Что вам нужно для создания безопасных и отказоустойчивых систем Web3

Мы привыкли к интуитивному представлению о том, что безопасность каким-то образом переплетается с секретностью. Мы держим наши пароли в секрете, а наши ценности спрятаны в сейфах. На протяжении десятилетий инженеры-программисты применяли аналогичный подход к кибербезопасности. Исходный код программного обеспечения держался в секрете. Если обнаруживалась уязвимость, выпускался патч безопасности. Это было и остается одним из взглядов на безопасность: «безопасность через неизвестность», и мы должны убедиться, что исправления, которые устанавливаются — без нашего ведома или согласия — на наши компьютеры и телефоны, будут делать то, что они должны делать. делать.

Сторонники программного обеспечения с открытым исходным кодом придерживались радикально иной точки зрения. Они утверждали, что сделать код прозрачным и общедоступным означало бы, что разработчики могли бы просматривать и улучшать код и имели бы для этого стимулы. В этих условиях проблемы безопасности могут быть выявлены, исправлены и проверены экспертами.

Поразительный рост систем данных с открытым исходным кодом

С тех пор программное обеспечение с открытым исходным кодом получило широкое распространение на рынке. Хотя лишь небольшой процент пользователей использует дистрибутивы Linux на своих ПК или ноутбуках, в фоновом режиме он обеспечивает работу большей части Интернета. От по оценкам96% из миллиона крупнейших веб-серверов в мире работают на Linux, что также обеспечивает 90% всей инфраструктуры облачных вычислений. Когда вы включаете в картину Android, ответвление Linux, работающий на более чем 70% смартфонов, планшетов и других мобильных устройств по всему миру становится очевидным, что современный Интернет, каким мы его знаем, находится под сильным влиянием систем с открытым исходным кодом.

Конечно, повсеместное присутствие открытого исходного кода распространяется и на Web3. Общедоступные сети блокчейнов, включая Биткойн и Эфириум, часто ссылаются на свои корни с открытым исходным кодом.

Одной прозрачности недостаточно для защиты Web3

Проблема в том, что большая прозрачность не обязательно означает большую безопасность. Несомненно, популярность Linux сотворила чудеса с открытым исходным кодом и, безусловно, повысила его безопасность. Но действительно ли много внимания уделяется коду блокчейна?

Во многом тщательное изучение открытого исходного кода сродни общественному благу в экономике. Как и любой общественный ресурс, такой как чистый воздух или общественная инфраструктура, от этого выигрывают все. Однако у отдельных пользователей может возникнуть соблазн использовать ресурс без участия в затратах на его обслуживание. В этой аналогии «безбилетник» означает использование существующей кодовой базы при условии, что кто-то еще потратит время и усилия на ее проверку на наличие уязвимостей.

Прошлый год стал известен как год прорыва цепного моста. Эти взломы были явным предупреждением о том, что масштабная и плохо скоординированная разработка якобы прозрачного Web3 все еще находится на переднем крае.

Прелесть сообщества разработчиков Web3 заключается в их страсти делиться, внедрять и создавать. Недостатком является потенциальный огромный ущерб от проблемы безбилетника. Если предположить, что для смешивания и сопоставления можно полагаться на сторонние решения, становится слишком сложно отследить поверхности атаки и зависимости смарт-контрактов.

Ловушка сложности

Предвзятость сложности — это термин, использовал для описания логической ошибки, при которой люди переоценивают полезность сложных концепций или решений по сравнению с более простыми альтернативами. Иногда легко быть настолько ослепленным чистой технической сложностью решения, что мы не можем перестать задаваться вопросом, может ли быть более простой способ.

Поскольку блокчейн сложен для понимания, легко увлечься такой идеей, как поперечный мост, и вывести его сложность на другой уровень — назовем его «сложным».

Однако большинство блокчейн-проектов несложны.

Согласно Harvard Business Review, сложные системы имеют «много движущихся частей, но они следуют шаблону». Например, когда вы думаете об энергосистеме региона, очевидно, что она очень сложная и включает в себя множество компонентов. Тем не менее, части системы ведут себя предсказуемым образом: когда вы щелкаете выключателем в своей гостиной, вы можете ожидать, что большую часть времени он будет ярким. При надлежащем обслуживании сложные системы могут быть очень надежными.

Напротив, сложные системы характеризуются функциями, которые «могут работать по шаблону, но взаимодействие которых постоянно меняется». Эта интерактивность делает сложные системы более непредсказуемыми. Степень сложности системы определяется тремя ключевыми характеристиками: множественностью или числом взаимодействующих элементов, степенью взаимозависимости элементов и степенью их разнообразия или неоднородности.

При необходимости почти все мосты и кроссчейн решения являются примерами очень сложных систем. Потери из-за взломов червоточина и BSC bridge в 2022 году, которые составили 325 миллионов долларов и 568 миллионов долларов соответственно, иллюстрируют относительную выгоду от использования эксплойта вместо его упреждающего исправления.

Будь проще

Похоже, что Web3 должен быть сложным. Невозможно оценить истинный масштаб и размах новой экономической деятельности в будущем. Ценности индивидуализма и экономической интеграции Web3 включают перестановки и комбинации, которые будут расти по мере рождения каждого человека. Кто знает, что впереди? Разве мы не должны принять сложность?

Ну да и нет.

Инфраструктура для Web3 не обязательно должна быть непредсказуемой. На самом деле, как и в случае с энергосистемой, было бы лучше, если бы ее не было.

Чтобы архитектура блокчейна стала более безопасной и по-настоящему прозрачной, нам необходимо преодолеть некоторые предубеждения, в которые нас заставили поверить. Прежде чем следовать последним тенденциям, возможно, нам следует изучить существующий технический долг и стремиться к простоте или, по крайней мере, к сложности. Чтобы строить на века, требуется дисциплина — в данном случае Web3 и не только.