Web3安全信任問題層出不窮，聚焦行業解決新方案-ODAILY_WEB

以下是本次線上沙龍的文字版整理。

Cassiel：請各位嘉賓進行簡單的自我介紹。

張曉：大家好，很高興今天能夠跟大家一起進行Web3安全問題的有關討論。簡單介紹一下，zCloakNetwork是一個基于零知識證明的數字身份及隱私保護的基礎設施，我們希望在Web3時代能夠真正把用戶數據自主權歸還給用戶，圍繞這個理念，zCloak已經開發并實現了用戶可自主控制的DID、可驗證數字憑證、數字身份錢包以及本地零知識證明計算等一系列基礎設施。今晚也希望能跟大家深度討論下我們的另一個新產品—ValidID，它能夠如何幫助大家避免和預防Web3的詐騙。

Tom:感謝zCloak的邀請，我是香港理工大學工商管理學院金融科技中心旗下的數字資產智庫DATT的負責人。我個人背景是金融行業，曾經在紐約香港的投行工作過，目前在做對沖基金的管理，區塊鏈是目前我博士在讀的研究方向。而數字資產智庫是希望能夠挖掘和研究整個亞洲地區的數字資產和信息技術產業的現狀，通過與行業的專家學者探討如何用區塊鏈技術去解決經濟、社會發展中的實際問題。同時我們也會定期與行業內政策制定者共享討論成果，例如香港金管局，香港基金會，投資推廣署以及數碼港等。最后我們希望通過DATT，能夠為行業提供更多交互交流的機會。

Turing:大家好，我是LegalDAO的聯合創始人圖圖。LegalDAO目前正在做一個基于全球律師資源的Web3合規產品。希望能夠深度參與到Web3的建設中去，同時也希望能為大家提供全球化的法律服務。我們一直在不斷融入Web3的新興技術包括底層的技術以及AI技術，來更好地為用戶提供法律支持。除此之外，我們也結識了行業內很多朋友，例如zCloak等，期待今天跟大家繼續學習和討論相關問題！

Adam：各位嘉賓晚上好，我是SharkTeam的聯合創始人Adam。SharkTeam主要是做Web3安全相關的產品，一方面是智能合約審計，另一方面是鏈上安全分析包括鏈上風險的安全預警、鏈上交易和地址的監測分析以及安全研報等，同時SharkTeam也持續為Web3的項目和公司提供安全服務。很高興能夠參與今天的討論！

Cassiel：Web3的安全問題會對各自領域產生什么影響？近期甚至一直以來都存在大量的Twitter及Tg賬號被盜事件，這些事件對Web3用戶們最直接的威脅是數字資產安全問題，剛好Tom所帶領的香港理工大學數字資產智庫一直在探索和研究數字資產和當前的信息技術產業，那么就先請Tom結合相關經驗分享下您的看法？

Tom：之前我在投行做了很多Web2的項目，從Web2的角度來看，問題主要出現在應用邏輯和數據層面。而Web3則不同于Web2，Web3的去中心化應用有很多模式，例如跨鏈、身份、錢包等。這種不斷的交互和創新確實容易在某些場景下滋生安全問題。同時，公私鑰技術和數字錢包的廣泛應用可以保護Web3用戶的數據自主權，保證交易過程的透明和不可篡改性，但這里就會出現一個安全問題，當一些DApp和協議升級后，我們如何去保護用戶的數據和隱私安全。通過我們的研究發現，Web1和Web2的安全問題的解決受制于工具都相對初級，而對于Web3來說，最大的問題在于交易的安全問題似乎無法在預防層面進行解決，因為交易一旦執行就很難被改變，而根據我們的研究和經驗來說，安全的思路一般都是建立機制去驗證交易是否具備安全的條件，所以也想跟各位專家請教下如何在技術層面對這些系統性的弱點進行預防來抵抗一些有組織性的攻擊行為？包括加密原生、智能合約漏洞等問題。特別是以下幾個方向：第一個是漏洞的數據，第二是如何做安全決策設計，第三是認證和簽名，最后一個是在當下如此多類型的DID和Wallet中，如何使密鑰的管理使用更為順暢、使用戶體驗更為絲滑？所以我認為在吸取了Web1和Web2的經驗后，其實我們能在Web3中做的事情有很多，這也是DATT一直在思考和探索的問題。

