Dans le Web 1.0 et le Web 2.0, les modèles de sécurité ont changé pour aider à débloquer des économies entièrement nouvelles. Dans le Web 1.0, Netscape a été le premier à utiliser Secure Sockets Layer (SSL) pour fournir une communication sécurisée entre les navigateurs des utilisateurs et ces serveurs. Les intermédiaires Web 2.0 de confiance tels que Google, Microsoft, Amazon et les autorités de certification ont joué un rôle central dans la mise en œuvre de Transport Layer Security (TLS), le successeur de SSL.
La même chose se produira avec web3. C'est la principale raison pour laquelle investir dans les startups de sécurité web3 a augmenté l'an dernier plus de 10 fois pour atteindre plus d'un milliard de dollars.
Le succès de web3 dépend de l'innovation pour résoudre les nouveaux défis de sécurité créés par différentes architectures d'applications. Dans le web3, les applications décentralisées ou "dApps" sont construites sans s'appuyer sur la logique d'application traditionnelle et les couches de base de données qui existent dans le Web 2.0 ; à la place, une blockchain, des nœuds de réseau et des contrats intelligents sont utilisés pour gérer la logique et l'état.
Les utilisateurs accèdent toujours à une interface, qui se connecte à ces nœuds, pour mettre à jour les données, comme publier un nouveau contenu ou effectuer un achat. Ces activités obligent les utilisateurs à signer des transactions à l'aide de leurs clés privées, généralement gérées avec un portefeuille, un modèle destiné à préserver le contrôle et la confidentialité des utilisateurs. Les transactions sur la blockchain sont entièrement transparentes, accessibles au public et immuables (ce qui signifie qu'elles ne peuvent pas être modifiées).
Comme tout système, cette conception présente des compromis en matière de sécurité. La blockchain ne nécessite pas la confiance des acteurs comme dans le Web 2.0, mais il est plus difficile de faire des mises à jour pour résoudre les problèmes de sécurité. Les utilisateurs peuvent conserver le contrôle de leur identité, mais il n'y a pas d'intermédiaire pour fournir un recours en cas d'attaques ou de compromissions clés (par exemple, comment les fournisseurs Web 2.0 peuvent restituer les fonds volés ou réinitialiser les mots de passe). Les portefeuilles peuvent toujours divulguer des informations sensibles comme une adresse Ethereum - c'est toujours un logiciel, qui n'est jamais parfait.
Ces concessions soulèvent des problèmes de sécurité importants, mais elles ne devraient pas entraver la poussée vers le web3 et, en termes pratiques, il est peu probable qu'elles le fassent.
Considérant à nouveau les parallèles avec le Web 1.0 et le Web 2.0. Les versions initiales de SSL/TLS présentaient des vulnérabilités critiques. Les premiers outils de sécurité étaient au mieux rudimentaires et sont devenus plus robustes au fil du temps. Entreprises de sécurité Web3 et projets comme Certik, Forta, Slitheret sécurisé2 ce sont les équivalents des outils d'analyse de code et de test de sécurité des applications qui ont été développés à l'origine pour les applications Web 1.0 et Web 2.0.
Cependant, dans le Web 2.0, une partie importante du modèle de sécurité concerne la réponse. Dans web3, où les transactions ne peuvent pas être modifiées une fois exécutées, des mécanismes doivent être intégrés pour vérifier si les transactions, logiquement initiées, doivent se produire. En d'autres termes, la sécurité doit être exceptionnellement efficace en matière de prévention.
Cela signifie que la communauté web3 doit trouver le meilleur moyen de remédier techniquement aux faiblesses systémiques pour empêcher de nouvelles lignes d'attaque qui ciblent toutes sortes de variantes, des primitives cryptographiques aux vulnérabilités des contrats intelligents. En parallèle, il existe au moins quatre initiatives qui feraient avancer un modèle de sécurité Web3 préventif :
Source de données de vérité pour les vulnérabilités
Il doit y avoir une source de vérité pour les vulnérabilités et les faiblesses connues du Web3. Aujourd'hui, la base de données nationale sur les vulnérabilités fournit les données de base pour les programmes de gestion des vulnérabilités.
Web3 a besoin d'un équivalent décentralisé. Pour l'instant, des informations incomplètes vivent éparpillées dans des endroits comme Inscription au CFC, Rekt, lignes d'attaque des contrats intelligents y Menaces DeFi. Programmes de récompense des utilisateurs pour détecter les bogues, comme ceux que vous exécutez immunisé elles sont destinées à faire émerger de nouvelles faiblesses.
Règles de prise de décision en matière de sécurité
Le modèle de prise de décision pour les options de conception de sécurité critiques et les problèmes individuels dans web3 est actuellement inconnu. La décentralisation signifie que personne n'est propriétaire des problèmes et que les ramifications pour les utilisateurs peuvent être importantes. Des exemples comme la récente vulnérabilité IBM Apache Log4j sont des avertissements pour laisser la sécurité entre les mains d'une communauté décentralisée.
Il doit y avoir plus de clarté sur la façon dont les organisations autonomes décentralisées (DAO), les experts en sécurité, les fournisseurs comme Alchimie y Infura et d'autres collaborent pour gérer les problèmes de sécurité émergents. Il y a des leçons applicables de la façon dont les grandes communautés open source ont façonné le OuvertSSF, Groupes consultatifs CNCF et les processus en place pour résoudre les problèmes de sécurité.
Authentification et signature
La plupart des dApps, y compris les plus importantes, aujourd'hui n'authentifiez pas ou ne signez pas vos réponses via les API. Cela signifie que lorsque le portefeuille d'un utilisateur récupère des données à partir de ces applications, il y a une lacune dans la vérification que la réponse provient de l'application prévue et que les données n'ont pas été falsifiées d'une manière ou d'une autre.
Dans un monde où les applications n'utilisent pas les meilleures pratiques de sécurité de base, les utilisateurs doivent déterminer leur niveau de sécurité et de fiabilité, une tâche pratiquement impossible. Au minimum, il devrait y avoir de meilleures méthodes ou pratiques pour exposer les utilisateurs aux risques.
Gestion des clés simplifiée et contrôlée par l'utilisateur
Les clés cryptographiques permettent aux utilisateurs d'effectuer des transactions dans le modèle Web3. Les clés cryptographiques sont également notoirement difficiles à gérer correctement ; Des entreprises entières ont été et continuent de naître autour de la gestion clé.
La complexité et les risques liés à la gestion des clés privées sont les principales considérations qui poussent les utilisateurs à choisir des portefeuilles hébergés plutôt que des portefeuilles non dépositaires. Cependant, l'utilisation de portefeuilles hébergés a deux implications : ils donnent naissance à de nouveaux "intermédiaires" tels que Coinbase, qui nuisent au concept complètement décentralisé du web3 ; et ils limitent la capacité des utilisateurs à profiter de tout ce que le Web3 a à offrir. Idéalement, de nouvelles innovations en matière de sécurité offriront aux utilisateurs une meilleure convivialité et des protections pour les scénarios non dépositaires.
Il convient de noter que les deux premières initiatives se concentrent davantage sur les personnes et les processus, tandis que les troisième et quatrième initiatives nécessiteront des changements technologiques. Obtenir de nouvelles technologies, de nouveaux processus naissants et un grand nombre d'utilisateurs alignés est ce qui rend difficile la compréhension des aspects de la sécurité Web3.
Dans le même temps, l'un des changements les plus encourageants est que l'innovation en matière de sécurité Web3 se produit au grand jour, et ne sous-estimez jamais comment cela peut conduire à des solutions créatives.
