作者
JackieSingh
编译
黑米
Web3和区块链的世界是否像听起来那样令人生畏?拜登竞选活动的首席事件响应官、前英特尔事件响应总监JackieSingh采访了Web3安全从业人员,以了解他们对保护Web3技术的挑战和机遇的看法。
去年12月,当我在S.T.O.P公司的合伙人Jason意外收到加入NFT市场初创公司担任高级软件工程师的邀请时,我一开始很紧张。
决定在一个新行业从事可能不稳定的工作似乎令人生畏,尤其是作为一个有小孩的家庭。
尽管最近加密货币市场出现了波动,但我的担忧随着时间的推移而消失。Jason的职业生涯转向Web3,也让我更加了解了他的工作,包括所有用户的无许可使用、通过Github设计开源代码、与第三方开发者公开合作以及与NFT艺术家建立合作伙伴关系。与他之前在传统金融领域的工作相比,这是一个令人耳目一新的变化!
实话说,我知道Web3社区具有强大的凝聚力,但作为一名信息安全专业人士,我也对广泛的诈骗、“技术解决方案主义”的风险以及阻碍Web3崛起的大规模违法行为存有疑问。
“许多Web3开发人员在他们的开发过程中优先考虑安全性,以防止漏洞,这很好,但还有更多工作要做,”网络安全公司Mandiant的高级主管RobertWallace在一份自述文件中写道,“预防是前提,但检测和审计也是必要的。很高兴看到更多关于Web3中的威胁检测和响应方面的研究。”
多年来,Wallace与他的顾问团队一起应对了多家Web3公司的安全事件。他指出,利用智能合约的黑客已经带来了迄今为止最大的一些有关“DeFi”的黑客攻击。
“另一个挑战是对Web3开发人员的攻击,这些开发人员可能没有安全团队时刻监视系统,”Wallace说,“这可能会引发密钥被盗,导致Web3公司甚至是中心化交易所发生巨额盗窃。”
我邀请了三位在Web3安全方面有经验的专家分享他们的一些见解,并解读他们的日常工作。
1、MilesNolan是网络安全公司KudelskiSecurity的高级区块链安全分析师,该公司目前也将区块链包含在业务范围内。
您和您的团队在KudelskiSecurity做什么?
Miles:
我在Kudelski的应用程序安全团队中担任区块链安全分析师。我们主要审计Web3应用程序和智能合约代码的漏洞。我个人从事智能合约审计/审查工作。
您是如何开始使用Web3的?
Miles:
我在大学三年级时产生了兴趣。我获得了「管理信息系统」学位。那是在年,比特币出现了疯狂的“牛市”,DeFi开始小范围出现。我对技术和金融的热情加上疯狂地炒作让我跳入了这个领域,并吸收了我能学到的任何知识。
对你来说,每天的工作是怎样的?
Miles:
我是该领域大多数人所说的“智能合约审计员”。我大部分时间都在审查智能合约代码中的漏洞。在一个典型的工作日,我会在一天的第一个小时里审查/编写与我正在审计的项目无关的代码,这有助于我热身。我将在接下来的一个小时里查看与我正在使用的区块链相关的文档。Web3中的事情每天都在变化,所以我必须保持了解。在一天的剩余时间里,我会一直审查智能合约代码中的各种错误。
您在该领域面临哪些挑战?
Miles:
Web3的发展速度非常快,当我第一次加入时,感觉就像我一直在追赶。
区块链或其他Web3技术是否提供了任何特定的技术能力,使信息安全任务更容易或更困难?
Miles:
虽然有很多优点需要强调,但我必须指出一个痛点。区块链引入了一个竞争环境,攻击者实际上可以通过执行漏洞来获利。在Web2世界中,攻击者可以关闭一项主要服务、窃取一些数据、出售恶意软件/0-days等,虽然这可能是有利可图,并且会给其他方造成资金损失,但不值得花时间和冒险实施这些类型的恶意行为。但是在Web3世界中,攻击者可以从一个漏洞中窃取3亿美元以上的资金。所以分布式账本技术固有地为安全专业人员带来了这些新的风险来应对。
2、KatelynPerna是BlockFi的安全战略和数字资产托管副总裁,BlockFi是一家总部位于美国的加密货币交易平台,提供包括贷款和加密信用卡在内的各种金融产品。
您能给我们介绍一下您目前的角色吗?
Katelyn:
作为BlockFi的安全战略和数字资产托管副总裁,我负责构建我们的安全计划。
安全战略和数字资产托管团队主要负责确保BlockFi原生加密技术的安全性。团队拥有非常独特和专业的技能人才组合,涵盖网络安全、区块链技术、加密货币安全和托管,涵盖了几乎所有的数字资产。我们专注于加密货币安全、密码学、密钥管理、链上协议和Web3安全。
你的团队