科技巨頭戴爾推出Web3全球忠誠度計劃:金色財經報道，科技巨頭戴爾宣布與Web3數據云服務提供商Oort合作推出一項具有去中心化數據存儲的全新忠誠度計劃“Dell Rewards”，該Web3全球忠誠度計劃于2023年7月7日最先向加拿大客戶開放，再從7月26日起向美國用戶開放，然后將向來自世界其他地區的超過1000萬客戶開放。

據悉，戴爾最新推出的去中心化存儲服務對于Web2用戶來說更容易訪問，不需要了解Web3復雜性即可享受隱私、安全和成本效率，并支持與其他Web3應用程序和服務無縫集成，讓用戶提供隨時隨地完全控制自己的數據。[2023/7/7 22:24:33]

Cassiel：接下來請Adam從安全服務的角度談下您的看法。

Adam：坦白講雖然目前Web3的發展十分迅猛，但它其實依舊處于一個很早期的階段，主要體現在三個地方，第一個是業務形態很早期，大家比較熟悉的DeFi，雖然它在Web3已經是比較古老的詞了，但它發展到現在也只有兩年多的時間，那么一些新的業態比如NFT、GameFi，以及近期興起的衍生品等等，這業態的快速發展發就會帶來一些業務層面風險和安全問題。所以對于Web3來說，如此多的業務形態必然不能只依靠某一個技術去解決所有的安全問題。基于Web3的多業務模式，它的安全防范問題還是應該以系統工程的方式來做。正是由于其發展迅速且創新性強的業務模式，導致攻擊點更為廣泛和開放，比如私鑰、跨鏈基礎設施、錢包、身份安全都可以被攻擊到。因此對于項目方，第一個要考慮的就是在業務設計的早期就應該像Web2一樣引入業務安全建模的理念，把業務層面的風險規劃并分割出來。

第二個從技術角度來說，項目方要有規范化的開發實踐技術流程，項目方在上線前，要有代碼凍結意識。否則經過后期的多次修改更正，開發者會無意識引入很多安全漏洞，這會產生一些無法防范的安全問題。目前對很多項目方和開發人員來說，他們可能會覺得智能合約審計，DID身份隱私安全等就是安全問題的全部了，但對于一個項目，這些只是一部分。

最后一個方面是運營及應急響應層面，很多項目在深夜被攻擊后，盡管我們發現了，但晚上聯系不到項目方，只能眼看著項目被攻擊，用戶資產被黑客盜走，應急響應和安全運營是慢半拍的，包括產生安全事件后聯系資產凍結還是還是聯系其他生態的合作伙伴的阻斷動作，都很慢。這也是因為沒有建立一個完善的運營和應急響應體系。最后，目前Web3的發展很迅速，但不管是從業務形態、技術層面還是運營及應急響應層面來說，都沒有建立起完善的安全體系，這也需要我們后續共同努力去建設。

Cassiel：Adam分別從技術和業務角度以及運營和應急響應的角度來分享了他的看法，接下來大家可以進行簡單的討論，也請張老師和Turing針對Tom提出的相關問題做一些回答。

Turing：我做一個簡單的補充，大家之前聊的系統性的安全問題已經很多了，那LegalDAO可以從法律的角度給大家一些想法。大家可能奇怪為什么目前基于Web3的一些法律相關事情推進一直很緩慢，其實是因為傳統的金融人和法律人接觸區塊鏈這種新興技術的時間相對較短，因此對于目前Web3發生的各種安全問題以及后續的責任追究都沒有一個標桿性的依據去執行，或者說很難有一個共識讓大家去維護。分析下來，我認為身份系統的缺位是導致Web3法律行業發展緩慢的一個核心原因。在Web3中，換個地址這個人可能就找不到了，但在Web2里，只要有身份證就能找到這個人，所以最大的區別還是在于Web3相較于Web2的身份系統缺位。導致整個Web3世界里無法建立起一個完整的獎懲機制和生意系統，包括信譽聲譽也無法有效積累。因此對于Web3的法律行業來說，我認為與zCloak這樣的伙伴合作，逐漸建立起一個基于隱私保護的身份認證系統是一個很好的接入口。接下來也想聽聽張老師的想法。

