loading...
“你的钥匙,你的硬币。”
这是比特币及其他加密货币的核心承诺之一:通过消除中介机构,赋予用户对其资金的完全控制权。然而,这一承诺背后隐藏着一个潜在假设——任何安全问题都是持有者的责任,而非系统设计者的问题。这种思维方式或许在加密货币尚处于实验阶段时能够被接受,但当涉及数万亿美元资产和数百万人的生计时,它显然不再适用。
自比特币诞生至今已有15年,加密货币的设计空间得到了极大的扩展。如今,应用程序、协议、交易所、稳定币以及多种代币标准相互交织,形成了一个价值万亿美元的生态系统。这个生态系统已不再仅仅是去中心化货币的简单体现,而是一个复杂且高度互联的网络。随之而来的是更加复杂的安全风险和更高的潜在损失。尽管自主托管机制仍然重要,但Web3设计者不应将大部分安全责任转嫁给用户。
为了成为主流技术,加密行业必须不断演变,以应对现实世界中的安全威胁——如社会工程攻击、人为错误以及物理胁迫——同时不损害匿名性和假名制等核心价值。
几十年来,个人电脑的发展为网络安全行为提供了大量数据。简而言之,人类在网络卫生方面的表现并不完美。
尽管诸如网络安全意识月等活动确实起到了一定作用,但网络钓鱼、伪造二维码和恶意软件等威胁依然猖獗。这些威胁并未消失,反而进化得比我们的防御措施更快。
根据数据由 CoinLaw 汇编,加密货币领域的钓鱼攻击呈上升趋势,仅2025年初就增长了40%,导致用户损失高达4.1亿美元。更糟糕的是,人工智能驱动的深度伪造技术进一步加剧了这一问题;据CoinLaw统计,从2024年中到2025年中,此类攻击数量激增了450%以上。
此外,与加密货币相关的暴力犯罪事件有所增加。有组织犯罪集团开始针对高净值人士,强迫他们交出账户信息。区块链追踪公司Chainalysis数据显示,2024年报告的“扳手袭击”超过30起,预计到2025年这一数字将翻倍。
显而易见,安全问题并非偶然现象,而是可以预见的风险。
我们不会对旧金山或日本的地震视而不见,而是会建造抗震建筑。同样的逻辑也应适用于加密货币安全。
好消息是,Web3领域正在采取许多措施,以提高用户和产品的安全性。
以钱包为例。过去,为了追求安全,钱包用户体验往往较差,但得益于拆分钱包、多密钥管理、委托账户等创新,情况正在改善。然而,平衡可用性与安全性仍然是一个棘手的问题。
那么,我们该如何更好地服务用户呢?
首先,我们需要将安全问题视为系统设计的反馈。每一次安全事件都不仅仅是用户行为的问题,更是系统设计缺陷的反映。例如,密码被盗时,有人可能会说:“被网络钓鱼是用户的错,他们不应该上当受骗。” 这或许有一定道理,但如果这种问题每年在客户群中发生数百万次,那就说明系统本身存在问题,需要进行调整。
其次,我们需要借鉴非Web3领域的成功经验。
以身份验证为例。虽然加密密钥功能强大,但它无法确认用户是否为合法所有者。正因如此,更广泛的互联网早已采用了多因素身份验证、行为信号分析等层级机制,以及最近兴起的“人为验证”技术——这些方法可以在不依赖用户持续警惕的情况下保护用户。加密货币行业应该效仿这些做法。
最后,我们必须认识到,安全风险已不再局限于社会工程手段。
从加密货币高管到财力雄厚的持有者,越来越多的物理攻击事件表明,窃贼试图通过暴力破解而非技术解密获取访问权限。如果我们设计的系统没有考虑到物理攻击的可能性,那就是失职的表现。随着攻击媒介的演变,我们也必须随之进化。
在加密货币早期阶段,强调个人责任的精神是可以理解的。然而,如今数万亿美元的资产和无数人的生计岌岌可危,我们需要的是为现实世界风险设计的系统,而不是仅仅服务于早期采用者。
需要明确的是,没有任何一种解决方案是万能的:加密密钥仍然容易受到网络钓鱼攻击,生物识别技术可能使用户更容易遭受物理攻击,而人类自身的行为缺陷也难以避免。但在网络安全意识月即将结束之际,让我们牢记我们究竟为谁而构建。当我们为真实的人而非理想化的用户设计时,我们的产品才能在保护用户弱点的同时提升生活品质。安全不再是用户的问题,而是一个行业共同的责任。
886
345
644
951
211
132
477
836
199
