💬 Самой большой угрозой безопасности Web3 является знакомый монстр — централизация.

Самой большой угрозой безопасности Web3 является знакомый монстр — централизация.

В криптографии есть поговорка: «Каждый секрет создает потенциальную точку отказа».

Для простоты это означает, что то, что вы скрываете, например пароль, является целью кражи, но то же самое относится и к тому, где вы его скрываете. Чтобы оставаться в безопасности, вам нужно думать о том, что вы защищаете и как вы это защищаете.

И что многих из нас, особенно криптографов и разработчиков, привело в блокчейн, так это легкость, с которой можно было решить эту проблему. Всю свою карьеру мы создавали систему за системой, чтобы минимизировать централизованные точки сбоя. Теперь мы можем работать с упреждающими мерами безопасности, выходить за рамки реагирования на кризисы безопасности и создавать системы, которые будут работать для каждого пользователя.

Элемент безопасности блокчейна, который недостаточно освещен, заключается в том, как он защищает «типичного» пользователя, а не только идеального пользователя. Идеальные пользователи меняют пароли каждые 28 дней и не забывают использовать VPN для Wi-Fi в аэропорту; типичные пользователи используют один и тот же пароль для своих социальных сетей и банковских счетов. Типичные пользователи не ленивы — они просто не знакомы с лучшими практиками безопасности или не имеют времени ими управлять.

Децентрализация по умолчанию защищает обычного пользователя.

Если бы децентрализованное приложение было построено на установленной и безопасной цепочке блоков, они могли бы быть уверены, что оно будет продолжать работать до тех пор, пока опубликованные блоки цепочки и смарт-контракты будут действительны. Если они загрузят кошелек с самостоятельным хранением, они могут быть уверены, что возможность использовать содержащиеся в нем средства доступна им только до тех пор, пока они сохраняют свой ключ в тайне. Децентрализация была особенностью, которую нужно было искать при использовании децентрализованного приложения или платформы для криптовалюты или блокчейна, и ее было достаточно легко проверить.

Я использую здесь прошедшее время, потому что наша безопасность как сектор серьезно регрессировала. Мы не только достаточно централизованы, но и степень, до которой эта централизация скрыта, не позволяет даже идеальному пользователю оставаться в безопасности. Эти точки централизации являются новыми и намеренно созданы некоторыми компаниями, желающими владеть и контролировать. Они представляют собой самую большую угрозу безопасности цифровых активов, о которой никто не говорит.

Если вы мне не верите, подумайте вот о чем: сегодня единый протокол, полностью принадлежащий частной компании, является стержнем взаимодействия миллионов кошельков и их блокчейнов. Сегодня сотрудники, работающие над блокчейнами второго уровня, могут остановить обработку блоков в цепочке, просто приостановив работу своих секвенсоров. Сегодня миллионы долларов из казны DAO можно потратить без единого голосования сообщества.

Подробнее читайте в нашем разделе мнений: Криптопреступление — это слишком просто.

По сравнению с такими проектами печально известный откат «The DAO» выглядит тривиально. А если серьезно, эти уязвимости представляют собой тот тип централизации, который мы присоединились к Web3, чтобы разрушить. И строятся они целенаправленно.

Хуже всего то, что ответственность за проведение собственных исследований остается на плечах пользователей. Аргумент заключается в том, что они могут просто прекратить использовать любое децентрализованное приложение или цепочку, которые не соответствуют их личному порогу децентрализации и риска. Но сделать это тоже непросто. В рамках, по-видимому, тенденции к «информированной централизации» эта информация хранится в определенных условиях или ограничивается как конфиденциальная информация. Как эта среда будет полезна любому пользователю, не говоря уже о «типичном»? Это не.

Чтобы продвинуть Web3 вперед, мы должны быстро внедрить лучшие практики, которые позволят не только нашим пользователям нести ответственность за риски. Наша подотчетность должна быть публичной и поддающейся проверке. Мы могли бы начать с открытия критической инфраструктуры, чтобы ни одна компания или организация не могли ее контролировать, настаивая на стандарте управления, при котором такие действия, как «паузы» блоков и расходы казначейства, регистрируются (если не выполняются полностью) в цепочке, а также заново открывая традицию. критиковать плохое поведение, называя виновников централизации, а не ее жертв.

Во время кризиса безопасности все пользователи (даже идеальные) склонны находить козла отпущения и возлагать на него всю неудачу. Наш сектор ничем не отличается.

Хотя наша традиция личной ответственности («не ваши ключи, не ваша криптовалюта») достойна восхищения, она не является справедливым стандартом для всех наших пользователей и не обеспечивает адекватной защиты никого из нас. Все мы когда-то были типичными пользователями — если мы хотим, чтобы в ближайшее время к нам присоединился еще миллиард таких пользователей, мы должны принять меры.