區塊鏈安全的持續「對抗」2025.09.09
全文共11428字,讀完約需39分鐘

一年被黑客盜走數十億美元,區塊鏈安全公司從中窺見激增的市場需求,也不得不承認安全技術的滯後與侷限。合規趨勢下的加密世界,給區塊鏈安全提出新的問題,也帶來新的機遇——尹琛、黃舜煬;編輯 鄧詠筠

三十出頭的個人投資者3D(化名)是加密界的「老手」,七年的幣齡讓他見慣了幣圈的「天堂與地獄」:有人一夜爆富,卻被盜去私鑰,血本無歸;有項目以高利「割韭菜」,但數億資金轉瞬間被黑客洗劫一空。久而久之,他已拋開激進的投資心態,挑選DeFi(去中心化金融)項目時會格外謹慎地調查項目方的背景、信譽及項目盈利來源等。

但在今年6月,盡力做好背調的他,還是捲進一起黑客攻擊事件。黑客利用DeFi項目中智能合約的通貨膨脹漏洞,以0.003美元的抵押品借走價值約1000萬美金的穩定幣。3D和其他投資者存放在項目保險池的資金承擔了部分壞帳,「本金被扣掉15.5%,基本把我一年賺的錢全部虧完了。」

與傳統安全領域不同的是,區塊鏈的攻擊事件直接觸及用戶資產。根據區塊鏈安全機構CertiK的報告,2025年上半年平均每日發生兩宗安全事件,損失總額累計高達24.73億美元,其中,通貨膨脹等智能合約的代碼漏洞佔三分之一。

在海量的安全事件面前,區塊鏈安全公司「挺身而出」與黑客上演攻防大戰。從事發前的智能合約審計到鏈上的交易監控,以及事發後的反洗錢追蹤等,安全公司在響應市場需求的同時,也發掘了有利可圖的商業模式。但在與黑客持久的對抗中,安全技術本身的滯後與侷限也逐漸顯露。隨著加密資產全球合規化、傳統機構資金湧入,區塊鏈安全以及與之密切相關的合規標準會迎來怎樣的變化?安全公司、投資者乃至Web3行業會在新一輪浪潮中如何進退?

專注區塊鏈生態安全的威脅情報公司慢霧科技(SlowMist)的網站後台每天被五花百門的請求轟炸,黑客事件、私鑰被盜、收到黑錢……「苦主」通過電郵、社交平台X或公司網站尋求他們幫忙。

慢霧創辦人鐘晨鳴(他更願意被稱之為「余弦」,這是他的網絡代號)隨意點開一則請求,上面詳細記錄著事發過程,被黑的錢包地址,被盜的加密貨幣數量,以及黑客的錢包地址。「人是有惰性的,要麼是過份自信,覺得不會出問題」他慨嘆道,很多人直到資金被盜才會找上他們。而慢霧便像醫生面對「一個病入膏肓的患者」一般,盡量尋找「延長患者生命」的有效策略。

余弦

通過其自主研發的鏈上分析反洗錢工具MistTrack和威脅情報網絡InMist等,余弦能夠排查出到底是用戶錢包被東歐團伙釣魚,還是項目的代碼漏洞被黑客攻擊,然後嘗試在黑客洗錢之前,阻斷資金進一步轉移。「但大多數被盜的人已經做好錢追不回來的心理準備,他們只想弄清楚原因,」余弦解釋道。畢竟受害者也深知,在區塊鏈上發送的交易一經執行,便無法撤銷,幾乎只能眼睜睜看著錢被轉走。這種不可篡改的特性,正是通過區塊鏈的基礎設計智能合約實現的。

智能合約本質是一段自動執行的程式,在預設條件得到滿足時,便會執行相應操作。就如一台自動販賣機,一旦設置好售賣程式,就能無須他人干預、全天候地執行指令。這造就了區塊鏈及其應用的高效率、低成本與高自由度,令其得以被廣泛用於交易、轉帳與發幣等場景。

