Интервью с Eve Lam, CISO Трастового кошелька: доверие к кошельку не основано на лозунгах, а обеспечивается независимым аудитом для защиты активов пользователей

Ив Лам, директор по информационной безопасности (CISO) Trust Wallet, рассказывает, как она привносит суровость традиционных финансов в мир Web3. (Синопсис: ретвит CZ взорвал токен Trust Wallet TWT взлетел на 40%; Меч отсылает к эпохе 1 миллиарда пользователей Web3) (Справочное дополнение: Что такое WaaS «кошелек как услуга», запущенный Trust Wallet, и анализ преимуществ и недостатков, может ли он стать мейнстримом в будущем? На рынке криптовалют доверие является более дефицитным активом, чем цена монеты. Когда взлом и давление со стороны регулирующих органов становятся нормой, как можно обеспечить, чтобы кошельки стали последней линией защиты активов пользователей? Мы рады взять интервью у директора по информационной безопасности (CISO) Trust Wallet Ив Лам, ветерана безопасности с 12-летним стажем, которая работала в традиционном финансовом гиганте Morgan Stanley на Уолл-стрит, чтобы поделиться тем, как она привносит строгость традиционных финансов в мир Web3 и рассказывает, как Trust Wallet построил поддающуюся проверке крепость доверия для более чем 200 миллионов пользователей по всему миру с помощью искусственного интеллекта, политики открытого исходного кода и сертификации по международным стандартам. От Уолл-стрит до Web3, безопасность становится динамичной: Прежде всего, нам интересно узнать о вашем опыте. У вас был большой опыт работы в Web2 до того, как вы присоединились к Web3, что заставило вас решиться на эту новую сферу? Ив Лам: Конечно, меня зовут Ив Лам, и в настоящее время я являюсь директором по информационной безопасности в Trust Wallet. За три года, прошедшие с момента присоединения к Binance и Trust Wallet, моя карьера была посвящена тому, чтобы соединить традиционные финансы и децентрализованный мир. До этого я 12 лет проработал в Morgan Stanley, инвестиционном банке в Нью-Йорке, в качестве руководителя отдела архитектуры безопасности, и могу сказать, что очень хорошо знаком с ландшафтом безопасности Web2. Около четырех лет назад у меня появилась огромная вера в криптовалюты, и мне посчастливилось получить возможность присоединиться к Binance. Честно говоря, в то время я был новичком в безопасности Web3, но с тех пор, как присоединился к Trust Wallet, я каждый день учусь у ведущих экспертов по безопасности, разбираясь с большим количеством инцидентов безопасности, хакерских атак и узнавая из бесчисленных случаев мошенничества, как защитить наших пользователей и даже помочь им вернуть свои средства. Это то, чем я занимаюсь сейчас. В основе безопасности Web3: «Доверие» должно быть не просто слоганом Динамика: Как директор по информационной безопасности Trust Wallet, как вы видите, что безопасность Web3 станет ключевой проблемой в 2025 году? Ив Лам: «Trust Wallet ставит безопасность на первое место, потому что наши клиенты используют наши кошельки, основанные на доверии. Если это небезопасно, средства будут под угрозой, и они не должны использовать какие-либо небезопасные кошельки». Я думаю, что безопасность проявляется на двух основных уровнях. Первая — это защита пользователей, особенно новичков. Trust Wallet привлекает большое количество новых пользователей своим чистым и простым в использовании интерфейсом, но они также наиболее уязвимы для мошенничества. Web3 полон всевозможных подводных камней, от «токенов-приманок» до различных фишинговых афер. Именно поэтому мы разработали функцию под названием Security Scanner, которая работает как второй пилот, и когда пользователь пытается взаимодействовать с подозрительным адресом или контрактом, появляется предупреждение: «Эй, пожалуйста, не отправляйте деньги незнакомцам или мошенникам». Наша цель — дать всем пользователям, как ветеранам, так и новичкам, свободу исследовать возможности Web3 в безопасной среде. “Нам не нужно 'доверять брату моему'”, три