於圈外人,Web3是什麼?這是一個什麼樣的賽道?會跑出怎樣的獨角獸?又會出現如何顛覆性的創新和應用,除了概念的熱炒外,似乎一切還未見分曉。
全球知名投資機構a16z合伙人 Chris Dixon曾表示, Web3是基於區塊鏈去中心化、不可篡改、可追溯的特性而構建出來的去中心化可信計算網絡,Web3是由建設者和用戶擁有的價值網際網路,區塊鏈、Crypto 和 Web3 將成為下一個經濟周期的中心。
福布斯中國談Web3,認為它基於區塊鏈技術和理念的全新網際網路模式,其中區塊鏈是Web3的底層技術或核心構架。
區塊鏈市場情報機構 Blockdata 發布的對全球市值前 100 上市公司的區塊鏈投資活動的研究報告顯示, 在2021年9月至2022年6月期間,有 40 家公司投資了區塊鏈/加密領域的公司,共計約60億美元,這些區塊鏈或者加密公司活躍在 20 多個行業,國內外的傳統網際網路企業也都紛紛布局Web3生態。
不管Web3到底是什麼,可以確定的是,這是一個離錢最近的網絡新世界,區塊鏈是個主角。
2022年,似乎是黑客大展肌肉的一年,頻發的安全事件背後,影響到的人群規模、生態系統、損失價值相比過往擴大十倍百倍。Web3雖還是雛嬰,卻已經需要擁有成年人的防禦能力。
作為Web3基礎設施中不可或缺的一環,區塊鏈安全企業,為這個行業充當了「安全保姆」「警察」和「偵探」的角色,白帽「黑客」,正在為Web3的健康有序發展築起一道道安全圍牆。
區塊鏈安全企業是一個什麼樣的行業?白帽「黑客」擁有什麼樣的技能?他們到底做了哪些事?又是怎樣的一個人群?他們如何在誘惑和挑戰中堅定方向?
我們特別邀請到業內資深區塊鏈安全專家、零時科技創始人鄧永凱,做了一期關於區塊鏈安全的訪談,共同探索Web3生態安全背後的故事。
鄧永凱,區塊鏈安全技術領域的資深專家,知名網絡安全白帽黑客,零時科技創始人,前上市公司綠盟科技高級網絡安全攻防研究員,政企及高校特聘區塊鏈安全專家講師,參與並審核多項國家與地區區塊鏈安全服務技術標準,著有區塊鏈安全暢銷書籍《區塊鏈安全入門與實戰》。
以下為採訪實錄:
#Q1UNIBFF News:對於非技術人員來說,區塊鏈安全話題很大,也很遙遠。請您結合自己的經歷說說,區塊鏈安全行業到底是一個什麼行業,它都做哪些事?和普通人有什麼相干?
鄧永凱:這要從我遇到第一個區塊鏈安全「事故」說起。
之前我在國內的一家知名的網絡安全上市公司綠盟科技做安全攻防研究,代碼審計,漏洞挖掘的工作。當時有人找我做智能合約代碼審計,初次接觸,沒特別上心,但也開始去關注這個領域。
直到後來,2018年4月,業內發生了一個安全事件,美鏈BEC智能合約因為一個溢出漏洞,導致項目一夜歸零,「一行代碼值一個億」,刷爆了朋友圈。那時候,我第一次意識到智能合約安全問題威力如此大,後果如此嚴重。
當我開始研究智能合約安全、區塊鏈安全的時候,發現這是一個黑暗、混亂、荒蠻的領域,它跟傳統安全問題不一樣,安全問題多、研究人員少、安全問題報導少、研究成果少。當時區塊鏈生態應用,例如智能合約應用和交易平台發展正盛,更多未知的安全問題正等著這個生態的參與者去面對。
當時,我覺得區塊鏈安全這個領域很有趣,也很有挑戰,同時也是為了打破自己在傳統安全攻防研究的瓶頸,就決定投身到區塊鏈安全這個未知的新賽道。
深入研究後發現每天都會發生的安全事件,都是真金白銀的損失,很多用戶和投資者血本無歸,甚至有人因為資產損失,放棄生命的想法都有。所以那個時候更堅定了專注區塊鏈生態安全這個領域的決心,保護用戶生命及資產安全,減少損失,只能從源頭開始,也就是幫助應用及平台先於黑客發現問題,解決問題,築起安全防火牆,於是2018年底創立了零時科技。
區塊鏈安全生態面臨的安全挑戰其實一直在變化,由於區塊鏈新概念,新技術,高回報的特徵,導致很多人被惡意區塊鏈應用引誘,上當受騙,血本無歸。
一方面是對區塊鏈生態應用的惡意攻擊,智能合約安全漏洞,交易平台的黑客攻擊,安全漏洞,黑客盜幣等。另一方面是利用區塊鏈概念作惡,比如虛擬幣惡意挖礦,虛擬幣勒索,虛擬幣洗錢,暗網交易,資金盤,博彩,詐騙等。
區塊鏈生態發展到現在,生態應用越來越豐富,面臨的安全問題和挑戰也越來越大,這是一個永不休止真槍實彈的戰場。
#Q2 UNIBFF News:您的團隊審計過上千個項目,能說說這些項目裡面最大的共性安全問題是什麼嗎?您覺得為什麼會造成這樣的問題?