也正因為區塊鏈的公開透明,所有人都能看到部署於鏈上的智能合約,包括黑客。區塊鏈安全公司CertiK聯合創辦人兼CEO顧榮輝說:「就像現實世界的合同,就算你在簽字後發現了合同漏洞,也必須執行。」而黑客正是利用這一點,通過鑽研代碼漏洞,輕鬆盜取聚集在鏈上的億萬級加密資產。余弦形容這就像「在線搶銀行」,「在現實世界裡,14億的資金你用車拉都拉不走,但在鏈上,只需要一筆交易」。

 

製圖 黃嘉敏

黑客盜走資金很簡單,苦主想要追回來卻很困難。慢霧在安全報告中指出,2024年共發生的410起安全事件中,僅有24起能在遭受攻擊後收回全部或部分損失資金,總額佔資金損失的8.25%。「假設黑客天真地把黑錢存進主流錢包和交易所,安全公司和合規交易所聯合凍結黑客賬戶,你如何證明被盜的錢是你的?」余弦說,就算盜款「幸運」被凍結,要想真正返還,還要靠執法部門推進完整的司法流程。這中間需要多方的信用背書與合作,任何一方「掉鏈子」都可能導致失敗。因此,現實情況是相當一部分被盜資金最終也只能停留在凍結階段,個人損失仍需自行承擔。

「有時即使我們知道被盜資金在哪裡,鑒於每個地區的法律法規不同,也很難將錢拿回來。」加密交易所Bybit安全負責團隊表示,「所以我們要盡量事先做好防範。」今年2月,Bybit遭遇了加密貨幣史上迄今為止最大的盜竊案,價值約15億美元的加密貨幣被黑客轉移。事件發生後,Bybit向有關當局報案,並與鏈上分析專家合作,追蹤資金流向。同時與其他交易所及造市商合作,識別並凍結黑客地址。但事發後僅兩周時間,約20%(2.8億美元)就已被洗錢並無法追蹤。

既然資產被盜後難以追討,那只能將安全工作前置、防患於未然。例如在智能合約上線前做好代碼審計,以及做好項目安全管理。

「提到區塊鏈的安全,首先想到的是代碼審計,這是所有人的共識。」區塊鏈安全公司BlockSec創辦人兼CEO周亞金說。對於安全公司而言,審計服務可能是最早被市場證明過的、行得通的商業化之路。

周亞金

而要形成這一共識,免不了血淋淋的教訓。2016年6月,智能合約面世不到兩年,一個以太坊去中心化組織DAO籌得價值1.5億美元的以太坊(ETH),用作支援以太坊的生態發展。但其中360萬枚、時值6000萬美元的ETH隨後被黑客盜走,掀起軒然大波。顧榮輝回憶道,這宗「當時最大的黑客攻擊事件之一」之所以發生,僅源於一行代碼的錯誤。DAO智能合約在執行轉帳請求後,沒有馬上更新帳戶餘額,讓黑客得以不斷提出轉帳申請。然而,就在事發前一個月,關於這一漏洞的修改建議已在網絡流傳,只是未能在一片「歌舞昇平」的社群中引起重視。

製圖 黃嘉敏

這個智能合約中經典的重入漏洞,為區塊鏈敲響了第一下警鐘,鏈上安全的重要性開始被看見。「區塊鏈帶來的安全挑戰遠超之前的計算平台,」顧榮輝說。在DAO事件發生的第二年,當時從耶魯大學計算機系博士畢業不久的顧榮輝創辦了CertiK,將團隊研究成果、經過形式化驗證的多核操作系統內核CertiKOS帶到區塊鏈領域。所謂形式化驗證,就是用數學方法證明系統在所有可能的條件下,都符合預期運行。

彼時正值首次代幣發行(ICO)的淘金期,如今大名鼎鼎的幣安(Binance)、歐易(OKEx,後改名為OKX)、Kucoin等加密交易所相繼成立。在資金湧入市場,而發幣融資、炒賣等一二級市場成形的同時,黑客攻擊的頻次及嚴重性也在與日俱增。Chainalysis的報告顯示,2018年全年的加密資產被盜金額由前一年的2.49億美元,翻逾五倍至15億美元。

