為什么模塊化安全層會(huì)給Web3安全帶來變局？

一大早看到 @GoPlusSecurity 要構(gòu)建模塊化統(tǒng)一用戶安全層。作為曾經(jīng)的Crypto安全老兵內(nèi)心又燃起了未竟的安全愿景。一直以來Crypto最重要的“安全”方向，都太偏“服務(wù)”驅(qū)動(dòng)了，永遠(yuǎn)處于“事前潦草應(yīng)對(duì)，事后無奈拍大腿”的尷尬現(xiàn)狀，如何破局呢？模塊化安全統(tǒng)一網(wǎng)絡(luò)會(huì)是最優(yōu)解嗎？接下來，說說我的看法：

1.安全問題，永遠(yuǎn)在事發(fā)之后才被重視，也就是我們常說的“安全意識(shí)”問題，不是靠短期呼吁吶喊就能提升的整體認(rèn)知，注定要在一次次黑客攻擊、被釣魚事件之后被刺痛后，才能逐漸轉(zhuǎn)變成一種警覺意識(shí)。

而且“安全事件”只能隨行業(yè)趨于成熟減少，并不會(huì)消失。因此，安全作為一種“服務(wù)”會(huì)始終被需要，但也始終是被動(dòng)需要，這不利于安全公司提升自己的Crypto生態(tài)位；

2.模塊化已經(jīng)成為Crypto領(lǐng)域一種常態(tài)發(fā)展路徑，無論是大到一個(gè)中間件網(wǎng)絡(luò)，還是layer2，又或者一些被獨(dú)立拆分的DA模塊、Execution模塊、Settlement模塊，再到期待中的Security安全層模塊，都在一步步成為構(gòu)成Crypto主要要素的關(guān)鍵模塊。

未來，原本構(gòu)成鏈的共識(shí)層、結(jié)算層、執(zhí)行層、DA層等都會(huì)以模塊化的方式被獨(dú)立封裝，且以高可交互操作性，嵌入到各個(gè)區(qū)塊鏈的架構(gòu)系統(tǒng)中。安全模塊層也一樣，會(huì)成為每條鏈必備或必須要插拔組裝的額外能力；

3.隨著行業(yè)整體發(fā)展趨向成熟，純B端的黑客攻擊事件正在變少，這和全行業(yè)Developer持續(xù)的安全防護(hù)工作以及DeFi黑案森林驅(qū)動(dòng)的行業(yè)代碼進(jìn)步有直接關(guān)系，但B端安全事件減少，不代表整體安全之禍會(huì)消亡，大量的釣魚攻擊成為新一輪的安全重災(zāi)區(qū)。因此，一個(gè)面向C端且能給用戶“無意識(shí)”安全保護(hù)的安全模塊層就得勇?lián)姑?/p>

4.為啥要強(qiáng)調(diào)“無意識(shí)”，因?yàn)榧夹g(shù)的進(jìn)步和行業(yè)的成熟，一定要把復(fù)雜的問題抽象到后端infra層來解決，而前端用戶感知到的Gap會(huì)越來越小才行?；谀K化構(gòu)造鏈安全組件，涉及到危險(xiǎn)可疑交易的及時(shí)阻斷，交易上鏈前的路徑預(yù)演，簽名前的前端Alert預(yù)警、釣魚網(wǎng)站等鏈下Oracle信息的更新、KYC反洗錢合規(guī)監(jiān)管等等。

理論上簡單，但實(shí)際兼容各個(gè)鏈，各個(gè)不同共識(shí)，且還要Match不同環(huán)境下簡陋的Wallet、Dex等協(xié)議，要徹底發(fā)揮模塊化安全層的價(jià)值，并不容易；

5.若安全停留在“服務(wù)”層，一個(gè)不可避免的現(xiàn)實(shí)是，層出不窮的插件，形形色色的工具，甚至面開發(fā)者、普通用戶、Trader、機(jī)構(gòu)用戶等都得配備不同的安全方案。結(jié)果是，安全公司之間競(jìng)爭的熱火朝天，普通用戶并沒有直觀安全層級(jí)上的提升感。

安全行業(yè)也需要一個(gè)統(tǒng)一的安全模塊層，對(duì)C端用戶持續(xù)做到安全預(yù)警和體驗(yàn)提升，對(duì)B端開發(fā)者和鏈、錢包、協(xié)議等infra則高度兼容，長此以往，C端、B端的安全意識(shí)和安全防護(hù)工作才能得到一致性提升。

總之，安全攻防會(huì)是Cryptp領(lǐng)域一直會(huì)存在的難題，因?yàn)殡x錢太近了，總會(huì)有黑客組織躲在暗處時(shí)刻掃描著安全薄弱環(huán)進(jìn)行攻擊。

本質(zhì)上，黑客攻擊和安全防護(hù)都是成本對(duì)抗，做防護(hù)目標(biāo)要增加黑客攻擊的成本。碎片化的安全服務(wù)如同打游擊，而一致的安全鏈生態(tài)構(gòu)建和模塊化安全層的統(tǒng)一戰(zhàn)線防護(hù)，在我看來，目前是達(dá)成提升Crypto安全層級(jí)的最優(yōu)解。