# Web3安全的出路——从信誉和共识思考Web3安全

By [Sake](https://paragraph.com/@youthsake) · 2023-06-01

---

一、当下Web3安全现状
============

当谈到Web3安全，你会想到哪些词？钱包被盗、合约漏洞、钓鱼、Rug Pull……对于一个Crypto老玩家来说这些词估计早已司空见惯，对于这类事件的发生估计也都习以为常。但，当事情没有发生在自己身上的时候，即使是拥有丰富经验的Web3老用户好像也并不上心，更不用说是刚入圈“善良淳朴”的新人了。要知道，**在Crypto的世界，“稍有不慎、倾家荡产。”**

一般而言，Web3常见的攻击类型有以下几种：

资产被盗：虚拟币被盗，平台被盗

黑客攻击：黑客等多种类型攻击

信息泄露：私钥泄露等

安全漏洞：合约漏洞、功能漏洞

错误权限：系统权限设置错误，合约权限错误等

钓鱼攻击：网络钓鱼

价格操纵：价格操纵

关于其他的Web3作恶的方式，慢雾团队已经做了非常细致的总结和归类，大家可以参见：

[https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil\_blockchain.png](https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png)

慢雾团队也对历史上发生的1043件黑客事件进行了收录和分析，大家可以参见：

[https://hacked.slowmist.io/](https://hacked.slowmist.io/)

近期零时科技也发布了一份《2022年全球Web3行业安全研究报告》，其中对2021年和2022年的全球Web3安全事件进行了统计分析。报告显示，从2021年到2022年，Web3全年安全事件的数量额损失金额都在增加，并且能够统计的损失金额已经超过了101亿美元。

![](https://storage.googleapis.com/papyrus_images/5d1c938becaab34a2ead9a036cb78731163f71b11511ebc82b19c91ce919f3f0.png)

并且据零时科技数据统计，2022年全球Web3生态六大主要赛道中：公链发生安全事件10起，共计损失约1.57亿美元；跨链桥发生安全事件14起，共计损失13.38亿美元；交易所发生安全事件19起，共计损失11.92亿美元；钱包发生安全事件25起，共计损失6.93亿美元；DeFi发生安全事件25起，共计损失5.93亿美元；NFT发生安全事件44起，损失超4256万美元。

从主要赛道发生的安全事件数量来看，NFT安全事件最多，这和它成为2022业界追捧的热门赛道脱不开关系。另一方面，由于进入Web3行业人数的增多，钱包和DeFi成为安全事件的重灾区。从损失金额看，跨链桥位列第一，遭受损失最大。

![](https://storage.googleapis.com/papyrus_images/510d073f1279193a06080fcaceeb84486f6806f60e3cd5d9fb06381c1ddc09cf.png)

Web3技术的发展给互联网带来了前所未有的变革，它的去中心化架构让人们对互联网的未来重新充满了期待。我相信Web3的探索者们进入到这个世界是希望能够更加自由地去体验互联网的魅力，但如果这个世界一直都是一个危险的蛮荒之地的话，这将会让更多原有的Web3用户退出这个世界（多个被盗的老玩家宣布退圈）并阻碍新的用户加入进来。\*\*因此，安全对于Web3的发展来说是不可或缺的。\*\*幸运的是，Web3这一路的发展也有着许多的能人志士在维护着当下Web3的安全，他们也因此取得了一定的成功。

二、当下Web3安全赛道格局
==============

![](https://storage.googleapis.com/papyrus_images/09ab0a9a62a228ad7443623cc87cf6bfb85057c570111edddaec3d4cc0c9126a.png)

![](https://storage.googleapis.com/papyrus_images/57f1ee32d2665a094db6ff28e1e8e228ef78e3ad5e1326e2692ce2a9217a295b.png)

自 2020 年 DeFi（去中心化金融）爆发，Web3 安全公司的业务水涨船高，2021 年 CertiK 迅速成为了 Web3 安全领域的全球第一。据 CoinMarketCap 数据，在所有经安全审计的 DeFi 项目中，\*\*CertiK 的市占率达 70%。\*\*通过上图的统计数据也可以看到，Certik 一共审计了3,700+项目，远远超过同行，慢雾紧随其后，其次是Hacken。同时我们也可以发现，所有这些安全公司审计过的项目都有出现问题的，并且Certik出现的数量最多，比例达到了0.9%。**相比之下，慢雾的审计服务算是最安全的，但是也难免出现问题。**

