查看原文
其他

对话Go+创始人Mike:探索Web3的安全新范式

7upDAO SevenUp DAO 2024-05-31


近日,7UpDAO开发者公会邀请GoPlus Security的创始人&CEO Mike,做了“探索Web3去中心化场景下的安全服务新范式”的主题分享,对Web3的用户入口、下一代Web3应用形态的探索、Web3需要什么样的安全服务和如何整合碎片化安全服务做了解读。

本期活动由7UpDAO Co-founder 26x14(@26x14eth)主持,以下为本次嘉宾分享的内容提炼:



一、到底是什么促使用户从web2进入web3?


1.每次技术革新都有明确指向

第一代互联网解决的是信息传输效率问题;第二代移动互联网解决的是场景的扩展,什么叫场景的扩展呢?比如说在第一代互联网只有PC的时候,你的主要场景可能就是家和公司,或者网吧,场景是比较单一的,你能在这里面处理的问题也是比较单一的,而且这些场景没有区分,很多需求只能放在一个场景里面去实现。

但是到了移动端也就是有手机之后,手机拓展出了无限的场景,最核心的价值就是在整个用户的用户价值层面,拓展出来的场景使整个互联网服务形式上产生了很大的变化。

其中又有更具象的内容,第一是场景变得细分,再有是有些场景从低频变成高频,通过这种方式使场景聚合成了市场。但在web2移动端里面场景的细分,以及场景聚合形成了有效的市场,这些有效市场又推动新的服务范式能够成立,所以这个是移动互联网主要解决的问题,通过随身移动的方式去拓展场景,然后形成一个新的市场有效市场。

到了区块链之后,我认为区块链解决的目标也非常的明确,就是降低信任成本,以前很多的交易需要建立信任,比如我们原来需要基于大的品牌,足够的规模,才可能建立信任的场景,现在其实可以基于技术层面,去相对低成本的去建立信任。

我们现在看到,比如说区块链、web3相关的应用,它本身的开放性透明性,使我们对一个应用建立信任的成本变得越来越低了。其实最终导致的是在这些场景里面提高了交易的效率。

之前在web 2移动端的时候,由于聚合变成了有效的市场,但这些市场里面的角色仍然是固定的,比如你交易的对象。场景也可能是一些封闭的场景。但在web3里面这个场景被打开了,在这里面会容纳更多的角色,就像现在我们在应用里面不单纯只是说用户和项目方或者说跟团队、运营商之间的关系,在这里面其实出现了很多的角色,用户的角色在不断的细分,包括提供服务的人的角色也在不断的细分。

所以我认为从web2到web3,很大一个改变其实是供需双方提供服务的方式,从一个买卖双方点对点的结构变成了网状结构。

在网状结构里面供需双方都变得更复杂,但是这种变化它是一个渐进的过程,不是泾渭分明地说一定在web2中就是点对点。web2里面的用户细分也会有很多商业模式,只是它的效率不一定足够高。但是到了web3里面,大家会看到网状结构很有可能会变成一种相对主流的结构,可以容纳不同的角色,角色甚至可以互换,角色跟角色的之间的关系也变得更复杂。

web3中交易层面也发生结构化改变,大家合作或获取收益的方式变得非常的不一样,在我看来是web3它本身改变了很多东西,但是最终的价值是在于通过降低信任成本,提高交易效率,使整个交易结构发生了非常大的变化。


2.目前用户进入web3的路径和动机是什么?


2.1DeFi符合用户使用路径

首先来看上一个周期内进入到web3的用户,他们的路径和动机是什么样的?这里面不可否认,大量的用户是交易用户,是有强烈金融属性的用户,而且目前仍然是市场上的主流。他们进入到web3的方式,第一是出于投资目的而持有数字资产,然后进入中心化交易所去交易,当中心化交易出现问题或者为了获得更多的投资机会时,进入到整个web3,然后web3里面对于他们来说比较主要的应用是DeFi,由DeFi的投资需求再去看其他各种Fi,这里面其实用户的主线和主要动机仍然是投资获得收益,这是上一波到目前为止web3用户进来的一个主流路径。所以我认为在下一波应用网再次爆发的时候,DeFi依然会是一个主要的应用,因为DeFi符合这些用户的核心需求和主要路径。

下一步是不是由DeFi去转移到各种Fi中,我觉得这个路径不一定是行得通的。这些用户不一定会变成各种类型应用的主要用户。对于一些应用来说,这些有明确交易属性的用户甚至对于项目方本身来说是有危害的。所以DeFi的业务逻辑其实清晰合理的,DeFi往上走的路径和方向也非常明确。

