作者 | Ronghui Gu, CertiK ；譯者 | 王強(qiáng)

雖然 Web3 協(xié)議在 2022 年第三季度的損失與上一季度相比減少了近三分之一，但在過去三個月中，Web3 協(xié)議造成的損失超過了 5 億美元。退出騙局（Exit scam）和閃電貸攻擊（flash loan attack）是我們看到的兩種最常見但最容易預(yù)防的攻擊類型。令人失望的是，過去幾個月這些事件的發(fā)生頻率并沒有下降。

不過我們先退一步說話。到了今天，“互聯(lián)網(wǎng)幾乎徹底改變了我們生活的方方面面”這句話早已成為陳詞濫調(diào)。自 1990 年代萬維網(wǎng)向公眾推出以來，我們工作、學(xué)習(xí)、交流、購物、銷售和娛樂的方式發(fā)生了永久性的變化。當(dāng)我們學(xué)會適應(yīng)并改進(jìn)我們創(chuàng)造的這項技術(shù)時，這種快速而根本性的變化自然也伴隨著許多痛點。

走進(jìn) Web3 時代

Web3 是這項具有深刻革命意義的技術(shù)的最新迭代。它有望解決過去二十年中，整個互聯(lián)網(wǎng)向公司化轉(zhuǎn)變過程中出現(xiàn)的許多問題。

區(qū)塊鏈技術(shù)可以通過多種革新方式將權(quán)力還給用戶。用戶可以使用幾乎不可能破解的加密技術(shù)來保護(hù)他們的數(shù)據(jù)，選擇將他們的信息提供給誰以及何時提供。各種歧視現(xiàn)象將大大減少，因為所有用戶在不變的、確定性的智能合約規(guī)則面前都是平等的。欠缺現(xiàn)代服務(wù)的國家和地區(qū)公民將獲得在發(fā)達(dá)國家被認(rèn)為是理所當(dāng)然的金融產(chǎn)品和服務(wù)。

但在 Web3 設(shè)法解決其嚴(yán)重的安全問題之前，這一承諾是無法兌現(xiàn)的。

這個問題令人擔(dān)憂，但還不至于讓人絕望。解決困擾 Web3 世界的安全問題是行業(yè)前進(jìn)的方向，也是行業(yè)將 Web3 的無窮潛力盡可能帶給更多人的必經(jīng)之路。實現(xiàn) Web3 的全部潛力需要行業(yè)中的每個人——包括用戶和開發(fā)人員——都認(rèn)真對待安全問題。

首先我們要了解這一問題的嚴(yán)重性。

2022 年有望成為 Web3 有安全性評估記錄以來最糟糕的一年。就在 2022 年，區(qū)塊鏈協(xié)議中流失了超過 25 億美元的價值，這是 2021 年損失量的兩倍多，幾乎是 2020 年損失量的三倍。

鏈橋仍然是最薄弱的環(huán)節(jié)

跨鏈鏈橋仍然是最大的損失來源之一。2022 年的八次鏈橋襲擊造成的 14.2 億美元損失，占當(dāng)年損失總額的 56%。每起鏈橋事故平均損失 1.78 億美元，相比之下非鏈橋事故的平均損失只有 583 萬美元，相形見絀。

這反映了兩個基本事實。首先，用戶對跨鏈基礎(chǔ)設(shè)施的需求顯然是龐大的。用戶希望能夠在多個區(qū)塊鏈上無縫交易，充分利用各條鏈提供的獨特價值主張。然而很明顯，許多當(dāng)前的實現(xiàn)都沒有達(dá)到“對抗性區(qū)塊鏈空間”所需的安全標(biāo)準(zhǔn)。由于鏈橋吸引了如此大的用戶需求，因此它們也是攻擊者的主要目標(biāo)，后者希望從對鏈橋的成功攻擊中獲得最大的收益。

鏈橋的狀態(tài)也反映了整個行業(yè)的狀態(tài)。有許多創(chuàng)新技術(shù)概念——例如先進(jìn)的零知識證明或分片技術(shù)——尚未準(zhǔn)備好投入生產(chǎn)環(huán)境。這些都是突破性的新技術(shù)，需要更多時間來完善。鏈橋目前陷入了一個尷尬的中間地帶：相關(guān)技術(shù)已經(jīng)發(fā)展到了足以實現(xiàn)一個理念的程度，但還沒有做好準(zhǔn)備來保護(hù)它們所吸引的巨額資金。