линии обороны для закрепления рва Динамическое развитие: Помимо защиты пользователей от внешних угроз, как обеспечить безопасность самого Trust Wallet? В последнее время складывается впечатление, что хакерам подверглись и другие игроки отрасли. Ив Лам: Да, сама система защиты – это наша вторая линия обороны. Всего несколько дней назад мы узнали, что исходный код наших одноранговых узлов был подделан хакерами, в результате чего пострадали пользователи. Для того чтобы этого не произошло, мы приняли крайне строгие меры. Trust Wallet проходит в среднем 40 аудитов безопасности в год ведущими мировыми экспертами по безопасности и «белыми хакерами», которые перепроверяют наш исходный код, чтобы убедиться в отсутствии уязвимостей, которыми можно воспользоваться. Наконец, и это самое важное, мы принимаем нормативные стандарты. Несмотря на то, что пространство DeFi еще не полностью урегулировано, мы продвинулись в развертывании и получили две международные сертификации: ISO 27001 (Управление информационной безопасностью) и ISO 27701 (Управление конфиденциальной информацией). Это означает, что операционные процессы Trust Wallet, как с точки зрения безопасности, так и защиты конфиденциальности, соответствуют самым высоким международно признанным стандартам. Динамика: Похоже, что это не распространено в отрасли, так почему же Trust Wallet выбрал более жесткий, но более податливый путь? Ив Лам: Доверие, которое мы хотим построить, поддается проверке. Вот почему мы сделали три ключевые вещи: во-первых, мы открыли исходный код, чтобы любой, у кого есть опасения по поводу нашей системы, мог увидеть его сам и доказать, что мы не скрываем никаких бэкдоров. Во-вторых, мы нанимаем независимых аудиторов ISO, чтобы проверить, как мы работаем, и продемонстрировать, что мы честно ставим безопасность и конфиденциальность наших пользователей на первое место. «В Web3 многие игроки с некастодиальными кошельками просто говорят: «Доверься мне, братан». Но мы придерживаемся принципа нулевого доверия и не просто на словах признаемся, что нам доверяют, но и нанимаем ряд независимых аудиторов из Европы, США и Азии, чтобы они подготовили отчеты о том, что Trust Wallet заслуживает доверия». Сторонние доказательства гораздо более мощны, чем наша собственная пропаганда. Конечно, мы тоже скажем, что мы хорошие, но мы предпочитаем, чтобы нас поддерживали эксперты со всего мира. AI's Invisible Bodyguard: Моделирование торговли, раннее предупреждение о рисках Динамическая динамика: Вы упомянули использование решений безопасности на основе искусственного интеллекта, таких как обнаружение угроз в режиме реального времени, как это работает? Ив Лам: ИИ в основном работает за кулисами, и пользователи часто его не замечают. Наш ИИ включается, когда пользователь готов подключить кошелек к фишинговому сайту или вредоносному DApp и готов подписать транзакцию. Он «моделирует» исход транзакции и немедленно предупреждает пользователя при обнаружении какой-либо вредоносной или подозрительной активности, например, перевода средств на известный мошеннический адрес. Важность ИИ заключается в том, что методы мошенничества чрезвычайно сложны, и сложно судить о том, хороши они или плохи, просто глядя на смарт-контракты. Мы сотрудничаем с рядом поставщиков систем безопасности, чтобы создать обширную «сеть анализа угроз». ИИ изучает модели мошенников на основе поведения сотен миллионов пользователей (не только пользователей Trust Wallet) и присваивает оценки риска, такие как «очень опасный», «умеренно рискованный» или «безопасный». Это похоже на коллективную иммунную систему, где мы обмениваемся разведданными и вместе боремся с хакерами. Новая глава в RWA: покупка «акций Huida» в кошельке Динамика: Trust Wallet недавно запустил функцию реальных активов (RWA), которая позволяет пользователям получать доступ к токенизированным акциям или ETF прямо в приложении. Что означает это объявление для соединения традиционных финансов с Web3? Ева Л…