Web3的發(fā)展為何總受阻礙？

作者 | Ronghui Gu, CertiK ；譯者 | 王強(qiáng)

雖然 Web3 協(xié)議在 2022 年第三季度的損失與上一季度相比減少了近三分之一，但在過(guò)去三個(gè)月中，Web3 協(xié)議造成的損失超過(guò)了 5 億美元。退出騙局（Exit scam）和閃電貸攻擊（flash loan attack）是我們看到的兩種最常見(jiàn)但最容易預(yù)防的攻擊類(lèi)型。令人失望的是，過(guò)去幾個(gè)月這些事件的發(fā)生頻率并沒(méi)有下降。

不過(guò)我們先退一步說(shuō)話(huà)。到了今天，“互聯(lián)網(wǎng)幾乎徹底改變了我們生活的方方面面”這句話(huà)早已成為陳詞濫調(diào)。自 1990 年代萬(wàn)維網(wǎng)向公眾推出以來(lái)，我們工作、學(xué)習(xí)、交流、購(gòu)物、銷(xiāo)售和娛樂(lè)的方式發(fā)生了永久性的變化。當(dāng)我們學(xué)會(huì)適應(yīng)并改進(jìn)我們創(chuàng)造的這項(xiàng)技術(shù)時(shí)，這種快速而根本性的變化自然也伴隨著許多痛點(diǎn)。

走進(jìn) Web3 時(shí)代

Web3 是這項(xiàng)具有深刻革命意義的技術(shù)的最新迭代。它有望解決過(guò)去二十年中，整個(gè)互聯(lián)網(wǎng)向公司化轉(zhuǎn)變過(guò)程中出現(xiàn)的許多問(wèn)題。

區(qū)塊鏈技術(shù)可以通過(guò)多種革新方式將權(quán)力還給用戶(hù)。用戶(hù)可以使用幾乎不可能破解的加密技術(shù)來(lái)保護(hù)他們的數(shù)據(jù)，選擇將他們的信息提供給誰(shuí)以及何時(shí)提供。各種歧視現(xiàn)象將大大減少，因?yàn)樗杏脩?hù)在不變的、確定性的智能合約規(guī)則面前都是平等的。欠缺現(xiàn)代服務(wù)的國(guó)家和地區(qū)公民將獲得在發(fā)達(dá)國(guó)家被認(rèn)為是理所當(dāng)然的金融產(chǎn)品和服務(wù)。

但在 Web3 設(shè)法解決其嚴(yán)重的安全問(wèn)題之前，這一承諾是無(wú)法兌現(xiàn)的。

這個(gè)問(wèn)題令人擔(dān)憂(yōu)，但還不至于讓人絕望。解決困擾 Web3 世界的安全問(wèn)題是行業(yè)前進(jìn)的方向，也是行業(yè)將 Web3 的無(wú)窮潛力盡可能帶給更多人的必經(jīng)之路。實(shí)現(xiàn) Web3 的全部潛力需要行業(yè)中的每個(gè)人——包括用戶(hù)和開(kāi)發(fā)人員——都認(rèn)真對(duì)待安全問(wèn)題。

首先我們要了解這一問(wèn)題的嚴(yán)重性。

2022 年有望成為 Web3 有安全性評(píng)估記錄以來(lái)最糟糕的一年。就在 2022 年，區(qū)塊鏈協(xié)議中流失了超過(guò) 25 億美元的價(jià)值，這是 2021 年損失量的兩倍多，幾乎是 2020 年損失量的三倍。

鏈橋仍然是最薄弱的環(huán)節(jié)

跨鏈鏈橋仍然是最大的損失來(lái)源之一。2022 年的八次鏈橋襲擊造成的 14.2 億美元損失，占當(dāng)年損失總額的 56%。每起鏈橋事故平均損失 1.78 億美元，相比之下非鏈橋事故的平均損失只有 583 萬(wàn)美元，相形見(jiàn)絀。

這反映了兩個(gè)基本事實(shí)。首先，用戶(hù)對(duì)跨鏈基礎(chǔ)設(shè)施的需求顯然是龐大的。用戶(hù)希望能夠在多個(gè)區(qū)塊鏈上無(wú)縫交易，充分利用各條鏈提供的獨(dú)特價(jià)值主張。然而很明顯，許多當(dāng)前的實(shí)現(xiàn)都沒(méi)有達(dá)到“對(duì)抗性區(qū)塊鏈空間”所需的安全標(biāo)準(zhǔn)。由于鏈橋吸引了如此大的用戶(hù)需求，因此它們也是攻擊者的主要目標(biāo)，后者希望從對(duì)鏈橋的成功攻擊中獲得最大的收益。

鏈橋的狀態(tài)也反映了整個(gè)行業(yè)的狀態(tài)。有許多創(chuàng)新技術(shù)概念——例如先進(jìn)的零知識(shí)證明或分片技術(shù)——尚未準(zhǔn)備好投入生產(chǎn)環(huán)境。這些都是突破性的新技術(shù)，需要更多時(shí)間來(lái)完善。鏈橋目前陷入了一個(gè)尷尬的中間地帶：相關(guān)技術(shù)已經(jīng)發(fā)展到了足以實(shí)現(xiàn)一個(gè)理念的程度，但還沒(méi)有做好準(zhǔn)備來(lái)保護(hù)它們所吸引的巨額資金。

