Web3.0：安全考虑事项和影响

Polka Plus view 29 2022-4-7 21:08

创新就是将创造力与技术相结合——Joshua JS Morley

本文的内容如下：

·我先介绍web1和web2的背景

·然后我们来谈谈web3，围绕这个定义的两种思想流派(以及我认为未来和web3.0将会是什么样子)

·然后，我将讨论一些考虑因素以及未为 web 3 提供足够安全性的一些影响

·最后，我将提出一些关于您在开发Web3.0时应该考虑的建议

但是在我们开始讨论Web3.0安全编程的考虑因素和含义之前，让我们先从基本原理开始，什么是Web1.0(也称为语法web)和Web2.0(也称为社交web)

Web1.0 & Web2.0

Web1.0

现在术语 web 1,2 和 3 是由 Tim 的 Bernes-Lee（被广泛认为是 web 的创始人）创造的。Web1.0 也被称为“句法网络”或“只读网络”，这是万维网的早期迭代，它只能简单的进行搜索信息并阅读（过于简单），除了信息消费和在更深层次上与网络互动需要编程语法知识（这就是名称的来源）之外，与网络的互动并不多。

总的来说，Web1.0 将实体思维方式应用于数字领域，网络是一个分散的知识库，人们可以通过电子商务网站购买东西，但你大部分时间都在浏览网页，不参与，无互动或改变某些网络环境。

Web2.0

Web 2 也被称为“读写网络”或“社交网络”，这是交互式网络服务（如电子邮件、用户组、博客以及现在的社交媒体平台）兴起的结果。

Web2.0 看到人们开始在网络上进行交互和社交，而不仅仅是搜索信息。它还被用来描述一个由少数一些科技巨头主导的网络，其中大多数的网络流量都是通过这5到8家公司过滤出来的，比如字节跳动旗下的抖音或者今日头条，腾讯投资的小红书等等。

Web3.0：安全考虑事项和影响

由个人主导网络和流量的大型科技公司实际上是人们（尤其是区块链爱好者）想要走向他们所说的“网络3”或“去中心化网络”背后的主要驱动因素之一，这是我将讨论的第二个观点。

Web3.0

神秘的 Web3：

那么什么是Web3.0/web3？因为有很多媒体、很多视频和很多人在谈论它（没有多少人真正给出明确的定义或描述）我会看到一个完整的技术列表，这些技术是流行的流行语（包括“区块链”、“加密货币” ，'NFT'，'去中心化'）但我不会看到任何关于我们如何实现去中心化网络以及由此产生的影响的描述或现实前景。在我们进入区块链 web3 之前，有必要先谈谈原始的 Web3.0，即“语义网”。

语义网

“语义网”一词由 Tim Bernes-Lee 在 1999 年描述，并在 2006 年首次描述为“Web3.0”，它描述了一个计算机或人工智能能够解析/分析数据并且智能代理能够与人互动。这种理解是围绕Web3.0的第一流派。

现在，当我们谈论这两个不同的阵营时，我相信他们都在描述同一事物的组成部分，只是大家看的是同一张桌子的不同面。

区块链爱好者所描述的“web3”是以太坊的联合创始人加文伍德（Gavin Wood博士）在 2017 年创造的一个术语，通常用于描述远离大型科技的去中心化网络，这个术语在基于区块链的金融界如加密货币中很流行， NFT 和 DAO 等

AI Web3.0（由 Tim Berners Lee 于 2006 年首次提到）通常被信息架构师和万维网联盟 (WWWC) 使用，这描述了Web2.0随着人机界面和人工智能使用的发展

对Web3.0/web3的批评

对 Web3.0 的两个定义的大多数批评都针对在区块链上运行的完全去中心化互联网的理想化炒作，或者认为机器完全可以解析网络的想法。

例如， Elon Musk和Jack Dorsey将区块链 web3 斥为“流行语”和“风险资本家的玩物”，强调了其“价值几乎完全基于公众舆论”。

然而，在过去的20年里，语义网的批评者主要评论了以机器可分割和可解释的方式形式化知识的可行性（其中许多批评是在最近的人工智能进步之前提出的）

我相信这两个东西都将成为实际 Web3.0 的组成部分。我也相信Web3.0是必然的，但同样的道理，现在还是有Web1.0的网站，Web3.0出现的时候还是会有Web1.0和Web2.0的网站。

定义：Web3.0

这里是Joshua J S Morley对 Web3.0的预测和定义

“一个通过虚拟（元宇宙）和混合现实包含交互性的网络，将由物联网启用，智能设备将提供反馈、输入或输出，并促进与我们的现实世界环境的无缝接口。网络将拥有智能代理，人工智能不仅将查找、解释和交流信息，还将创建（GANS）和去中心化的货币、人工制品和团队/组织将使我们的网络体验的部分民主化，将一些权力交还给用户”——Joshua J S Morley

