9 月 19 日，2023 上海区块链国际周·第九届区块链全球峰会于上海正式开幕。BlockSec CEO 周亚金教授受邀出席峰会，与 Web3 行业领先的安全机构代表及安全专家，包括 SharkTeam 联合创始人宋超、慢雾科技合伙人兼首席技术官 Blue 及 CertiK 首席安全官李康就“Web3 基石：安全与隐私”这一主题展开圆桌讨论，深入探讨 Web3 安全与隐私的重要意义、赛道发展、面临的挑战、与 AI 的关系等话题，为我们贡献了许多独到的见解。

我们现在都在谈如何实现 Web3 的大规模采用，让 Web3 赋能各个行业。要实现 Web3 的大规模采用需要满足两个前提。第一个前提是提升整个生态产品的易用性，包括改善用户的交互体验，提升产品的可交互性，优化产品的功能界面以及降低使用门槛，这也是行业中许多生态合作伙伴正在努力解决的问题。第二个前提就是提升 Web3 领域的安全性，这对于 Web3 的大规模采用是必不可少的。许多 Web3 的应用都涉及资产，如果没有一个安全的防护解决方案来保护 Web3 中的交易用户，又怎么能期望更多的用户进入 Web3 世界呢？所以我觉得安全性也是一个非常大的挑战。

总结来说，目前 Web3 还处于较为早期的发展阶段，如果要实现更好的发展，就必须解决易用性和安全性的问题。至于隐私则与安全还不太一样，我就不展开讨论了。

李康：我非常赞同周教授的观点。现在整个 Web3 行业处在一个初期的阶段，但也是一个发展的阶段。对于用户来讲，Web3 的可用性有巨大的提升空间。但对于开发者来说，Web3 已经进入到了一个比五年前要好很多的阶段。现在的开发人员已经有很多的平台和工具可以使用，所以我觉得我们处于大家开始建设并且群雄逐鹿的这样一个阶段。还没有进入到一个真正开始发展的阶段是因为我们现在还非常的碎片化，大家自己闷头在各个角落去挖掘，试图找到一个大众化的非常广泛的应用，所以还是在探索阶段。

Blue：现在进入 Web3 行业的人还是相对比较少，这是一个小众的圈子。圈外人可能知道比特币，但是不知道区块链，更不知道所谓的 Web3。如果参与的人比较少的话，可能圈内的人玩得比较嗨，但圈外的人已经不太愿意进到这个圈子了。

我觉得 Web3 安全是 Web3 的基础设施中比较重要的一个方面，它可能是阻碍传统的用户进到 Web3 的一个门槛。因为 Web3 世界每天都会发生攻击事件，对于这样的一个环境，新的用户进来之后是没有安全感的。如果你在一个世界没有安全感的话，可能来了之后很快就退缩离开了。纵观整个 Web3 或者加密世界，它的安全感是非常低的，底层的安全设施也不太完善，这可能需要各家 Web3 安全公司共同努力。至于隐私方面，我对此理解得不是特别好，尤其是安全和隐私放在一起。目前来看，安全和隐私有一定的对立。

 

宋超（主持人）：目前在 Web3 安全与隐私领域有哪些成功的实践经验和成熟赛道？您如何看待这些具备成功实践经验和成熟赛道的 Web3 安全与隐私业态及赛道未来的发展？

 

周亚金：据我观察，目前 Web3 在商业化方面比较成功的赛道主要有两个。第一个赛道是安全服务，包括我们都在做的安全审计行业。它本质上是为项目方提供项目的安全服务，在项目上线之前对项目进行安全评估，这已经被证明是一个成功的商业化赛道。另一个赛道是面向整体的监管和交易所的合规服务，这个赛道成功跑出来了，许多业界企业也正在尝试这个赛道。

 

这两个赛道之所以能够取得成功，背后的原因实际上是不同的。第一个赛道能够跑出来是因为有实实在在的需求，用户对于安全的需求倒逼项目方追求更高的安全性，进而倒逼出对于审计的需求。第二个赛道则由监管的需求驱动。在许多国家，如果不采取合规和监管方面的措施，那么相关业务是无法合法存在的。

 