製圖 黃嘉敏

前慢霧科技合夥人Kevin記得,2018年前後,市場上突然浮現大量的智能合約審計需求。原來,當時,黑客無限增發了一個新發行的代幣BEC。平台為了保障用戶資產安全和自身資金損失,不得不緊急暫停大量加密貨幣(ERC20)的交易。這也讓眾多交易所意識到,提前審查代幣項目的智能合約,是維護自身利益的「必需項」。「在這之前,沒有交易所會讓項目方(找第三方)做審計的,」他說。

急速增長的代碼審計需求不僅為安全公司帶來業務前景,也吸引了資本的目光。多間區塊鏈安全公司相繼斬獲不菲的融資。成立於2018年的派盾科技(PeckShield)在短短兩個月裡就獲得高榕資本數千萬美元的天使輪融資。BlockSec則在成立的第二年,獲得由綠洲資本和經緯創投共同領投的近5000萬人民幣天使+輪融資。而區塊鏈安全賽道的領頭羊之一,CertiK在2021年的B2輪融資高達8000萬美元,由紅杉資本領投,Tiger Global、高瓴創投等老股東持續跟投。隨後不到半年的時間,該公司又完成了8800萬美元的B3輪融資,投後估值達到20億美元。

製圖 黃嘉敏

知名資本入局,也推動了對區塊鏈安全公司商業模式可持續性的思考。例如在CertiK,審計費用隨項目代碼量及複雜程度而水漲船高,以一個中等規模的DeFi項目為例,其代碼審計費用介乎數萬至數十萬美元;若涉及整條公鏈的安全,整個項目的審計預算將達百萬美元。

但動輒數十萬美元的收費難免會「嚇跑」多數中小型項目方。2022年在新加坡成立的混合型交易所GRVT擁有四十人的團隊,去年獲得百慕達金融管理局的M類數碼資產業務牌照,是全球首間受監管的去中心化交易所。在交易所主網上線前,公司曾向三間審計公司問價。「第一次報價是30萬美元,差點把我嚇死,」公司聯合創辦人兼技術總監Aaron Ong說,幸而其中Spearbit的報價較為合理,且聲譽較好,就欣然選擇。 

Aaron Ong

在昂貴的安全審計市場上,「低價獲客」有時也是一項不錯的策略。以創立於四川的區塊鏈安全公司Beosin為例,其審計服務的報價一般以所需工程師人手及工時而定。Beosin Web3安全研究員潘濤透露,該公司會為每個項目至少安排兩名審計人員,每個工作日收費2000至3000美元;但若項目規模大,公司則會適當下調單價。「(我們)比較靈活,一些有背書的好項目,我們也接受項目代幣付款。」但受限於人手,Beosin在智能合約審計的「極限」是每月30至50個項目。

同樣是創立於中國的慢霧科技,其審計服務的計費標準較Beosin略高。但多位受訪者表示,整體而言,中國審計公司的服務價格與海外公司存在一定差距。周亞金也觀察到,中國公司的收費是OpenZeppelin等頭部公司的60%至70%,「但没有特别誇張的差距」。

潘濤

前Beosin行政總裁、現任Mantle Index Four分銷主管的周曉殷對低價策略的看法並不樂觀。「也許很多中國人覺得便宜就好,但我認為長遠來看,品牌塑造很關鍵。」

一位安全公司的高層也曾透露,部分安全公司的股東不願意投錢做品牌,「因為不確定這樣的方式能否為公司帶來更多營收。」

周曉殷

對於依賴人手的審計服務而言,價格差距可能源於不同地區的人力成本。Kevin解釋,像德國、以色列等地審計公司的員工,每人每小時報價可達200美元,這是按照當地的平均時薪計算而來。「而國內的人力成本低,安全行業競爭激烈,服務價格相對較低。但這不代表審計存在質量問題。」