上海：加快“元宇宙”技術體系化突破 主攻沉浸式技術與Web3技術:金色財經報道，上海市科學技術委員會近日印發《上海市“元宇宙”關鍵技術攻關行動方案（2023—2025年）》，其中提出，要以沉浸式技術與Web3技術為兩大主攻方向，以自主創新和開放協同為推進路徑，著力提升“元宇宙”領域科技自立自強能力。要在原創性引領性科技攻關取得重要進展。人工智能生成內容（AIGC）、空間計算、智能編碼、高性能低功耗微顯示、多模傳感、Web3網絡操作系統、跨尺度采集重建、腦機接口等戰略前沿與關鍵技術不斷取得新突破，圍繞智能終端、內容制作、云平臺等形成30項以上具有重要影響力的核心技術與產品，推進“元宇宙”創新鏈、產業鏈、價值鏈向高端邁進。[2023/6/18 21:45:48]

張曉：感謝圖圖和其他嘉賓的分享，我個人很受啟發，首先先回應一下Tom之前提到的幾個問題，區塊鏈這樣的基礎設施目前承載了很高的價值，無論是穩定幣等其他金融資產還是現實世界資產上鏈等，但整體的資產安全和投資者保護這方面的確存在很大問題。對于區塊鏈行業，大家很熟悉一句話“Notyourkey,notyourcoin."，私鑰不受你掌控的話，那么大概率錢也不會完全是你的。以及鏈上交易以及基于智能合約的一些基礎設施，當一筆交易或者一個區塊產生后，想要撤回它們的難度極大，除非進行硬分叉，但是代價極高，這就要求我們在這樣的環境下審慎地使用自己的賬戶進行交易。

之前Tom提到了錢包的問題，我認為錢包是這個行業里極其重要的基礎設施。它主要是用來管理我們的私鑰，而私鑰的安全性又決定了我們的資產安全，但目前加密錢包的實用性并不理想。對于沒有一定計算機知識背景的普通人來說，一些諸如公鑰、私鑰、助記詞、派生路徑等的專業術語足以讓他們暈頭轉向，這無形中提高了加密錢包的使用門檻，然而加密錢包本身理應是面向大眾的。所以目前有很多新一代錢包試圖去簡化用戶使用體驗，此類在應用性上的改進是很不錯的，但其實安全性和應用性在某種程度上來說是矛盾的——通常使用起來越簡單便捷的東西，安全性都會打折扣。例如從控制私鑰的角度來說，私鑰控制權完全在用戶手中和部分在用戶手中的安全性一定是不同的。因此對于錢包行業，我們確實看到了一些進展，但相關的安全性還要經受時間的檢驗才能確定。

另一個Tom提到的鏈上資產安全問題，現在除了原生的加密行業資產，慢慢還有很多真實世界資產正在上鏈，不管是哪種資產，可能是一種Token最終以在鏈上以智能合約的形式展現，也可能是一個NFT，甚至是現實世界里的100t石油，這些資產上鏈后的歸屬、審計、安全、保險，以及從法律層面上誰來為它做背書，都很重要。因此鏈上資產真實性的認證和認定是十分有必要的。

Adam也提到了安全問題是個整體問題，并不是解決掉智能合約的安全問題就代表解決掉了整個安全問題，更何況可能智能合約層面的安全都尚未被解決。一個智能合約審計結束后上鏈，但后續更新了，大部分人分不清正在跑的智能合約是否是審核后的智能合約。尤其在審計層面上，審計的代碼可能是A代碼，但項目方真正部署在鏈上的是B代碼，一般人無法區分到底是哪個代碼。在這里我們zCloak提出了一個比較新的概念，就是鏈上資產或者說鏈上合約的身份。比如一個智能合約經過SharkTeam的審計后上鏈，這個通過審計的合約在運行過程中能否同時展示出其對應的審計信息，或者我們能否通過某種方式去追溯一個正在鏈上運行的智能合約是否已經通過審計了。同理，某個鏈上的資產，能否也通過這種形式來對其審計結果進行展示和交互。因此我們會發現，鏈上的安全問題最后還是回到了身份。任何智能合約和資產都可以有身份，那么誰為其身份進行有效公證和背書，在哪里展示出來，以什么形式展示，如何讓用戶驗證，這些都是我們在行業和技術發展過程中需要解決的很有意思的問題。

