2023年应该是链上用户安全年

“技术加密货币”的重要一年。

虽然加密货币（又名“货币加密货币”）的投资方面努力修复对中心化金融（CeFi）信任的荒谬违规行为，但技术加密货币必须更加专注于提高链上用户的安全性。

现在比以往任何时候都更需要解决这个问题——谢天谢地，这项工作已经开始。区块链支持的自我托管和点对点 (P2P) 交易也许就是加密的全部意义所在。任何改善这一点的工作都是一个积极的趋势，将对整个加密生态系统产生深远的有益和持久的影响。

当然，该论点的问题在于 DeFi 的风险状况看起来与 CeFi 的风险状况非常不同。为了让无中间人的金融起飞，协议不仅要有用而且要安全。如果 DeFi 的风险状况足够低，让普通人感到足够安全，可以实际使用它，DeFi 只会“修复”问题。

如今，DeFi 用户面临着技术尚未赶上的一系列有意义的威胁。不良行为者有许多攻击媒介。引人注目的攻击和无数骗局的消息导致一些人在沮丧、恐惧中离开，在最坏的情况下，经济崩溃。由于所涉及的困难和风险，更多的人根本就没有成为用户。

众所周知，杰夫贝佐斯在亚马逊的成功归结于他认识到一个不可避免的真理：一切都以客户为中心。到 2023 年，建筑商必须开始思考“一切以用户为中心”。

由于它在“技术加密”领域还处于早期阶段，因此开发人员可以理解地专注于使技术发挥作用。他们在这方面取得了长足进步，未来还会有更多进步。没有人应该因为本末倒置而受到批评。

然而，让技术发挥作用当然不是唯一的问题。系统内的用户体验非常重要，而这种体验的很大一部分是它的安全性。今天，它根本不够安全。

撇开技术范式转变需要耐心和试错欲望这一事实不谈，让每个用户独自承担链上风险将意味着几乎没有人会出现。

用户需要更好地装备以避免捕食者。诈骗者部署恶意智能合约。他们通过电子邮件、社交媒体帖子和直接消息进行网络钓鱼。有些会欺骗前端用户界面。这些威胁构成了严峻的挑战。

打击这些常见的骗局首先要了解它们。MetaMask和其他软件钱包等用户界面在这里发挥着重要作用，既可以提供对用户正在进行的交易的洞察力，也可以设计预防欺诈和诈骗的方法。

一种常见的攻击是“令牌津贴”攻击。这是骗子暗中设计合约的地方，以便用户在执行涉及少量代币的交易时实际上批准对其资金的无限控制。恶意地址的所有者然后可以窃取用户的剩余资金。您会看到非常相似的针对不可替代代币 (NFT) 的攻击。

目前，钱包和其他界面正在研究更好的方式来实时告诉用户他们被要求签署哪些批准。专注于反网络钓鱼和交易前欺诈检测的公司将在 2023 年激增——他们拥有明确无误的价值主张。

尽管以太坊社区和机构尽了最大努力，但对如何在加密货币中保持安全的普遍理解却乏善可陈。博客、Twitter 线程、常见问题解答和其他方式是一种高努力、低回报的努力。这些课程通常是抽象的、自愿的，不一定会影响实际行为。

教育的方式和时间对于提高安全性至关重要。技术加密货币构建者意识到这一点，并正在研究如何通过机制来补充通识教育（尽管存在局限性，但仍然很重要），以更好地实时告知用户特定的交易风险。

一种方法涉及使用安全服务提供商。这些第三方，包括平台、去中心化自治组织 (DAO) 甚至 CeFi 运营商，都是针对针对其特定社区的威胁的专家。他们的想法是，他们收集有关对其社区的攻击的实时情报，他们已经受到激励去收集这些情报。

您最喜欢的平台可能会提前警告您，以免您面临威胁。协议和应用程序可以设计安全消息（即弹出窗口，内容类似于“您的安全提供商对此次交易的看法”），可以在执行有风险的交易之前通知人们。如果人们允许他们的钱包接收这些消息，这样的系统将在未来证明是有效的。

社交媒体是这些骗子的温床。像 Twitter 这样的平台应该采取更多措施来阻止这些欺诈行为，但加密技术也在探索新的方法来帮助用户实时识别欺诈行为。

例如，MetaMask 和 Laconic 背后的团队合作开展了一项新计划，以主动保护用户免受网络钓鱼的侵害。这个名为MobyMask的项目正在培养一个识别和汇总网络钓鱼诈骗的记者社区。这些信息可以内置到应用程序中，以帮助防止用户上当受骗。

