你的钥匙,你的硬币。
这是比特币和其他加密货币的基本承诺之一,它们消除了你和你的资金之间的中介机构。但这句话也隐含着一个Web3公司应该明智地摒弃的潜在假设:任何安全问题都是持有者的问题,而不是他们的问题。这种思维模式在加密货币尚处于实验阶段时或许有效。但当涉及数万亿美元和数百万人时,它就失效了。
自比特币诞生15年以来,加密货币的设计空间已大幅扩展。如今,各种应用程序、协议、加密货币交易所、稳定币以及数十种代币标准相互连接。它不再仅仅是去中心化的货币,而是一个价值万亿美元的生态系统。安全风险变得更加复杂,风险也更高。自主托管机制仍然发挥着作用,没错——但Web3设计者不应将大部分安全负担转嫁给用户。
为了成为一种主流技术,加密行业必须不断发展以应对现实世界的安全风险——社会工程、人为错误和物理胁迫——同时又不损害匿名和假名等其他核心价值。
几十年来,个人电脑的发展为我们提供了大量有关人们网络卫生的数据。简而言之:它并不完美。
教育活动,例如网络安全意识月目前正在发生的……确实有所帮助,但网络钓鱼、伪造二维码和恶意软件等威胁依然持续存在。这些威胁不会消失。事实上,它们的进化速度比我们的防御措施更快。
根据数据由 CoinLaw 汇编加密货币钓鱼攻击呈上升趋势,2025 年初增长了 40%,造成用户损失高达 4.1 亿美元。更糟糕的是:人工智能驱动的深度伪造技术加剧了这一问题;根据 CoinLaw 的数据,2024 年中至 2025 年中,此类攻击数量增长了 450% 以上。
更令人担忧的是,与加密货币相关的暴力攻击事件有所增加,有组织犯罪集团强迫高净值人士交出他们的账户信息。据区块链追踪公司 Chainalys是 称,2024 年报告的“扳手袭击”超过 30 起,预计到 2025 年这一数字将翻一番。
简而言之,安全问题并非异常现象,而是可以预见的。
我们不会对旧金山或日本的地震不屑一顾;我们建造的是抗震建筑。同样的逻辑也适用于加密货币安全。
好消息是:Web3 领域正在进行大量工作,以确保用户更安全、产品更安全。
以钱包为例。出于安全考虑,钱包用户体验历来很糟糕,但得益于诸如使用不同密钥的拆分钱包、委托和多钱包账户等创新,情况正在改善。但根据我的经验,平衡可用性和安全性仍然很棘手。
那么我们如何才能更好地服务用户呢?
首先,我们需要将安全问题视为反馈。每一次入侵都反映出设计方面的问题,而不仅仅是行为方面的问题。以密码被盗为例。有人可能会说:“被网络钓鱼是用户的错;他们不应该上当受骗。” 这或许是对的,或许不是。但究竟是什么呢?is事实是,如果这种情况每年在你的客户群中发生数百万次,就表明你的系统并非为实际用户设计的。请进行相应调整。
其次,我们需要吸收非 web3 领域的成功案例。
考虑一下身份验证的问题。使用加密密钥进行访问功能强大,但无法确认用户是否为合法所有者。正因如此,更广泛的互联网早已采用了诸如多因素身份验证和行为信号之类的层级机制,以及最近出现的“人为验证”——这些方法可以自动保护人们,而无需依赖持续的警惕。加密货币可以而且应该效仿这种做法。
最后,我们必须认识到安全风险不再局限于社会工程手段。
加密货币高管和财力雄厚的持有者遭受了一系列物理攻击,窃贼试图通过普通的暴力破解而非暴力解密来获取访问权限。如果我们设计的系统没有考虑到物理攻击的可能性,那么我们就没有尽到系统设计者的职责。攻击媒介会不断发展,我们也必须随之发展。
加密货币在实验阶段秉持的坚韧个人责任精神合情合理。然而,如今数万亿美元的资产——以及人类的生计——岌岌可危,我们需要的是为现实世界风险而设计的系统,而非仅仅为早期采用者而设计。
没有万能药:加密密钥仍然容易受到网络钓鱼攻击,生物识别技术将使持有者容易受到物理攻击,人类也将继续存在缺陷。但在网络安全意识月即将结束之际,让我们牢记我们为谁而构建。当我们为真实的人而非理想用户设计时,我们的产品能够在保护用户弱点的同时,提升生活品质。安全不再是用户的问题,而是一个行业问题。
