以下是本次線上沙龍的文字版整理。

Cassiel:請各位嘉賓進行簡單的自我介紹。

張曉:大家好,很高興今天能夠跟大家一起進行Web3 安全問題的有關討論。簡單介紹一下,zCloak Network 是一個基於零知識證明的數字身份及隱私保護的基礎設施,我們希望在Web3 時代能夠真正把用戶數據自主權歸還給用戶,圍繞這個理念,zCloak 已經開發並實現了用戶可自主控制的DID 、可驗證數字憑證、數字身份錢包以及本地零知識證明計算等一系列基礎設施。今晚也希望能跟大家深度討論下我們的另一個新產品— Valid ID,它能夠如何幫助大家避免和預防Web3 的詐騙。

Tom:感謝zCloak 的邀請,我是香港理工大學工商管理學院金融科技中心旗下的數字資產智庫DATT 的負責人。我個人背景是金融行業,曾經在紐約香港的投行工作過,目前在做對沖基金的管理,區塊鍊是目前我博士在讀的研究方向。而數字資產智庫是希望能夠挖掘和研究整個亞洲地區的數字資產和信息技術產業的現狀,通過與行業的專家學者探討如何用區塊鏈技術去解決經濟、社會發展中的實際問題。同時我們也會定期與行業內政策制定者共享討論成果,例如香港金管局,香港基金會,投資推廣署以及數碼港等。最後我們希望通過DATT,能夠為行業提供更多交互交流的機會。

Turing:大家好,我是Legal DAO 的聯合創始人圖圖。 Legal DAO 目前正在做一個基於全球律師資源的Web3 合規產品。希望能夠深度參與到Web3 的建設中去,同時也希望能為大家提供全球化的法律服務。我們一直在不斷融入Web3 的新興技術包括底層的技術以及AI技術,來更好地為用戶提供法律支持。除此之外,我們也結識了行業內很多朋友,例如zCloak 等,期待今天跟大家繼續學習和討論相關問題!

Adam:各位嘉賓晚上好,我是SharkTeam 的聯合創始人Adam。 SharkTeam 主要是做Web3 安全相關的產品,一方面是智能合約審計,另一方面是鏈上安全分析包括鏈上風險的安全預警、鏈上交易和地址的監測分析以及安全研報等,同時SharkTeam 也持續為Web3 的項目和公司提供安全服務。很高興能夠參與今天的討論!

Cassiel: Web3 的安全問題會對各自領域產生什麼影響?近期甚至一直以來都存在大量的Twitter 及Tg 賬號被盜事件,這些事件對Web3 用戶們最直接的威脅是數字資產安全問題,剛好Tom 所帶領的香港理工大學數字資產智庫一直在探索和研究數字資產和當前的信息技術產業,那麼就先請Tom 結合相關經驗分享下您的看法?

Tom:之前我在投行做了很多Web2 的項目,從Web2 的角度來看,問題主要出現在應用邏輯和數據層面。而Web3 則不同於Web2,Web3 的去中心化應用有很多模式,例如跨鏈、身份、錢包等。這種不斷的交互和創新確實容易在某些場景下滋生安全問題。同時,公私鑰技術和數字錢包的廣泛應用可以保護Web3 用戶的數據自主權,保證交易過程的透明和不可篡改性,但這裡就會出現一個安全問題,當一些DApp和協議升級後,我們如何去保護用戶的數據和隱私安全。通過我們的研究發現,Web1 和Web2 的安全問題的解決受制於工具都相對初級,而對於Web3 來說,最大的問題在於交易的安全問題似乎無法在預防層面進行解決,因為交易一旦執行就很難被改變,而根據我們的研究和經驗來說,安全的思路一般都是建立機制去驗證交易是否具備安全的條件,所以也想跟各位專家請教下如何在技術層面對這些系統性的弱點進行預防來抵抗一些有組織性的攻擊行為?包括加密原生、智能合約漏洞等問題。特別是以下幾個方向:第一個是漏洞的數據,第二是如何做安全決策設計,第三是認證和簽名,最後一個是在當下如此多類型的DID 和Wallet 中,如何使密鑰的管理使用更為順暢、使用戶體驗更為絲滑?所以我認為在吸取了Web1 和Web2 的經驗後,其實我們能在Web3 中做的事情有很多,這也是DATT 一直在思考和探索的問題。