\*\*这些安全公司算是Web3领域最大的几家公司了，他们也基本都是ToB的公司，他们赚钱的业务主要是合约审计，反洗钱等。\*\*在ToC方面，似乎这些安全公司并没有找到非常好的能够商业化的业务和方案。通过市场调查发现，目前从事ToC业务的安全公司主要有GoPlus、Scam Sniffer、PeckSheild Alert、Revoke.cash等。他们所做的业务包括以数据 API 的方式接入 Web3 应用，覆盖用户的风险场景，实时识别用户可能遇到的资产或行为风险，例如检测Token的合约，检测钱包的授权，还包括基于用户使用场景的防钓鱼网站、钓鱼邮件、社群诈骗等。

就目前大家的布局来看，\*\*在Web3安全领域，ToB 市场以安全审计和反洗钱为主，按项目收服务费。ToC市场的核心是安全流量与数据，主要帮助用户在交互时规避资产被盗的风险。\*\*从盈利情况来看，目前Web3安全赛道赚钱的业务主要集中在ToB领域，这些业务也造就了目前像Certik这样的安全巨头。但是，从安全的需求角度来看，随着Web3用户群体的增长，未来ToC的市场也会变得更大，也许这种格局会得到一定扭转。并且 **C 端市场的需求注定是长尾的，这意味着Web3安全在C端的市场不会被某一家安全服务商完全占据，从现在的局势来看 C 端市场仍大有可为。**

三、信誉和共识之于Web3安全
===============

通过上面针对目前Web3安全赛道的介绍，我们发现目前Web3项目的评判标准完全掌握在一批中心化的安全机构手里。\*\*这也就导致了一个滑稽的现象，明明号称去中心化的Web3，最后还是依赖于为数不多的几个中心化机构的背书。\*\*而可能也正是由于人性懒于独立思考的弱点，以及自身知识储备的不足，好像绝大部分的Web3用户不得不相信这些机构，或者说完全信任这些机构对于他们来讲是成本最小的。为什么大家会觉得这是最小的成本？我认为这是传统Web2的信誉机制带给我们的潜意识，在传统世界里，信誉构建出了我们的货币金融体系，使得资本利用率更高，经济发展更快。而传统世界的信誉系统之所以能够有效运转的主要原因还是基于法律和武力的保护。也正是因为这一套信誉的机制，**如果按照这种模式发展的话，安全赛道只会强者更强，可以预见，未来Web3安全只会形成几家独大的局面，愈加地中心化，项目审计到最后可能变成一个审计公司“收保护费”的行为。**

\*\*因为如果审计无法保证安全的话，那么项目方进行合约审计就是在自欺欺人。据我了解，一些项目方之所以进行安全审计，其主要目的并不是为了给自己的项目找漏洞，而是为了拿到一个审计证明从而能够吸引更多用户。\*\*大家也都知道现在Web3项目审计的费用是不低的，如果合约审计流程最后成为一个“正规”项目的标准的话，那将一定程度上抑制Web3的创新。针对这一点，jolestar 提出了一个非常Web3的解决方案：

> from：[https://twitter.com/jolestar/status/1651442989582135296](https://twitter.com/jolestar/status/1651442989582135296)
> 
> 1.  内部测试覆盖以及初步审计。
>     
> 2.  上公开测试版本（主网，但有个 TVL 上限，有升级权限，保证如果被黑可以赔得起）。
>     
> 3.  拿审计费用出来悬赏白帽。
>     
> 4.  一段时间后放开 TVL 限制，限制升级权限。给这个阶段的用户空投。相当于一种乐观模式的审计。
>     
> 
> 或者应该这样设计，找一个审计公司审计，给很高的报价，但审计完后审计公司不能直接得到报酬，而是要将很大一部分锁在合约里悬赏白帽。如果最后没有漏洞，则审计公司获得这部分超额奖励，否则审计公司只能得到一份辛苦钱。

话说回来，正是大家习惯了靠信誉和政府保护的这一套模式，目前被市场筛选出来的行业领先的前几家安全机构总体来说还是拥有较高的信誉，因此大家也就选择了无脑地相信。但是，\*\*历史总是会不断地重复，也许Web3中的某家大型合约审计公司就是下一个“安达信”。\*\*何况这个行业现在还缺乏监管甚至难以监管，**即使出现监守自盗的事情他们也未必会受到惩罚**。从阴谋论的角度假设一种情况，如果这些安全审计机构中有些审计员存在私心，故意不汇报漏洞，等到项目上线之后自己再偷偷进行攻击，那么我想未来我们对于这些安全机构越信任，我们的损失就越惨重。