而在商業層面,審計服務可能遇到的「樽頸」顯而易見。「哪怕安全專家沒日沒夜地審項目,每個月最多也就接五單,上限就在那裡。」余弦直言。對安全公司而言,若要提升審計服務的營收水平,要麼擴張團隊、吸納更多專業人才,以提升「產能」;要麼調整單價、篩選客群來平衡收益與成本。Beosin和慢霧都傾向於後者。「我們正大力發展海外市場,去篩選服務具潛力的優質客戶,」余弦解釋,這類客戶對安全更為重視,願意接受慢霧的報價標準。

周亞金補充道,代碼審計業務如今已經過了「從無到有」的高速增長期。但是,主要客戶鏈上原生項目(crypto native)在「DeFi Summer」之後沒有顯著創新,導致代碼審計業務在近一兩年的增速放緩。而且,不只是業務上,代碼審計在技術層面也很快出現侷限性。

從需求端看,智能合約審查行業的真正「爆發」始於2020年的DeFi Summer。當時,在DeFi協議取得突破性進展、聯儲局開始寬鬆週期的背景下,大量資金尋求新的收益機會。DeFi應用程式的總鎖倉價值(TVL)飛速增長,從2020年年初的約6億美元增長至年底的約160億美元。黑客也緊隨其後。根據Chainalysis的報告,2021年被盜的加密資產總額由2020年的5.31億美元躍升至33億美元;被盜事件則按年飆升134%至279起。

在這之前,智能合約的代碼邏輯主要聚焦於支付、鑄幣、銷毀與資金轉移等核心功能,而前述的基本代碼錯誤,亦被以太坊軟件開發龍頭ConsenSys和安全龍頭OpenZeppelin分別制作的智能合約最佳實踐指南和合約標準代碼庫逐步消滅。「如果項目方只是發幣或者開發智能合約,他可以直接使用代碼庫,甚至不需要做審計,」Kevin說。

DeFi為區塊鏈帶來更多創新的金融玩法,例如循環貸款、質押、流動性挖掘、代幣套代幣、算法穩定幣。同時也令智能合約的代碼審計變得更為複雜。以3D參與的Defi項目Resupply為例,這是一個代幣套代幣的穩定幣協議,涉及兩間公司、三個協議、四款代幣,背後是環環相扣的借貸機制,顧榮輝說,如果只是在代碼上的微創新,相對容易處理,一旦涉及到金融產品的創新,審查難度會大幅增加。

製圖 黃嘉敏

而項目開發方和安全方可能存在天然的思維衝突,畢竟前者的最終目的是通過實現功能、推動創新來吸引融資。周亞金解釋道,開發方是假設用戶正常使用合約功能;安全則是打破規則,不斷測試代碼漏洞。

新加坡數字資產自託管服務商Safeheron 行政總裁 Wade Wang提到,開發者在開發合約時,更重視功能的實現,「當面對一個組合式合約(合約裡通過代碼調用另外一個合約),如果你沒有按攻擊者視角檢查代碼,其中的安全漏洞就會被放大。」
  「比如说安全公司找出了Bug(程式錯誤),而項目方告诉你這是一個功能,」Kevin說,如果對方拒絕修改,「你也拿他沒有辦法。」到最後發生了黑客攻擊,項目方和安全公司就會互相指責。

Wade Wong

為了滿足DeFi 生態中大量的複雜審查需求,有部分公司以自動化工具檢查代碼漏洞,結合安全工程師進行的人工審計來提升效率、平衡安全性。例如Beosin目前已有超過4500次審計紀錄,在該公司,智能合約通常先經過VasS(驗證器即服務)自動化平台,進行模板化的靜態測試、動態測試、形式化驗證,再經由工程師進行二次複查。潘濤表示,除了少量相對簡單的代幣合約可以頻繁用工具審計外,自動化審計在複雜的公鏈或DeFi項目中,只能起到參考作用,約八成的工作量還是由工程師來完成。「畢竟客戶可能也不太信任AI工具,」他說。

