加密行业必须发展以应对现实世界的安全风险

您的私钥，您的资产。

这是比特币及其他加密货币的基本承诺之一，即消除您与资金之间的中介机构。但这一说法也隐含了一个潜在的假设，Web3 公司应当明智地抛弃：任何安全问题都是持有者的问题，而非他们自身的问题。当加密货币还处于实验阶段时，这种思维模式或许管用。但当涉及到数万亿美元资金和数百万用户时，这种思维便行不通了。

自比特币诞生超过15年来，加密货币的设计空间已经大幅扩展。现有应用和协议、加密货币交易所、稳定币以及数十种代币标准相互连接。这不仅仅是去中心化的货币，而是一个万亿美元级别的生态系统。安全风险变得更加复杂，风险也更为重大。自我托管依然发挥着重要作用，但Web3设计者不应将大部分安全负担转嫁给用户。

要作为主流技术取得成功，加密行业必须发展以应对现实世界的安全风险——社会工程学、人为错误和物理胁迫——同时不损害匿名性和假名性等核心价值。

数字告诉我们的内容

数十年的个人计算经历为我们提供了大量关于人们网络安全习惯的数据。简而言之：这并不完美。

教育宣传活动如网络安全意识月，目前正在发生，帮助，但诸如网络钓鱼、伪造二维码和恶意软件等威胁依然持续有效。这些威胁不会消失。事实上，它们的发展速度超过了我们的防御能力。

根据由 CoinLaw 汇编的数据，加密货币钓鱼攻击正在上升，2025年初增长了40%，导致用户损失达到4.1亿美元。更糟糕的是：人工智能驱动的深度伪造视频加剧了这一问题；根据CoinLaw的数据，2024年中至2025年中间，这类攻击增长了超过450%。

更令人震惊的是，与加密货币相关的暴力袭击事件有所增加，有组织犯罪团伙以暴力手段强迫高净值持有者交出其凭证。根据区块链追踪公司Chainalysis的数据，存在2024年报告超过30起“扳手攻击”事件，而2025年有望达到该数额的两倍。

简而言之，安全问题并非偶发事件。它们是可以预测的。

我们不会对旧金山或日本的地震视而不见；我们会建造抗震建筑。同样的逻辑也应适用于加密货币的安全。

需要改变的地方

好消息是：在 Web3 领域，有大量工作正在进行，以提升用户安全性和产品的安全保障。

只需看看钱包。安全性考虑历来使钱包的用户体验糟糕，但由于分钥匙钱包、委托以及多钱包账户等创新，情况正在改善。不过，根据我的经验，平衡可用性与安全性仍然是一个棘手的问题。

那么，我们如何更好地服务用户？

首先，我们需要将安全问题视为反馈。每一次安全漏洞都在告诉我们一些关于设计方面的问题，而不仅仅是行为方面。例如密码被盗。对此的一种回应可能是，“这是用户被钓鱼的错；他们不应该上当。”也许这是真的，也许不是。但是，是 事实真相是，当这种情况每年在您的客户群中发生数百万次时，这表明您的系统并非为真实用户设计。请相应调整。

其次，我们需要借鉴非 Web3 领域的成功案例。

考虑身份认证的问题。使用加密密钥进行访问虽强大，但并不能确认用户是否为合法拥有者。这正是为何更广泛的互联网早已采用多重身份验证和行为信号等层级，近年来更引入了“人类证明”——这些方法能够自动保护用户，无需依赖持续监控。加密领域可以且应当借鉴这一做法。

最后，我们必须认识到安全风险已不再局限于社会工程学手段。

加密货币高管和富有持有者近期遭遇了一系列身体攻击，窃贼试图通过传统的蛮力而非暴力解密手段获取访问权限。如果我们设计的系统未能纳入防范物理攻击的可能性，那么作为这些系统的设计者，我们的工作就没有做到位。攻击手段将不断进化，我们也必须随之进化。

接下来是什么

加密货币倡导的个人责任坚韧精神在其作为实验阶段时具有合理性。然而，鉴于如今数万亿美元的资产以及人们的生计均岌岌可危，我们需要的是为现实世界风险而设计的系统，而非仅为早期采用者而设。

没有万能药：加密密钥仍将面临网络钓鱼的风险，生物识别技术会使持有者暴露于物理攻击，且人类本身依旧不完美。但随着网络安全意识月的结束，请让我们铭记我们所服务的对象。当我们为真实用户而非理想用户设计产品时，我们的产品不仅能增强生活质量，还能保护其弱点。安全不再是用户的问题，而是整个行业的问题。