峰会回顾丨圆桌讨论《Web3基石：安全与隐私》lg...

宋超：大家下午好，非常高兴在2023上海区块链国际周跟大家相聚。今天的议题是“Web3.0基石：安全与隐私”，很荣幸能邀请到国内以及国际的独角兽企业代表来一起探讨大家关心的“Web3.0安全与隐私”话题。我是SharkTeam的联合创始人宋超。首先，请各位嘉宾简单介绍一下自己。

Blue：大家好，我是慢雾科技的CTO。慢雾科技是一家做Web3.0安全审计的公司。

李康：我CertiK首席安全官李康。CertiK是一家全球头部的安全审计公司。

周亚金：我是BlockSec的联合创始人兼CEO。BlockSec主要提供区块链安全基础设施，我们为各方提供安全的服务和安全的产品。谢谢大家。

宋超：SharkTeam是一家安全公司，提供Web3.0安全相关的产品和服务，例如审计、链上安全分析等。今天讨论的第一个问题是想请大家从从业者角度分享一下，Web3.0行业目前发展到了什么阶段，以及Web3.0安全与隐私在行业发展中的定位和意义，先从周教授开始。

周亚金：这个问题非常好。我们也经常跟各位同行探讨“现在Web3.0发展到了什么阶段”。从我们的角度来看，Web3.0还是处于一个相对早期的阶段。以DeFi为例，在Web3.0产品相关的各种交易场景中，用户易用性还是比较欠缺的，而一个行业进入成熟发展期的标志应该是用户的易用性已经发展得比较好了。基于此，我们认为现在的Web3.0生态发展还处于早期。要让Web3.0大规模赋能各个行业，并解决Web3.0的基础设施问题有两个前提：

1.提升整个生态产品的易用性，把用户的交易体验做得更好，产品的可交互性更好，产品的使用门槛更低。这是行业里面的生态合作伙伴都正在解决的问题。

2.安全是整个Web3.0实现大规模应用所必不可少的，因为Web3.0里更多处理的是资产，如果没有一个安全的防护解决方案去保护在Web3.0里交易的用户，就无法让更多用户放心地进入Web3.0世界。所以安全是一个蛮大的挑战。

总结一下：我们认为Web3.0处于早期，想要发展得更好，一定要解决易用性和安全问题。

李康：我非常赞同周教授的观点。整个Web3.0行业是初期阶段，但也是一个发展阶段。对用户而言，可用性有巨大的提升空间。对开发者而言，Web3.0已经进入到了比五年前要好很多的阶段，开发人员现在已经有很多平台和工具可以使用。到了初期，大家都开始搞建设，因此可能有一个群雄逐鹿的阶段，但还没有进入发展阶段。现在的应用非常碎片化，大家在各个角落里挖掘，试图找到一个非常广泛的大众化应用，因此现在还在探索阶段。对于开发者来讲，不是处于起步阶段，而是已经起步的阶段。

我们的共识是Web3.0必须有安全，去中心化的形式如果没有安全的保驾护航，就无法让大众使用。如果不能做到去伪存真，把优质项目和伪劣项目分开，把安全项目和不安全项目分开，社区就发展不出来，所以我认为安全是必须的。

Blue：大家说得很对，Web3.0还处于初期阶段。Web3.0的概念是去年和前年刚提出来，以前都叫区块链或加密货币。加密货币和区块链早期的各种参与角色已经成型了，无论是底层的挖矿，还是兑换交易，甚至交易所也有了。各个参与角色都处于相对稳定的状态，毕竟每个角色都在不停发展的阶段。

现在进入Web3.0行业的人比较少，整个行业还是小众的圈子。外面的人知道比特币网络却不知道区块链，更不知道Web3.0。现在是圈内人玩得嗨，圈外人却不愿意进圈。Web3.0安全是Web3.0基础设施建设重要的方面，安全问题阻碍了传统用户进到Web3.0的世界。Web3.0每天都在发生攻击事件，前段时间有统计数据，攻击导致Web3.0损失了70亿美金。新用户进来以后没有安全感，那么即使他们来了，也会很快退走。目前，Web3.0有太多的攻击者，而被攻击以后，用户又不能通过银行执法找回资产。虽然现在Web3.0已经逐渐合规起来，不安全事件可以借助执法解决，但加密世界的损失是追不回来的。有很多追回，也是黑客的妥协。更多的找回方式是用户被攻击后，如果黑客愿意还钱，那么黑客可以保留10%的用户资产。Web3.0和加密世界的安全感很低，底层的安全设施不太好，需要各家Web3.0安全公司一起去解决。