但區塊鏈興起不過十餘年,行業缺乏人才積累。不少受訪者都提到,難以在市場上招聘到專職開發人員。周亞金解釋說,區塊鏈安全審計是一個高度交叉的學科,需要精通網絡安全、金融知識和軟件工程等多個領域的知識。

市場需求急增與人才稀缺也令安全審計行業面臨「分化」壓力:部分公司深入鑽研特定代碼語言和區塊鏈,高價提供安全審計服務;亦有公司以無所不包的打法,廣接審計客單;更有甚者則以低價攬客。審計方法、水準的不同往往直觀體現在審計報告中。在Kevin看來,如果審計報告內大部分內容為複製的審計合約代碼和簡單的高中低風險等級,沒有實際的審計測試用例和審計方法,「你很難通過一份審計報告看出來安全審計公司的水平和經驗。」

例如,由以太坊聯合創辨人Joseph Lubin創立的ConsenSys,其安全部門ConsenSys Diligence的審查報告裡詳細列出具體的代碼建議,亦有利用攻擊者視角,測試潛在的漏洞,並就項目設計提供整體建議。而Beosin數十頁的報告提供了大量修復前與修復後的代碼,並附有簡單評語。相比之下,Pessimistic的報告往往極其簡潔,大多數報告只有10頁。

因缺乏統一的標準,安全公司的審計報告在某些時候不免淪為「形式主義」,項目方可能只是為了追求一個所謂的「認證」。「一個項目有沒有經過審計,只能代表項目方願不願意在安全花錢,而不能代表項目的安全,」資深投資者3D評論道。而他參與的Resupply項目亦曾被ChainSecurity和yAudit(現名為Electi)審計過,事發後,兩間公司互相推諉責任。

「形式主義」的另一點體現在,當需要部署新合約來替換舊合約時,大多數公司或項目並不會繼續做代碼審計,就像考完試之後,沒有學生會再認真複習。這一方面源於Web3行業安全意識的落差,部分人不明白合約中些許數字或者邏輯的變動,已足以製造嚴重的安全漏洞。另一方面,顧榮輝解釋說,項目方囿於成本,往往會將代碼審計視為「一次性」的任務。

顧榮輝

更重要的是,代碼審計本身只是一個「靜態的單點」。「它只是解決了智能合約上線前可能出現的問題,」周亞金對比道,移動互聯網擁有一個成熟、全面的安全體系,而並非依賴像代碼審計這樣的單點安全服務。

顧榮輝也強調,「安全是一個『整體』的概念,」攻擊方的黑客只需找到系統的弱點,但防守方卻不能只是「打造一扇堅固的防盜門」。

3D回想起他的第一次被盜經歷,發生在2019年定投比特幣期間。他在通訊軟件QQ上收到黑客發來的釣魚圖片,點擊圖片後,電腦殺毒軟件發出警報,隨後錢包裡的比特幣全都不翼而飛。「那時我剛入行,沒有保存私鑰的好習慣,錢包助記詞就存放在電腦本地,被盜也不出奇。」3D回憶道。

這個故事揭示的另一個問題是,許多Web3安全事件發生的誘因其實來自Web2。CertiK在2024年的《Web3安全報告》提到,網絡釣魚是去年損失最為慘重的區塊鏈安全事件,總計損失金額超過10.5億美元,幾乎佔到全年被盜總額的一半。平均而言,每次網絡釣魚攻擊事件造成的損失金額也高於其他漏洞。

製圖 黃嘉敏

在DeFi Summer經歷了大大小小的攻擊事件後,投資者才幡然醒悟,僅靠代碼審計不足以阻攔黑客。而安全公司也意識到,代碼審計已經不能滿足加密行業飛速發展的需求。

