安全行业也需要一个統一的安全模塊層。
一大早看到 @GoPlusSecurity 要構建模塊化統一使用者安全層。作為曾經的Crypto安全老兵內心又燃起了未竟的安全願景。一直以來Crypto最重要的「安全」方向,都太偏「服務」驅動了,永遠處於「事前潦草應對,事後無奈拍大腿」的尷尬現狀,如何破局呢?模塊化安全統一網絡會是最優解嗎?接下來,說說我的看法:
1)安全問題,永遠在事發之後才被重視,也就是我們常說的「安全意識」問題,不是靠短期呼籲呐喊就能提升的整體認知,註定要在一次次黑客攻擊、被釣魚事件之後被刺痛後,才能逐漸轉變成一種警覺意識。而且「安全事件」只能隨行業趨於成熟減少,並不會消失。因此,安全作為一種「服務」會始終被需要,但也始終是被動需要,這不利於安全公司提升自己的Crypto生態位;
2)模塊化已經成為Crypto領域一種常態發展路徑,無論是大到一個中間件網絡,還是layer2,又或者一些被獨立拆分的DA模塊、Execution模塊、Settlement模塊,再到期待中的Security安全層模塊,都在一步步成為構成Crypto主要要素的關鍵模塊。未來,原本構成鏈的共識層、結算層、執行層、DA層等都會以模塊化的方式被獨立封裝,且以高可交互操作性,嵌入到各個區塊鏈的架構系統中。安全模塊層也一樣,會成為每條鏈必備或必須要插拔組裝的額外能力;
3)隨著行業整體發展趨向成熟,純B端的黑客攻擊事件正在變少,這和全行業Developer持續的安全防護工作以及DeFi黑案森林驅動的行業代碼進步有直接關係,但B端安全事件減少,不代表整體安全之禍會消亡,大量的釣魚攻擊成為新一輪的安全重災區。因此,一個面向C端且能給用戶「無意識」安全保護的安全模塊層就得勇擔使命;
4)為啥要強調「無意識」,因為技術的進步和行業的成熟,一定要把複雜的問題抽象到後端infra層來解決,而前端用戶感知到的Gap會越來越小才行。基於模塊化構造鏈安全組件,涉及到危險可疑交易的及時阻斷,交易上鏈前的路徑預演,簽名前的前端Alert預警、釣魚網站等鏈下Oracle信息的更新、KYC反洗錢合規監管等等。理論上簡單,但實際兼容各個鏈,各個不同共識,且還要Match不同環境下簡陋的Wallet、Dex等協議,要徹底發揮模塊化安全層的價值,並不容易;
5)若安全停留在「服務」層,一個不可避免的現實是,層出不窮的插件,形形色色的工具,甚至面開發者、普通用戶、Trader、機構用戶等都得配備不同的安全方案。結果是,安全公司之間競爭的熱火朝天,普通用戶並沒有直觀安全層級上的提升感。安全行業也需要一個統一的安全模塊層,對C端用戶持續做到安全預警和體驗提升,對B端開發者和鏈、錢包、協議等infra則高度兼容,長此以往,C端、B端的安全意識和安全防護工作才能得到一致性提升。
總之,安全攻防會是Cryptp領域一直會存在的難題,因為離錢太近了,總會有黑客組織躲在暗處時刻掃描著安全薄弱環進行攻擊。本質上,黑客攻擊和安全防護都是成本對抗,做防護目標要增加黑客攻擊的成本。碎片化的安全服務如同打游擊,而一致的安全鏈生態構建和模塊化安全層的統一戰線防護,在我看來,目前是達成提升Crypto安全層級的最優解。