一大早看到@GoPlusSecurity 要建立模組化統一用戶安全層。身為曾經的Crypto安全老兵內心又燃起了未竟的安全願景。一直以來Crypto最重要的「安全」方向,都太偏「服務」驅動了,永遠處於「事前潦草應對,事後無奈拍大腿」的尷尬現狀,如何破局呢?模組化安全統一網路會是最優解嗎?接下來,說說我的看法:
1)安全問題,永遠在事發之後才被重視,也就是我們常說的「安全意識」問題,不是靠短期呼籲吶喊就能提升的整體認知,注定要在一次次黑客攻擊、被釣魚事件之後被刺痛後,才能逐漸轉變成一種警覺意識。
而且「安全事件」只能隨產業趨於成熟減少,並不會消失。因此,安全作為一種「服務」會始終被需要,但也始終是被動需要,這不利於安全公司提升自己的Crypto生態位;
2)模組化已成為Crypto領域一種常態發展路徑,無論是大到一個中間件網絡,還是layer2,又或者一些被獨立拆分的DA模組、Execution模組、Settlement模組,再到期待中的Security安全層模組,都在一步步成為構成Crypto主要要素的關鍵模組。
未來,原本構成鏈的共識層、結算層、執行層、DA層等都會以模組化的方式被獨立封裝,且以高可交互操作性,嵌入各個區塊鏈的架構系統中。安全模組層也是一樣,會成為每條鏈必備或必須插拔組裝的額外能力;
3)隨著產業整體發展趨向成熟,純B端的駭客攻擊事件正在變少,這和全行業Developer持續的安全防護工作以及DeFi黑案森林驅動的行業代碼進步有直接關係,但B端安全事件減少,不代表整體安全之禍會消亡,大量的釣魚攻擊成為新一輪的安全重災區。因此,一個面向C端且能給用戶「無意識」安全保護的安全模組層就得勇擔使命;
4)為啥要強調“無意識”,因為技術的進步和行業的成熟,一定要把複雜的問題抽像到後端infra層來解決,而前端用戶感知到的Gap會越來越小才行。基於模組化構造鏈安全組件,涉及危險可疑交易的及時阻斷,交易上鏈前的路徑預演,簽名前的前端Alert預警、釣魚網站等鏈下Oracle信息的更新、KYC反洗錢合規監管等等。
理論上簡單,但實際兼容各鏈,各個不同共識,且還要Match不同環境下簡陋的Wallet、Dex等協議,要徹底發揮模組化安全層的價值,並不容易;
5)若安全停留在「服務」層,一個不可避免的現實是,層出不窮的插件,形形色色的工具,甚至面開發者、普通用戶、Trader、機構用戶等都得配備不同的安全方案。結果是,安全公司之間競爭的熱火朝天,一般用戶並沒有直覺安全層級上的提升感。
安全產業也需要一個統一的安全模組層,對C端用戶持續做到安全預警和體驗提升,對B端開發者和鏈、錢包、協定等infra則高度相容,長此以往,C端、B端的安全意識和安全防護工作才能得到一致性提升。
總之,安全攻防會是Cryptp領域一直會存在的難題,因為離錢太近了,總會有駭客組織躲在暗處時刻掃描著安全薄弱環進行攻擊。
本質上,駭客攻擊和安全防護都是成本對抗,做防護目標要增加駭客攻擊的成本。分散化的安全服務如同打遊擊,而一致的安全鏈生態建構和模組化安全層的統一戰線防護,在我看來,目前是達成提升Crypto安全層級的最適解。