【Web30】Web3的未来取决于对安全性的重新思考观点-必博官方网站

【Web30】Web3的未来取决于对安全性的重新思考观点

2025-03-26 11:57:41 小编大中小

　　在 2024 年的大部分时间里，我感觉自己生活在未来。谷歌推出了一款量子计算芯片，它可以轻松完成传统计算机需要比宇宙存在时间更长的计算。Waymo 的自动驾驶汽车每周运送超过 15 万人。像 AlphaFold 这样的人工智能模型继续精确地解决复杂的生物难题。

　　尽管其他领域的技术取得了巨大进步，但我们行业中的某些领域却停滞不前，尤其是在安全方面。尽管先进技术正在改变几乎所有领域，但令人沮丧的是，web3 安全仍然存在问题。

　　从 web2 的中心化模式转向 web3 的去中心化架构，极大地扩大了攻击面。虽然去中心化是 web3 创新的支柱，但它也带来了一个固有的安全悖论：开放、分布式的特性在为用户带来自由的同时，也带来了一个广阔的、永久暴露的攻击面。每年有数千亿笔交易量，确保安全的风险从未如此之高。

　　然而，尽管攻击面急剧增长，协议中流经的数据达数十亿美元，但我们的行业仍然坚持以被动的手动审计作为安全基础。这种方法曾被视为 web3 安全的黄金标准，但事实证明它远远不够，而且已经过时。数据证实了这一现实；90% 被利用的合约都经过了审计。

【Web30】Web3的未来取决于对安全性的重新思考观点(图1)

　　正如 web2 软件开发已经远远超越了手动测试，包含了许多工具和技术（持续集成、自动化测试、运行时监控等等），web3 现在需要我们在开发方法和最终部署到大众的方式上进行类似的转变。

　　与 web3 安全漏洞的风险级别相比，智能合约安全实践的现状尤其令人担忧。主要有三个原因：

　　不变性：部署智能合约后，其代码将永久存在 — 不变性是一项核心功能，而不是错误。这意味着，与开发人员可以快速修补漏洞的 web2 应用程序不同，修复智能合约缺陷需要整个协议的复杂协调。

　　可见性：区块链代码的公开性加剧了这一挑战，潜在的攻击者可以看到源代码。如果存在漏洞，不法分子可以（并且会）找到它们。

　　直接控制资产：最关键的是，web3 漏洞使实际资产面临直接风险。虽然 web2 攻击通常以数据为目标，但智能合约漏洞会造成直接且往往不可逆转的财务损失。

　　web3 的革命性在于它的不变性、透明性和对资产的直接控制，这正是要求我们从根本上重新思考安全性的原因。

　　让我明确一点：我并不是反对审计。审计在部署安全智能合约方面发挥着至关重要的作用，但它们不应该是我们的第一道也是唯一的防线。当我们只剩下审计时，用户的资产就会暴露在外。以 2023 年的 Euler Finance 黑客攻击为例；尽管该协议已经经过了十次不同的审计，但损失仍超过必博平台2 亿美元。

【Web30】Web3的未来取决于对安全性的重新思考观点(图2)

　　依赖人工审计的最根本问题是，即使是最先进的审计人员也无法发现所有问题；人是会犯错的。智能合约变得越来越复杂，每个新功能都会使潜在的攻击媒介成倍增加，因此任何人工审核几乎都不可能发现所有潜在的弱点。一个项目可以接受十次不同的审计，但仍然会遭到黑客攻击，这一事实证明了这一点——这不是单个审计人员的技能问题，而是人工审核的固有局限性。

　　简而言之，我们行业对审计的依赖造成了我认为不负责任的 web3 安全现状——主动保护智能合约是例外，而不是常态。意识到 web3 已经创新，而安全却被搁置，这正是促使我在 2022 年创办 Olympix 的原因，这是一个以开发者为先的 web3 安全平台，可让开发人员在编写代码时保护代码。

　　我们的目标是尽可能地自动化审计流程，目前在项目进行首次审计之前就能发现 20-50% 的漏洞。这样一来，安全专家就可以将时间集中在寻找影响最大和最新颖的漏洞上，而不是常规问题上。而且这种方法很有效；内部分析显示，仅在 2024 年第三季度，如果团队使用我们的工具，就可以防止 6000 万美元的先前审计过的合同被利用。其中包括 Pendle（650 万美元）和 LIFI（60 万美元）等备受瞩目的黑客攻击。但是，与审计一样，Olympix 等高级工具并不是一个完整的解决方案。Web3 的独特挑战需要一种复杂的多层方法，将主动的、以开发人员为先的工具与传统审计、漏洞赏金计划和链上监控相结合，以创建多层保护。

【Web30】Web3的未来取决于对安全性的重新思考观点(图3)