作者 | Ronghui Gu, CertiK ；譯者 | 王強

雖然 Web3 協議在 2022 年第三季度的損失與上一季度相比減少了近三分之一，但在過去三個月中，Web3 協議造成的損失超過了 5 億美元。退出騙局（Exit scam）和閃電貸攻擊（flash loan attack）是我們看到的兩種最常見但最容易預防的攻擊類型。令人失望的是，過去幾個月這些事件的發生頻率并沒有下降。

不過我們先退一步說話。到了今天，“互聯網幾乎徹底改變了我們生活的方方面面”這句話早已成為陳詞濫調。自 1990 年代萬維網向公眾推出以來，我們工作、學習、交流、購物、銷售和娛樂的方式發生了永久性的變化。當我們學會適應并改進我們創造的這項技術時，這種快速而根本性的變化自然也伴隨著許多痛點。

走進 Web3 時代

Web3 是這項具有深刻革命意義的技術的最新迭代。它有望解決過去二十年中，整個互聯網向公司化轉變過程中出現的許多問題。

區塊鏈技術可以通過多種革新方式將權力還給用戶。用戶可以使用幾乎不可能破解的加密技術來保護他們的數據，選擇將他們的信息提供給誰以及何時提供。各種歧視現象將大大減少，因為所有用戶在不變的、確定性的智能合約規則面前都是平等的。欠缺現代服務的國家和地區公民將獲得在發達國家被認為是理所當然的金融產品和服務。

但在 Web3 設法解決其嚴重的安全問題之前，這一承諾是無法兌現的。

這個問題令人擔憂，但還不至于讓人絕望。解決困擾 Web3 世界的安全問題是行業前進的方向，也是行業將 Web3 的無窮潛力盡可能帶給更多人的必經之路。實現 Web3 的全部潛力需要行業中的每個人——包括用戶和開發人員——都認真對待安全問題。

首先我們要了解這一問題的嚴重性。

2022 年有望成為 Web3 有安全性評估記錄以來最糟糕的一年。就在 2022 年，區塊鏈協議中流失了超過 25 億美元的價值，這是 2021 年損失量的兩倍多，幾乎是 2020 年損失量的三倍。

鏈橋仍然是最薄弱的環節

跨鏈鏈橋仍然是最大的損失來源之一。2022 年的八次鏈橋襲擊造成的 14.2 億美元損失，占當年損失總額的 56%。每起鏈橋事故平均損失 1.78 億美元，相比之下非鏈橋事故的平均損失只有 583 萬美元，相形見絀。

這反映了兩個基本事實。首先，用戶對跨鏈基礎設施的需求顯然是龐大的。用戶希望能夠在多個區塊鏈上無縫交易，充分利用各條鏈提供的獨特價值主張。然而很明顯，許多當前的實現都沒有達到“對抗性區塊鏈空間”所需的安全標準。由于鏈橋吸引了如此大的用戶需求，因此它們也是攻擊者的主要目標，后者希望從對鏈橋的成功攻擊中獲得最大的收益。

鏈橋的狀態也反映了整個行業的狀態。有許多創新技術概念——例如先進的零知識證明或分片技術——尚未準備好投入生產環境。這些都是突破性的新技術，需要更多時間來完善。鏈橋目前陷入了一個尷尬的中間地帶：相關技術已經發展到了足以實現一個理念的程度，但還沒有做好準備來保護它們所吸引的巨額資金。

吸取或未吸取的教訓

在加密貨幣行業中，人們的教訓往往是通過艱難的方式學習的。某個第三方錢包生成器工具中的漏洞被公開披露后，僅僅四天時間它就造成了 1.6 億美元的損失。俗話說，最嚴重的錯誤是你沒有從錯誤中吸取教訓。

這些事件為整個行業提供了寶貴的教訓，這就是透明度如此重要的原因所在。所幸，透明度是 Web3 的核心原則之一。我們很高興地看到整個社區在這樣的事件發生后聚集在一起診斷漏洞、糾正漏洞并確保它不再發生。

盡管如此，安全性仍然是該行業的主要瓶頸，安全問題正在拖延 Web3 的采用進程。目前，我們看到不夠安全的協議造成的一系列損失主要傷害了很多零散用戶和專業的加密貨幣企業。但它的影響其實更為廣泛。為了讓這項技術能夠幫助盡可能多的人，我們需要把當前人們在加密世界中遨游所需的門檻降下去。這一過程很可能會由新一波服務提供商以及很多資歷深厚的組織來完成，這些組織需要了解 Web3 的好處，并認識到它對那些行動遲緩的巨頭構成的威脅。然而，如果損失所有投資或所有客戶資金的風險是不可忽略的話，這些組織也就很難認定對 Web3 的投入是利大于弊的。

同樣，這個問題不應被視為放棄前進的理由，而應被視為整個行業的戰斗口號。

底線：確保安全性 與技術共同發展

Web3 已經為數百萬投資者、藝術家、創作者和經濟困難的社區提供了實實在在的好處。未來只會更加光明：這是一種在全球范圍內組織生產活動的全新方式，而現在我們僅僅觸及了它的冰山一角。

我們需要贊賞和支持那些認真對待安全性、保護用戶資金并提供真正價值的項目，這樣我們關于安全性的討論才是完整的。有很多協議過去多年來獲得了數十億美元的價值，一直平安無事。

即使在這次市場低迷期間，去中心化交易所每天仍在進行價值約 10 億美元的掉期交易。以早期 DeFi 項目之一 Aave 為例，它在十幾個區塊鏈上守護了 80 億美元的價值，讓用戶能夠高效獲得貸款并充分利用他們的資本，而無需將他們的敏感信息提供給不安全的征信機構，或依賴抵押貸款審核員的潛在歧視性決定。

當前普遍存在的安全問題對行業來說是一個挑戰，但這一挑戰是能夠克服的，也是必然會克服的。只要參與者對安全性給出真正和有意義的承諾，我們就能從這場戰斗中大獲全勝，并做好更充分的準備，向世界展示這項技術的非凡潛力。這是一個高風險且殘酷的環境，但這也意味著只有強者才能生存。那些即使在持續的外部壓力下也能為人們帶來真正價值的項目就是那些贏到最后的強者。

這就是 Web3 的承諾：去中心化的、用戶驅動的服務，在你最需要它們的時候并不會消失。為了兌現這一承諾，我們需要繼續提高整個行業的安全標準，以保護當前用戶并吸引這場技術革命的未來受益者。

編輯：黃飛