作者:Haotian,獨立研究員來源:X,tmel0211
一大早看到@GoPlusSecurity 要建立模組化統一用戶安全層。身為曾經的Crypto 安全老兵內心又燃起了未竟的安全願景。一直以來Crypto 最重要的「安全」方向,都太偏「服務」驅動了,永遠處於「事前潦草應對,事後無奈拍大腿」的尷尬現狀,如何破局呢?模組化安全統一網路會是最優解嗎?接下來,說說我的看法:
1)安全問題,永遠在事發之後才被重視,也就是我們常說的「安全意識」問題,不是靠短期呼籲吶喊就能提升的整體認知,注定要在一次次黑客攻擊、被釣魚事件之後被刺痛後,才能逐漸轉變成一種警覺意識。
而且「安全事件」只能隨著產業趨於成熟減少,並不會消失。因此,安全作為一種「服務」會始終被需要,但也始終是被動需要,這不利於安全公司提升自己的Crypto 生態位;
2)模組化已成為Crypto 領域一種常態發展路徑,無論是大到一個中間件網絡,還是layer2,又或者一些被獨立拆分的DA 模組、Execution 模組、Settlement 模組,再到期待中的Security 安全層模組,都在一步步成為構成Crypto 主要要素的關鍵模組。
未來,原本構成鏈的共識層、結算層、執行層、DA 層等都會以模組化的方式被獨立封裝,且以高可交互操作性,嵌入各個區塊鏈的架構系統中。安全模組層也是一樣,會成為每條鏈必備或必須插拔組裝的額外能力;
3)隨著行業整體發展趨向成熟,純B 端的黑客攻擊事件正在變少,這和全行業Developer 持續的安全防護工作以及DeFi 黑案森林驅動的行業代碼進步有直接關係,但B 端安全事件減少,不代表整體安全之禍會消亡,大量的釣魚攻擊成為新一輪的安全重災區。因此,一個面向C 端且能給用戶「無意識」安全保護的安全模組層就得勇擔使命;
4)為啥要強調「無意識」,因為技術的進步和行業的成熟,一定要把複雜的問題抽像到後端infra 層來解決,而前端用戶感知到的Gap 會越來越小才行。基於模組化構造鏈安全組件,涉及危險可疑交易的及時阻斷,交易上鏈前的路徑預演,簽名前的前端Alert 預警、釣魚網站等鏈下Oracle 信息的更新、KYC 反洗錢合規監管等等。
理論上簡單,但實際兼容各鏈,各個不同共識,且還要Match 不同環境下簡陋的Wallet、Dex 等協議,要徹底發揮模組化安全層的價值,並不容易;
5)若安全停留在「服務」層,一個不可避免的現實是,層出不窮的插件,形形色色的工具,甚至面開發者、普通用戶、Trader、機構用戶等都得配備不同的安全方案。結果是,安全公司之間競爭的熱火朝天,一般用戶並沒有直覺安全層級上的提升感。
安全產業也需要一個統一的安全模組層,對C 端用戶持續做到安全預警和體驗提升,對B 端開發者和鏈、錢包、協議等infra 則高度兼容,長此以往,C 端、B 端的安全意識和安全防護工作才能得到一致性提升。
總之,安全攻防會是Cryptp 領域一直會存在的難題,因為離錢太近了,總會有駭客組織躲在暗處時刻掃描著安全薄弱環進行攻擊。
本質上,駭客攻擊和安全防護都是成本對抗,做防護目標要增加駭客攻擊的成本。分散化的安全服務如同打遊擊,而一致的安全鏈生態建構和模組化安全層的統一戰線防護,在我看來,目前是達成提升Crypto 安全層級的最優解。