於2022年完成天使+輪融資後,周亞金開始思考如何為公司找到可持續的商業模式。2023年,在法國舉行的DeFi Secret Summits中,周亞金發現,業界對安全的討論開始涉及合約與交易監控等多個層面。與此同時,行業內不少從事合約監控的公司陸續斬獲融資,也推動他構思鏈上監控產品的雛形。例如通過實時更新的數據庫,識別高風險實體、追蹤交易,並發送實時警報。

Check Point是世界首間發明狀態檢查防火牆的公司,該類型的防火墻能夠持續監控網絡連線的安全狀態。而公司過去兩年將該技術概念帶到Web3世界,以12人的安全團隊,開發出專有的區塊鏈安全層和ThreatCloud AI引擎等區塊鏈安全方案。以Fuse Network為例,用戶在應用程式上發起交易,交易會通過與Check Point安全層深度整合的節點發送至區塊鏈,ThreatCloud AI會在途中進行監控,一旦發現惡意活動,它會在交易進入內存池被驗證之前阻斷。Check Point首席技術總監、Web 3.0及產品漏洞研究主管Oded Vanunu指出,市場上的安全方案,普遍局限於「鏈下」和「監控」安全,傾向於攻擊發生後被動防禦。他堅信唯有即時、鏈上預防才能真正解決問題。

Oded Vanunu

除了阻截可疑交易外,更重要是保管掌管著眾多資金的錢包私鑰。Wade Wang曾在前公司管理價值數億美元的資產,深刻體會到「夜不能寐」的安全焦慮。這促使他在2019年創立Safeheron,令企業級用戶無須依賴第三方構建金庫、私鑰安全與資產控制權。

Safeheron採用 MPC (多方計算)、TEE (可信執行環境) 等多重加密技術來強化私鑰安全,防止單點故障,並設置交叉審查機制監督特定程式碼的修改。他舉例說,管道被盜、犯罪分子偽造身份進行交流、員工離職後惡意利用舊帳號詐騙等,這些都是利用人與人之間的信任漏洞或惡意人為操作導致的安全事故。「我們的目標是消除對人為信任的依賴,」Wade Wang說。

GRVT的Aaron Ong說,「黑客總是有優勢的。你能做到的只是設置多道閘門,當他攻破任何一道閘門時,觸發警報。這樣的設定令我們有足夠時間修復問題,並維持用戶不受影響。我認為這是深度防禦的基本概念,但這是很多DeFi項目做得不夠的地方。」 

為了保障用戶的資金安全,GRVT採取多層安全方案,在審計代碼的基礎上;與Eventus和Solidus Labs合作,即時監測交易和轉賬行為以外;設置限時的會話密鑰(Session Key)、雙重身份驗證和基於身份的權限管理,確保用戶的帳戶安全。

與審計服務依賴人手不同,鏈上的監控與響應服務可以高度「工具化」。安全公司可以通過打造不同的產品,吸引用戶購買訂閱。例如慢霧提供的區塊鏈安全分析和反洗錢(AML)工具MistTrack就有四個階段的定價,從免費、基本計劃的每月199美元至合規計劃的每月1799美元。余弦透露,2022年上線的MistTrack已累計擁有超過十萬用戶,其中包括數萬名付費用戶。另一邊廂的周亞金則直言,鏈上分析及監控工具起步時間短、市場規模基數小,但每年增速可能為「幾倍甚至幾十倍」。

如果說監控和應急響應是阻止黑客盜取資產的最後一道關卡,反洗錢追蹤則像是加密世界中偵查案件的「警察」,試圖鎖定罪犯地址,並防止黑錢再度流入市場。周曉殷解釋道,黑客盜取資產的下一步總是免不了將其轉移並「洗白」,以發揮其在現實世界中的購買力。

在加密合規趨勢下,歐盟、新加坡、美國和香港等多個地區的監管框架正穩步推進,反洗錢和用戶保護成為監管重點。這導致越來越多的機構轉換了對安全與合規的看法,而Web3安全服務則從技術層延伸至合規領域。