Binance Labs正計劃建立一個Web3開發者社區:9月9日消息，據官方推特，Binance Labs正計劃建立一個Web3開發者社區，不過具體信息尚未透露。[2022/9/9 13:18:54]

Tom：針對剛剛各位提到的幾點，我也有一些問題想要延伸一下。第一個是剛剛張老師提到的智能合約身份認定，但目前Web3有很多不同的審計公司，不同審計公司在技術層面有什么不同？一般的項目是否以及為何需要多家審計公司進行審計？能否有可能有一個國際通行的審計標準？第二個問題是結合Turing和Adam剛剛提到的，法律和技術來說，法律是不是永遠是滯后的？如果是滯后的，如何保證我們的技術是符合監管的？因為目前我們一直在跟香港的監管部門進行溝通，穩定幣、交易所以及真實資產等問題，但發現目前的法律監管力度是不夠的，最領先的可能就是歐洲剛出臺的穩定幣及其他貨幣監管制度，但仔細研究它的條例后發現，它是無法滿足Web3世界本質的創新性的，所以我們該如何保證Web3創新性、法律監管和安全技術的三者之間的平衡？

Adam：那我來簡單談一下我的看法。針對Tom的第一個審計問題以及審計標準，其實目前很難形成一個明確的標準。Web2里的各種審計也是多家服務商的，根本原因在于安全沒有100%的，只能不斷去做加法，但無法形成一個量化的標準，并認為達到這個標準就是安全了。第二個是張老師提到的給合約“蓋戳”，這也是目前我們做安全服務經常會遇到的一個問題，目前我們在合約的審計報告中會對具體審計的合約進行一對一的哈希綁定，包括跟GitHub上的Commit都是綁定的。但也會存在一個問題，實際上審計方和項目上是一個戰壕里的，大家的共識是項目方就應該部署我們審好改完的合約。但確實存在開發者后期又進行了修改，甚至有些是頭部協議。還有一些項目方是故意的，拿一個合約審計完后，實際不去部署這個合約，而普通的投資者其實無法辨別這個報告審的內容和實際部署的合約是否是同一個。從技術層面來說，是可以實現的，但具體實現是有困難。或許可以借助一些新興的業務形態，比如保險來解決這個問題，當然這也會涉及一些法律層面的內容，但我認為是一個解決方法。

Turing：保險確實是一種比較明確的對沖手段，從法律的角度來說，有點類似于Web2里的審計整合，在Web2的審計整合中，如果一個公司支出超過一個數值后，那么該公司就要接受比較高的函證和往來金額的審查。類比到整個Web3里，現在Web3世界里的審計公司都有自己審核項目的方法和原則，而一個統一性的標準確實還沒有出現，但目前相關的行業聯盟在不斷出現，所以我認為這個統一的行業共識會隨著時間的推移而出現。而LegalDAO的律師資源覆蓋了全球很多國家，而推進這種行業共識的形成一定也是需要多方一起發聲號召。

Adam：是的，一個Walletdata的平臺再加上一個業務形態上的對沖風險的保險機制可能會比較有效。我們也很期待這種解決方案的出現。審核的合約和實際部署的合約是不是同一個合約確實可以做一個相關認證體系，尤其對于解決RugPull會很有意義。

Web3及加密通信協議XMTP完成2000萬美元A輪融資，a16z領投，Coinbase Ventures等參投:9月1日，Web3及加密通信協議XMTP宣布完成2000萬美元A輪融資，a16z領投，Coinbase Ventures、Not Boring Capial、SK Ventures、Offline Ventures、StarkWare、Anthony Pompliano、Anthony Sassano (The Daily Gwei)、Kain Warwick (Synthetix)、Kayvon Beykpour (Twitter)、Stani Kulechov (Aave)、Robert Leshner (Compound Labs)、Roham Gharegozlou (Dapper Labs)、Ryan Sean Adams (Bankless)、Ryan Selkis (Messari) 等基金與天使投資人參投。