关于隐私，我理解得不是特别好。因为安全和隐私常常被放在一起，尤其是这段时间隐私谈得少了，大家对隐私的理解也不一样。坦白说安全和隐私，就目标来看，有一定的对立。

宋超：刚刚三位嘉宾谈了对Web3.0发展阶段和安全的讨论，非常有价值。周教授和李教授认为Web3.0的行业发展还处于早期，有很多不确定的地方。Blue提到了一个关键词，就是怎样让进入Web3.0领域的人能够有安全感，这是一个非常重要的问题。

稍微总结一下， Web3.0目前最基础的产品和服务，例如Web3.0业态的基础流动性协议、核心开发者、Web3.0安全服务和基础产品都有了，但还处于早期阶段。无论是Web3.0的从业人员的业务发展，还是安全建设者，都处在不断探索和建设的阶段。只有有序的发展，才能为越来越多进入Web3.0的用户提供技术角度的安全保障，给大家带来更多的安全感，让Web3.0行业能健康地往前发展。

不只是Web3.0处于早期，安全也处于早期阶段，在座都是Web3.0行业的独角兽企业，或技术的领头羊企业大家觉得Web3.0安全与隐私赛道，已经有哪些成功的实践经验和成熟赛道？大家如何看待有成熟经验的安全隐私业态和赛道未来的发展？

周亚金：具体来看，整个Web3.0行业里在商业化成功的赛道就是两个：

1.安全服务，即安全审计行业，给项目提供一键式安全服务，包括项目在上线之前的安全评估，这已经被证明是成功的商业化赛道。

2.面向整体监管和交易所的合规服务，目前有很多业界企业都在做这个赛道。

这两个赛道能成功，其背后的原因是不一样的。第一个赛道是因为有实实在在的需求，用户倒逼项目方提高安全性，否则不会把钱投在里面。第二个赛道是因为监管的需求，如果项目不做合规监管，那么其业务在很多国家是无法合法存在的。这是我目前看到比较好的赛道。

我认为将来会有更多的赛道通过验证，可以从Web3.0领域有哪些参与方来考察赛道。例如C端广大用户的安全需求赛道是否会出现一个被证明是成功的方向和产品？目前还没有定论。再比如，项目方有没有除了审计之外的安全服务能够提供，因为业界的共识是审计是有用，但不是能最终解决安全问题的唯一途径，所以大家也在探索是否有其他方案和途径。

总结一下，Web3.0目前得到验证的是面向监管层面和面向项目方的安全服务，至于是否会在C端用户场景或面向项目方和大企的安全产品领域有新的赛道出现，目前还是一个Open question。

李康：周教授从用户驱动和监管驱动讲了这个赛道，我基本同意。我从另外一个维度看这个赛道，比如从一个项目的生命周期。我们几家企业都在做审计，审计往往是在项目上线之前以及上线之后的更新都要做的。上线之前的部分是经常做的审计服务赛道，这部分是大家公认有需求的。到底提供什么价值，以及这个赛道好不好要另当别论。还有上线之后的监测，大家都做得不错。

还有另外一个赛道，就是事件发生以后的响应。我们自己也在做这个赛道，我们的友商例如BlockSec、慢雾的分析能够帮助项目发现突发情况以及追回资产，这些涉及到不同的维度，有项目上线前的审计，也有上线后的监测，还有事件之后的追踪和恢复。

Blue：关于Web3.0的安全，无论是什么产品都大同小异。对一个项目方来讲，一般分为从内到外和事前、事中、事后的安全。从内到外，在研发阶段，安全公司参与的话，会作为安全顾问提供安全咨询服务，无论是交易所还是DeFi，以及相关项目方，除了内部研发的安全，还可以寻求第三方的安全审计公司，对代码进行常规的安全审计。