加密期權工具平台SignalPlus的合夥人兼首席財務官范展翔常與全球各大加密交易所打交道,他觀察到,加密交易所在爭取多地持牌展業的過程中,不得不加強自身在安全與合規方面的競爭力。尤其是頭部交易所尋求上市時,也需面對股東及投資者的審視。同時,加密市場本身也越發「機構化」。

范展翔

2024年對加密世界來說是至關重要的一年。這一年,在政策寬鬆、監管利好的加持下,比特幣屢創歷史新高。更為關鍵的是,美國證券交易委員會(SEC)首次批准比特幣現貨ETF,標誌著加密資產正式進入「主流」投資領域。安永一項針對機構投資者的調查顯示,約85%的受訪者在2024年增加了對數字資產及相關產品的配置,包括但不限於主流加密貨幣、ETP及DeFi。

周亞金觀察到,傳統機構揣著大量資金踏入加密世界時,很快便會碰到該行業的「認知門檻」:安全怎麼做?以及合規怎麼做?這裡提到的安全不僅是智能合約的安全,還涉及私鑰、整套安全託管方案的制訂等。而傳統金融機構習以為常的KYC(Know Your Customer,即客戶風控)流程,在遇到匿名的數字貨幣時也不一定適用。「如何審查數字貨幣的交易、防止黑錢進入當前的支付體系?若監管將來問責,(金融機構)又該如何應對,這些都是他們現在感到困惑的問題。」周亞金補充說,「這也是我們能看到的機會。」

但要把握這個「機會」也不容易。

周亞金有一次在社交平台上開玩笑,分享自己去香港證監會開會時,穿上了自認「極限」正式的穿搭:Polo T恤,結果發現對方人員全都身著筆挺的襯衫。帖子下方,平時一身紅色短袖的余弦也表示深有同感。

當自由穿梭在滿屏代碼之間的「極客」,進入高樓林立、西裝革履的環境中,需要「適應」的不僅是穿著。

某程度上,在加密原生領域,項目方或社區的認可和共識就是塑造安全公司品牌影響力的最關鍵因素。但傳統金融機構的決策很難通過單一的「共識影響力」進行,其決策明顯更為謹慎、週期更長。從獲取客戶、介紹方案、提供演示樣本到最後簽約,周亞金正在逐漸熟悉這套與傳統機構打交道的運作規則。例如,如何包裝自己的公司及其技術優勢,又如何將這些優勢以用例等方式演示給潛在的客戶、說服其簽約。這些流程需要依託專業的業務拓展團隊和銷售體系。

余弦在5月底接受我們採訪時還笑言,自己就是慢霧的業務拓展專員,「因為我們沒有專門的銷售人員。」此前,慢霧獲取客戶的方式一部分依賴於前線工程師接到的安全事件,事件受害者可能會在免費的問題評估後,付費購買慢霧的安全監測等其他服務。當然,慢霧在創立初期便開始為Binance、OKX、HashKey等頭部加密交易所提供安全服務,這部分長期合作的客戶為公司貢獻了相當比例的穩定營收。

富有挑戰性的不止銷售模式,還有如何與一向注重風險的傳統金融機構、監管「同頻」。

下半年開始,慢霧科技在香港開展業務的規劃愈發清晰:配合或技術協助監管處理盜竊案件,並為申請穩定幣牌照的相關機構提供安全服務。一位來自支付公司的業內人士透露,該公司在向香港金管局申請穩定幣發行人牌照時,曾歷經「數十輪」問詢,事無巨細。除了前期關於穩定幣應用場景的疑問,安全與反洗錢問題是當局最主要的擔憂。

金管局副總裁陳維民在7月底表示,香港對穩定幣的監管強調「穩」,既要保證各環節運作系統的安全,又要防範穩定幣被用於反洗錢等不法行為。8月1日正式實施的《穩定幣條例》就要求發行人就流通中的穩定幣實施反洗錢措施,並且識別和核實穩定幣持有人的身份。