據悉，這筆資金將用于擴充 XMTP 團隊規模，并將幫助 XMTP 通過其獨立協議和去中心化網絡實現加密錢包間的通信。[2021/9/1 22:51:44]

Tom：關于保險我也想補充一下，根據我之前投資DeFi的項目經驗來看，這類保險最大的問題在于，雖然保費不高，在1%左右，但是它保障期很短，一般在3個月之內，要保障的金額也是有限的，對于DeFi的保障還是很早期，包括流動性，效率都不是很高。

Adam：去中心化保險落地困難重重跟取證和認定有關，這個是否就跟法律有關了？

Turing：我舉個例子，比如界定物流中貨物的歸屬問題，第一，可以貼一個低功率的芯片在這個快遞包裹上，每過一個基站打一下卡，但貨物到達后，開箱后貨物產生問題，法律上確實沒辦法解決，因為無法確定貨物損壞是發生在運輸過程中還是到手后，這種具體問題的界定還是比較難的。

張曉：Adam剛剛提到一個點，我認為甚至可以作為一個產品方向。合約審計，一個項目方在鏈上部署了以后，每個合約都有一個地址，但合約也是可以升級的，那么項目方如果對合約進行升級，那么合約的地址還會保持原來的地址嗎？

Adam：地址會變，但合約升級的過程中非常容易出現安全問題，前段時間香港大會之前，一個項目方因為一個新的合約升級損失了800個ETH，因為其實這個很容易出問題，但大家卻都很容易忽視它。

張曉：所以對于審計來說，項目方送審的其實是某一個版本，或者從GitHub技術角度來說，審計的其實是某個版本Commit的智能合約，那這個版本的合約審計完成后，是否是項目方真正部署到鏈上的智能合約，或者最初部署的的確是那個合約，但后續有沒有被調換掉，這些其實是對于投資人來說很難以判別的。

Adam：是的，尤其對于一些監守自盜的團隊來說，很多都會用合約升級手段來替換一些核心合約，用戶是發現不了這些問題的。不過合約的外層會有一個代理合約，合約升級后，這個代理合約會變，所以其實是能夠發現，但現在并沒有相關基礎設施，因為這個需求還需要被進一步明確。Tom還有什么問題想討論一下的嗎？

HyperPay錢包 COO：去中心化存儲或成為未來Web 3.0的基礎設施之一:在6月29日晚間，關于Filecoin主題的社區分享中，HyperPay錢包 COO Eric就HyperPay已上線的FileCoin云算力服務時提及：去中心化存儲是目前比較明確的區塊鏈應用方向，或將成為未來Web 3.0的基礎設施之一，去中心存儲市場絕對是非常龐大的藍海市場，所以這值得我們去傾注更多心血，去關注去中心化存儲項目，如Filecoin，Filecoin也跳票這么多次了，希望這次是項目方確實已經做好了主網上線的一切前期準備，也希望Filecoin能夠將去中心化存儲做大做強，存儲和挖礦生態穩定運行，成為今年的明星項目，并在今后的時間里，不斷證明價值，為區塊鏈行業正名。[2020/6/29]

Tom：主要有兩個問題，第一個是保險，我們如何落實保險這個業務形態，包括中間的理賠和賠付，誰去執行監管等等，還需要去找到一個完善的商業模式，第二個就是合約和地址的標準化，之前我們對接過中國質量檢測中心，他們會發證并且是跟國際接軌的，他們其實是最專業的，他們在各行各業都在發布標準，并且他們也有區塊鏈相關的小組，那我們是否能夠借助國家的力量，可能不僅僅是中國，跟其他國家一起來制定完善這個行業標準？以Web2思維的標準輔助Web3的各種認定，當然這些都無法解決監守自盜的問題，所以我看很多審計公司出具的審計報告也都會對項目團隊進行評分，因此可能對于Web3來說，還是需要更全方位的發展。最后我認為Web3的不可能三角也是存在的，他是去中心化、匿名隱私性、監管和追責，目前確實還沒有找到一個能使這三者合理共存的方法。