经过了内部安全和第三方安全审计，项目上线后，就是各Web3.0安全企业提供的产品服务范围。我们推荐项目方做Bug bounty，用社会化的力量做安全审计的方式。我们做的安全监控系统比较多，慢雾也做Bug bounty，会做线上的监控，也有链下的监控，链上链下都可以做到监控。当发生攻击时，能第一时间知道哪个项目方被黑。

它贯穿事前、事中、事后。项目方被黑的事件也挺多的，大家有不同的追踪服务：第一，能找到黑客；第二，从黑客手中拿到钱，这也是大家做得比较多的服务。从安全性来讲，我们有很多产品线，都是为了项目方的从内到外的安全，其中被黑之后的服务多一些。

最近比较火的一个产品线就是MPC多方计算，也叫隐私计算，和隐私、安全都比较沾边。项目的安全不只是智能合约的安全，也不只是产品的安全，还牵涉到资产的安全。因为Web3.0是离资产最近的行业，可能大家都在解决私钥安全存储的问题，这一块目前来讲MPC是一个比较好的方案。以前是单私钥，现在改成多私钥。以前没有流程，一个人搞定所有转账，现在有审批流，保证多方参与去验证一个交易是不是安全的，这也是隐私对安全的贡献。

宋超：刚刚各位嘉宾和专家的讨论有一个很有意思的点，在安全方面，大家讨论得比较充分，而且可以给在座与会者和项目方增强信心。各家安全公司已经开始考虑体系化安全，帮助我们的B端用户和C端用户去构建体系化的事前、事中、事后的Web3.0安全解决方案。如果是在Web3.0领域深耕过的从业者或安全从业人员，应该会理解网络安全是一个体系化的系统建设过程。非常高兴看到各家网络安全公司都在做Web3.0体系化安全建设的事，而且肯定可以做好，帮客户解决审计、攻击检测、追逃等一系列工作。第二个有意思的地方是谈到隐私却没有人提ZK，可能大家都在观望。安全和隐私要分开看，对于Web3.0安全体系化，隐私方面挑战更大，需要更多的创新和探索进行进一步的建设。

关于挑战，Web3.0发展到今天已经有十年左右了，Web3.0安全从上一个牛市开始兴起也经过了多年的发展，从单点审计、攻击检测发展到体系化覆盖事前、事中、事后的阶段。针对我们现在所处的Web3.0行业发展、Web3.0安全发展阶段，想请各位嘉宾分享一下，您认为对于当前Web3.0安全和隐私的最大挑战是什么？以及如何应对挑战。

周亚金：挑战很多。

1.Web3.0安全行业要发展，怎么把握隐私度是大家需要考量的。并不是说隐私做到极致就是好的事情，行业发展必须要纳入到监管体系里，完全去中心化的原教旨主义比较难让行业得到主流的认可。基于这样的观点，我认为隐私做到什么程度，boundary在什么地方，是大家面临需要解决的挑战。

2.合规和监管的问题。现在做DeFi开发者，或者作为参与者，合规和监管的boundary在哪里，什么可以做、什么不可以做，这是很重要的东西，否则大家就是在黑暗中摸索，因为你不知道会碰到什么你不该触碰的东西。现在还没有特别好的能够跨越法律、技术、金融交叉领域提供的咨询和监管及方案，大家都在说不清道不明的情况下往前走。

3.把用户进入Web3.0的安全做得更好。目前，因为用户安全意识缺乏导致的损失还是挺多的，不比DeFi攻击少。如何解决这个问题，并且在商业上、用户易用体验上、用户安全上达到特别好的banlance，这是蛮大的挑战。

