CertiK：深挖Web3錢包安全，硬體底層邏輯與資產保護機制

Proof of Talk 2025：Web3錢包與託管安全的底層秘密，藏在硬體裡？

6月10日，萬眾矚目的Proof of Talk 2025全球Web3與AI峰會上，CertiK首席技術官李康博士主持了一場圓桌論壇，主題直指「Web3錢包與託管安全」。這場討論會可不是那些隔靴搔癢的泛泛而談，而是直接從硬體和系統軟體的底層邏輯出發，探討如何打造更安全、更具擴展性的Web3資產保護機制。聽起來很硬核，對吧？

與會的嘉賓個個來頭不小，包括IBM數字資產基礎設施負責人Jean-Yves Girard、DeepComputing & MetaComputing創始人梁宇寧、Crossbar CEO Mark Davis，以及Securosys CEO Robert Rogenmoser。他們可不是來打醬油的，而是要針對Web3用戶最頭痛的安全問題、先進的託管架構，以及開源生態的挑戰與突破，進行一場激烈的腦力激盪。有沒有覺得像看到了數位世界的華山論劍？

Web3安全迷霧：鏈上協議之外的硬體盲點

李康博士作為主持人，一開場就毫不客氣地指出：「私鑰託管和Web3錢包安全，很大程度上依賴設備和硬體的安全性。但奇怪的是，我們很少聽到有人深入討論系統底層和硬體安全。」這話說得夠直接了吧？現在大家都在關注鏈上協議和智能合約，好像只要把代碼寫好就萬事大吉。但李康博士提醒我們，別忘了，底層的硬體和系統架構才是真正的地基，地基不穩，再漂亮的房子也遲早要塌。

IBM的銀行級防護：EAL5+認證背後的冷酷現實

來自IBM的Jean-Yves Girard分享了他們團隊在高安全性數字資產託管方面的技術架構，包括基於EAL5+的分區與冷儲存簽名流程。EAL5+是什麼？簡單來說，就是一種安全認證等級，代表著極高的安全標準。他還特別介紹了IBM離線簽名編排器系統，聲稱可以為銀行級託管服務提供支持。聽起來很厲害，對吧？但問題是，這種傳統的安全模式，真的能適應Web3世界的需求嗎？還是只是一種把舊瓶裝新酒的手段？

Crossbar的分布式託管：挑戰傳統，還是製造更多問題？

Crossbar的CEO Mark Davis沒有拐彎抹角，直接點出現有託管模式的弊端，不管是「委托託管」還是「自託管」，都存在系統性風險。他提出了一種基於「分布式託管」與MPC-TSS技術的解決方案，強調靈活、可擴展的簽名結構在企業和個人用戶中的應用價值。聽起來好像很完美，但這種「分布式」真的能解決安全問題嗎？還是會讓問題變得更加複雜，甚至引入新的漏洞？

DeepComputing的開源迷思：理想很豐滿，現實很骨感

DeepComputing的創始人梁宇寧則從開源技術的實際挑戰出發，分享了他們團隊在多終端計算和本地安全隔離方面的經驗。他呼籲業界在確保用戶體驗的同時，更系統性地思考底層架構的開放性與可信性。開源聽起來很美好，但現實卻很殘酷。在Web3世界，開源意味著透明，但也意味著更容易被攻擊。如何在不犧牲性能的前提下，實現模塊級的開源隔離，這是一個巨大的挑戰。

Securosys的硬體信任：信任的起點，還是另一個漏洞？

Securosys首席執行官Robert Rogenmoser結合他在硬體安全模塊（HSM）與關鍵管理方面的多年經驗，剖析了當前硬體託管方案中的關鍵瓶頸與應對策略。他強調，在構建全球數字資產基礎設施時，硬體信任邊界至關重要。沒錯，硬體安全很重要，但問題是，我們真的能完全信任硬體嗎？硬體供應商會不會在產品中植入後門？政府會不會強制要求他們配合監控？這些都是無法迴避的問題。

多重簽名：Web3錢包的未來，還是技術人員的自嗨？

在關於Web3錢包未來形態的討論中，嘉賓普遍認為可組合、模塊化的多重簽名架構將成為主流趨勢，平衡用戶體驗與安全性是核心挑戰。李康博士補充說：「金融企業已經習慣於使用專用硬體（例如HSM）進行私鑰和簽名管理；相關的安全評測，如EAL和FIPS也廣泛被監管機構接受。然而，這些評測並非專用於驗證區塊鏈簽名實現的安全性，因此這些系統對數字資產的安全保護程度仍需經過專業區塊鏈安全公司的審計。」他指出，「託管」本質上是一種架構設計問題，而非單一技術堆疊。理想的託管方案應在保障用戶適度操作自由的同時，通過系統機制有效防範誤操作。多重簽名聽起來很酷炫，但對於普通用戶來說，它可能太過複雜，難以理解和使用。如何在保證安全性的同時，提供簡單易用的用戶體驗，這是Web3錢包設計者必須面對的難題。

開源的雙刃劍：透明與安全的灰色地帶

此外，對於開源軟體在Web3託管中的作用，嘉賓們表達了謹慎、樂觀的態度。Mark Davis指出開源晶片設計面臨的法律空白和市場障礙，呼籲產業在安全透明度上更進一步。梁宇寧也從操作系統級安全出發，探討了如何在不犧牲性能的前提下實現模塊級開源隔離。開源是一把雙刃劍，它既能帶來透明和創新，也可能導致安全漏洞和法律風險。如何在Web3託管中正確使用開源技術，需要仔細權衡。

<img src="https://tlcj-static.tuoluo.cn/sync/431c1ba920b180a9296720de27652b0e?imageView2%2F3%2Fw%2F760%2Fh%2F100%2Fq%2F75%7Cimageslim" alt="图片">

CertiK的野心：Web3安全標準的締造者，還是利益的收割者？

CertiK作為全球最大的Web3安全公司，一直致力於從系統性、結構化視角推動Web3安全標準的建立與發展。通過主辦此次Proof of Talk圓桌論壇，CertiK希望在監管漸趨清晰、技術日益複雜的當下，與全球網絡安全從業者攜手，為開發者、企業及監管機構提供跨層協同的安全解決方案。當然，我們也不能忽視CertiK的商業利益。作為一家安全公司，CertiK的目標不僅僅是推動行業發展，更是要佔據市場份額，獲取利潤。他們是Web3安全標準的締造者，還是利益的收割者？這個問題，可能只有時間才能給出答案。

李康博士在論壇最後總結道：「私鑰託管和錢包的底層技術仍然在不斷發展，期待未來通過各方合作，能夠提供可證明的、用戶可信任的安全解決方案。」