吸取或未吸取的教訓(xùn)

在加密貨幣行業(yè)中，人們的教訓(xùn)往往是通過艱難的方式學(xué)習(xí)的。某個第三方錢包生成器工具中的漏洞被公開披露后，僅僅四天時間它就造成了 1.6 億美元的損失。俗話說，最嚴(yán)重的錯誤是你沒有從錯誤中吸取教訓(xùn)。

這些事件為整個行業(yè)提供了寶貴的教訓(xùn)，這就是透明度如此重要的原因所在。所幸，透明度是 Web3 的核心原則之一。我們很高興地看到整個社區(qū)在這樣的事件發(fā)生后聚集在一起診斷漏洞、糾正漏洞并確保它不再發(fā)生。

盡管如此，安全性仍然是該行業(yè)的主要瓶頸，安全問題正在拖延 Web3 的采用進(jìn)程。目前，我們看到不夠安全的協(xié)議造成的一系列損失主要傷害了很多零散用戶和專業(yè)的加密貨幣企業(yè)。但它的影響其實更為廣泛。為了讓這項技術(shù)能夠幫助盡可能多的人，我們需要把當(dāng)前人們在加密世界中遨游所需的門檻降下去。這一過程很可能會由新一波服務(wù)提供商以及很多資歷深厚的組織來完成，這些組織需要了解 Web3 的好處，并認(rèn)識到它對那些行動遲緩的巨頭構(gòu)成的威脅。然而，如果損失所有投資或所有客戶資金的風(fēng)險是不可忽略的話，這些組織也就很難認(rèn)定對 Web3 的投入是利大于弊的。

同樣，這個問題不應(yīng)被視為放棄前進(jìn)的理由，而應(yīng)被視為整個行業(yè)的戰(zhàn)斗口號。

底線：確保安全性 與技術(shù)共同發(fā)展

Web3 已經(jīng)為數(shù)百萬投資者、藝術(shù)家、創(chuàng)作者和經(jīng)濟(jì)困難的社區(qū)提供了實實在在的好處。未來只會更加光明：這是一種在全球范圍內(nèi)組織生產(chǎn)活動的全新方式，而現(xiàn)在我們僅僅觸及了它的冰山一角。

我們需要贊賞和支持那些認(rèn)真對待安全性、保護(hù)用戶資金并提供真正價值的項目，這樣我們關(guān)于安全性的討論才是完整的。有很多協(xié)議過去多年來獲得了數(shù)十億美元的價值，一直平安無事。

即使在這次市場低迷期間，去中心化交易所每天仍在進(jìn)行價值約 10 億美元的掉期交易。以早期 DeFi 項目之一 Aave 為例，它在十幾個區(qū)塊鏈上守護(hù)了 80 億美元的價值，讓用戶能夠高效獲得貸款并充分利用他們的資本，而無需將他們的敏感信息提供給不安全的征信機(jī)構(gòu)，或依賴抵押貸款審核員的潛在歧視性決定。

當(dāng)前普遍存在的安全問題對行業(yè)來說是一個挑戰(zhàn)，但這一挑戰(zhàn)是能夠克服的，也是必然會克服的。只要參與者對安全性給出真正和有意義的承諾，我們就能從這場戰(zhàn)斗中大獲全勝，并做好更充分的準(zhǔn)備，向世界展示這項技術(shù)的非凡潛力。這是一個高風(fēng)險且殘酷的環(huán)境，但這也意味著只有強(qiáng)者才能生存。那些即使在持續(xù)的外部壓力下也能為人們帶來真正價值的項目就是那些贏到最后的強(qiáng)者。

這就是 Web3 的承諾：去中心化的、用戶驅(qū)動的服務(wù)，在你最需要它們的時候并不會消失。為了兌現(xiàn)這一承諾，我們需要繼續(xù)提高整個行業(yè)的安全標(biāo)準(zhǔn)，以保護(hù)當(dāng)前用戶并吸引這場技術(shù)革命的未來受益者。

編輯：黃飛