李康：挑战很多，挑两个分享一下：

1.不能埋怨用户的安全意识不足，最重要、最大的挑战是现在Web3.0开发者与Web2.0大厂的开发人员相比安全意识非常不足。我服务过几个Web2.0大厂的开发人员，不管是国内还是海外的，开发人员对于安全非常重视，15年前也许写程序可以不注重安全，但现在大厂里不可能。在Web3.0里，很多海外开发人员是刚刚毕业的学生，甚至没有毕业，很多人是转行过来的。整体上，安全意识非常不足。例如，最近unify发布了他们bounty上发现的前十大的安全问题，最大的问题是不对语音输入做安全检查。开发社区需要成长，因此开发人员需要有安全意识。

2.项目方无论是管理者还是其他人的安全意识都不足，比如说rank news上出过事的，80%项目没做过审计，我也非常同意周教授讲的审计不一定能解决所有的安全问题，但做了远比不做强。整个生态里大家觉得安全意识是买了安全服务的产品，或者用了审计就安全了，即把安全想成很简单买个产品就一次性解决的问题，但Web2.0已经不这么看了，它是风险管理，是长期投入的事情，如果这两个事情不解决，我们没有安全的开发能力，又缺乏安全的意识就很难往下走。

Blue：各位嘉宾说了挺多关于挑战的，包括To C、To B项目方和用户的安全意识、在Web3.0圈子内以及在传统互联网圈子中等，安全人员的防御好像永远落后于黑客。要把防御做到100分，各方面都要做好，不管是资产安全还是产品安全，关键还是人的安全意识。例如，有的用户自己被钓鱼了，助记词随便放被黑了，或者内部员工意识不足被某国黑客做APT攻击了。我们只要一个点没有做好，就会被黑客乘虚而入。

但是对黑客来讲，以前Web3.0被黑客当成了“提款机”，在Web3.0非常容易黑到钱，又有非常高的追踪成本，因为各地执法对Web3.0资产属性认可是不一样的。当然，现在行业环境是越来越好了。坦白讲，黑客永远领先于安全公司和项目方，安全意识不管怎么提升，做了多少审计，总会有口子被黑客钻，黑客远比项目方更加努力，因为他们动机不太一样，有可能是成就感，有可能是钱。所以，大家对安全的投入肯定是不足的，结果就是每天都被黑。

现在是熊市，熊市的时候大家首先抛弃的是安全这种和业务不沾边的东西，项目方可能去github打个代码，拿过来一改就直接用了，但是却没有修复知名的项目方已经修复的漏洞。这种漏洞很多，就是商业的问题。刚才咱们讲的项目方不管是人的安全意识不足，还是只是简单做审计而不做顾问，或者只是做一次审计，而不会做长期的审计，也不会做boundry，原因是因为没有钱的时候优先缩减外部成本。

以前我们看交易所，像币安等其他交易所都会设置SAU，有钱的项目方都有SAU，保证拿利润的10%去做安全。但坦白讲，项目方连审计都不做，怎么拿出10%来做安全？这是悖论，如果大家因为没有钱就不投入安全，后面又被黑就更没钱，那么这个行业就是恶性循环。

我现在越发感觉安全和隐私是有点对立的，现在大家都讲合规，甚至DeFi项目方都开始讲需要KYC、KYT，导致我们在做好隐私的情况下，坚持区块链去中心化的切断，从而被各大国家所接受，这是相对来讲可以认为是合规的挑战。本来区块链就是为了对抗合规的，但现在又要寻求合规，挑战比较大。

我知道很多人不喜欢把自己的身份和区块链身份对应上，只要你想知道就几乎能知道任何一个有钱的地址后面对应的是谁，因为你总是会和中心化服务做交互，KYC总会被拿到，在很多地方都会泄露。如何保证去中心化，并且能够做好安全防御和安全意识，并且还能合规，这是一个值得思考的问题。很多时候当你使用数字货币时不合规可能会被罚没或者导致各方面的问题。这是另外一个挑战，但决绝方案需要大家一起探讨。

李康：Blue讲得非常好，项目方有一定的投入，但黑客总是有更多的优势。为什么要做安全？因为安全不是保证风险降为零，而是能让你比你的竞争对手跑得更快一点，熊在后面追你，你不一定非要比熊跑得更快，但你要比竞争对手跑得更快，这是理念上的变化。