至于其他Fi的路径并没有那么清晰的原因,对这些投资为主要目的的用户来说,一个GameFi应用我考虑的核心就是能不能在里面赚到钱,Fi是大家都在意的,但对于Game本身是不是好玩,是不是真的能吸引到核心的游戏人群,在上一个周期内有一些应用就做出了好的尝试,比如Axie、stepN。但是大多数GameFi还是通过投资的逻辑去吸引足够多的用户,然后通过拉人的方式让用户进来,或让项目方获得收益,最后销售NFT或者数字资产。

2.2最核心的问题是解决激励

我跟keep团队有一次讨论,他们会认为下一轮不管是web2还是web3的方式,在从体育核心人群来看的话,想要进入到下一个阶段,激励其实是一个非常有效的方式,可以让那些有运动倾向,或者说让偶尔有运动习惯的人形成明确的运动习惯,并且能够真正进入到keep里面来,让keep的日活有可能从一个千万的量级到一个几千万甚至过亿的量级。他们认为在中国甚至在全球范围内体育爱好者潜在用户的量是足够大的,但是目前没有一种有效的方式可以激活这些潜在的用户。所以当他们看到StepN的时候,他们会认为web2应用想进一步提升用户量级,也可以采用激励的方式去激活那些潜在用户。对于web3来说,最核心解决的还是激励的问题,但不是光给激励就能解决激励问题,里面更核心的一个问题还在于激励的用户能够了解他自己进入web3的主要原因是什么。

在StepN之前,很大一部分项目的成功在于它早期的空投,或者说它的整个激励对象是非常准确的。这些早期用户希望得到激励,而并不是说投机赚钱为核心目的。他们的希望就是每天可能做一些运动,同时得到有效激励,激励对于他们来说是很强的动力,但是并不是那种进来之后唯一的目标就是为了撸代币然后去售卖获得收益。这就导致早期鞋的销售量在核心运动人群里面传播很快,大家买完鞋得到奖励之后,用于升级自己的鞋获得更好的体验,得到更多的收益。但并不是急于把这些奖励第一时间提出来直接卖掉。

在整个激励模型里面,因为激励的目标比较准确,整个模型调整得也很好,就形成了一个正循环,激励的对象对这个东西的价值是认同的,得到奖励后又沉淀在整个应用里面去,就变得正向,但到后来上了交易所,或者火起来之后,大量的原来以交易为转化目标的投机用户进入到应用,导致用户的结构产生了很大的变化,整个用户量的上限就变得非常明显了。

所以在这里面会认为整个DeFi应用不管web3还是web2,产品的运营逻辑其实是相通的,你的核心用户在初期占比越大,他们对你的贡献越多,你在后期产品的上限才能越高,才可以获得更多的用户。所以我理解在整个web3里面,我的激励是用户进入到web3应用的一个很主要的原因。它面临的难点在于你激励的对象和激励的方式,能不能让你的整个用户结构能够控制住或变得很好,以至于能容纳更大量的用户进来。所以这个路径相对来说是符合逻辑的。


3.新增用户从何而来?


3.1基础设施

StepN在做整个应用的过程花了大量的研发精力,去做一些跟它主要的应用不相关的业务,比如反作弊,比如安全,比如自己要做 market place,要去做很多为了让用户形成好的体验的事情,它必须得形成一个有效的闭环。

在一个APP里面能把所有的这些内容都装进去,对于一个项目方来说,它的开发成本是非常高的,我指的就是基础服务的完善在于这些日后都有共性的需求,比如ERC-4337,比如AA钱包,更类似于一种模块化的方式能够嵌到每个APP里面去。同时比如安全,变成一个更类似于API或者协议的方式,可能还会有反作弊,硬件的信息识别,收集识别,用户价值识别的这些服务能够变成一种标准化的服务,能够让每个 web3的应用都接入的时候,真正做应用的人才真正能解放出来。

如果做应用之前,你要做钱包,你要做反作弊,你要做安全,你要解决很多问题才能过渡到应用这一层,对于应用开发者来说要求太高了,这就导致他们做应用的效率不会太高。

对于用户来说,降低用户的使用门槛我认为是有必要的。它首先应该让用户更无门槛地从web2进到web3里面来,所以大家现在为什么能看到4337里面,比如有代付gas fee,你不需要一定持有以太坊。再有比如说可以采用很多的方式去保管私钥,比如MPC或者社交恢复的方式,这些都在基础设施层非常有效地降低了用户进入的门槛,让用户能够更容易的以自己习惯的方式进入到web3。

3.2用户价值识别

进入到web3之后,对于项目方来说,很核心的方式就是如何去识别这些用户的价值,比如说你是不是能把撸羊毛、女巫攻击的这些用户识别出来?你是否识别的方式足够精准?你在这里面整个的识别方式,包括识别的方式是否是一个可动态调节的状态?再有比如用户中可能有安全的需求,能不能满足他们?