鄧永凱:無論是什麼樣的區塊鏈項目,所有的安全問題最終都是處在人身上,如果具體描述如下:
第一,業務邏輯的實現上存在安全漏洞(原始碼安全漏洞,智能合約安全漏洞,平台功能安全漏洞)。
第二,安全運營管理上存在的嚴重缺陷(管理權限泄漏,私鑰泄漏,無安全意識)。
造成安全問題的原因,基本都一樣,技術人員安全意識的薄弱、項目管理層對安全的認知不夠、安全建設及防禦的投入少、行業用戶的安全意識不夠,抵禦攻擊能力不足。
#Q3 UNIBFF News:如果您是黑客的話,會覺得哪些平台或者設施是你首選的攻擊目標呢?
鄧永凱:黑客攻擊一般都是有目的性的,比如政治目的、經濟目的、商業目的,又或是炫技,出於不同的目的,黑客會選擇不同的攻擊目標,所有的項目,要麼是已經被攻擊成功,要麼是正在被攻擊。當然,中心化平台或者資金量大的項目,是黑客首選。
#Q4 UNIBFF News:相比傳統安全公司,您認為區塊鏈安全公司特點是什麼?
鄧永凱:從整個安全賽道來看,區塊鏈安全的部分攻防技術是類似於傳統安全的,區塊鏈安全也有其獨特的地方。
傳統安全公司在安全攻防這塊發展研究了多年,從業人員多,知識體系和安全標準比較成熟。區塊鏈安全賽道發展快,每個階段生態應用都在更新,安全問題也是隨著應用的變化而變化,面對的挑戰較多。而且現在它還處於發展初期,是一片藍海市場,挑戰背後也伴隨著很多機遇。
還有一點就是,區塊鏈行業離金錢更近,區塊鏈安全攻防都是真槍實彈地干,所有人需要堅守白帽黑客的正義感和對市場的敬畏感。
#Q5 UNIBFF News:你認為當下,區塊鏈安全公司最核心的競爭力是什麼?零時科技與行業競爭對手相比,競爭力是什麼?
鄧永凱:區塊鏈安全也是屬於整個網絡安全體系的賽道之一,我認為它的核心競爭力是在鏈上鏈下黑客攻防技術和經驗的積累,其中最重要的是行業客戶對它的信任感。
為什麼這麼說?當你的客戶出現安全問題找你處理的時候,你難免都會直接接觸到客戶的核心代碼以及數字資產,如果沒有豐富的經驗和足夠的客戶信任感,很難說服客戶你能勝任這件事。
對於零時科技的優勢,我認為主要有三點,第一,團隊多年的安全攻防實戰經驗,面對不一樣的攻擊目標和手法,過往的經驗都可借鑑。第二,是團隊在區塊鏈安全生態的專注度。第三,是團隊強烈的責任感和正義感,這是獲取客戶信任的基石。
#Q6UNIBFF News:區塊鏈安全產品的疊代,您是如何考慮的?
鄧永凱:我們對外開放過很多區塊鏈安全工具,包括區塊鏈安全情報,加密資產監控,智能合約安全自動化審計,還有正在開發的鏈上安全攻擊預警。
開發這些工具一方面,是給行業用戶提供更多的途徑了解區塊鏈安全情報事件,了解區塊鏈安全背景,區塊鏈應用的安全狀態,提高行業用戶的安全意識,減少被惡意攻擊和詐騙,更好地保護好自身資產安全,防患於未然。這也符合我們零時科技保護用戶的生命及資產安全的使命。
另一方面,商業化的安全產品,需要根據市場的需求,不斷疊代。讓客戶可以在每個階段,我們都能提供安全解決方案,為客戶建立安全防禦,獲得更大的價值。
#Q7 UNIBFF News:您自己過去來自大廠,您認為區塊鏈安全公司可以規模化發展嗎?它的優勢有哪些?它的局限性有哪些?
