香港Web3背后的技术隐患
By Forsaken
正当大部份人都狂热地追逐 ChatGPT,试图混水摸鱼争夺初期红利之时,Web3 却转入了低调期,有条不紊地进行着通向成熟期的各项工作,尤其是监管。
由于北京方面充分的政策支持,清零之后境外资本在香港的踌躇,再加上大量人才的涌入,香港 Web3 似乎大有冲击业内山顶的架势。不过,这一切到底是浮云还是火山喷发前的宁静,还需要时间的考验,毕竟刚开场谁还不能猛攻一气呢?国足都能。
当然,香港 Web3 的从业者们可不会如旁观者那样谨慎地观望,真正在一线的人所感受和投入的东西大多不被局外人知晓。无论从表面上,还是实理上,都需要有足够深刻的考量,并且真的去执行。
先从表面上说,香港区块链协会主席 Charley Tsai 认为,虚拟资产十几年以来的监管漏洞必须要由 SFC 来完善,HKMA 和海关等加以配合。要走得稳健才不会扯到蛋,走慢一点,走好一点。在监管方面必须发展相关的科技进行实时监管。
而具体的实理方面,要考量的最佳实践就太多了。Web3 就仿佛是一个常年裸奔的美女,从不知衣服为何物,即便花钱买了衣服,也只是皇帝的新装。
自从总部在香港的 FTX 翻船跑路巴哈马之后,缺乏监管的集中式交易所存在的风险一时间成了 Web3 被口诛笔伐的焦点。虽然 KYC/AML 的合规程序有效,但缺乏足够有技术含量的解决方案的情况下,一个虚拟资产运营商如何获得客户信任,成了避免另一个 FTX 产生的关键问题。信任!信任!信任!这几乎是 Web3 是否能真正成功的充要条件。增加透明度,比如将日志上链,记录所有托管服务器的操作,让客户和监管机构随时审计,其实比 proof of reserve 更高效。
SFC 也许应该重新考虑加密行业的威胁模型。传统银行系统严重依赖物理安全措施,但是加密资产托管需要完全不同的思维方式。SFC 可以考虑将一些咨询纳入威胁模型,避免 0day 或者零信任身份验证。许多时候,所谓的安全都是在自嗨,搞的都是马奇诺防线,内核运行时加固了吗?主板固件加固了吗?没有的话,整天搞一堆防火墙和杀毒软件有什么用呢?这些问题在现在都有了非常好的工业级解决方案,Web3 是这类最新尖端技术最好的登陆点。
关于私钥存储,大部份安全专家也许会说,在三级、四级数据中心内使用 HSM 即可,这通常被认为是业内最安全的方法。但是,哪怕一点点小的缺陷,都可能导致整个安全防线崩盘,要利用漏洞窃取 HSM 的认证会话并非不可能。还有人迷信安全多方计算(SMPC),要知道理论再完美也敌不过奸商,万一买到的是挂羊头卖狗肉的方案,那就是给攻击者献上大礼包享受 NTR 的快感了。
最后,供应链攻击尤其是在中文世界似乎根本就不当回事,在国家紧急出台相关法规、国标的情况下,许多甲方无动于衷,这些涉及国家安全的规章标准尚且被当作擦屁股的纸,难道 Web3 的世界会有人真的拿供应链攻击当回事?至少,Web3 的监管层面似乎从来没提到过供应链攻击的问题。Web3 可以说是站在开源巨人肩膀上成长起来的,是开源的亲儿子之一,那么,谁来保证所依赖的开源库的长期维护呢?通过什么样的手段可以保证呢?
香港不是新加坡,新加坡金管局一柄尚方宝剑什么都能管,香港是多头监管,证监会管交易和资管,金管局管银行,海关管汇款兑换。香港 Web3 的监管必然是一个统筹的系统工程,如何作为,就留给未来十年去解答了。
Twitter: @fossflow
All rights reserved by FossFlow CC4.0-BY-SA-NC
其他事件
© Copyright FossFlow team, all rights reserved.
HTML template:
© Copyright 2016-Tech News . Design by: uiCookies Technology News Magazine