Sia nel Web 1.0 che nel Web 2.0, i modelli di sicurezza sono cambiati per aiutare a sbloccare economie completamente nuove. Nel Web 1.0, Netscape è stato il primo a utilizzare Secure Sockets Layer (SSL) per fornire comunicazioni sicure tra i browser degli utenti e quei server. Gli intermediari affidabili del Web 2.0 come Google, Microsoft, Amazon e le autorità di certificazione hanno svolto un ruolo centrale nel guidare l'implementazione di Transport Layer Security (TLS), il successore di SSL.
Lo stesso accadrà con web3. Questo è il motivo principale per cui investire nelle startup di sicurezza web3 aumentato l'anno scorso più di 10 volte a più di 1 miliardo di dollari.
Il successo di web3 dipende dall'innovazione per risolvere le nuove sfide di sicurezza create da diverse architetture applicative. In web3, le applicazioni decentralizzate o "dApps" sono costruite senza fare affidamento sulla logica dell'applicazione tradizionale e sui livelli di database che esistono nel Web 2.0; invece, per gestire la logica e lo stato vengono utilizzati una blockchain, nodi di rete e contratti intelligenti.
Gli utenti accedono comunque a un'interfaccia, che si collega a quei nodi, per aggiornare i dati, come pubblicare nuovi contenuti o effettuare un acquisto. Queste attività richiedono agli utenti di firmare le transazioni utilizzando le proprie chiavi private, generalmente gestite con un portafoglio, un modello che ha lo scopo di preservare il controllo e la privacy degli utenti. Le transazioni sulla blockchain sono completamente trasparenti, accessibili pubblicamente e immutabili (il che significa che non possono essere modificate).
Come ogni sistema, questo design ha dei compromessi di sicurezza. Blockchain non richiede la fiducia degli attori come nel Web 2.0, ma è più difficile apportare aggiornamenti per risolvere problemi di sicurezza. Gli utenti possono mantenere il controllo sulle loro identità, ma non ci sono intermediari a cui ricorrere in caso di attacchi o compromissioni chiave (ad esempio, come i provider Web 2.0 possono restituire i fondi rubati o reimpostare le password). I portafogli possono ancora divulgare informazioni sensibili come un indirizzo Ethereum: è pur sempre un software, che non è mai perfetto.
Queste concessioni sollevano notevoli problemi di sicurezza, ma non dovrebbero ostacolare la spinta al web3 e, in termini pratici, è improbabile che lo facciano.
Considerando ancora i parallelismi con Web 1.0 e Web 2.0. Le versioni iniziali di SSL/TLS presentavano vulnerabilità critiche. I primi strumenti di sicurezza erano nella migliore delle ipotesi rudimentali e divennero più robusti nel tempo. Web3 società di sicurezza e progetti come Certik, Forza, Strisciare e sicuro2 sono l'equivalente della scansione del codice e degli strumenti di test della sicurezza delle applicazioni originariamente sviluppati per le applicazioni Web 1.0 e Web 2.0.
Tuttavia, nel Web 2.0, una parte sostanziale del modello di sicurezza ha a che fare con la risposta. In web3, dove le transazioni non possono essere modificate una volta eseguite, devono essere integrati meccanismi per verificare se le transazioni, avviate logicamente, dovrebbero verificarsi. In altre parole, la sicurezza deve essere eccezionalmente efficace nella prevenzione.
Ciò significa che la comunità web3 deve trovare il modo migliore per affrontare tecnicamente le debolezze sistemiche per prevenire nuove linee di attacco che prendono di mira tutti i tipi di varianti, dalle cripto primitive alle vulnerabilità degli smart contract. Parallelamente, ci sono almeno quattro iniziative che farebbero avanzare un modello di sicurezza web3 preventivo:
Fonte di dati veritieri per le vulnerabilità
Ci deve essere una fonte di verità per le vulnerabilità e le debolezze note di web3. Oggi, il National Vulnerability Database fornisce i dati di base per i programmi di gestione delle vulnerabilità.
Web3 ha bisogno di un equivalente decentralizzato. Per ora, le informazioni incomplete vivono sparse in luoghi come Registrazione SWC, Rekt, linee di attacco smart contract y Minacce DeFi. Programmi di ricompensa per gli utenti per il rilevamento di bug, come quelli che esegui immune sono destinati a far emergere nuove debolezze.
Regole decisionali sulla sicurezza
Il modello decisionale per le opzioni di progettazione di sicurezza critiche e i singoli problemi in web3 è attualmente sconosciuto. Decentralizzazione significa che nessuno possiede problemi e le ramificazioni per gli utenti possono essere significative. Esempi come la recente vulnerabilità di IBM Apache Log4j sono avvertimenti di lasciare la sicurezza nelle mani di una comunità decentralizzata.
È necessaria maggiore chiarezza su come piacciono le organizzazioni autonome decentralizzate (DAO), gli esperti di sicurezza e i fornitori Alchimia y Infura e altri collaborano per gestire i problemi di sicurezza emergenti. Ci sono lezioni applicabili da come le grandi comunità open source hanno plasmato il OpenSSF., Gruppi consultivi CNCF e processi in atto per affrontare i problemi di sicurezza.
Autenticazione e firma
La maggior parte delle dApp, comprese quelle più importanti, oggi non autenticare o firmare le tue risposte tramite API. Ciò significa che quando il portafoglio di un utente recupera i dati da queste applicazioni, c'è una lacuna nel verificare che la risposta provenga dall'applicazione prevista e che i dati non siano stati manomessi in qualche modo.
In un mondo in cui le applicazioni non utilizzano le migliori pratiche di sicurezza di base, gli utenti sono lasciati a determinare la loro posizione di sicurezza e affidabilità, un compito che è praticamente impossibile. Come minimo, dovrebbero esistere i migliori metodi o pratiche per esporre i rischi agli utenti.
Gestione delle chiavi più semplice e controllata dall'utente
Le chiavi crittografiche supportano la capacità degli utenti di effettuare transazioni nel modello web3. Anche le chiavi crittografiche sono notoriamente difficili da gestire correttamente; Intere aziende sono state e continuano a nascere attorno alla gestione delle chiavi.
La complessità e il rischio coinvolti nella gestione delle chiavi private è la considerazione principale che spinge gli utenti a scegliere i portafogli ospitati rispetto ai portafogli non di custodia. L'utilizzo degli hosted wallet ha però due implicazioni: danno vita a nuovi “intermediari” come Coinbase, che sminuiscono il concetto di web3 completamente decentralizzato; e limitano la capacità degli utenti di trarre vantaggio da tutto ciò che web3 ha da offrire. Idealmente, un'ulteriore innovazione nella sicurezza fornirà agli utenti una migliore usabilità e protezioni per scenari non detentivi.
Vale la pena notare che le prime due iniziative si concentrano maggiormente su persone e processi, mentre la terza e la quarta iniziativa richiederanno cambiamenti tecnologici. Ottenere nuova tecnologia, nuovi processi nascenti e un gran numero di utenti allineati è ciò che rende difficile capire gli aspetti della sicurezza di web3.
Allo stesso tempo, uno dei cambiamenti più incoraggianti è che l'innovazione nella sicurezza di web3 sta avvenendo allo scoperto e non sottovalutare mai come ciò possa portare a soluzioni creative.
