Мы привыкли к интуитивному представлению о том, что безопасность каким-то образом переплетается с секретностью. Мы держим наши пароли в секрете, а наши ценности спрятаны в сейфы. На протяжении десятилетий инженеры-программисты придерживались аналогичного подхода к кибербезопасности. Исходный код компьютерного программного обеспечения хранился в тайне. В случае обнаружения уязвимости выпускалось исправление безопасности. Это был и остается одним из взглядов на безопасность: “безопасность через неизвестность”, и мы должны быть уверены, что исправления, которые устанавливаются — без нашего ведома или согласия — на наши компьютеры и телефоны, будут делать то, что они должны делать.
Сторонники программного обеспечения с открытым исходным кодом придерживались радикально иной точки зрения. Они утверждали, что сделать код прозрачным и общедоступным означало бы, что разработчики могли бы пересматривать и улучшать код, и у них были бы стимулы для этого. В этих условиях проблемы безопасности могут быть выявлены, исправлены и проверены экспертами.
Ошеломляющий рост систем данных с открытым исходным кодом
С тех пор программное обеспечение с открытым исходным кодом получило широкое распространение на рынке. Хотя лишь небольшой процент пользователей запускает дистрибутивы Linux на своих ПК или ноутбуках, в фоновом режиме он незаметно питает большую часть Интернета. По оценкам, 96% из миллиона крупнейших веб-серверов в мире работают на Linux, который также обеспечивает 90% всей инфраструктуры облачных вычислений. Когда вы включаете в картину Android — форк Linux, работающий на более чем 70% смартфонов, планшетов и других мобильных устройств во всем мире, становится ясно, что современный интернет, каким мы его знаем, находится под огромным влиянием систем с открытым исходным кодом.
Конечно, повсеместное присутствие открытого исходного кода распространяется и на Web3. Публичные сети блокчейнов, включая как Биткойн, так и Эфириум, часто ссылаются на свои корни открытого кода.
Для обеспечения безопасности Web3 одной прозрачности недостаточно
Проблема в том, что большая прозрачность не обязательно обеспечивает большую безопасность. Несомненно, популярность Linux сотворила чудеса с открытым исходным кодом и, безусловно, повысила его безопасность. Но действительно ли много внимания уделяется блокчейн-коду?
Во многих отношениях тщательное изучение открытого исходного кода сродни общественному благу в экономике. Как и любой общедоступный ресурс, такой как чистый воздух или общественная инфраструктура, от этого выигрывают все. Однако у отдельных пользователей может возникнуть соблазн использовать ресурс, не внося свой вклад в расходы на его обслуживание. В этой аналогии “свободная езда” означает использование существующей кодовой базы при условии, что кто-то другой потратит усилия и время на проверку ее на наличие уязвимостей.
Прошлый год стал известен как год взломов поперечных цепных мостов. Эти взломы были явными предупреждающими знаками того, что масштабная и слабо скоординированная разработка якобы прозрачного Web3 все еще находится на острие ножа.
Плюсом сообщества разработчиков Web3 является их стремление делиться, внедрять и создавать. Недостатком является потенциальный огромный ущерб от "проблемы безбилетника". Предполагая, что на чужие решения можно положиться при смешивании и сопоставлении, поверхности атак и зависимости смарт-контрактов становятся слишком сложными для отслеживания.
Ловушка сложности
Смещение сложности - это термин, используемый для описания логической ошибки, при которой люди переоценивают полезность сложных концепций или решений по сравнению с более простыми альтернативами. Временами легко быть настолько ослепленным очевидной технической сложностью решения, что мы не перестаем задаваться вопросом, может ли быть более простой способ.
Поскольку блокчейн сложно понять, легко увлечься какой-то идеей, например, перекрестным мостом, и перевести ее сложность на другой уровень — давайте назовем его “сложным”.
Тем не менее, большинство блокчейн— проектов не сложны.
Согласно Harvard Business Review, сложные системы имеют “много движущихся частей, но они работают по шаблону”. Например, когда вы думаете об электросети для региона, очевидно, что она очень сложная и включает в себя множество составных частей. Тем не менее, части системы, как правило, действуют предсказуемым образом: когда вы щелкаете выключателем в своей гостиной, вы можете ожидать, что в подавляющем большинстве случаев будет светло. При правильном обслуживании сложные системы могут быть высоконадежными.
Напротив, сложные системы характеризуются функциями, которые “могут работать по шаблону, но взаимодействие которых постоянно меняется”. Такая интерактивность делает сложные системы более непредсказуемыми. Степень сложности системы определяется тремя ключевыми характеристиками: множественностью или количеством взаимодействующих элементов, степенью взаимозависимости элементов и степенью их разнообразия или гетерогенности.
В случае необходимости, почти все мосты и межцепочечные решения являются примерами очень сложных систем. Потери в результате взломов Wormhole и BSC bridge в 2022 году, составившие 325 миллионов долларов и 568 миллионов долларов соответственно, иллюстрируют относительную выгоду от использования эксплойта вместо его упреждающего исправления.
Сохраняйте простоту
Кажется, что Web3 должен быть сложным. Невозможно оценить истинный масштаб и масштабы новой экономической деятельности в будущем. Web3 ценности индивидуализма и экономической интеграции предполагают перестановки и комбинации, которые будут расти по мере рождения каждого человека. Кто знает, что впереди? Разве мы не должны принимать сложность?
Ну, и да, и нет.
Инфраструктура для Web3 не обязательно должна быть непредсказуемой. На самом деле, как и в случае с электросетью, было бы лучше, если бы этого не было.
Чтобы архитектура блокчейна стала более безопасной и по-настоящему прозрачной, нам необходимо преодолеть некоторые предубеждения, в которые нас заставили поверить. Прежде чем следовать новейшей тенденции, возможно, нам следует изучить существующий технический долг и стремиться к простоте или, самое большее, сложности. Требуется дисциплина, чтобы строить на века — в данном случае для Web3 и далее.
" 