Cassiel:接下來請Adam 從安全服務的角度談下您的看法。

Adam:坦白講雖然目前Web3 的發展十分迅猛,但它其實依舊處於一個很早期的階段,主要體現在三個地方,第一個是業務形態很早期,大家比較熟悉的DeFi ,雖然它在Web3 已經是比較古老的詞了,但它發展到現在也只有兩年多的時間,那麼一些新的業態比如NFTGameFi ,以及近期興起的衍生品等等,這業態的快速發展發就會帶來一些業務層面風險和安全問題。所以對於Web3 來說,如此多的業務形態必然不能只依靠某一個技術去解決所有的安全問題。基於Web3 的多業務模式,它的安全防範問題還是應該以系統工程的方式來做。正是由於其發展迅速且創新性強的業務模式,導致攻擊點更為廣泛和開放,比如私鑰、跨鏈基礎設施、錢包、身份安全都可以被攻擊到。因此對於項目方,第一個要考慮的就是在業務設計的早期就應該像Web2 一樣引入業務安全建模的理念,把業務層面的風險規劃並分割出來。

第二個從技術角度來說,項目方要有規範化的開發實踐技術流程,項目方在上線前,要有代碼凍結意識。否則經過後期的多次修改更正,開發者會無意識引入很多安全漏洞,這會產生一些無法防範的安全問題。目前對很多項目方和開發人員來說,他們可能會覺得智能合約審計,DID 身份隱私安全等就是安全問題的全部了,但對於一個項目,這些只是一部分。

最後一個方面是運營及應急響應層面,很多項目在深夜被攻擊後,儘管我們發現了,但晚上聯繫不到項目方,只能眼看著項目被攻擊,用戶資產被黑客盜走,應急響應和安全運營是慢半拍的,包括產生安全事件後聯繫資產凍結還是還是聯繫其他生態的合作夥伴的阻斷動作,都很慢。這也是因為沒有建立一個完善的運營和應急響應體系。最後,目前Web3 的發展很迅速,但不管是從業務形態、技術層面還是運營及應急響應層面來說,都沒有建立起完善的安全體系,這也需要我們後續共同努力去建設。

Cassiel: Adam 分別從技術和業務角度以及運營和應急響應的角度來分享了他的看法,接下來大家可以進行簡單的討論,也請張老師和Turing 針對Tom 提出的相關問題做一些回答。

Turing:我做一個簡單的補充,大家之前聊的系統性的安全問題已經很多了,那Legal DAO 可以從法律的角度給大家一些想法。大家可能奇怪為什麼目前基於Web3 的一些法律相關事情推進一直很緩慢,其實是因為傳統的金融人和法律人接觸區塊鏈這種新興技術的時間相對較短,因此對於目前Web3 發生的各種安全問題以及後續的責任追究都沒有一個標杆性的依據去執行,或者說很難有一個共識讓大家去維護。分析下來,我認為身份系統的缺位是導致Web3 法律行業發展緩慢的一個核心原因。在Web3 中,換個地址這個人可能就找不到了,但在Web2 裡,只要有身份證就能找到這個人,所以最大的區別還是在於Web3 相較於Web2 的身份系統缺位。導致整個Web3 世界裡無法建立起一個完整的獎懲機制和生意系統,包括信譽聲譽也無法有效積累。因此對於Web3 的法律行業來說,我認為與zCloak 這樣的伙伴合作,逐漸建立起一個基於隱私保護的身份認證系統是一個很好的接入口。接下來也想听聽張老師的想法。

張曉:感謝圖圖和其他嘉賓的分享,我個人很受啟發,首先先回應一下Tom 之前提到的幾個問題,區塊鏈這樣的基礎設施目前承載了很高的價值,無論是穩定幣等其他金融資產還是現實世界資產上鍊等,但整體的資產安全和投資者保護這方面的確存在很大問題。對於區塊鏈行業,大家很熟悉一句話“Not your key, not your coin.",私鑰不受你掌控的話,那麼大概率錢也不會完全是你的。以及鏈上交易以及基於智能合約的一些基礎設施,當一筆交易或者一個區塊產生後,想要撤回它們的難度極大,除非進行硬分叉,但是代價極高,這就要求我們在這樣的環境下審慎地使用自己的賬戶進行交易。

