Источник: A16z
1. В этом году конфиденциальность станет важнейшим защитным барьером для криптопространства.
Конфиденциальность является ключевой особенностью глобальной миграции финансовых операций в блокчейн. Однако почти всем существующим блокчейнам эта функция не хватает. Для большинства блокчейнов конфиденциальность — это всего лишь второстепенный вопрос. Но сейчас сама по себе конфиденциальность достаточно привлекательна, чтобы выделить блокчейн среди конкурентов.
Конфиденциальность играет еще более важную роль: она создает эффект «цепной блокировки»; это можно назвать «сетевым эффектом конфиденциальности», особенно в мире, где одной лишь конкуренции за производительность далеко не достаточно.
Благодаря протоколам межсетевого взаимодействия, миграция с одной цепочки на другую не представляет труда, пока все данные находятся в открытом доступе. Однако, как только вы попадаете в зону конфиденциальности, ситуация кардинально меняется: передача токенов проста, но передача секретов — сложна. Всегда существуют риски при входе и выходе из зон конфиденциальности — те, кто отслеживает цепочки, мемпулы или сетевой трафик, могут вас идентифицировать. Пересечение границы между цепочками конфиденциальности и публичными цепочками (или даже между двумя цепочками конфиденциальности) может привести к утечке различных метаданных, таких как корреляция между временем и размером транзакции, что значительно упрощает отслеживание пользователей.
По сравнению со многими однородными новыми блокчейнами (комиссионные сборы которых могут быть сведены к нулю из-за конкуренции, поскольку пространство блоков стало в значительной степени однородным), блокчейны с поддержкой конфиденциальности могут иметь более сильные сетевые эффекты. В действительности, если у «универсального» блокчейна нет процветающей экосистемы, перспективных приложений или несправедливых преимуществ в распределении, то у пользователей или разработчиков мало причин использовать его или развивать на нем, не говоря уже о сохранении лояльности.
В публичных блокчейнах пользователи могут легко совершать транзакции с пользователями других цепочек, и выбор используемой цепочки не имеет большого значения. Однако в блокчейнах, ориентированных на конфиденциальность, выбор цепочки становится решающим, поскольку, присоединившись к ним, пользователь с меньшей вероятностью захочет покинуть сеть и рисковать раскрытием своей личности. Это создает ситуацию «победитель забирает всё». Поскольку конфиденциальность необходима для большинства реальных сценариев использования, несколько блокчейнов, ориентированных на конфиденциальность, могут доминировать на большей части криптовалютного рынка.
— Али Яхья (@alive_eth), генеральный партнер a16z crypto
2. Главная задача для социальных приложений в этом году: они должны не только противостоять квантовым атакам, но и быть децентрализованными.
Пока мир готовится к внедрению квантовых вычислений, многие социальные приложения, использующие шифрование (такие как Apple, Signal и WhatsApp), находятся на передовой. Проблема в том, что все основные инструменты мгновенного обмена сообщениями полагаются на наше доверие к частным серверам, управляемым одной организацией. Эти серверы крайне уязвимы для правительственных вмешательств, установки бэкдоров или принудительной передачи личных данных.
Какой смысл в «квантово-устойчивом шифровании», если государство может отключить ваш сервер, если у компании есть ключи от частного сервера или даже если компания просто владеет частным сервером?
Наличие частных серверов подразумевает доверие, тогда как их отсутствие означает отсутствие необходимости доверять кому-либо. Для общения не нужен ни один посредник. Мгновенный обмен сообщениями требует открытых протоколов, поэтому нам не нужно доверять никому.
Путь к достижению этой цели лежит через децентрализацию сети: отсутствие частных серверов, отсутствие единого приложения, полностью открытый исходный код и первоклассное шифрование (включая защиту от квантовых угроз). В открытой сети ни один человек, компания, некоммерческая организация или государство не могут лишить нас возможности общаться. Даже если страна или компания закроют приложение, на следующий день появятся 500 новых версий. Если узел будет закрыт, новый узел немедленно заменит его благодаря экономическим стимулам, предоставляемым такими технологиями, как блокчейн.
Всё изменится, когда люди будут владеть своими сообщениями с помощью закрытых ключей, подобно тому как они владеют деньгами. Приложения могут появляться и исчезать, но люди всегда будут контролировать свою информацию и личность; конечные пользователи будут владеть своими сообщениями, даже если они не являются владельцами приложений.
Это важнее, чем квантовая устойчивость и шифрование; речь идёт о праве собственности и децентрализации. Без того и другого мы просто создаём «нерушимую» криптографическую систему, которую можно отключить в любой момент.