这是我目前看到的比较好的两个赛道，而在未来的发展过程中也会出现更多成功的赛道。要看未来哪些赛道能跑出来，主要要看在 Web3 领域中有哪些参与方。比如，面向广大 C 端用户安全需求的这个赛道就非常受到关注，而这个赛道是否能够跑出一个被证明为成功的方向和产品目前尚未可知。再比如，目前的业界共识认为审计是有用的，但审计不是解决安全问题的唯一途径，那么除了审计之外，是否还能为项目方提供更好的安全服务？

 

总结来说，Web3 行业目前有两个较为成功的赛道，即面向项目方的安全服务以及面向监管层面的服务。未来在更多的用户场景中，无论是面向 C 端用户场景也好，还是面向项目方和大 B 的安全产品也好，能不能跑出新的赛道还要看进一步的发展情况。

 

李康：刚才周教授是从用户的驱动以及监管的驱动这两个方面讲这个赛道，我也都基本同意。我就从另外一个维度去看这个赛道，比如一个项目的生命周期。现在审计往往是在项目上线之前进行，这是大家公认的一个需求。其次就是项目上线以后的监测，我觉得这方面 BlockSec 和慢雾现在都做得很不错。第三块我觉得也可以分出来另外一个赛道，就是事件发生之后的响应。所以从不同的维度来看，有项目上线前的审计，上线之后的监测以及事件发生之后的追踪和恢复。

 

Blue：对于项目方来讲，我们通常将安全分为从内到外的安全和事前、事中、事后的安全。在内部研发阶段，我们安全公司可能会做一些安全咨询等。从外部来看，项目方可以寻求第三方安全审计公司对代码进行常规的安全审计。当项目上线后，项目经过了内部安全审查和第三方安全审计，那么我们推荐项目方入驻 Bounty，这是通过社会化力量做持续安全审计的一种方式。另外，一些安全监控系统也可以进行链上和链下的监控。刚才谈的是事前和事中，事后的话我们会归结为一个项目方被黑了。目前也有不同的追踪服务能够帮助找到黑客，从黑客手里把钱拿回来，这也是现在大家做的服务里比较多的。

 

在隐私这一块可能大家说得比较少。最近比较热门的一个产品线就是多方计算（MPC）。多方计算也可以叫隐私计算，它可能和隐私比较沾边，也和安全比较沾边。Web3 是离资产最近的一个行业，在资产安全方面，大家通常都在解决私钥安全存储的问题。目前来讲，MPC 是一个比较好的方案，它相当于将单私钥改成多私钥，通过审批流来保证多方参与并且验证交易的安全性，这也算是隐私上对安全的贡献。

宋超（主持人）：对于 Web3 安全和隐私，您认为当前最大的挑战是什么，以及如何应对这样的一个挑战？

周亚金：我觉得面临的挑战还是很多的，我挑几点来讲。

 

我们刚才没有怎么讨论到隐私方面的问题，那么第一点，Web3 安全行业要发展，大家就需要考量如何把握隐私的这个度。其实隐私并不是要做到极致，越多就越好的。因为一个行业的发展是必须要纳入到监管的体系里面的，完全去中心化的这种原教旨实际上比较难让一个行业得到主流的认可。基于这样的一个观点，我个人认为要把隐私做到什么程度，如何把握隐私的界限，这是目前我们面临的一个挑战。

 

第二点就是合规和监管的问题。例如我们现在去做一个 DeFi 里的开发者也好，去做一个协议也好，或者作为一个参与者也好，那么我们合规和监管的界限是什么？我们什么可以做，什么不可以做，这个界限有没有一个非常清楚的界定，这也是非常重要的一点。否则大家就都是在黑暗当中摸索，不知道什么时候就会碰到不该触碰的东西，所以这也是蛮大的一个挑战。基于这样的挑战，现在大家做咨询也好，方案提供也好，还没有一个能跨越法律、技术以及金融等不同领域这样一个特别好的东西。大家都在说不清道不明的情况下往前走，那么我们怎么迎合合规和监管的需求，这是第二个挑战。

 

第三个挑战在于怎么提升用户进入 Web3 领域的安全性。目前由于用户安全意识缺乏造成的损失还是挺多的，不比 DeFi 的攻击要少。我们如何解决这个问题，跑出来商业模式，并且在商业上、用户的可用体验上、用户的安全上达到一个特别好的平衡，这也是一个蛮大的挑战。