那这种局面就不可改变了吗？Web3有未来的话，未来Web3的安全都完全需要寄托在这些安全机构手中吗？那岂不是在另一个纬度上又变得中心化了。

之于安全机构，我想他们也有苦难言，百口莫辩。Certik创始人之前发过一篇文章，里面提到他们如何公开他们的审计报告，如何使用模型进行安全审计，项目方如何骗过他们的审计流程等。这篇文章的观点总得来说就是，如果非要讲理，他们也不一定有错。但“誉满天下，谤满天下”对于一家做审计的公司来说是值得骄傲或者沾沾自喜的吗？我想不是，**如何减少大家的非议或许也是这些安全公司希望解决的。**

因此，如果大家希望一起把这块Web3的蛋糕做好，让这个圈子能够更长久，还是需要秉承去中心化的文化和理念。如何在Web3的世界中将安全去中心化呢？

所谓去中心化，就是减少中心，让所有人参与进来是最理想的去中心化。但是，人性的弱点难以抗拒，安全的知识也难以得到全面的普及，在具有一定门槛的安全评判领域进行全民民主投票也是一件低效甚至未必有效的机制。但是，**由某些具有公信力的组织一起组成的多中心化系统或许会是个解决方案。**

基于这个逻辑和猜想，\*\*我门希望能够设计出一套实现Web3去中心化安全的协议。该协议将使得大家不再需要完全信任单一的中心化安全机构，能够更加安全地更加放心地畅行Web3的世界。\*\*当然，我相信没有任何一个协议或者产品能够解决所有的安全问题，我们还是需要具备基本的安全意识和素养，魔与道总是互相进化的，小心才能驶得万年船。

\*\*为了验证该协议的有效性，我选取了目前安全事故最频繁，普通用户最容易踩坑的一个应用场景——网站钓鱼。\*\*据慢雾统计，有90%的NFT被盗都是因为网站钓鱼，钓鱼网站总是可以通过各种方法进入到用户的视线，在用户访问网站的时候第一时间帮助用户辨别该网站的安全性将能有效解决这个问题。最理想的解决方案就是做一个防钓鱼浏览器插件，而产品背后的“黑白名单”就将基于上面提到的协议来构建。

说了这么多，最后夹带一点私货。我们所构建的该安全协议名为Gotham3，就像慢雾把Web3比作黑暗森林一样，我们认为Web3更像一个危机四伏、乱象丛生、难以治理的哥谭镇。\*\*要让Web3的世界变得更好，变得更加安全，不仅需要“蝙蝠侠”，更需要每一个身在其中的人一起参与治理。\*\*以下是Gotham3协议的一些介绍资料：

官网：[https://gotham3.io/](https://gotham3.io/) 白皮书：[https://docs.gotham3.io/](https://docs.gotham3.io/) DECK：[https://docsend.com/view/sxu4w5fntvrvmnsf](https://docsend.com/view/sxu4w5fntvrvmnsf) Alpha产品：[https://gotham3.io/alpha/](https://gotham3.io/alpha/)

目前Gotham3已经成为了Scroll的生态合作项目，我们Alpha版本的合约也部署在了Scroll的测试网上，欢迎大家一起参与体验！也欢迎大家加入我们的Discord社区：[https://discord.com/invite/QSr8EB5bzd，让我们一起秉承Web3的精神来治理Web3安全吧！](https://discord.com/invite/QSr8EB5bzd%EF%BC%8C%E8%AE%A9%E6%88%91%E4%BB%AC%E4%B8%80%E8%B5%B7%E7%A7%89%E6%89%BFWeb3%E7%9A%84%E7%B2%BE%E7%A5%9E%E6%9D%A5%E6%B2%BB%E7%90%86Web3%E5%AE%89%E5%85%A8%E5%90%A7%EF%BC%81)

参考和推荐:

[https://foresightnews.pro/article/detail/22988](https://foresightnews.pro/article/detail/22988)

[https://yishi.io/safe-internet-surfing-and-protect-your-privacy/](https://yishi.io/safe-internet-surfing-and-protect-your-privacy/)

[https://yishi.io/guide-to-safe-access-internet/](https://yishi.io/guide-to-safe-access-internet/)

[https://www.chaincatcher.com/article/2091983](https://www.chaincatcher.com/article/2091983)

[https://twitter.com/stacy\_muur/status/1651171507656331265](https://twitter.com/stacy_muur/status/1651171507656331265)

---

*Originally published on [Sake](https://paragraph.com/@youthsake/web3-web3)*