Web3安全：揭秘千亿市场的巨大潜力与机遇

作者说

古希腊人曾用巨木打造木马，将其作为”礼物”献给特洛伊城。城中居民欢欣鼓舞地迎接这个和平象征，却不知其中暗藏杀机。

随着比特币ETF的正式获批，大量新用户和资金正加速涌入Web3领域，市场回暖的迹象似乎预示着Web3距离大规模应用更近了一步。然而，监管政策的缺位和安全漏洞的隐患，仍然是阻碍加密货币走向主流的主要障碍。

在加密世界中，黑客只需利用链上漏洞就能轻松获利数百万甚至上亿美元，而加密货币天然的匿名性又为这些不法分子提供了完美的掩护。截至2023年底，所有DeFi协议的总锁定价值约为40亿美元（目前已达100亿美元），而仅在2022年，DeFi协议被盗的代币总价值就高达3.1亿美元，占TVL的7%。这个触目惊心的数字，犹如悬在Web3行业头顶的达摩克利斯之剑，时刻提醒着我们安全问题的严峻性。

不仅链上环境危机四伏，Web3用户端的安全形势同样不容乐观。Scam Sniffer公布的数据显示，2023年共有32.4万名用户因网络钓鱼攻击而损失资产，总金额达到2.95亿美元。无论是受影响人数还是损失规模都令人震惊。但更令人担忧的是，在安全事故真正发生前，用户往往难以意识到潜在风险。这种”幸存者偏差”心理，让很多人忽视了安全防护的重要性。

本文深入分析了当前Web3市场面临的安全挑战，探讨了用户规模快速扩张带来的安全隐患。通过研究Goplus等公司提出的安全解决方案，我们得以了解如何从合规性和安全性等维度为Web3的大规模应用保驾护航。我们认为，Web3安全是一个尚未充分开发的千亿级市场，随着用户群体的持续扩大，对用户端安全服务的需求将呈现爆发式增长。

文章早知道

1.隐藏的威胁与千亿市场
1.1 资产安全
1.2 行为安全
1.3 协议安全

1. Web3 安全赛道分析
2. 下一代安全产品：为 Web3 大规模应用护航
3. 结语

全文5400字，预计阅读时间12分钟

隐藏的威胁与千亿市场

当前的Web3安全产品主要服务于B端、C端和开发者三大群体。面向企业的服务主要集中在产品安全审计领域，通过渗透测试输出审计报告，从产品侧构建安全防线。面向个人用户的服务则侧重于保护用户安全环境，通过实时捕获和分析威胁情报，以API形式输出检测服务。而为开发者提供的工具则主要是自动化安全审计服务。

安全审计作为一种基础防护手段，已经成为Web3产品的标配。几乎所有项目方都会公示审计报告，这不仅能让社区二次验证协议安全性，也是用户建立信任的重要依据。但安全审计并非万能灵药。基于市场发展趋势和当前叙事，我们预见用户安全环境将面临持续升级的挑战。

资产安全

每一轮市场启动都伴随着新资产的涌现。随着ERC404的火爆和FT与NFT混合型代币的兴起，链上资产的创新形式日益复杂。资产类型的多样化给安全防护带来了全新挑战。当不同资产通过智能合约相互映射融合时，系统复杂度呈指数级增长，为攻击者创造了更多可乘之机。例如，通过精心设计的回调机制或税收机制，攻击者可以干扰资产转移，甚至发起直接的DoS攻击。这使得传统的Pre-Chain审计方法面临巨大挑战，亟需具备实时监测、预警和动态拦截能力的解决方案。

行为安全

CSIA数据显示，90%的网络攻击始于钓鱼行为，Web3领域也不例外。攻击者通过Discord、X、Telegram等平台发送钓鱼链接或诈骗信息，诱导用户进行错误转账、合约交互或安装恶意软件。链上交互的高门槛本身就是反人性的。一个简单的离线签名就可能导致数百万美元损失——当我们面对各种输入参数点击确认时，真的清楚自己在授权什么吗？2024年1月22日，一位加密货币用户因签署了带有错误参数的Permit签名，导致钱包中价值420万美元的代币被黑客转走。

用户端安全环境的薄弱同样会引发资产损失。例如，当用户在安卓端App钱包中输入私钥后，私钥可能长期保留在剪贴板中。一旦用户打开恶意软件，这些私钥就会被读取，攻击者可以立即转走资产，或潜伏待机伺机而动。随着Web3新用户持续涌入，用户端安全问题将成为重大隐患。

协议安全

重入攻击仍是协议安全面临的最大威胁之一。尽管采取了多种风控策略，此类事件仍频频发生。去年7月，Curve就因Vyper编译器的缺陷遭受重入攻击，损失高达6000万美元，这一事件让整个DeFi行业的安全性备受质疑。

虽然市场上存在多种针对合约源码的”白盒”解决方案，但Curve事件揭示了一个关键问题：即使源码完美无缺，编译器问题仍可能导致运行结果与预期南辕北辙。从源代码到实际运行的转化过程充满变数，而源码本身可能无法覆盖所有潜在场景。因此，仅依赖源码和编译层面的安全防护远远不够，运行时保护变得至关重要。与现有风控措施不同，运行时保护允许开发人员编写特定规则，对运行时的意外情况进行实时评估和应对。