之前Tom 提到了錢包的問題,我認為錢包是這個行業裡極其重要的基礎設施。它主要是用來管理我們的私鑰,而私鑰的安全性又決定了我們的資產安全,但目前加密錢包的實用性並不理想。對於沒有一定計算機知識背景的普通人來說,一些諸如公鑰、私鑰、助記詞、派生路徑等的專業術語足以讓他們暈頭轉向,這無形中提高了加密錢包的使用門檻,然而加密錢包本身理應是面向大眾的。所以目前有很多新一代錢包試圖去簡化用戶使用體驗,此類在應用性上的改進是很不錯的,但其實安全性和應用性在某種程度上來說是矛盾的——通常使用起來越簡單便捷的東西,安全性都會打折扣。例如從控制私鑰的角度來說,私鑰控制權完全在用戶手中和部分在用戶手中的安全性一定是不同的。因此對於錢包行業,我們確實看到了一些進展,但相關的安全性還要經受時間的檢驗才能確定。

另一個Tom 提到的鏈上資產安全問題,現在除了原生的加密行業資產,慢慢還有很多真實世界資產正在上鍊,不管是哪種資產,可能是一種Token 最終以在鏈上以智能合約的形式展現,也可能是一個NFT,甚至是現實世界裡的100 t 石油,這些資產上鍊後的歸屬、審計、安全、保險,以及從法律層面上誰來為它做背書,都很重要。因此鏈上資產真實性的認證和認定是十分有必要的。

Adam 也提到了安全問題是個整體問題,並不是解決掉智能合約的安全問題就代表解決掉了整個安全問題,更何況可能智能合約層面的安全都尚未被解決。一個智能合約審計結束後上鍊,但後續更新了,大部分人分不清正在跑的智能合約是否是審核後的智能合約。尤其在審計層面上,審計的代碼可能是 A 代碼,但項目方真正部署在鏈上的是 B 代碼,一般人無法區分到底是哪個代碼。在這裡我們zCloak 提出了一個比較新的概念,就是鏈上資產或者說鏈上合約的身份。比如一個智能合約經過SharkTeam 的審計後上鍊,這個通過審計的合約在運行過程中能否同時展示出其對應的審計信息,或者我們能否通過某種方式去追溯一個正在鏈上運行的智能合約是否已經通過審計了。同理,某個鏈上的資產,能否也通過這種形式來對其審計結果進行展示和交互。因此我們會發現,鏈上的安全問題最後還是回到了身份。任何智能合約和資產都可以有身份,那麼誰為其身份進行有效公證和背書,在哪裡展示出來,以什麼形式展示,如何讓用戶驗證,這些都是我們在行業和技術發展過程中需要解決的很有意思的問題。

Tom:針對剛剛各位提到的幾點,我也有一些問題想要延伸一下。第一個是剛剛張老師提到的智能合約身份認定,但目前Web3 有很多不同的審計公司,不同審計公司在技術層面有什麼不同?一般的項目是否以及為何需要多家審計公司進行審計?能否有可能有一個國際通行的審計標準?第二個問題是結合Turing 和Adam 剛剛提到的,法律和技術來說,法律是不是永遠是滯後的?如果是滯後的,如何保證我們的技術是符合監管的?因為目前我們一直在跟香港的監管部門進行溝通,穩定幣、交易所以及真實資產等問題,但發現目前的法律監管力度是不夠的,最領先的可能就是歐洲剛出台的穩定幣及其他貨幣監管制度,但仔細研究它的條例後發現,它是無法滿足Web3 世界本質的創新性的,所以我們該如何保證Web3 創新性、法律監管和安全技術的三者之間的平衡?

Adam:那我來簡單談一下我的看法。針對Tom 的第一個審計問題以及審計標準,其實目前很難形成一個明確的標準。 Web2 裡的各種審計也是多家服務商的,根本原因在於安全沒有 100% 的,只能不斷去做加法,但無法形成一個量化的標準,並認為達到這個標準就是安全了。第二個是張老師提到的給合約“蓋戳”,這也是目前我們做安全服務經常會遇到的一個問題,目前我們在合約的審計報告中會對具體審計的合約進行一對一的哈希綁定,包括跟GitHub 上的Commit 都是綁定的。但也會存在一個問題,實際上審計方和項目上是一個戰壕里的,大家的共識是項目方就應該部署我們審好改完的合約。但確實存在開發者後期又進行了修改,甚至有些是頭部協議。還有一些項目方是故意的,拿一個合約審計完後,實際不去部署這個合約,而普通的投資者其實無法辨別這個報告審的內容和實際部署的合約是否是同一個。從技術層面來說,是可以實現的,但具體實現是有困難。或許可以藉助一些新興的業務形態,比如保險來解決這個問題,當然這也會涉及一些法律層面的內容,但我認為是一個解決方法。