— Шейн Мак (@ShaneMac), соучредитель и генеральный директор XMTP Labs
Это важнее, чем квантовая устойчивость и шифрование; речь идёт о праве собственности и децентрализации. Без того и другого мы просто создаём «нерушимую» криптографическую систему, которую можно отключить в любой момент.
— Шейн Мак (@ShaneMac), соучредитель и генеральный директор XMTP Labs
3. Концепция «секреты как услуга» сделает конфиденциальность ключевой инфраструктурой.
В основе каждой модели, агента и автоматизации лежит простая зависимость: данные. Но большинство современных конвейеров обработки данных — будь то входные или выходные данные для моделей — непрозрачны, изменчивы и не подлежат аудиту.
Для некоторых потребительских приложений это не проблема, но многие отрасли и пользователи (например, финансовый сектор и здравоохранение) требуют от компаний сохранения конфиденциальности конфиденциальных данных. Это также является серьезным препятствием, с которым в настоящее время сталкиваются учреждения, стремящиеся токенизировать реальные активы (RWA).
Итак, как нам добиться безопасных, соответствующих требованиям, автономных и глобально совместимых инноваций, одновременно защищая конфиденциальность?
Существует множество подходов, но я сосредоточусь на контроле доступа к данным: кто контролирует конфиденциальные данные? Как они перемещаются? И кто (или что) может получить к ним доступ? Без контроля доступа к данным любой, кто хочет обеспечить конфиденциальность данных, в настоящее время вынужден использовать централизованные сервисы или создавать собственные настройки. Это не только отнимает много времени и средств, но и мешает традиционным финансовым учреждениям в полной мере реализовать потенциал управления данными в блокчейне. По мере того, как системы ИИ-агентов начинают автономно просматривать, совершать транзакции и принимать решения, отдельным лицам и учреждениям в различных отраслях потребуются криптографические гарантии, а не просто «доверие на основе максимальных усилий».
Вот почему я считаю, что нам нужна услуга «Секреты как сервис»: предоставление программируемых, встроенных правил доступа к данным с помощью новых технологий; шифрование на стороне клиента; и децентрализованное управление ключами, определяющее, кто может расшифровывать какой контент, при каких условиях и в течение какого времени... и все это должно выполняться в блокчейне.
Благодаря интеграции проверяемых систем данных, секреты могут стать частью фундаментальной общедоступной инфраструктуры интернета, а не просто патчем на прикладном уровне для постфактумных исправлений. Это сделает конфиденциальность ключевой частью инфраструктуры.
— Аденийи Абиодун (@EmanAbio), директор по продуктам и соучредитель Mysten Labs
4. Тестирование безопасности будет эволюционировать от принципа «код — это закон» к принципу «стандарты — это закон».
Взломы, произошедшие в прошлом году в сфере децентрализованных финансов (DeFi), затронули некоторые проверенные временем протоколы с сильными командами, тщательными аудитами и многолетним опытом работы. Эти инциденты выявили тревожную реальность: существующие стандартные методы обеспечения безопасности по-прежнему в значительной степени носят эвристический характер и применяются в каждом конкретном случае индивидуально.
Для дальнейшего развития в этом году безопасность DeFi должна перейти от «поиска уязвимостей» к «атрибутам на уровне проектирования», а от подхода «максимальных усилий» к «принципиальному» подходу.
На статическом этапе/этапе перед развертыванием (тестирование, аудит, формальная верификация) это означает систематическое доказательство «глобальных инвариантов», а не проверку вручную выбранных локальных переменных. В настоящее время несколько команд разрабатывают инструменты доказательства с использованием ИИ, которые могут помочь в написании спецификаций, предложении инвариантов и выполнении ранее дорогостоящей работы по ручному проектированию доказательств.
На этапе динамического развертывания (мониторинг во время выполнения, обеспечение выполнения во время выполнения и т. д.) эти инварианты могут быть преобразованы в механизмы контроля в реальном времени — последнюю линию защиты. Эти механизмы контроля записываются непосредственно в виде утверждений во время выполнения, и каждая транзакция должна удовлетворять этим условиям.
Теперь, вместо того чтобы предполагать, что все уязвимости обнаружены, мы обеспечиваем соблюдение ключевых атрибутов безопасности в самом коде и автоматически отменяем любые транзакции, нарушающие эти атрибуты.
Это не просто теория. На практике почти все эксплойты на сегодняшний день запускали эти проверки во время выполнения, предотвращая таким образом взлом в источнике.
Таким образом, некогда популярный принцип «Код — это закон» трансформировался в «Спецификация — это закон»: даже новые атаки должны соответствовать атрибутам безопасности, обеспечивающим целостность системы, так что остальные атаки либо незначительны, либо чрезвычайно сложны в осуществлении.
— Дэджун Пак (@daejunpark), команда разработчиков криптовалют a16z
Все комментарии