 

Blue：我们做攻击防御就要在每个方面都要做好，不管是资产安全、产品安全还是安全意识，只要有一个点没有做好，黑客就会趁虚而入。对黑客来说，他们很容易在 Web3“黑”到钱，追踪成本也很高，而黑客远比项目方更加努力。所以我觉得第一个挑战是大家对安全的投入不足。这个不足的结果很明显，就是每天都会被黑。

 

对安全投入不足的原因在于，像现在的这种熊市，大家首先抛弃的就是安全这类与业务“不沾边”的东西。项目方的安全意识不足，只做审计而不做顾问，或者说只进行一次审计而不做长期审计，也不做 Bug Bounty，就是因为在没钱的情况下优先缩减成本，尤其是外部的成本。因为没钱而不在安全方面投入，被黑了就又更没钱，这就陷入了恶性循环。

 

现阶段安全和隐私似乎有些对立。现在大家都在讲合规，甚至 DeFi 的项目方都开始讲需要 KYC 和 KYT。在这种情况下，如何在确保隐私、坚持区块链去中心化以及被各国接受的情况下把安全做好，这就是另一个挑战，也需要我们去共同探讨解决方案。

 

宋超（主持人）：AI 与 Web3 的发展关系如何？AI 对 Web3 安全和隐私有哪些帮助和可能的想象空间？

 

周亚金：我认为 AI 目前的发展改变了许多交互方式，比如我们现在使用的大模型，它能够更好地理解人的意图。我认为AI 与 Web3 的结合点在于如何把 AI 赋能的这种交互方式引到 Web3 中来。例如，当我提供某项服务时，就不需要用户点击十个步骤，而是可以通过与 AI 交互的方式完成后续所有步骤，我认为这是一个蛮有想象力的场景和空间。

Blue：不管在传统领域还是 Web3 领域，我们都可以用 AI 来提高生产力，例如现在我们写代码很多时候都是使用 GPT 来生成。

 

宋超（主持人）：您认为 Web3 安全需要怎样的人才？Web2 安全的从业人员应该如何进入 Web3 安全领域会比较有效？

周亚金：这也是我们经常讨论的一个问题，就是怎么去培养 Web3 的人才，或者说培养 Web3 安全人才。我讲两点吧。第一点是我们希望找到对新事物比较有好奇心的人。因为整个 Web3 涉及的知识点非常新，并且这是一个特别交叉的领域。比如我自己是学 CS 出身，我们现在也需要学一些金融的知识、数学的知识。对于这个非常交叉的领域，如果你没有对新事物的好奇心，你很难进入到这个领域。所以在挑选人才进入我们队伍的时候，我们首先希望这个人对新事物不排斥，有好奇心。第二点就是热情，因为无论做什么事情都需要自我驱动力，我们也希望能找到对这个行业有自驱力、有热情的小伙伴。因为有自驱力的人并不仅仅是为了薪水工作，还是为了实现内心的一些追求，在工作中与团队共同成长。我觉得这两个特质非常重要。

 

Blue：我觉得对于想要进入 Web3 行业的新人来说，最好是先去一家区块链公司工作一段时间，这样你就可以快速了解许多方面的知识，包括底层区块链技术以及安全方面的知识。另外，如果是 Web2 行业的安全从业者要进入 Web3，我建议他们可以先去挖 Bug Bounty，因为 Web3 和资产离得非常近，而且奖金方面也比传统的 Web2 高得多。所以现在不管是 HackerOne、Immunefi 等各大 Bug Bounty 平台，大家有兴趣了，都可以去挖一挖 Bug Bounty，体现自己的能力了，可能会更加喜欢这个行业。

 

李康：我跳到最后发言是因为我跟周教授还有 Blue 有共识，我觉得他们提的建议我也非常赞同。我就说一句，如果你在 Web2 的安全方面已经做得很好了，那就来吧！

结语：当前 Web3 行业尚处于早期发展阶段，面临着诸多挑战。如何在坚持区块链去中心化、确保合规的情况下，提高行业整体的安全性，推动隐私方面的建设，还需要行业伙伴们的共同探索与努力。

-  END  -

‍

‍