Cassiel：其實從現在安全問題發生的頻率來看，曾經出現過的一些安全問題解決方案的實施效果并沒有預想中那么好，或者說都有一定的局限性，那想請教下各位嘉賓對未來加密行業安全問題可能的解決方案有哪些暢想？剛剛張老師提到zCloak在本月初正式上線了ValidID平臺，它似乎正是解決Web3信任危機的一個新思路，同時，zCloak一直致力于為用戶提供基于零知識證明技術的隱私計算服務，而“隱私”和“安全”這兩個詞其實是密不可分的，所以請張老師跟我們分享一下，針對Web3隱私數據安全性，zCloak有什么正在建設或已經建設好的解決方案？

張曉：好的，這個話題確實跟我們的新產品是深度相關的，在我們之前討論過的種種安全問題，我認為核心的問題之一就是信任以及信任的傳遞。而信任問題又可以追溯到鏈上身份系統設施的缺失，ValidID能解決的問題也很簡單，就是“誰是誰”。目前鏈上存在的只是一個一個的錢包地址，表現出來的就是這個地址簽了什么字，轉了多少賬，進行了什么交易等等，同時對于個人來說，區塊鏈地址的匿名或者半匿名確實可以保護我的隱私，這對個人是有利的。但機構在鏈上的需求其實是跟個人需求相反的，機構們需要讓大家知道這個地址背后具體是誰，那么鏈上身份系統就顯得尤為重要。在傳統世界里，如果想知道一個網站背后是誰，我們可以通過CA證書去查詢，但區塊鏈世界里的地址背后到底是誰我們無從得知。VliadID則是在這個方向上的一個小探索，我們希望通過將Web2解決身份問題的思路應用到Web3里，當然用的是Web3的原生技術來解決，方法很簡單，我們對Web2的公司、機構、實體的身份進行技術檢測認證，完成檢測認證后，將其Web2世界里的身份與其Web3鏈上地址進行綁定，形成一個我們稱之為機構身份的證書。同時我們將這些證書存儲在不可篡改的鏈上或者Arweave數據庫中，從而形成了鏈上地址和鏈下真實身份不可篡改的綁定關系。別人在看到某個地址的時候，就可以很清楚的知道它背后是哪家機構。

這里也有另一個很重要的問題，誰去決定地址背后的身份是誰這件事誰。如果繼續采取CA的方式去認證，那就有悖于Web3和區塊鏈的去中心化的理念。在建設ValidID的最初，我們就想把它建立成一個去中心化的平臺，因此我們引入多方認證的機制，地址背后身份認證這件事不是由某一家機構決定的，而是多家機構共同認定。一個事實重復的人越多，那么它是真的的可能性就越大。因此我們在ValidID平臺上使用了社交認證的方法。

目前我們推了幾個小的應用點，一個是基于這個認證后的地址進行各種數字簽名，我們發現雖然現在很多Web3從業者已經在行業耕耘很久了，但他們一直還在使用Web2的社交工具，比如推特、INS等社交平臺去發表觀點或者宣傳項目，這有很大的安全隱患。如果機構的官方賬號被盜用，發布了釣魚信息而導致用戶損失財產該怎么辦？Web3項目的身份要依靠Web2平臺來保證，這并非是去中心化社會想看到的事情。因此ValidID的解決方案是將Web2身份與Web3地址結藕，也就是說控制機構身份的其實是機構自己掌握的私鑰。黑客可以偷盜機構的賬號，但無法獲得機構身份的私鑰，因此身份的控制權依舊在機構自己手中。Validsign功能允許大家在任何平臺進行任何信息發布時都附帶自己的數字簽名，這在很多應用場景中都很重要，比如發布借錢信息時，添加自己的簽名，收到消息的人可以通過簽名在我們平臺進行驗證是否真的是本人發布的這條消息，從而預防一系列釣魚詐騙事件。

以及剛剛我們談及的合約審計，給了我很大啟發，有沒有可能將合約的審計信息在鏈上表達出來，把合約的文件與機構身份綁定，當用戶看到合約時，可以在ValidID平臺進行驗證，查驗這個合約是否是在ValidID平臺驗證過的機構審核的合約。所以我們認為ValidID是zCloak在個人隱私身份探索中一個很有利的補充，因為zCloak一直在用戶端隱私數據零知識證明，但它只能保證計算過程的正確性，計算數據的真實性需要靠DID和可驗證數字憑證來保證，而可驗證數字憑證的可靠性又需要依賴發布機構的信譽背書，而ValidID正是解決機構身份信譽的方案。最后，其實zCloak就是通過機構的身份認證傳導到Attestation的真實性上，然后加上零知識證明的方法能夠讓用戶以對外出示零知識證明的方式去證明自己的身份具有某些可信的屬性和特性。

