Ba câu dạy tôi cách trở thành nhân viên bảo vệ ở Thâm Quyến

Nguồn gốc: GoPlus
Tác giả gốc: anymose

Fu Hang nói rằng anh ấy làm BA tại một công ty Fortune 500, tức là nhân viên bảo vệ. Khán giả cười phá lên, nhưng tôi không cười được, thậm chí còn muốn khóc.

Bởi vì tôi cũng từng làm BA.

Cả hai đều làm BA, nhưng anh ấy làm tại một công ty Fortune 500, còn tôi chỉ là nhân viên bảo vệ tại Công ty TNHH Sản phẩm thủ công kim loại Tanglang, thị trấn Xili, quận Nam Sơn, Thâm Quyến.

Chúng ta lẻn vào nhé!

Làm nhân viên bảo vệ không đòi hỏi nhiều. Fu Hang làm tại một công ty Fortune 500, nên anh ấy chỉ cần học hai câu: "Vâng thưa ngài!" và "Chào mừng chủ nhà về nhà!" Tôi không thể làm thế. Nhà máy của chúng tôi có nhiều quy tắc và tôi cần học ba câu, đó là:

· Bạn đang làm gì?

· Bạn không được phép vào đây!

· Đăng ký tại đây!

Tôi đã dành một tuần để học ba câu này và thậm chí còn viết tắt. Ví dụ, tôi đã bí mật viết câu đầu tiên là "GSM". Sau đó, khi tôi vào Web3, tôi đã phát hiện ra một vấn đề lớn: ngành công nghiệp này thực sự trần trụi, tại sao lại không có "phòng an ninh" để bảo vệ an ninh?

Cái gì?

Blockchain không ủng hộ khóa của bạn, không phải tiền của bạn và trao quyền tối cao về an ninh cho người dùng thông thường. Tất cả các trách nhiệm về an ninh cần phải được người dùng tự học và đảm nhận. Điều này giống như bạn đã xây dựng một cộng đồng và chủ sở hữu cần bảo vệ tài sản của chính họ, mà không cần nhân viên bảo vệ.

Điều này có hợp lý không?

Quá trình trộm cắp có thể được đơn giản hóa như sau: ủy quyền độc hại thụ động/chủ động, chuyển giao hoặc tương tác hợp đồng giao dịch - được gửi đến mạng mempool/xác minh thông qua ví/nút RPC - sổ cái có hiệu lực sau khi nút xác nhận và ba bước này đánh cắp tài sản của bạn. Sẽ dễ hiểu hơn khi áp dụng ví dụ về phòng an ninh, tức là trước tiên tìm cách xâm nhập vào cộng đồng/nhà máy, bỏ qua bảo vệ và chạy trốn.

Để ngăn chặn hành vi trộm cắp tài sản, giải pháp hiệu quả và cơ bản nhất là chặn nó trên chính blockchain. Tại sao? Bởi vì phương thức giao dịch quá phức tạp. Các ví, ứng dụng, nút RPC, loại giao dịch, v.v. khác nhau sẽ khiến mọi thứ trở nên phức tạp, nhưng tất cả các giao dịch đều đi vào bước thứ hai, tức là khi nút xác minh hoặc nhóm bộ nhớ được xử lý, quy trình đều giống nhau. Chúng ta nên chặn và chặn ở đây để ngăn chặn điều đó xảy ra.

Ai đang làm điều đó? @GoPlusSecurity—Một dự án blockchain tập trung vào bảo vệ mạng an toàn, cung cấp lớp bảo mật người dùng mô-đun Web3 mở, không cần cấp phép, do người dùng điều khiển. Giải pháp là gì? Đây là ba câu tôi đã nói với tư cách là một nhân viên bảo vệ, bạn còn nhớ không?

Mô-đun bảo mật GoPlus được viết tắt là GSM. Nếu bạn không nhớ, bạn có thể nhớ "cần làm gì", đây là cụm từ phổ biến nhất mà nhân viên bảo vệ sử dụng. Đây là mô-đun bảo mật gốc mới nhất do GoPlus ra mắt, có thể tích hợp liền mạch vào máy khách nút để phát hiện và chặn các giao dịch rủi ro cao theo thời gian thực nhằm bảo vệ an ninh tài sản.

Từ khóa: thời gian thực, gốc, đa hình, để tôi nói chi tiết về nó.

Tích hợp gốc

Nó không phải là API hay plug-in. GSM là mô-đun gốc có thể triển khai và nhúng vào máy khách nút. Nó chạy ở lớp nút và có thể tích hợp sâu với nhiều giao thức blockchain khác nhau. GoPlus vừa phát hành báo cáo phát lại giao dịch. Khi nút Chuỗi BNB được nhúng với GSM, 97 trong số 100 cuộc tấn công trong năm qua có thể bị chặn, với tỷ lệ thành công lên tới 97%! Nếu triển khai trong môi trường thực tế, chi phí sẽ là 22 triệu đô la Mỹ!