Web3.0 安全隐患

·如果你所有的财务都在遭受 51% 攻击的加密货币中（区块链被黑客攻击51%将完全由黑客操纵）

·如果您的元宇宙硬件触觉反馈机器被黑客入侵，并借此操纵硬件实施犯罪（如操纵电流*人）

·如果您必须存储所有私钥，则很难将电视、电脑这种大型设备拿出来，但犯罪者可以在抢劫房屋时瞄准 USB 驱动器。

那么我们作为安全专业人员在准备 web3 工作时需要考虑哪些事项？

首先，我想分享一些我们目前在 web3.0 技术和工作中面临的一些注意事项和警示故事，然后我将提供一个建议列表

·身份验证和权限

今天大多数去中心化应用程序 (dApps) 不会验证或签署他们的 API 响应，我认为这不言自明。如果您正在构建 web3 应用程序，则必须包含 API 身份验证等基本内容。想象一个不进行 API 身份验证或响应签名的去中心化银行应用程序。

此外，许多声称是 web3.0 应用程序的 dApp 目前都使用 Infura 或 Alchemy 等集中式服务。Moxie Marlinspike：信号的创建者和信号协议的联合创始人在他的博客中记录了“web3.0”平台的问题，他在其中发现 dApp 本身通常不是分布式的，它们只是网站，但去中心化的部分是状态和权限位于区块链上，而不是集中式数据库。他接着指出，最大的 NFT 市场 OpenSea 在不需要或提供任何理由的情况下删除了他创建的 NFT，从而揭示了即使是 web3.0 区块链世界的闪亮明星 NFT 也被 web2 控制的问题。那么，当 web3 应用程序自然地倾向于模型时，我们如何才能删除这个集中控制点呢？

加密密钥管理

最后，许多区块链技术的一个共同因素是用户控制的加密密钥管理。你有你的钱包、应用程序、身份验证服务器的私钥。失去这把钥匙，或失去拥有这把钥匙是完全不可恢复的。国外如此多的人使用美国的 Coinbase 等平台（web2 平台）充当保管人或中介来管理私钥和钱包

就像我之前说的，我不相信我们会去一个完全去中心化的网络，但是网络 3 中的安全专家需要考虑的是在不依赖中心化组织的情况下管理许多加密密钥

安全性与可持续性

区块链的一大区别在于其以去中心化性质应用的安全性，这种去中心化的安全性确实是以能源和可持续性为代价的。为了证明数据和交易的正确性，区块链可以使用许多不同的“证明”功能。这两个功能分别是：

工作证明：矿工竞争解决复杂的方程，并获得最快的求解器获得向区块链添加新交易的权利的奖励

和

权益证明：验证者将自己的一定价值的加密货币作为抵押品，验证者将获得在区块链中创建下一个区块并维护与其在网络中的权益成比例的公共分类账的权利

工作证明更安全（并且更久经考验），但在能源消耗方面要贵得多。事实上，以太坊区块链正在从 PoW 转向 PoS，并表示他们预计能源使用量将减少 99%。一个惊人的事实是，比特币（使用工作量证明）占全球所有能源使用量的 0.6（2021 年 7 月）。

密码技术利用≠自动保护

我们还必须记住，加密技术并不意味着完美的安全性。信息架构和数据保护等传统考虑仍然适用，Web3 应用程序要求在公共区块链上拥有信息并不意味着不需要对信息进行加密、私有和保护。是的，我可以去公链上看到交易、活动合约或者采矿奖励。但我不应该（也不能）看到这个用户所有者的全名、地址、电话号码和电子邮件。有些信息可以公开，有些应该是私密的

（第二个）互联网上到处都是“转向 web3”的人。我热情地鼓励每个人，无论是技术人员还是其他人，提高技术技能并学习多种开发形式，因为许多 web3.0 开发人员是业余爱好者、黑客马拉松参与者或年轻的热心企业家，他们只想进入市场，安全的重点按设计是空的。这是一件非常困难的事情，但我们需要为所有这些新兴区块链技术制定一些基本的安全要求

教育至关重要

随着数据的民主化和数据所有权从集中式平台转移到用户手中，教育比以往任何时候都更加重要。部分原因是目前有许多“限制”作为人们的安全网络，不仅可以保护他们免受恶意行为者的伤害，还可以保护他们免受事故的伤害。

但是，如果您的虚拟世界头像和用户名就是您的身份，那么欺骗会非常简单、可自动化和大规模的身份盗用和冒充。

如果一个 USB 上的加密密钥丢失可能意味着你毕生积蓄的损失，那世界呢？

或者一个社交媒体信息可以被人工智能模型机器读取和解释并因此可以被自动利用的世界呢？

至关重要的是，我们继续教育公众如何确保安全、有保障并采用这些新进展。

失败的影响

因为如果我们生活在一个没有这些安全网络的世界中，失败的影响要大得多，而去中心化世界的现实是缺乏监管和由此产生的安全网络。

我们已经看到孩子们用他们父母的信用卡买了很多游戏皮肤，但是孩子们用加密货币刷信用卡呢。NFT诈骗，骗子用快速致富的计划来吸引世界各地的人们聊天。

机器可解释的数据挖掘和利用

在人工智能可以解释数据的未来，我们可以依靠编写的智能代理来利用漏洞。我们已经看到自动化利用虚假 Instagram 帐户骗局利用无辜者的出现，更不用说我们看到的大量电子邮件和短信骗局了。

但是，如果人工智能可以在每个目标的模型上训练自己，并专门针对个人的漏洞或从从网络上抓取的信息中勒索特定的人，那又如何呢？