现实世界的法律和秩序应该适当发挥作用——这些骗子是罪犯。事实上，网络钓鱼活动的规模和复杂性都在增长，并且与国际犯罪组织的关系越来越密切。我们应该拥抱加密和传统执法之间的合作，因为我们中的很多人都厌倦了简单地防御。

我们应该在 2023 年看到更多关于基础区块链技术带来的风险的反省。一些人已经同意，用户安全会随着区块链空间的核心特征（私钥）的改进而提高。

私钥和秘密恢复短语（SRP）一直是用户安全关注的问题，2023年将带来更多的警告和保护。我们还将看到软件钱包与不同硬件钱包冷存储解决方案的进一步集成，使犯罪分子更难获取受害者的资金。

但技术加密将超越这些措施，并朝着多方计算 (MPC) 等解决方案发展。MPC 的一个示例涉及多因素身份验证，特别是需要用户在本地钱包和签名服务器之间拆分他的密钥。当交易需要签名时，这些分片将协同工作，但如果其中任何一个被破坏，它们将防止资金损失。

您还将在 2023 年看到关于“账户抽象”等概念的进一步辩论。Argent 钱包和以太坊联合创始人Vitalik Buterin很好地描述了帐户抽象涉及更新以太坊本身，以便从本质上使所有地址可编程，而不仅仅是智能合约。这将允许技术加密探索更多选项来保护钱包并改善丢失或被盗资金的恢复。

要求帐户抽象化发展的呼声越来越高。支持它的论据只会变得更有说服力。这可能会在 2023 年加速。

用户安全也直接受到技术加密开发者社区的工作和行为方式的影响。有一种聪明、负责任的方式来设计区块链软件。这些原则，包括增量变化、可审计性和可靠性，已经在一定程度上得到了明确阐述，但它们必须得到扩展、完善和更广泛的接受。

智能合约安全审计等服务应该扩展并变得更加常规，尤其是在智能合约具有明确的财务应用程序的情况下。如果生态系统要对其进展进行诚实评估，那么也迫切需要像 Solidus Labs 最近的“ Rug Pull Report ”这样的分析和对链上诈骗的其他清醒评估。

最后，社区还应该认真考虑是否对开发者因疏忽或欺诈而伤害用户的事件一笑置之。

风险资本和其他没有在这个加密冬天冬眠的投资者应该寻找优先考虑用户安全的项目进行投资。也就是说，如果他们真的“为了技术而投入其中”。这可能是一个合理的投资策略：效用加安全等于采用。

Money crypto 应该对负责任的开发原则、审计和代码透明度等事项应用尽职调查清单。要求将这些要素作为投资的筹码，不仅有助于确定优秀的创始人和项目、关注安全的优秀创始人，而且还能激励市场采用更可持续、更安全的建筑实践。

最后一点，也许也是最重要的一点是，如果我们不把安全放在首位，那么监管机构就会代表我们。没有什么比这更确定的了。

到 2023 年，我们将开始看到消费者保护政策制定者采取更大行动。他们将首先关注 CeFi，因为那是目前发生火灾的地方。然后，如果人们在 P2P 领域仍然经常受到伤害，监管机构将确定需要哪些规则来更好地保护 P2P 网络用户。

也许这些规则将只适用于营利性软件开发商。也许监管者会简单地说“这太危险了”，并据此制定直接限制用户的规则。我们不知道，不一定。但我们知道，值得强调的是：如果用户安全没有随着采用率的增加而显着提高，那么 P2P 可编程网络及其上的应用程序将受到投资者和/或消费者保护机构的监管。

这令人担忧，因为监管机构不太可能知道如何在不实质性地降低创新或用户选择的情况下提供帮助，而且因为消费者保护执法者，尤其是州检察长，拥有难以置信的广泛权力，可以追究服务提供商和产品开发商对用户伤害的责任。获得技术加密货币的房子比让监管机构这样做要好得多。

如果 P2P 生态系统足够安全，可供普通人使用，那么 P2P 生态系统将会蓬勃发展。它只是还没有，但我们可以到达那里。那些在 2023 年将用户安全作为优先事项的建设者将帮助建立最引人注目的采用空间。而那些建设者将成为其中的领导者。