Những lợi ích của tích hợp gốc này trong máy khách nút là quá rõ ràng. Nếu kẻ trộm muốn vào nhà chủ nhà để lấy trộm đồ, trước tiên hắn phải đi qua phòng an ninh hoặc lưới bảo vệ. Trước khi có GSM, mọi người đều chạy khỏa thân. Về cơ bản, chỉ cần bạn mở cửa, tài sản của bạn chắc chắn sẽ bị đánh cắp. GSM có thể xác định và chặn trước các tài sản trước khi chúng vào nhóm bộ nhớ, điều này khiến kẻ tấn công khó vượt qua hơn so với ví truyền thống hoặc các giải pháp API.

Bảo vệ thời gian thực

Không thụ động mà là chủ động. GSM có thể thực hiện phân tích thời gian thực trên nhiều phương pháp tấn công khác nhau như tương tác địa chỉ đen, tấn công lừa đảo, tấn công MEV, lạm dụng Gas, ủy quyền rủi ro, giao dịch Pixiu, v.v., về cơ bản có thể bao phủ hầu hết các tình huống đe dọa của Web3.

Điều này đạt được như thế nào? Những người bạn cũ quen thuộc với GoPlus đều biết rằng họ đã tham gia vào Security Data Layer và Security Compute Layer trong một thời gian dài, có thể phân tích và phát hiện các mối đe dọa ở nhiều chiều. GSM dựa vào dịch vụ tự xác minh của GoPlus và nút SecWare AVS chạy mô phỏng giao dịch, phát hiện địa chỉ độc hại và các tác vụ khác để đảm bảo đánh giá rủi ro hiệu quả và chính xác.

Hỗ trợ đa hình

Bây giờ GSM đã được phát hành chính thức, về mặt lý thuyết, hầu hết các chuỗi EVM đều có thể được tích hợp liền mạch. Tiếp theo, người ta ước tính rằng Solana, Move chuỗi công khai, v.v. sẽ được tích hợp. Một ý nghĩa khác của đa hình là người dùng có thể thiết lập các chính sách bảo mật khác nhau theo các chuỗi khác nhau, các tình huống sử dụng khác nhau và các ví khác nhau, được gọi là tùy chỉnh.

Hiệu ứng thực tế là gì? Theo dữ liệu phát lại mà họ tiết lộ ở trên, tỷ lệ phát hiện đạt 97%. Chỉ cần 100 sự cố bảo mật trên BNBChain trong năm qua có thể tránh được khoản lỗ 22 triệu đô la Mỹ. Ngoài ra, mô-đun này lẻn vào nút và chạy hiệu quả. Độ trễ của mỗi giao dịch dưới 40ms và có thể chạy ổn định dưới áp lực 1000 TPS.

Trước GSM, bảo vệ an ninh được thực hiện như thế nào? Nói cách khác, sự khác biệt giữa GSM và bảo vệ truyền thống là gì? Ví và UI là hai tình huống bảo vệ an ninh phổ biến. Tôi sẽ đưa ra các ví dụ để minh họa cho chúng tương ứng.

Ví

Lấy ví OKX @wallet làm ví dụ, rất nhiều nỗ lực đã được thực hiện về mặt bảo mật. Là một ví không lưu ký, người dùng tự quản lý khóa riêng của họ cục bộ, vì vậy ví chỉ có thể phân tích giao dịch trước khi ký, sau đó nhắc nhở người dùng kiểm tra trên giao diện. Ví OKX cũng tích hợp một số API bảo mật, có thể phát hiện địa chỉ hoặc hợp đồng mục tiêu có nằm trong danh sách đen hay không, sau đó đưa ra cảnh báo.

Người dùng cũng có thể chủ động thực hiện một số kiểm tra rủi ro và phát hành, chẳng hạn như hiện cung cấp các chức năng như thu hồi ủy quyền rủi ro cao.

Tất cả đều tốt, nhưng nhược điểm chính là vẫn cần dựa vào các kỹ năng vận hành cơ bản và dự trữ kiến thức của người dùng. Nó thuộc về việc thông báo cho chủ sở hữu về các rủi ro có thể xảy ra và chủ sở hữu cần tự mình thực hiện các kiểm tra bảo mật và bảo vệ. Ngoài ra, về mặt kỹ thuật, nếu người dùng không hiểu về chống MEV và không bật chức năng này, nhiều giao dịch rủi ro cao có thể bị bỏ qua trực tiếp bằng cách kiểm tra này và không có cách nào.

Tất nhiên, nếu khóa riêng của bạn bị mất hoặc bị rò rỉ, thì ngay cả khi vua trên trời đến, bạn cũng không thể làm gì được.

UI

UI là giao diện, chỉ có thể sử dụng như một công cụ hỗ trợ, tương đương với các áp phích an toàn được dán trong cộng đồng. Phổ biến hơn là mỗi khi bạn ký, ủy quyền và xác nhận giao dịch, bạn sẽ được giải thích chi tiết và cảnh báo sẽ bật lên nếu có rủi ro.

Điều này quá khó khăn. Thật không thực tế khi để người dùng bình thường trở thành chuyên gia bảo mật trong thời gian ngắn. Lời nhắc của UI chỉ có thể hiển thị những lời nhắc đơn giản nhất, yêu cầu người dùng phải hiểu, bản thân điều này đã là vô lý.

