Ексклюзивне інтерв'ю з CISO Trust Wallet Івом Ламом: довіра до гаманця не базується на гаслах, а захищає активи користувачів за допомогою незалежного аудиту

Єва Лам, директор з інформаційної безпеки (CISO) Trust Wallet, розповідає, як вона привносить суворі вимоги традиційних фінансів у світ Web3. (Синопсис: ретвіт CZ підірвав токен Trust Wallet TWT злетів на 40%; Меч відноситься до епохи 1 мільярда користувачів Web3) (Довідкове доповнення: Що таке WaaS «гаманець як послуга», запущений Trust Wallet, і аналіз переваг і недоліків, чи може він стати мейнстрімом у майбутньому? На ринку криптовалют довіра є більш дефіцитним активом, ніж ціна монети. Коли хакерські атаки та регуляторний тиск стають нормою, як можна гарантувати, що гаманці стануть останньою лінією захисту активів користувачів? Ми раді взяти інтерв'ю у директора з інформаційної безпеки Trust Wallet (CISO) Єви Лам, 12-річного ветерана безпеки, яка працювала в традиційному фінансовому гіганті Morgan Stanley на Уолл-стріт, щоб розповісти, як вона привносить строгість традиційних фінансів у світ Web3 і розкриває, як Trust Wallet побудував перевірену фортецю довіри для більш ніж 200 мільйонів користувачів у всьому світі за допомогою штучного інтелекту, політики відкритого коду та сертифікації міжнародних стандартів. Від Уолл-стріт до Web3 безпека стає динамічною: перш за все, нас цікавить ваш бекграунд. У вас було багато досвіду в Web2 до того, як ви приєдналися до Web3, що спонукало вас прийняти рішення увійти в цю нову сферу? Єва Лам: Звичайно, мене звати Єва Лам, і зараз я обіймаю посаду директора з інформаційної безпеки в Trust Wallet. За три роки, що минули з моменту приєднання до Binance та Trust Wallet, моя кар'єра була присвячена поєднанню традиційних фінансів та децентралізованого світів. До цього я провів 12 років у Morgan Stanley, інвестиційному банку в Нью-Йорку, на посаді керівника відділу архітектури безпеки, і можу сказати, що дуже добре знайомий із ландшафтом безпеки Web2. Близько чотирьох років тому я розвинув величезну віру в криптовалюти, і мені пощастило, що мені дали можливість приєднатися до Binance. Чесно кажучи, на той час я був новачком у безпеці Web3, але з моменту приєднання до Trust Wallet я щодня вчуся у провідних експертів з безпеки, обробляючи велику кількість інцидентів безпеки, хакерських атак і вчачись на незліченних випадках шахрайства, як захистити наших користувачів і навіть допомогти їм повернути свої кошти. Цим я зараз і займаюся. В основі безпеки Web3: «Довіра» має бути не просто слоганом Динаміка: Як CISO Trust Wallet, як ви бачите, що безпека Web3 стане ключовим питанням у 2025 році? Eve Lam: "Trust Wallet робить безпеку головним пріоритетом, тому що наші клієнти використовують наші гаманці на основі довіри. Якщо це не безпечно, кошти будуть під загрозою, і вони не повинні використовувати небезпечні гаманці». Я думаю, що безпека проявляється на двох основних рівнях. Перший – це захист користувачів, особливо новачків. Trust Wallet приваблює велику кількість нових користувачів своїм простим, простим у використанні інтерфейсом, але вони також найбільш вразливі до шахрайства. Web3 сповнений усіляких підводних каменів, від «токенів honeypot» до різних фішингових шахрайств. Ось чому ми розробили функцію під назвою Security Scanner, яка діє як другий пілот, і коли користувач намагається взаємодіяти з підозрілою адресою або контрактом, з'являється попередження: «Гей, будь ласка, не надсилайте гроші незнайомцям або шахраям». Наша мета — надати всім користувачам, як ветеранам, так і новачкам, свободу досліджувати можливості Web3 у безпечному середовищі. "Нам не потрібно “довіряти своєму брату”, три лінії захисту для зміцнення рову Динамічний розвиток: Крім захисту користувачів від зовнішніх загроз, як забезпечити безпеку самого Trust Wallet? Останнім часом, схоже, зламали й інших гравців індустрії. Єва Лам: Так, система захисту сама по собі є нашою другою лінією оборони. Лише кілька днів тому ми почули, що вихідний код наших колег був підроблений хакерами, що призвело до впливу на користувачів. Для того, щоб цього не сталося, ми вжили надзвичайно жорстких заходів. Trust Wallet проходить в середньому 40 аудитів безпеки на рік провідними світовими експертами з безпеки та “білими хакерами”, які двічі перевіряють наш вихідний код, щоб переконатися у відсутності вразливостей, які можна експлуатувати. Нарешті, і це найважливіше, ми приймаємо нормативні стандарти. Хоча сфера DeFi ще не повністю регулюється, ми просунулися вперед і отримали дві міжнародні сертифікації: ISO 27001 (управління інформаційною безпекою) та ISO 27701 (управління конфіденційною інформацією). Це означає, що операційні процеси Trust Wallet, як з точки зору безпеки, так і з точки зору захисту конфіденційності, відповідають найвищим міжнародно визнаним стандартам. Динаміка: Здається, це не поширене явище в галузі, так чому ж Trust Wallet вибрав більш жорсткий, але більш відповідальний шлях? Єва Лам: Довіру, яку ми хочемо побудувати, можна перевірити. Ось чому ми зробили три ключові речі: по-перше, ми відкрили вихідний код, щоб будь-хто, хто має занепокоєння щодо нашої системи, міг побачити його самостійно та довести, що ми не приховуємо жодних бекдорів. По-друге, ми наймаємо незалежних аудиторів ISO, щоб вони перевірили, як ми працюємо, і продемонстрували, що ми чесно ставимо безпеку та конфіденційність наших користувачів на перше місце. «У Web3 багато гравців некастодіальних гаманців просто кажуть: «Повір мені, братан». Але ми дотримуємося принципу нульової довіри, і ми не просто говоримо про те, що нам довіряють, але й наймаємо низку незалежних аудиторів з Європи, Сполучених Штатів та Азії, щоб вони випустили звіти про те, що Trust Wallet заслуговує на довіру». Сторонні докази набагато потужніші, ніж наша власна пропаганда. Звичайно, ми також скажемо, що ми молодці, але ми вважаємо за краще, щоб нас підтримували експерти з усього світу. Невидимий охоронець штучного інтелекту: імітація торгівлі, раннє попередження про ризики Динамічна динаміка: Ви згадували про використання рішень безпеки на основі штучного інтелекту, таких як виявлення загроз у реальному часі, як це працює? Єва Лам: Штучний інтелект здебільшого працює за лаштунками, і користувачі часто цього не помічають. Наш штучний інтелект спрацьовує, коли користувач готовий підключити гаманець до фішингового веб-сайту або шкідливого DApp і готовий підписати транзакцію. Він «моделює» результат транзакції та негайно попереджає користувача у разі виявлення будь-якої зловмисної або підозрілої активності, наприклад, переказу коштів на відому шахрайську адресу. Важливість ШІ полягає в тому, що методи шахрайства надзвичайно складні, і важко судити про те, хороші вони чи погані, просто подивившись на смарт-контракти. Ми співпрацюємо з низкою постачальників систем безпеки, щоб створити величезну мережу аналізу загроз. Штучний інтелект вивчає моделі шахрайства за поведінкою сотень мільйонів користувачів (не тільки користувачів Trust Wallet) і дає такі оцінки ризику, як «дуже небезпечний», «помірно ризикований» або «безпечний». Це як колективна імунна система, де ми ділимося інтелектом і разом боремося з хакерами. Новий розділ у RWA: купівля «акцій Huida» у вашому гаманці Динаміка: Trust Wallet нещодавно запустив функцію реальних активів (RWA), яка дозволяє користувачам отримувати доступ до токенізованих акцій або ETF безпосередньо в додатку. Що означає це оголошення для підключення традиційних фінансів до Web3? Єва Л…