Tanto na Web 1.0 quanto na Web 2.0, os modelos de segurança mudaram para ajudar a desbloquear economias inteiramente novas. Na Web 1.0, a Netscape foi a primeira a usar Secure Sockets Layer (SSL) para fornecer comunicação segura entre os navegadores dos usuários e esses servidores. Intermediários confiáveis da Web 2.0, como Google, Microsoft, Amazon e autoridades de certificação, desempenharam um papel central na condução da implementação do Transport Layer Security (TLS), o sucessor do SSL.
O mesmo acontecerá com o web3. Esta é a principal razão pela qual investir em startups de segurança web3 aumentou no ano passado mais de 10 vezes para mais de 1 bilhão de dólares.
O sucesso da web3 depende da inovação para solucionar novos desafios de segurança criados por diferentes arquiteturas de aplicativos. Na web3, os aplicativos descentralizados ou "dApps" são construídos sem depender da lógica tradicional do aplicativo e das camadas de banco de dados que existem na Web 2.0; em vez disso, um blockchain, nós de rede e contratos inteligentes são usados para gerenciar a lógica e o estado.
Os usuários ainda acessam uma interface, que se conecta a esses nós, para atualizar dados, como postar novos conteúdos ou fazer uma compra. Essas atividades exigem que os usuários assinem transações usando suas chaves privadas, geralmente gerenciadas com uma carteira, modelo que visa preservar o controle e a privacidade do usuário. As transações no blockchain são totalmente transparentes, acessíveis publicamente e imutáveis (o que significa que não podem ser alteradas).
Como qualquer sistema, esse design tem compensações de segurança. Blockchain não exige que os atores sejam confiáveis como na Web 2.0, mas é mais difícil fazer atualizações para resolver problemas de segurança. Os usuários podem manter o controle sobre suas identidades, mas não há intermediários para fornecer recursos em caso de ataques ou comprometimentos importantes (por exemplo, como os provedores da Web 2.0 podem devolver fundos roubados ou redefinir senhas). As carteiras ainda podem vazar informações confidenciais, como um endereço Ethereum – ainda é um software, que nunca é perfeito.
Essas concessões levantam preocupações de segurança significativas, mas não devem impedir o avanço da web3 e, em termos práticos, é improvável que isso aconteça.
Considerando novamente os paralelos com Web 1.0 e Web 2.0. As versões iniciais do SSL/TLS tinham vulnerabilidades críticas. As primeiras ferramentas de segurança eram rudimentares na melhor das hipóteses e se tornaram mais robustas ao longo do tempo. Empresas de segurança Web3 e projetos como Certik, Fortaleza, Slithere seguro2 eles são os equivalentes das ferramentas de verificação de código e teste de segurança de aplicativos que foram originalmente desenvolvidas para aplicativos Web 1.0 e Web 2.0.
No entanto, na Web 2.0, uma parte substancial do modelo de segurança tem a ver com resposta. Na web3, onde as transações não podem ser alteradas uma vez executadas, mecanismos devem ser incorporados para verificar se as transações, iniciadas logicamente, devem ocorrer. Em outras palavras, a segurança tem que ser excepcionalmente boa em prevenção.
Isso significa que a comunidade web3 precisa descobrir a melhor maneira de abordar tecnicamente as fraquezas sistêmicas para evitar novas linhas de ataque que visam todos os tipos de variantes, desde primitivas de criptografia até vulnerabilidades de contrato inteligente. Paralelamente, há pelo menos quatro iniciativas que fariam avançar um modelo preventivo de segurança web3:
Fonte de dados de verdade para vulnerabilidades
Tem que haver uma fonte de verdade para vulnerabilidades e fraquezas conhecidas da web3. Hoje, o National Vulnerability Database fornece os dados básicos para programas de gerenciamento de vulnerabilidades.
A Web3 precisa de um equivalente descentralizado. Por enquanto, informações incompletas vivem espalhadas em lugares como registro SWC, rektor, linhas de ataque de contrato inteligente y Ameaças DeFi. Programas de recompensa do usuário para detectar bugs, como os que você executa imune eles estão destinados a trazer à tona novas fraquezas.
Regras de tomada de decisão de segurança
O modelo de tomada de decisão para opções críticas de design de segurança e problemas individuais na web3 é atualmente desconhecido. A descentralização significa que ninguém possui problemas e as ramificações para os usuários podem ser significativas. Exemplos como a recente vulnerabilidade do IBM Apache Log4j são avisos para deixar a segurança nas mãos de uma comunidade descentralizada.
É preciso haver mais clareza sobre como organizações autônomas descentralizadas (DAOs), especialistas em segurança, fornecedores como Alquimia y Infura e outros colaboram para gerenciar problemas de segurança emergentes. Existem lições aplicáveis de como grandes comunidades de código aberto moldaram o OpenSSFGenericName, Grupos Consultivos CNCF e processos em vigor para resolver problemas de segurança.
Autenticação e assinatura
A maioria dos dApps, incluindo os mais proeminentes, hoje não autentique ou assine suas respostas por meio de APIs. Isso significa que quando a carteira de um usuário recupera dados desses aplicativos, há uma lacuna na verificação de que a resposta vem do aplicativo pretendido e que os dados não foram adulterados de alguma forma.
Em um mundo onde os aplicativos não empregam as melhores práticas básicas de segurança, os usuários são deixados para determinar sua postura de segurança e confiabilidade, uma tarefa que é praticamente impossível. No mínimo, deve haver melhores métodos ou práticas para expor os riscos aos usuários.
Gerenciamento de chaves mais simples e controlado pelo usuário
As chaves criptográficas suportam a capacidade dos usuários de realizar transações no modelo web3. As chaves criptográficas também são notoriamente difíceis de gerenciar adequadamente; Empresas inteiras foram e continuam a surgir em torno da gestão-chave.
A complexidade e o risco envolvidos no gerenciamento de chaves privadas são a principal consideração que leva os usuários a escolher carteiras hospedadas em vez de carteiras sem custódia. No entanto, o uso de carteiras hospedadas tem duas implicações: elas dão origem a novos “intermediários” como a Coinbase, que prejudica o conceito completamente descentralizado de web3; e restringem a capacidade dos usuários de aproveitar tudo o que a web3 tem a oferecer. Idealmente, mais inovação em segurança fornecerá aos usuários melhor usabilidade e proteções para cenários sem custódia.
Vale ressaltar que as duas primeiras iniciativas focam mais em pessoas e processos, enquanto a terceira e quarta iniciativas exigirão mudanças tecnológicas. Obter novas tecnologias, novos processos nascentes e um grande número de usuários alinhados é o que dificulta a compreensão dos aspectos de segurança da web3.
Ao mesmo tempo, uma das mudanças mais animadoras é que a inovação de segurança da web3 está acontecendo abertamente, e nunca subestime como isso pode levar a soluções criativas.