這意味著在合規模式方面,當局選擇了「默認關閉」的白名單模式,要求交易的發送方和接收方地址都存在於白名單中。其優點在於提供最高級別的AML(Anti-Money Laundering,反洗錢)和CFT(Counter-Terrorism Financing,反恐怖主義融資)控制,實現了事前預防,而非事後補救。而缺點則是限制了穩定幣的通用性和採納率。這對於鏈上原住民而言,可能已經「違背」其尊崇的去中心化初衷。

「我們也理解,監管很頭疼,如果(穩定幣監管)一上來就過於開放,未來可能面臨極大的治理挑戰甚至失控風險。」余弦解讀道。畢竟,以USDT為代表的穩定幣,常因其相對穩定、快速、可轉換性和國際可傳輸性,成為詐騙騙局和洗錢的理想工具。Chainalysis《2025年加密貨幣犯罪報告》就提到,穩定幣交易如今佔據所有非法交易量的63%。

Beosin早已開始適應監管與傳統機構的介入為加密世界帶來的變化,並積極與多地政府合作。周曉殷分析指出,穩定幣(主要是USDT和USDC)的廣泛採用推動了對KYT(Know Your Transaction,交易風控)等反洗錢服務的需求增長。他透露,在2024年9月到2025年6月期間,該公司的KYT業務營收增長約三倍。而與政府的合作收入佔比整體收入的六至七成。

目前,該公司的KYT及TRACE(追蹤)正將東南亞地區視為業務的增長動力來源。為了獲得當地中小企業的信賴,周曉殷還笑言公司除了高科技還有「草根」方法:利用AI扮成的用戶帳號,潛入到數百個Telegram群組中收集可疑地址。Telegram是加密犯罪中常用的通訊軟件。

穩定幣的合規化還為安全行業帶來了新的挑戰。例如在穩定幣、RWA(Real-World Assets,現實資產代幣化)這類涉及鏈下資產的項目,除了鏈上安全與反洗錢之外,鏈下的審計也不可或缺,而這是鏈上的安全公司無法單獨完成的。香港持牌交易所EX.IO近期正在籌備與IP、黃金等資產有關的RWA項目,其聯合創辦人兼行政總裁吳晨指出,目前香港市場上被批准的智能合約都擁有鏈下審計報告,無一例外。余弦舉例,「公眾最關心的並非鏈上每筆USDT交易的情況,而是其背後到底有沒有對應的美元或美債儲備,」他說,「這時可能需要像傳統『四大審計公司』那樣的權威機構來證明。」

吳晨

而對於EX.IO這樣受當局監管的持牌交易所,其KYC、AML等嚴苛程度「比傳統銀行還要高」,在採購安全及合規服務時,不會僅憑預算多寡做出決定。吳晨解釋道,與「經過客戶驗證、時間驗證的安全品牌」合作,某程度上也更能讓監管機構及用戶放心。一位資深加密交易所人士則更不諱言,持牌的交易平台幾乎都是選用「最貴、最知名」的安全品牌。

不少安全公司的人士預計,該行業或將走向「兩極分化」:頭部公司繼續鞏固優勢地位,小型公司則難以望其項背。Web3行業本身的陣營劃分也趨於明顯,「對交易所來說,我們都在進行合規化的建設,安全投入也在顯著提升。」Bybit安全負責團隊觀察到,「對一些鏈上項目而言,由於缺乏監管統一的要求和管制,項目方在安全上的投入基本依賴自覺。」

另一方面,范展翔也指出一個現實:就算項目方做了智能合約審計,又有多少投資者會真的去研讀、去評估其安全情況?「(投資者)通常只關注社區的認知度和項目背後的動力,尤其注重短期利潤,」他說,「長期的發展對他們來說並不重要。」

對於安全從業人員而言,也時常面臨倫理與道德的拷問。Kevin描述了一個場景,開發人員如果抵不住誘惑利用漏洞盜走了項目資金,再裝作白帽黑客退還大部分錢,誰也不知道發生了什麼,但是用戶蒙受損失。他說:「這個行業就是離錢太近、誘惑太大。」