, aber es ist schwieriger, Aktualisierungen vorzunehmen, um Sicherheitsprobleme zu beheben. Benutzer können die Kontrolle über ihre Identität behalten, aber es gibt keine Mittelsmänner, die im Falle von Schlüsselangriffen oder Kompromittierungen Abhilfe schaffen könnten (z. B. wie Web 2.0-Anbieter gestohlene Gelder zurückgeben oder Passwörter zurücksetzen können). Brieftaschen können immer noch vertrauliche Informationen wie eine Ethereum-Adresse preisgeben – es ist immer noch Software, die niemals perfekt ist.
Diese Zugeständnisse werfen erhebliche Sicherheitsbedenken auf, aber sie sollten den Vorstoß für web3 nicht behindern und werden dies in praktischer Hinsicht wahrscheinlich nicht tun.
Betrachten wir noch einmal die Parallelen zu Web 1.0 und Web 2.0. Die ersten Versionen von SSL/TLS hatten kritische Schwachstellen. Frühe Sicherheitstools waren bestenfalls rudimentär und wurden im Laufe der Zeit robuster. Web3-Sicherheitsunternehmen und -projekte wie Certik, Fort, SchlitternUnd sicher2 Sie sind die Äquivalente der Tools zum Scannen von Code und zum Testen der Anwendungssicherheit, die ursprünglich für Web 1.0- und Web 2.0-Anwendungen entwickelt wurden.
Im Web 2.0 hat jedoch ein wesentlicher Teil des Sicherheitsmodells mit Response zu tun. In web3, wo Transaktionen nach der Ausführung nicht mehr geändert werden können, müssen Mechanismen eingebaut werden, um zu prüfen, ob logisch initiierte Transaktionen stattfinden sollten. Mit anderen Worten, die Sicherheit muss besonders gut in der Prävention sein.
Das bedeutet, dass die Web3-Community den besten Weg finden muss, systemische Schwachstellen technisch zu beheben, um neue Angriffslinien zu verhindern, die auf alle möglichen Varianten abzielen, von Krypto-Primitiven bis hin zu Smart-Contract-Schwachstellen. Parallel dazu gibt es mindestens vier Initiativen, die ein präventives Web3-Sicherheitsmodell vorantreiben würden:
Source of Truth-Daten für Schwachstellen
Es muss eine Quelle der Wahrheit für bekannte Web3-Sicherheitslücken und -Schwächen geben. Heute liefert die National Vulnerability Database die Basisdaten für Vulnerability-Management-Programme.
Web3 braucht ein dezentrales Äquivalent. Im Moment leben unvollständige Informationen verstreut an Orten wie SWC-Registrierung, Rekt, Smart-Contract-Angriffslinien y DeFi-Bedrohungen. Benutzerbelohnungsprogramme für die Erkennung von Fehlern, wie die von Ihnen ausgeführten immun sie sind dazu bestimmt, neue Schwächen hervorzubringen.
Regeln für Sicherheitsentscheidungen
Das Entscheidungsmodell für kritische Sicherheitsdesignoptionen und einzelne Probleme in web3 ist derzeit nicht bekannt. Dezentralisierung bedeutet, dass niemand für Probleme verantwortlich ist, und die Auswirkungen für die Benutzer können erheblich sein. Beispiele wie die jüngste IBM Apache Log4j-Schwachstelle sind Warnungen, die Sicherheit in den Händen einer dezentralisierten Community zu belassen.
Es muss mehr Klarheit darüber herrschen, wie dezentrale autonome Organisationen (DAOs), Sicherheitsexperten und Anbieter mögen Alchimie y Infura und andere zusammenarbeiten, um aufkommende Sicherheitsprobleme zu bewältigen. Es gibt anwendbare Lehren daraus, wie große Open-Source-Communities das geprägt haben OpenSSF, CNCF-Beratungsgruppen und Prozesse zur Behebung von Sicherheitsproblemen.
Authentifizierung und Unterschrift
Die meisten dApps, einschließlich der bekanntesten, heute authentifizieren oder signieren Sie Ihre Antworten nicht über APIs. Das bedeutet, dass, wenn die Brieftasche eines Benutzers Daten von diesen Anwendungen abruft, eine Lücke bei der Überprüfung besteht, dass die Antwort von der beabsichtigten Anwendung kommt und dass die Daten nicht in irgendeiner Weise manipuliert wurden.
In einer Welt, in der Anwendungen keine grundlegenden Best Practices für Sicherheit anwenden, müssen Benutzer ihre Sicherheits- und Zuverlässigkeitslage bestimmen, eine Aufgabe, die praktisch unmöglich ist. Es sollte mindestens bewährte Methoden oder Vorgehensweisen geben, um Benutzern Risiken aufzuzeigen.
Einfachere, benutzergesteuerte Schlüsselverwaltung
Kryptografische Schlüssel unterstützen die Fähigkeit von Benutzern, Transaktionen im web3-Modell durchzuführen. Kryptografische Schlüssel sind auch notorisch schwierig richtig zu verwalten; Ganze Unternehmen entstanden und entstehen rund um das Schlüsselmanagement.
Die Komplexität und das Risiko, die mit der Verwaltung privater Schlüssel verbunden sind, sind die Hauptüberlegung, die Benutzer dazu veranlasst, gehostete Wallets gegenüber nicht verwahrten Wallets zu wählen. Die Verwendung von gehosteten Wallets hat jedoch zwei Implikationen: Sie führen zu neuen „Vermittlern“ wie Coinbase, die vom vollständig dezentralen Konzept von web3 ablenken; und sie schränken die Fähigkeit der Benutzer ein, alle Vorteile von web3 zu nutzen. Im Idealfall bieten weitere Innovationen im Bereich der Sicherheit den Benutzern eine bessere Benutzerfreundlichkeit und Schutzmaßnahmen für Szenarien ohne Freiheitsentzug.
Es ist erwähnenswert, dass sich die ersten beiden Initiativen mehr auf Menschen und Prozesse konzentrieren, während die dritte und vierte Initiative technologische Veränderungen erfordern werden. Neue Technologien, neu entstehende Prozesse und eine große Anzahl von Benutzern machen es schwierig, Aspekte der web3-Sicherheit zu verstehen.
Gleichzeitig ist eine der ermutigendsten Veränderungen, dass Web3-Sicherheitsinnovationen offen stattfinden, und unterschätzen Sie nie, wie dies zu kreativen Lösungen führen kann.