Turing:保險確實是一種比較明確的對沖手段,從法律的角度來說,有點類似於Web2 裡的審計整合,在Web2 的審計整合中,如果一個公司支出超過一個數值後,那麼該公司就要接受比較高的函證和往來金額的審查。類比到整個Web3 裡,現在Web3 世界裡的審計公司都有自己審核項目的方法和原則,而一個統一性的標準確實還沒有出現,但目前相關的行業聯盟在不斷出現,所以我認為這個統一的行業共識會隨著時間的推移而出現。而Legal DAO 的律師資源覆蓋了全球很多國家,而推進這種行業共識的形成一定也是需要多方一起發聲號召。

Adam:是的,一個Wallet data 的平台再加上一個業務形態上的對沖風險的保險機制可能會比較有效。我們也很期待這種解決方案的出現。審核的合約和實際部署的合約是不是同一個合約確實可以做一個相關認證體系,尤其對於解決Rug Pull 會很有意義。

Tom:關於保險我也想補充一下,根據我之前投資DeFi 的項目經驗來看,這類保險最大的問題在於,雖然保費不高,在1% 左右,但是它保障期很短,一般在3 個月之內,要保障的金額也是有限的,對於DeFi 的保障還是很早期,包括流動性,效率都不是很高。

Adam:去中心化保險落地困難重重跟取證和認定有關,這個是否就跟法律有關了?

Turing:我舉個例子,比如界定物流中貨物的歸屬問題,第一,可以貼一個低功率的芯片在這個快遞包裹上,每過一個基站打一下卡,但貨物到達後,開箱後貨物產生問題,法律上確實沒辦法解決,因為無法確定貨物損壞是發生在運輸過程中還是到手後,這種具體問題的界定還是比較難的。

張曉: Adam 剛剛提到一個點,我認為甚至可以作為一個產品方向。合約審計,一個項目方在鏈上部署了以後,每個合約都有一個地址,但合約也是可以升級的,那麼項目方如果對合約進行升級,那麼合約的地址還會保持原來的地址嗎?

Adam:地址會變,但合約升級的過程中非常容易出現安全問題,前段時間香港大會之前,一個項目方因為一個新的合約升級損失了800 個ETH,因為其實這個很容易出問題,但大家卻都很容易忽視它。

張曉:所以對於審計來說,項目方送審的其實是某一個版本,或者從GitHub 技術角度來說,審計的其實是某個版本Commit 的智能合約,那這個版本的合約審計完成後,是否是項目方真正部署到鏈上的智能合約,或者最初部署的的確是那個合約,但後續有沒有被調換掉,這些其實是對於投資人來說很難以判別的。

Adam:是的,尤其對於一些監守自盜的團隊來說,很多都會用合約升級手段來替換一些核心合約,用戶是發現不了這些問題的。不過合約的外層會有一個代理合約,合約升級後,這個代理合約會變,所以其實是能夠發現,但現在並沒有相關基礎設施,因為這個需求還需要被進一步明確。 Tom 還有什麼問題想討論一下的嗎?

Tom:主要有兩個問題,第一個是保險,我們如何落實保險這個業務形態,包括中間的理賠和賠付,誰去執行監管等等,還需要去找到一個完善的商業模式,第二個就是合約和地址的標準化,之前我們對接過中國質量檢測中心,他們會發證並且是跟國際接軌的,他們其實是最專業的,他們在各行各業都在發布標準,並且他們也有區塊鏈相關的小組,那我們是否能夠借助國家的力量,可能不僅僅是中國,跟其他國家一起來製定完善這個行業標準?以Web2 思維的標準輔助Web3 的各種認定,當然這些都無法解決監守自盜的問題,所以我看很多審計公司出具的審計報告也都會對項目團隊進行評分,因此可能對於Web3 來說,還是需要更全方位的發展。最後我認為Web3 的不可能三角也是存在的,他是去中心化、匿名隱私性、監管和追責,目前確實還沒有找到一個能使這三者合理共存的方法。

Cassiel:其實從現在安全問題發生的頻率來看,曾經出現過的一些安全問題解決方案的實施效果並沒有預想中那麼好,或者說都有一定的局限性,那想請教下各位嘉賓對未來加密行業安全問題可能的解決方案有哪些暢想?剛剛張老師提到zCloak 在本月初正式上線了Valid ID 平台,它似乎正是解決Web3 信任危機的一個新思路,同時,zCloak 一直致力於為用戶提供基於零知識證明技術的隱私計算服務,而“隱私”和“安全”這兩個詞其實是密不可分的,所以請張老師跟我們分享一下,針對Web3 隱私數據安全性,zCloak 有什麼正在建設或已經建設好的解決方案?

