安全行业也需要一个统一的安全模块层。
一大早看到 @GoPlusSecurity 要构建模块化统一用户安全层,我内心又燃起了未竟的安全愿景。一直以来,Crypto最重要的”安全”方向都太偏向”服务”驱动了,永远处于”事前潦草应对,事后无奈拍大腿”的尴尬现状。那么如何破局呢?模块化安全统一网络会是最优解吗?接下来,我来谈谈我的看法:
1) 安全问题永远在事发之后才被重视,也就是我们常说的”安全意识”问题。这不是靠短期呼吁呐喊就能提升的整体认知,注定要在一次次黑客攻击、被钓鱼事件之后被刺痛后,才能逐渐转变成一种警觉意识。
而且”安全事件”只能随着行业趋于成熟减少,但并不会消失。因此,安全作为一种”服务”会始终被需要,但也始终是被动需要,这对于安全公司提升自己的Crypto生态位不利;
2) 模块化已经成为Crypto领域的一种常态发展路径。无论是大到一个中间件网络,还是Layer2,又或者一些被独立拆分的DA模块、Execution模块、Settlement模块,再到期待中的Security安全层模块,都在一步步成为构成Crypto主要要素的关键模块。
未来,原本构成链的共识层、结算层、执行层、DA层等都会以模块化的方式被独立封装,并以高可交互操作性嵌入到各个区块链的架构系统中。安全模块层也一样,会成为每条链必备或必须要插拔组装的额外能力;
3) 随着行业整体发展趋向成熟,纯B端的黑客攻击事件正在变少。这和全行业Developer持续的安全防护工作以及DeFi黑案森林驱动的行业代码进步有直接关系。但是B端安全事件减少,并不代表整体安全问题会消失,大量的钓鱼攻击成为新一轮的安全重灾区。因此,一个面向C端且能给用户”无意识”安全保护的安全模块层就得勇担使命;
4) 为什么要强调”无意识”呢?因为技术的进步和行业的成熟,一定要把复杂的问题抽象到后端infra层来解决,而前端用户感知到的差距会越来越小才行。基于模块化构造链安全组件,涉及到危险可疑交易的及时阻断,交易上链前的路径预演,签名前的前端Alert预警,钓鱼网站等链下Oracle信息的更新,KYC反洗钱合规监管等等。
理论上很简单,但实际上要兼容各个链、各种不同共识,并且还要适配不同环境下简陋的Wallet、Dex等协议,要彻底发挥模块化安全层的价值,并不容易;
5) 如果安全只停留在”服务”层,那么不可避免的是会有层出不穷的插件和各种工具,甚至针对开发者、普通用户、Trader、机构用户等都需要不同的安全方案。结果就是安全公司之间的竞争热火朝天,普通用户并没有直观的安全层级提升感。
安全行业也需要一个统一的安全模块层,对C端用户持续进行安全预警和体验提升,对B端开发者和链、钱包、协议等基础设施进行高度兼容。只有这样,C端和B端的安全意识和安全防护工作才能得到一致性提升。
总之,安全攻防将一直是Crypto领域存在的难题,因为它离钱太近了,总会有黑客组织躲在暗处时刻扫描着安全薄弱环节进行攻击。
本质上,黑客攻击和安全防护都是成本对抗,做防护的目标是增加黑客攻击的成本。碎片化的安全服务就像游击战一样,而统一的安全链生态构建和模块化安全层的统一战线防护,在我看来,目前是提升Crypto安全层级的最佳解决方案。