Bitwise预测，到2030年加密货币资产总额将达到16万亿美元。从安全成本风险评估角度看，链上安全事故通常导致100%资产损失，因此暴露因子(EF)可设为1，单一损失期望(SLE)即为16万亿美元。当年发生率(ARO)为1%时，年度损失期望(ALE)将达到1600亿美元，这也是加密货币安全投入的理论上限值。

基于加密货币安全事件的严重性、频发性和市场规模的高速增长，Web3安全无疑是一个千亿美元级别的蓝海市场。随着用户数量激增和资产安全意识提升，C端安全服务需求将呈现几何级增长，潜力巨大。

Web3 安全赛道分析

随着Web3安全事件频发，市场对数字资产保护、NFT真实性验证、dApp监控以及反洗钱合规工具的需求与日俱增。当前Web3面临的安全威胁主要来自三个方面：针对协议的黑客攻击、针对用户的诈骗钓鱼和私钥盗窃，以及针对区块链本身的安全攻击。

为应对这些风险，市场中的安全公司主要提供两类服务：面向企业的测试审计(Pre-Chain)和面向用户的监测(On-Chain)。ToB赛道起步较早且持续有新玩家加入，但随着Web3环境复杂化，单纯的审计已难以应对各类威胁，ToC监测的重要性日益凸显。

Certik、Beosin等公司是ToB赛道的代表，主要提供智能合约级别的安全审计与形式化验证服务。通过钱包可视化分析、合约漏洞检测、源代码审计等Pre-Chain方法，能在一定程度上降低风险。

ToC监测则在链上执行，通过对智能合约代码、链上状态和用户交易元信息的风险分析、交易模拟及状态监控来实现。虽然Web3的C端安全公司创立时间普遍较晚，但增长势头强劲。以GoPlus为代表的公司服务已逐步渗透到Web3各个生态中。

GoPlus自2021年5月成立以来，其API日调用量从最初的几百次飙升至高峰期的两千万次。下图展示了其Token风险API从2022年到2024年的调用量增长曲线，充分体现了GoPlus在Web3领域日益提升的重要性。

GoPlus的用户数据模块已成为众多Web3应用的核心组件，被CMC、CoinGecko等顶级行情网站，Sushiswap、Kyber等头部DEX，以及Metamask Snap、Bitget Wallet等钱包广泛采用。同时，Blowfish、Webacy等用户安全服务公司也集成了该模块，这充分证明了GoPlus在构建Web3安全基础设施方面的关键作用。

GoPlus提供的主要API服务包括：Token风险评估、NFT风险分析、恶意地址识别、dApp安全监控以及智能合约权限审计。这些模块共同构成了全方位的安全防护体系，有效应对Web3领域多样化的安全挑战。

在C端赛道，Harpie专注于保护以太坊钱包安全，已与OpenSea、Coinbase等公司合作，帮助数万用户防范诈骗、黑客攻击和私钥盗窃。其产品从”监控”和”恢复”双管齐下，既能预防攻击，又能及时挽回损失。ScamSniffer则以浏览器插件形式提供服务，通过恶意网站检测引擎和多源黑名单，在用户访问危险链接前发出预警，有效保护用户资产安全。

下一代安全产品：为 Web3 大规模应用护航

针对资产安全、行为安全和协议安全等核心问题，我们深入研究了GoPlus和Artela的创新解决方案，探索他们如何通过维护用户安全环境和链上运行环境，为Web3的大规模应用铺平道路。

区块链交易安全是Web3大规模应用的基石。面对频发的链上攻击、钓鱼和Rug Pulls，交易溯源、可疑行为识别和用户画像能力至关重要。为此，GoPlus推出了全场景个人安全检测平台SecWareX。该平台基于SecWare用户安全协议构建，提供从实时攻击识别、预警拦截到事后纠纷处理的一站式解决方案，并支持资产发行方定制安全策略。

在用户安全教育方面，SecWareX创新性地推出Learn2Earn计划，将安全知识学习与代币激励相结合，让用户在获得实际收益的同时提升安全意识。

反洗钱是公链最迫切的需求之一。通过分析交易来源、行为模式、金额频率等因素，可及时识别可疑活动，帮助交易所、钱包和监管机构打击洗钱、欺诈等非法行为。随着链上活动日益丰富，dApp的交易验证(KYT)将成为必备功能。GoPlus的恶意地址API对保障Web3服务合规运营至关重要，凸显了监管合规与技术创新协同发展的必要性。

Artela作为首个原生支持运行时保护的Layer1公链，通过EVM++设计实现了动态扩展模块Aspect。该模块支持在交易生命周期各节点添加扩展逻辑，记录每个函数调用的执行状态。当检测到恶意重入调用时，Aspect会立即回滚交易，有效防范重入攻击。以Curve合约攻击为例，Artela为DeFi应用提供了链原生的安全解决方案。

随着协议复杂性和编译器多样性的增加，相比仅做静态检查的”白盒”方案，链上运行时保护的”黑盒”解决方案将发挥越来越重要的作用。

结语

2024年1月10日，SEC批准现货比特币ETF上市，标志着加密资产获得主流认可的重要里程碑。随着政策环境逐步完善和安全防护持续强化，Web3大规模应用的曙光已经显现。如果说Web3的普及是汹涌的海浪，那么安全防护就是守护用户资产的坚固堤坝，确保我们能够平稳渡过每一个浪潮，迎接更加广阔的未来。