張曉:好的,這個話題確實跟我們的新產品是深度相關的,在我們之前討論過的種種安全問題,我認為核心的問題之一就是信任以及信任的傳遞。而信任問題又可以追溯到鏈上身份系統設施的缺失,Valid ID 能解決的問題也很簡單,就是“誰是誰”。目前鏈上存在的只是一個一個的錢包地址,表現出來的就是這個地址簽了什麼字,轉了多少賬,進行了什麼交易等等,同時對於個人來說,區塊鏈地址的匿名或者半匿名確實可以保護我的隱私,這對個人是有利的。但機構在鏈上的需求其實是跟個人需求相反的,機構們(審計公司、律師事務所、政府機構)需要讓大家知道這個地址背後具體是誰,那麼鏈上身份系統就顯得尤為重要。在傳統世界裡,如果想知道一個網站背後是誰,我們可以通過CA 證書去查詢,但區塊鏈世界裡的地址背後到底是誰我們無從得知。 Vliad ID 則是在這個方向上的一個小探索,我們希望通過將Web2 解決身份問題的思路應用到Web3 裡,當然用的是Web3 的原生技術來解決,方法很簡單,我們對Web2 的公司、機構、實體的身份進行技術檢測認證,完成檢測認證後,將其Web2 世界裡的身份與其Web3 鏈上地址進行綁定,形成一個我們稱之為機構身份的證書。同時我們將這些證書存儲在不可篡改的鏈上或者Arweave數據庫中,從而形成了鏈上地址和鏈下真實身份不可篡改的綁定關係。別人在看到某個地址的時候,就可以很清楚的知道它背後是哪家機構。

這裡也有另一個很重要的問題,誰去決定地址背後的身份是誰這件事誰。如果繼續採取CA 的方式去認證,那就有悖於Web3 和區塊鏈的去中心化的理念。在建設Valid ID 的最初,我們就想把它建立成一個去中心化的平台,因此我們引入多方認證的機制,地址背後身份認證這件事不是由某一家機構決定的,而是多家機構共同認定。一個事實重複的人越多,那麼它是真的的可能性就越大。因此我們在Valid ID 平台上使用了社交認證(Social Attestiation)的方法。

目前我們推了幾個小的應用點,一個是基於這個認證後的地址進行各種數字簽名,我們發現雖然現在很多Web3 從業者已經在行業耕耘很久了,但他們一直還在使用Web2 的社交工具,比如推特、INS 等社交平台去發表觀點或者宣傳項目,這有很大的安全隱患。如果機構的官方賬號被盜用,發布了釣魚信息而導致用戶損失財產該怎麼辦? Web3 項目的身份要依靠Web2 平台來保證,這並非是去中心化社會想看到的事情。因此Valid ID 的解決方案是將Web2 身份與Web3 地址結藕,也就是說控制機構身份的其實是機構自己掌握的私鑰。黑客可以偷盜機構的賬號,但無法獲得機構身份的私鑰,因此身份的控制權依舊在機構自己手中。 Valid sign 功能允許大家在任何平台進行任何信息發佈時都附帶自己的數字簽名,這在很多應用場景中都很重要,比如發布借錢信息時,添加自己的簽名,收到消息的人可以通過簽名在我們平台進行驗證是否真的是本人發布的這條消息,從而預防一系列釣魚詐騙事件。

以及剛剛我們談及的合約審計,給了我很大啟發,有沒有可能將合約的審計信息在鏈上表達出來,把合約的文件與機構身份綁定,當用戶看到合約時,可以在Valid ID 平台進行驗證,查驗這個合約是否是在Valid ID 平台驗證過的機構審核的合約。所以我們認為Valid ID 是zCloak 在個人隱私身份探索中一個很有利的補充,因為zCloak 一直在用戶端隱私數據零知識證明,但它只能保證計算過程的正確性,計算數據的真實性需要靠DID和可驗證數字憑證來保證,而可驗證數字憑證的可靠性又需要依賴發布機構的信譽背書,而Valid ID 正是解決機構身份信譽的方案。最後,其實zCloak 就是通過機構的身份認證傳導到Attestation 的真實性上,然後加上零知識證明的方法能夠讓用戶以對外出示零知識證明的方式去證明自己的身份具有某些可信的屬性和特性。

Cassiel:感謝張老師的分享,Tom 和Adam 對未來的安全解決方案有什麼暢想?

