为什么模块化安全层会给 Web3 安全带来变局？

作者：Haotian，独立研究员 来源：X，tmel0211

一大早看到 @GoPlusSecurity 要构建模块化统一用户安全层。作为曾经的 Crypto 安全老兵内心又燃起了未竟的安全愿景。一直以来 Crypto 最重要的「安全」方向，都太偏「服务」驱动了，永远处于「事前潦草应对，事后无奈拍大腿」的尴尬现状，如何破局呢？模块化安全统一网络会是最优解吗？接下来，说说我的看法：

1）安全问题，永远在事发之后才被重视，也就是我们常说的「安全意识」问题，不是靠短期呼吁呐喊就能提升的整体认知，注定要在一次次黑客攻击、被钓鱼事件之后被刺痛后，才能逐渐转变成一种警觉意识。

而且「安全事件」只能随行业趋于成熟减少，并不会消失。因此，安全作为一种「服务」会始终被需要，但也始终是被动需要，这不利于安全公司提升自己的 Crypto 生态位；

2）模块化已经成为 Crypto 领域一种常态发展路径，无论是大到一个中间件网络，还是 layer2，又或者一些被独立拆分的 DA 模块、Execution 模块、Settlement 模块，再到期待中的 Security 安全层模块，都在一步步成为构成 Crypto 主要要素的关键模块。

未来，原本构成链的共识层、结算层、执行层、DA 层等都会以模块化的方式被独立封装，且以高可交互操作性，嵌入到各个区块链的架构系统中。安全模块层也一样，会成为每条链必备或必须要插拔组装的额外能力；

3）随着行业整体发展趋向成熟，纯 B 端的黑客攻击事件正在变少，这和全行业 Developer 持续的安全防护工作以及 DeFi 黑案森林驱动的行业代码进步有直接关系，但 B 端安全事件减少，不代表整体安全之祸会消亡，大量的钓鱼攻击成为新一轮的安全重灾区。因此，一个面向 C 端且能给用户「无意识」安全保护的安全模块层就得勇担使命；

4）为啥要强调「无意识」，因为技术的进步和行业的成熟，一定要把复杂的问题抽象到后端 infra 层来解决，而前端用户感知到的 Gap 会越来越小才行。基于模块化构造链安全组件，涉及到危险可疑交易的及时阻断，交易上链前的路径预演，签名前的前端 Alert 预警、钓鱼网站等链下 Oracle 信息的更新、KYC 反洗钱合规监管等等。

理论上简单，但实际兼容各个链，各个不同共识，且还要 Match 不同环境下简陋的 Wallet、Dex 等协议，要彻底发挥模块化安全层的价值，并不容易；

5）若安全停留在「服务」层，一个不可避免的现实是，层出不穷的插件，形形色色的工具，甚至面开发者、普通用户、Trader、机构用户等都得配备不同的安全方案。结果是，安全公司之间竞争的热火朝天，普通用户并没有直观安全层级上的提升感。

安全行业也需要一个统一的安全模块层，对 C 端用户持续做到安全预警和体验提升，对 B 端开发者和链、钱包、协议等 infra 则高度兼容，长此以往，C 端、B 端的安全意识和安全防护工作才能得到一致性提升。 

总之，安全攻防会是 Cryptp 领域一直会存在的难题，因为离钱太近了，总会有黑客组织躲在暗处时刻扫描着安全薄弱环进行攻击。

本质上，黑客攻击和安全防护都是成本对抗，做防护目标要增加黑客攻击的成本。碎片化的安全服务如同打游击，而一致的安全链生态构建和模块化安全层的统一战线防护，在我看来，目前是达成提升 Crypto 安全层级的最优解。