吸取或未吸取的教訓(xùn)

在加密貨幣行業(yè)中，人們的教訓(xùn)往往是通過(guò)艱難的方式學(xué)習(xí)的。某個(gè)第三方錢(qián)包生成器工具中的漏洞被公開(kāi)披露后，僅僅四天時(shí)間它就造成了 1.6 億美元的損失。俗話(huà)說(shuō)，最嚴(yán)重的錯(cuò)誤是你沒(méi)有從錯(cuò)誤中吸取教訓(xùn)。

這些事件為整個(gè)行業(yè)提供了寶貴的教訓(xùn)，這就是透明度如此重要的原因所在。所幸，透明度是 Web3 的核心原則之一。我們很高興地看到整個(gè)社區(qū)在這樣的事件發(fā)生后聚集在一起診斷漏洞、糾正漏洞并確保它不再發(fā)生。

盡管如此，安全性仍然是該行業(yè)的主要瓶頸，安全問(wèn)題正在拖延 Web3 的采用進(jìn)程。目前，我們看到不夠安全的協(xié)議造成的一系列損失主要傷害了很多零散用戶(hù)和專(zhuān)業(yè)的加密貨幣企業(yè)。但它的影響其實(shí)更為廣泛。為了讓這項(xiàng)技術(shù)能夠幫助盡可能多的人，我們需要把當(dāng)前人們?cè)诩用苁澜缰绣塾嗡璧拈T(mén)檻降下去。這一過(guò)程很可能會(huì)由新一波服務(wù)提供商以及很多資歷深厚的組織來(lái)完成，這些組織需要了解 Web3 的好處，并認(rèn)識(shí)到它對(duì)那些行動(dòng)遲緩的巨頭構(gòu)成的威脅。然而，如果損失所有投資或所有客戶(hù)資金的風(fēng)險(xiǎn)是不可忽略的話(huà)，這些組織也就很難認(rèn)定對(duì) Web3 的投入是利大于弊的。

同樣，這個(gè)問(wèn)題不應(yīng)被視為放棄前進(jìn)的理由，而應(yīng)被視為整個(gè)行業(yè)的戰(zhàn)斗口號(hào)。

底線：確保安全性 與技術(shù)共同發(fā)展

Web3 已經(jīng)為數(shù)百萬(wàn)投資者、藝術(shù)家、創(chuàng)作者和經(jīng)濟(jì)困難的社區(qū)提供了實(shí)實(shí)在在的好處。未來(lái)只會(huì)更加光明：這是一種在全球范圍內(nèi)組織生產(chǎn)活動(dòng)的全新方式，而現(xiàn)在我們僅僅觸及了它的冰山一角。

我們需要贊賞和支持那些認(rèn)真對(duì)待安全性、保護(hù)用戶(hù)資金并提供真正價(jià)值的項(xiàng)目，這樣我們關(guān)于安全性的討論才是完整的。有很多協(xié)議過(guò)去多年來(lái)獲得了數(shù)十億美元的價(jià)值，一直平安無(wú)事。

即使在這次市場(chǎng)低迷期間，去中心化交易所每天仍在進(jìn)行價(jià)值約 10 億美元的掉期交易。以早期 DeFi 項(xiàng)目之一 Aave 為例，它在十幾個(gè)區(qū)塊鏈上守護(hù)了 80 億美元的價(jià)值，讓用戶(hù)能夠高效獲得貸款并充分利用他們的資本，而無(wú)需將他們的敏感信息提供給不安全的征信機(jī)構(gòu)，或依賴(lài)抵押貸款審核員的潛在歧視性決定。

當(dāng)前普遍存在的安全問(wèn)題對(duì)行業(yè)來(lái)說(shuō)是一個(gè)挑戰(zhàn)，但這一挑戰(zhàn)是能夠克服的，也是必然會(huì)克服的。只要參與者對(duì)安全性給出真正和有意義的承諾，我們就能從這場(chǎng)戰(zhàn)斗中大獲全勝，并做好更充分的準(zhǔn)備，向世界展示這項(xiàng)技術(shù)的非凡潛力。這是一個(gè)高風(fēng)險(xiǎn)且殘酷的環(huán)境，但這也意味著只有強(qiáng)者才能生存。那些即使在持續(xù)的外部壓力下也能為人們帶來(lái)真正價(jià)值的項(xiàng)目就是那些贏到最后的強(qiáng)者。

這就是 Web3 的承諾：去中心化的、用戶(hù)驅(qū)動(dòng)的服務(wù)，在你最需要它們的時(shí)候并不會(huì)消失。為了兌現(xiàn)這一承諾，我們需要繼續(xù)提高整個(gè)行業(yè)的安全標(biāo)準(zhǔn)，以保護(hù)當(dāng)前用戶(hù)并吸引這場(chǎng)技術(shù)革命的未來(lái)受益者。

編輯：黃飛