Nhìn chung, GSM có thể chủ động chặn các giao dịch trước khi chúng vào nhóm bộ nhớ, mà không cần người dùng hiểu và can thiệp, điều này có thể bù đắp tốt cho những thiếu sót về khả năng chủ quan không đủ; vì nó chạy ở lớp nút, nên các cuộc tấn công khó có thể can thiệp vào hệ thống bằng cách giả mạo giao diện hoặc bỏ qua API, điều này cải thiện đáng kể tính bảo mật; so với độ trễ của API, tốc độ chạy ít hơn 40 mili giây và tên trộm đã bị hạ gục trước khi đến cửa.

Nếu bạn có thể đọc được điều này, tôi tin rằng bạn có cùng nghi ngờ với tôi, đó là, nhân viên bảo vệ tránh tham ô như thế nào? Đó là, cho dù GSM của bạn có mạnh đến đâu, nếu bạn làm điều xấu, thì chẳng phải nó sẽ phá hoại hơn sao? Nếu chính nhân viên bảo vệ trở thành kẻ trộm thì sao? Khi tôi nghiên cứu sâu về cách GSM xử lý vấn đề này, tôi đã cười lớn.

Hóa ra là công nghệ cao, không khác mấy so với công ty bảo mật của chúng tôi.

Đừng nói với tôi rằng GoPlus là một thương hiệu bảo mật lâu đời và đáng tin cậy. Tôi biết rằng các bạn đã phục vụ 20 triệu người dùng và hơn 1.500 ứng dụng sinh thái. Tôi cũng biết rằng các bạn đã vượt qua nhiều cuộc kiểm toán bảo mật và xác minh của bên thứ ba. Tôi muốn nghe điều gì đó mới mẻ, thực sự phi tập trung và không cần tin cậy.

Nó thực sự tồn tại.

Trước hết, đó là giám sát kỹ thuật. Giám sát này không phải là kiểm toán bảo mật, mà là hệ thống xác minh tự động phi tập trung SecWare AVS của GoPlus. Đây là một nút phân tán và giám sát bảo mật không được kiểm soát bởi một nút duy nhất. Điều này giống như sự luân phiên của công ty bảo mật của chúng tôi: để nhiều nhân viên bảo vệ giao nhau và thay phiên nhau làm nhiệm vụ và giám sát, hehe.

Ngoài sự giám sát kỹ thuật nội bộ, cộng đồng cũng là một phần quan trọng của GoPlus. Dựa trên mô hình kinh tế do $GPS thúc đẩy, các nhà phát triển, nhà điều hành nút và người dùng của hệ sinh thái có thể tham gia vào việc bảo trì và tối ưu hóa GSM, xác minh và đánh giá cơ sở dữ liệu mối đe dọa và mô hình AI thông qua Giao thức SecWare để đạt được tính minh bạch và công bằng.

Cuối cùng, tất cả đều quay trở lại với chủ sở hữu. GoPlus cũng hỗ trợ các chính sách bảo mật do người dùng xác định, nghĩa là các thành phần bảo mật có thể được chủ sở hữu lựa chọn, chẳng hạn như có nên chuẩn bị bình xịt chống sói an toàn và BB CALL một nút tại nhà hay không.

Tại sao tôi muốn trở thành nhân viên bảo vệ? Thực tế là tôi đã trượt trường top 2 trong kỳ thi tuyển sinh đại học đầu tiên của mình. Tôi đã từ bỏ bản thân và không muốn học nữa. Mẹ tôi đã gửi tôi đến nhà máy của chú tôi để cho tôi đau khổ. Chú tôi thực sự nghiêm túc. Ông ấy đã làm cho tôi đau khổ. Ông ấy không cho tôi làm việc trong văn phòng có máy lạnh, mà bắt tôi đứng ở cửa làm nhân viên bảo vệ…

Tôi làm việc hơn một tháng vì tức giận, rồi bỏ cuộc… Tôi quay lại học lại. Sau bao nhiêu năm, tôi vẫn nhớ ba quy tắc mà đội trưởng an ninh đã dạy tôi:

· Anh đang làm gì vậy? - Phát hiện mối đe dọa do AI điều khiển

· Anh không được phép vào đây! - Chặn các giao dịch trước khi chúng vào nhóm bộ nhớ

· Đăng ký tại đây! - Giám sát cộng đồng minh bạch

Đây là một bài báo khoa học phổ thông nhẹ nhàng. Qua bài viết này, bạn có thể hiểu cơ bản về những kiến thức sau:

· Kiến trúc bảo mật blockchain không đầy đủ

· Giải pháp kết thúc sáng tạo GSM

· Cách học nhanh để trở thành nhân viên bảo vệ (không

Bài viết gốc trích từ bài gửi và không đại diện cho quan điểm của BlockBeats

Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:

Nhóm Telegram đăng ký: https://t.me/theblockbeats

Nhóm Telegram thảo luận: https://t.me/BlockBeats_App

Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia