Hier ist eine natürlichere, gesprächigere Version, die die technische Tiefe beibehält, sich aber eher wie eine echte persönliche Analyse anhört als wie ein formeller Bericht.
Ich dachte, Newtons größtes Sicherheits-Feature sei sein Policy-Engine. Ich lag falsch.
Als ich zum ersten Mal anfing, über Newton Protocol zu lesen, ging ich davon aus, dass der wichtigste Teil der Architektur die Policy-Engine selbst sei.
Schließlich steckt dort die Logik für die Autorisierung. Operatoren werten Rego-Richtlinien aus, erzeugen kryptografische Beweise und der PolicyClient überprüft diese Beweise, bevor eine Transaktion ausgeführt werden darf.
Das schien das Herz des Systems zu sein.
Aber nachdem ich mehr Zeit mit der Dokumentation verbracht hatte, merkte ich etwas Wichtiges: Bevor überhaupt ein Operator eine einzelne Regel auswertet, passiert etwas anderes.
Eine Richtlinie muss zuerst in die Produktionsumgebung zugelassen werden.
Das hat meine Sicht auf N ewtons Sicherheitsmodell verändert.
Ein Entwickler kann eine Richtlinie bauen, lokal testen, Oracles anbinden, verschiedene Szenarien simulieren und alles für die Bereitstellung vorbereiten. Das bedeutet jedoch nicht automatisch, dass die Richtlinie reale Assets im Mainnet absichern kann.
Laut N ewtons Bereitstellungsdokumentation müssen Produktionsrichtlinien zuerst vom Newton-Team allowlisted werden.
Zunächst sah ich das als Einschränkung.
Dann wurde mir klar, dass das ein Problem löst, das allein durch Kryptografie nicht gelöst werden kann.
Dezentrale Operatoren können nachweisen, dass alle die gleiche Richtlinie korrekt ausgewertet haben.
Sie können nicht beweisen, dass die Richtlinie verantwortungsvoll geschrieben wurde.
Sie können nicht wissen, ob ein Entwickler versehentlich eine Regel erstellt hat, die jede Transaktion blockiert, etwas genehmigt, das nicht genehmigt werden sollte, von unzuverlässigen Daten abhängt oder sich unvorhersehbar verhält, wenn sich die Marktbedingungen ändern.
Konsens ist hervorragend darin, die Ausführung zu verifizieren.
Es ist nicht darauf ausgelegt, die Qualität von Richtlinien zu bewerten.
Darum habe ich angefangen, das Allowlisting als separate Sicherheitsebene zu betrachten – nicht nur als einen administrativen Schritt.
Mit anderen Worten: Newton sichert nicht nur, wie Richtlinien ausgeführt werden.
Außerdem versucht es, das Risiko zu verringern, welche Richtlinien überhaupt erst in die Produktion gelangen.
Dieser Unterschied wirkt wichtiger, als ich zunächst dachte.
Sie hebt außerdem etwas Interessantes an der Dezentralisierung hervor.
Viele nehmen an, dass, wenn die Ausführung dezentral ist, dann auch jede andere Komponente des Systems dezentral sein muss.
Aber Newton trennt diese Verantwortlichkeiten.
Entwickler können Richtlinien frei entwerfen.
Das Operator-Netzwerk bewertet die freigegebenen Richtlinien.
Die Blockchain verifiziert das Ergebnis.
Und bevor all das geschieht, gibt es einen Prozess zur Produktionszulassung, der entscheidet, welche Richtlinien tatsächlich Live-Assets schützen dürfen.
Jede Ebene löst ein anderes Problem.
Die Richtlinien-Engine konzentriert sich auf Autorisierung.
Operatoren achten auf eine konsistente Auswertung.
Kryptografische Beweise liefern eine nachprüfbare Ausführung.
Beim Allowlisting geht es um das Produktionsrisiko.
Keine dieser Ebenen ersetzt die andere – sie ergänzen sich.
Für ein Protokoll, das sich auf seiner Mainnet-Reise noch relativ früh befindet, ergibt dieser Ansatz tatsächlich praktisch Sinn.
Eine schlecht entworfene Autorisierungsrichtlinie könnte legitime Aktivitäten einfrieren, Transaktionen genehmigen, die nicht passieren sollten, oder unerwartete Ausfälle über Anwendungen hinweg verursachen.
Diese Probleme zu finden, bevor echte Nutzer betroffen sind, ist viel weniger teuer, als sie danach zu beheben.
Gleichzeitig wirft das auch Fragen auf, die meiner Ansicht nach mit dem Wachstum von Newton immer wichtiger werden.
Wird das Allowlisting immer ein teamverwalteter Prozess bleiben?
Könnten einige Teile der Richtlinienzulassung irgendwann dezentral werden?
Gibt es veröffentlichte Review-Standards, damit Entwickler genau wissen, was vor der Einreichung einer Richtlinie erwartet wird?
Könnten unabhängige Sicherheits-Audits Teil des Freigabeprozesses werden?
Wenn sich das Ökosystem ausweitet, werden diese Fragen wichtig, weil Vertrauen nicht nur durch kryptografische Beweise aufgebaut wird.
Es ist außerdem durch transparente Prozesse aufgebaut.
Eine Sache ist mir besonders aufgefallen: N ewtons Architektur stützt sich nicht auf einen einzigen Sicherheitsmechanismus.
Stattdessen schichtet es die Sicherheit in mehreren Phasen.
Entwickler schreiben Richtlinien.
Richtlinien werden vor der Produktion überprüft.
Operatoren werten sie unabhängig voneinander aus.
BLS-Signaturen erzeugen nachprüfbare Beweise.
Der PolicyClient prüft diese Beweise, bevor eine geschützte Transaktion weitergeht.
Jeder Schritt reduziert eine andere Kategorie von Risiko.
Je mehr ich mir das ansah, desto mehr wurde mir klar: Newton baut nicht einfach nur ein dezentrales Autorisierungsnetzwerk.
Es baut ein System auf, bei dem die Sicherheit vor der Ausführung beginnt, während der Auswertung weiterläuft und verifiziert wird, bevor eine Transaktion überhaupt stattfinden darf.
Für mich war das der größte Erkenntnisgewinn.
Die wichtigste Sicherheitsentscheidung ist möglicherweise nicht, wie genau eine Richtlinie ausgewertet wird.
Möglicherweise entscheidet es auch darum, welche Richtlinien überhaupt genug vertrauenswürdig sind, um in die Produktion zu gelangen.