宋超：通过刚才各位嘉宾的分享可以知道：

1.实际上Web3.0安全是非对称竞争的战场，对于安全建设者、项目方、用户来说，从技术角度的安全能力和实际投入在某种程度上不一定比得上黑客，技术上实际是有差距的。

2.策略上也是非对称竞争的情况，安全是短板效应，任何一个点都不能出问题。对于黑客来说，可能找到一个点突破就成功了，这就注定Web3.0安全是非对称竞争的战场，需要项目方、用户、安全服务提供商一起构建Web3.0安全的防御堡垒，对抗Web3.0黑客攻击。

Web3.0不仅仅是区块链，还有大家现在都会接触的AI相关技术，AI与区块链结合等，请问各位嘉宾如何看待AI与Web3.0的发展关系，AI对Web3.0安全与隐私又有哪些帮助和可能的想象空间？

周亚金：目前AI发展改变了很多交互方式，比如说现在大家都用的大模型，实际上能更好地理解人的意图，Web3.0跟AI结合的点现在还是在于如何把AI赋能交互方式引入Web3.0。例如，我做确认服务的时候可以通过与AI交互的方式把后面所有的步骤完成，这还是蛮有想象力的场景和空间。

李康：第一，AI用到安全里很多是用AI的方法来发现审计，帮助做审计的工作。第二，AIGC可能帮助Web3.0做很多工作，但是内容所有权需要用区块链保护，安全角色非常重要，AI可以做数据生成，能跟Web3.0内容做结合，但在这些过程中，安全保障是非常重要的。

Blue：第一，AI提高生产力。现在写代码很多时候都使用GPT生成更多代码，甚至输入方法名就能生成。不管是传统互联网还是Web3.0，AI都可以提高生产力，好像Github 60%的代码都是ChatGPT生成的。第二，我们想象中的未来AI是机器人，数字货币更适合机器人消费，因为是自动化的，这块比较危险，但比较适合机器人。

宋超：下一站Web3.0肯定有AI，有Blockchain，这是必然的，但到底是AI对Blockchain产生的作用更大，例如AI提高生产力，为Blockchain产生很多数字资产。还是Blockchain给AI产生的作用更大，例如保障AI的数据安全、保障AI的可信，这应该是远没有答案的开放性问题，需要行业和大家一起验证和探索，总之，有无限的想象空间和场景等着大家开拓。

最后一个问题是比较确定的问题，在座都是非常成熟的Web3.0安全公司，对于建设Web3.0安全团队来说应该都有很多心得，问题是关于人才培养，您觉得Web3.0安全需要怎样的人才？Web2.0安全的从业人员应该如何快速进入Web3.0安全领域？

周亚金：这个问题也是我们经常讨论的话题，怎么培养Web3.0人才或培养Web3.0安全人才，讲两点：

1.想进入Web3.0行业。我们希望能找到对新事物比较有好奇心的人，Web3.0里所涉及到的知识点非常新，特别是交叉的领域，比如说我自己是CS出身，我们现在也得学一些金融的知识和数学的知识，是非常交叉的领域，如果你没有对新事物的好奇心，很难进入到这一领域。所以我们在挑选人才进入队伍时，首先希望这个人对新事物不排斥，有好奇心，这点蛮重要。

2.热情。做任何事情需要靠自驱，希望能找到对这个行业有自驱力、有热情的小伙伴，因为有自驱的人不是为了这份薪水在工作，是为了实现自己内心的东西在工作，以及和团队一起成长。

Blue：新人进入到Web3.0行业，最好先去一家区块链公司待一段时间，这样瞬间会了解到很多方面，不管是底层区块链技术还是安全。

李康：我跟周教授、Blue也有共识，他们的建议我非常赞同。如果你是Web2.0安全做得很好的那就来吧，因为有足够的问题等待你去试炼，另外你遇到的对手和Web2.0里的对手是一样的，他们那帮人原来在Web2.0攻击你，现在都在Web3.0了，所以来吧。

宋超：答案很明确，好奇心、学习能力、有安全技能，Web3.0行业和Web3.0安全行业非常欢迎大家，希望对大家有帮助，谢谢！

来源：金色财经