鄧永凱:由於目前區塊鏈生態還在發展初期,區塊鏈安全市場還不夠成熟和規模化,對於大廠而言,他們可能不會在這個領域有更多的資金投入和專注度。
這反倒給了我們這種創新團隊很多發展空間,我認為目前區塊鏈安全市場還是早期,看好這個領域,就要投身去做儲備,等風來的時候你就可以起飛。
目前區塊鏈生態應用越來越多,區塊鏈、NFT、數藏、Web3,都逐漸成為大家的共識,我個人非常看好這個領域,隨著時間的推移,它的規模會迎來爆發,區塊鏈公司也會隨之規模化發展起來。
對於局限因素,我認為第一個是監管和扶持政策不明朗,國內目前還沒有明確的標準,目前的應用比如數藏等,如何在監管和合規的情況下快速複製,大家都是摸著石頭過河。
第二個是行業處於早期,很多人接觸少,不理解,在觀望,更有攪局和投機者。
第三個是行業發展除了技術、應用、監管,還需要各方面的團隊和供應鏈生態去支持,目前投入到Web3的人還比較少,技術和經驗積累還不夠,需要更多的極客和從業者加入,共同發展。
#Q8 UNIBFF News:您如何看待區塊鏈安全公司的海外布局?
鄧永凱:首先整個區塊鏈生態是非常國際化的一個行業,應用也都是面向全球開放的。如果你的業務僅限於國內,業務規模太小,天花板太低,相比國內,海外的區塊鏈生態會更大更豐富,安全市場也更大。布局海外,對於區塊鏈公司來說是必經之路。零時科技也已經在著手布局海外的區塊鏈安全市場和品牌。
#Q9 UNIBFF News:在對公司的融資和擴張上面,您有哪些原則?
鄧永凱:我們始終堅持一個原則:不為了拿錢而拿錢,不打無準備的仗。
我認為融資除了錢本身外,最重要的是能夠給我們業務發展提供更好的資源,帶來可以互補我們團隊的東西。
對公司擴張方面,因為安全無小事,如果你自己都沒有準備好,就去開始做這個業務,那不就是欺騙客戶嗎?所以,我們一直在做研究和儲備,為客戶提供更好的區塊鏈安全產品和服務,當你自己準備好的時候,自然會帶來客戶和市場。
#Q10 UNIBFF News:區塊鏈行業發展十多年,實際上也是一個生態不斷改變的過程。有時候理論和實踐並不同步,難免產生很多的摩擦和矛盾。甚至於有些事情曇花一現,其實您也是一個親歷者,您是如何防止被各種摩擦和矛盾所淘汰的呢?
鄧永凱:其實區塊鏈安全公司是整個區塊鏈生態的一個重要角色,也是一個基礎設施。和所有區塊鏈應用一樣,面臨著各種摩擦、被淘汰以及各種挑戰。業內很多項目曇花一現,零時科技快四年了,我們目前還是非常有信心,團隊能穩定生存下來,發展越來越好。
我認為這和團隊的價值觀、使命和初心有一定關係。
你是想讓團隊長期專注於一件事情研究下去,做下去,發揮更大價值?還是做一個投機者?
不管行業如何發展,安全團隊始終是屬於一個基礎設施,我們去做我們應該做的事情。
首先,實事求是,不忘初心,守正出奇,不能因為某些利益或誘惑,就改變了你的初心和前進的腳步,做你安全團隊應該做的事情,如果安全團隊不可信,那這個行業還有誰是可信的呢?
#Q11 UNIBFF News:做安全行業,不僅要和黑客鬥智鬥勇,還要受到一些環境和技術的影響,在面對失敗時,你怎麼看?如何應對?
鄧永凱:很多時候,在項目上或者技術研究上,面對各種問題和質疑,短時間無法解決,一籌莫展。這些事情在我們的工作中一直存在,但是不能著急,靜下心去思考解決辦法,慢就是快。
創業路上,帶領團隊戰鬥,失敗和打擊,以及挫敗感那就是家常便飯,只有不停努力前進,和團隊一起並肩作戰,克服困難,才能改變這個狀況,才能成長。
#Q12 UNIBFF News:您認為區塊鏈安全行業未來會怎麼發展?
鄧永凱:區塊鏈作為一種新興技術,哪些場景能夠利用區塊鏈技術解決具體的問題,它都會出現相對應的應用場景,目前市場上還沒有出現現象級產品應用。
行業中的公鏈、聯盟鏈、跨鏈、智能合約、錢包及交易平台等,都屬於區塊鏈的基礎設施,基礎設施上開發的DeFi、GameFi、NFT等一些應用,都存在本身的安全問題。Web3的安全不僅有傳統安全問題,還有區塊鏈安全問題,還有資產安全問題。
整體來說,Web3在快速發展,在發展和創新的過程中,安全問題不僅不會消失,還會越來越多,越來越複雜,因此安全就會伴隨著去提供相應的解決方案。未來的Web3和區塊鏈生態,安全審計和資產安全是重中之重。
總結:Web3的安全問題,也許永遠不會停止。不過結果也許正如a16z分析Web3安全性那樣,更多的關注會吸引更多的白帽,並使發現新漏洞的「進入門檻」更高。同時,隨著 web3 應用的增加,黑帽黑客尋找新漏洞的動機也在增加。就像在許多其他安全領域一樣,這很可能仍然是一場貓捉老鼠的遊戲。