Adam:現在Web3 確實是缺少一個身份安全基礎設施,很多安全問題可能在過程中有一些解決方案,所以後面我們圍繞安全和身份可以做一些事情,我也很期待。另一個想討論的是,確實曾經不斷湧現出很多安全解決方案,但為什麼安全問題還在不斷發生。有兩個方面原因,第一個就是整個Web3 的安全基礎設施不齊全,信任成本很高,信任效率很低。在這種情況下,很多人會無意識產生漏洞給黑客攻擊;另一個原因是很多安全手段的實施過程不紮實,因為Web3 行業是一個相對fomo 的領域,大家會有很多創新的想法和好的產品,但在落地過程中會受到很多問題的干擾,不管是市場的變化還是其他因素,都會影響大家做事的積極性和效率,因此就導致一些產品和項目沒有把服務切實落實完善,例如剛提的DeFi保險,本身是一個很好的業態,但卻沒有發展的像我們預期中那麼好,本質還是因為沒有認真落地。 Web3 的安全問題,審計、鏈上安全分析、風險預警、攻擊監測、反洗錢等等,還是有很多系統性的工程等著我們去建設開發,同樣的這些項目一樣面臨落地問題和無法被用戶廣泛使用產生價值的問題。這也是我們作為Web3 安全服務供應商不斷鞭策自己的一個點,要不忘初心把產品和服務紮紮實實做好,希望Web3 行業也能形成這樣一個共識。

Tom:剛剛Adam 提到的一個點,我們是否有可能做一個2C端的安全審計工具?似乎目前大多數安全審計都是2B的,項目方排隊審計然後上鍊,那麼能否在2C端做一個插件,在用戶登陸各種Dapp 後,可以對用戶進行實時提示,普通用戶無法捕捉很多合約更新後代碼問題,那麼這個插件就可以在用戶跟合約的交互過程中提供風險預警和可疑點預警,協助用戶在交互過程中停止諸如交易轉賬等可能造成損失的動作,直至項目方甄別好漏洞,這個預警消失,然後用戶在安全的環境內進行交互。我認為經常使用錢包的DeFi 用戶對這種產品都有一定的需求和付費能力。不知道這種產品之前是否在行業內出現過?

Adam: C 端安全預警工具是存在的,現在主要是以API 的方式,Cypto API/Security API 的方式接入C 端的流量入口比如DeFi 或者錢包等,如果用戶跟某個高風險地址交互,可能錢包的開發團隊和運營團隊不知道這件事,但接入我們的API 後,以C 端功能的方式體現出來,這也是現在大家做的比較多的。當然如果能有一個安全型的入口可以涵蓋所有也是很不錯的,但目前市場面向C 端用戶還是以API 方式比較多,當然這個也是在慢慢發展的。

【FAQ】

Tom:我認為可能未來還是需要一個聚合型的解決方案,現在Web3 一個很主要的問題就是產品服務太多太分散,安全產品也是一樣,不知道未來是否有可能出現一個一整套的解決方案,既有審計又有身份驗證,又有監測,同時還會包含出現問題後的追責和賠付。現在是否有項目方把一體化的產品做出來?不論是B 端還是C 端。如果沒有,大家不做的原因是什麼?

張曉:我認為這種一攬子的解決方案難度還是很大的,這對一個項目方的專業能力、技術實力、對法律法規了解、金融知識、監管、政策都有很高要求,除非是大規模的機構,甚至是有政府背景的機構參與進來,才有可能包攬全部。對於普通的公司和機構,能把其中一個方面做好也已經是很不錯的事情了。

Adam:是的,很多產品做也是需要分階段,有些產品服務現在做了用戶不一定能夠接受或者理解,因為效率和安全還要平衡,有時安全做太多了勢必會影響效率,所以還是一個過程中的事情。