Cassiel：感謝張老師的分享，Tom和Adam對未來的安全解決方案有什么暢想？

Adam：現在Web3確實是缺少一個身份安全基礎設施，很多安全問題可能在過程中有一些解決方案，所以后面我們圍繞安全和身份可以做一些事情，我也很期待。另一個想討論的是，確實曾經不斷涌現出很多安全解決方案，但為什么安全問題還在不斷發生。有兩個方面原因，第一個就是整個Web3的安全基礎設施不齊全，信任成本很高，信任效率很低。在這種情況下，很多人會無意識產生漏洞給黑客攻擊；另一個原因是很多安全手段的實施過程不扎實，因為Web3行業是一個相對fomo的領域，大家會有很多創新的想法和好的產品，但在落地過程中會受到很多問題的干擾，不管是市場的變化還是其他因素，都會影響大家做事的積極性和效率，因此就導致一些產品和項目沒有把服務切實落實完善，例如剛提的DeFi保險，本身是一個很好的業態，但卻沒有發展的像我們預期中那么好，本質還是因為沒有認真落地。Web3的安全問題，審計、鏈上安全分析、風險預警、攻擊監測、反洗錢等等，還是有很多系統性的工程等著我們去建設開發，同樣的這些項目一樣面臨落地問題和無法被用戶廣泛使用產生價值的問題。這也是我們作為Web3安全服務供應商不斷鞭策自己的一個點，要不忘初心把產品和服務扎扎實實做好，希望Web3行業也能形成這樣一個共識。

Tom：剛剛Adam提到的一個點，我們是否有可能做一個2C端的安全審計工具？似乎目前大多數安全審計都是2B的，項目方排隊審計然后上鏈，那么能否在2C端做一個插件，在用戶登陸各種Dapp后，可以對用戶進行實時提示，普通用戶無法捕捉很多合約更新后代碼問題，那么這個插件就可以在用戶跟合約的交互過程中提供風險預警和可疑點預警，協助用戶在交互過程中停止諸如交易轉賬等可能造成損失的動作，直至項目方甄別好漏洞，這個預警消失，然后用戶在安全的環境內進行交互。我認為經常使用錢包的DeFi用戶對這種產品都有一定的需求和付費能力。不知道這種產品之前是否在行業內出現過？

Adam：C端安全預警工具是存在的，現在主要是以API的方式，CyptoAPI/SecurityAPI的方式接入C端的流量入口比如DeFi或者錢包等，如果用戶跟某個高風險地址交互，可能錢包的開發團隊和運營團隊不知道這件事，但接入我們的API后，以C端功能的方式體現出來，這也是現在大家做的比較多的。當然如果能有一個安全型的入口可以涵蓋所有也是很不錯的，但目前市場面向C端用戶還是以API方式比較多，當然這個也是在慢慢發展的。

Tom：我認為可能未來還是需要一個聚合型的解決方案，現在Web3一個很主要的問題就是產品服務太多太分散，安全產品也是一樣，不知道未來是否有可能出現一個一整套的解決方案，既有審計又有身份驗證，又有監測，同時還會包含出現問題后的追責和賠付。現在是否有項目方把一體化的產品做出來？不論是B端還是C端。如果沒有，大家不做的原因是什么？

張曉：我認為這種一攬子的解決方案難度還是很大的，這對一個項目方的專業能力、技術實力、對法律法規了解、金融知識、監管、政策都有很高要求，除非是大規模的機構，甚至是有政府背景的機構參與進來，才有可能包攬全部。對于普通的公司和機構，能把其中一個方面做好也已經是很不錯的事情了。

Adam：是的，很多產品做也是需要分階段，有些產品服務現在做了用戶不一定能夠接受或者理解，因為效率和安全還要平衡，有時安全做太多了勢必會影響效率，所以還是一個過程中的事情。

Tags：WEBWEB3DAMADAMweb3域名交易web3幣價格BDAMADAM價格

火幣交易所