行业洞察

Web2 巨头布局 Web3,安全为成败关键

By Wade Wang - 2023-05-23

我们需要思考的不仅是区块链技术在何时何地能被广泛利用,更重要的是如何实现,而资产安全是推进这一愿景的关键因素。


无论是全球科技巨头亚马逊、阿里巴巴,还是支付巨头万事达卡、Visa,亦或时尚巨头 Gucci 、Prada,众多 Web2 公司都在尝试涉足 Web3 领域,即使他们各自所处的行业大相径庭,但对于 Web3 的关注重点相差无几。

机构和个人都享受着去中心化带来的许多好处,其中一大亮点便是对自身资产和数据的完全掌控,这对品牌方与品牌用户来说也极具吸引力。然而,资产和数据的安全仍然是一个大问题,甚至阻碍着 Web3的广泛推行,对于 Web2 机构而言更是如此。

加密技术的安全模型以私钥为核心,与资产安全密切相关,但又与传统安全路径大为不同。因此,对 Web3 安全架构的陌生与不熟悉使得有意涉足 Web3 领域的观望者们正面临诸着多潜在风险。但毋庸置疑的是,资产安全是推动 Web3 大规模普及的关键。安全得到有效保障,才能为公司及其客户保驾护航,所有人在 Web3 世界才能安心开展业务。

在 Web3 打下夯实安全基础、充分获取用户信任之前,区块链技术尚无法实现对大众的最终承诺。

Web2 机构和 Web3 原生机构在布局 Web3 上有何不同

在深入了解两者的 Web3 安全需求之前,我们先探究两者在市场上的差异。

第一点便是合规性。Web2 机构进入 Web3 领域之后,在获得许可证、保险和第三方认证方面具有相对优势。与此同时,Web3 原生机构更倾向于选择开源路径,侧重于去中心化和技术可验证性。

此外,Web2 和 Web3 机构在公司治理和决策方面也存在明显差异,前者更倾向于提供股份并根据股权权益进行投票,而 Web3 领域的项目方、机构等更倾向于采用 DAO 组织架构或代币经济模型。

这种差异也导致两者采取不同的资产管理方法。在 Web2,机构负责保护客户的资产和数据,而在 Web3,通常由用户直接管理自己资产与数据。因此,Web2 平台基本与用户共担风险,而 Web3 用户更习惯于自己保护所享有的资产所有权。因此,如若平台用户遭受安全攻击,Web2 机构声誉将受更大影响。

资产安全,殊途同归

区块链技术推动新兴市场发展的同时,也带来了新型的安全风险。中心化机构和去中心化平台都面临着许多相同的安全风险,并始终追求同样的目标,即保护客户资产免受遗失、盗窃、欺诈和其他类型的攻击。

无可避免地,潜在风险总会在某个时刻对所有机构发起攻击。Web3 的典型安全风险主要包括:

  • 在私钥生成过程中盗窃
  • 在资产转移过程中,篡改、伪造信息、数据,导致资产转移到错误的地址
  • 社交工程攻击(钓鱼为主)和欺诈。

对于用户,尤其是对于Web2 机构的用户来说,培养 Web3 安全意识需要接受更多的教育。初次接触 Web3 时,他们可能会感到更加迷茫。此外,期望用户能够在新环境中应对复杂的安全风险也是不切实际的。

MPC+TEE 技术应用与技术开源

几乎所有 Web3 应用的安全基石都以私钥为核心,这是市场在过去十年的发展中达成的安全共识。然而,传统数字钱包(热钱包或冷钱包)都存在单点风险和单人管理私钥的安全问题,数百次攻击也已证明这种安全模型的脆弱性。

安全多方计算(MPC)直接生成多个私钥分片,并将这些分片分配给多个签名人,即私钥从未以一个单独体的形式存在过。这种方式便能有效消除私钥单点风险,即使外部作恶(如黑客)拿到一份私钥分片,在没有拿到所有私钥分片的情况下,依然无法掌控任何资产;对于内部作恶也能做到切实防御,如不满前员工或云厂商内部作恶者均无法动摇用户资产。

可信执行环境(TEE)则确保从私钥分片生成到交易签署的所有操作都遵守安全多方计算协议和用户设置的交易策略,始终加密,不得篡改。与此同时,用户还保留对其私钥的 100% 控制权。

安全是任何技术创新的基石,技术发展也应以用户利益为宗旨,随着 Web2 机构进入尚且陌生的 Web3 领域,安全的重要性也更为突出。真正建立对此类创新安全模式的信任,一个关键因素便是通过开源实现代码透明可验证,既提供安全保证机制,同时提升持续创新的效率,树立大众对 Web3 安全的信心。

Web3 原生机构可以通过构建安全、开源的基础设施来推动 Web2 巨头对区块链技术的运用。相应地,Web2 巨头加入 Web3 领域,将为 Web3 生态带来更多资源,吸引更多人才,促进 Web3 成长。


刊登于 TechNode Global

As Web2 giants enter the Web3 space, security will be make-or-break

(本文参照英文翻译,仅供参阅)