这些其实就是怎么能让用户首先方便地进来,其次就是留下,留下之后还能得到很明确的价值确认和正确的激励。

3.3激励模型

现有的激励模型面临这四个问题

第一是准确识别激励的目标

第二个是需要动态调整方式

第三个是及时评估激励结果

第四是去中心化的治理。

大家都知道在做激励模型的时候,其实成本很高,也是很麻烦的一个事,而且一旦上线,再调整就很麻烦,也包括可能很难有什么工具能够帮你去评估一个应用激励用户的效果,以及评估我激励最终的用户的价值到底是什么。同时需要去调整,包括如何调整。我认为这里需要的是不断评估自己激励的效果,然后同时可以动态地快速调整激励的方式。目前为止,大家都普遍采用一种中心化的方式去调节,比如DAO每次激励的调整,都需要通过DAO去决策,DAO人员的构成其实又代表他的利益,那么他的利益选择的偏重到底在哪?所以整个经济模型的调整,第一是有工具能够动态去测量,再有更好的机制能够去中心化决策,能让项目更符合最开始设定的目标去推进。

以上的方式如果都解决的话,才能为其他的应用奠定必要的基础,但如果没有这个基础,我认为其他各种Fi爆发,或者从web 2把用户导入web3里面,就是不成立的。


二、下一代web3应用的形态


1.    APP

单应用、单APP的方式,我认为会是下一个周期里主流应用的方式,这种应用的方式也更贴近于web2。

在整个web3的交互层面或者使用层面,用户使用习惯会更趋近于web 2的方式,因为真正的区块链技术改变并不是在用户的交互层,而是服务的供给和需求方式,这层的改变可能是更大的。

同时在APP里实现用户的闭环,用户不再像现在一样,依赖于钱包里的安全服务或者反作弊服务,而是依赖于以应用为主要的载体去要解决的这些问题,这些问题可能是变成协议的方式,在各个web3的应用里面都会接入,方便帮用户解决问题。这样的话其实整个web3应用的技术框架和服务框架才是可成立的。

我们现在看到有一些公司已经在从自己web2的用户池里面引导用户到web3里面来了,他们其实推广的方式就是推自己的APP,然后用户下载APP进来,不会让用户有很高成本意识到钱包,认识到虚拟资产,但当用户使用的时候自然就沉淀了各种形式的数字资产。


2.   钱包将会怎样?

整个PC端钱包相对比较稳定,我认为在PC端的使用逻辑是比较符合用户的。移动钱包可能会受到比较大的挑战,比如APP store,甚至steam,都有可能会因为应用端爆发的改变而面临挑战,给更多的web3应用留下机会。

我认为移动端应用形式的改变,会导致用户的使用习惯,以及相关服务都产生连锁的改变,现在的一些方式会被推翻,web 2里面有一些新的机会会成立,同时web2里很多应用也会受到挑战,会为更多的web3创业者创造机会。


三、web3与web2安全相比,面临的问题


相对于web 2的安全来说,web3现在的安全其实还是非常的初级,可用性其实是非常差的。


1.安全服务是支撑用户实现目标的系统

用户不会为了安全而安全,一定是在过程中需要安全,它其实是一个支撑系统。

拿FTX来说,整个中心化交易所那段时间从交易所转到链上的用户比例非常大,主要的交易所用户量都在下降,资金也在流出。DEX的交易量达到了近半年新高,用户增长达到近半年新高,因为安全的事件导致大量的用户从中心化交易所进入到了去中心化里面来。

很多人会持一种乐观心态,认为从长远来说是对用户和行业有好处的,因为有大量用户进来。但从我的观点分析,用户短期内确实在增加,但从更长远的时间线来看,比如说三个月甚至半年的时间,如果现在安全的问题不能被解决,真正能留下来用户比例可能不足10%甚至5%。现在大家是为了逃避中心化服务安全的问题,进入到了一个他觉得安全的地方,但是这些用户核心的需求是交易,一旦发生交易,在web3里面去使用他的资产时就会发现所面临的安全问题一点没有变少,要解决安全问题所付出的成本只多不少。

在web3里面,如果用户建立不了自己的安全策略,有朝一日可能一夜归零。针对这些风险,要付出大量的学习成本才能解决问题。最终这些用户其实是不会留在web3里面的,直到之后中心化服务或者中心化交易所做出一些好的改善或者有一些安全策略的时候,用户又会回到中心化交易所里面了。

安全本身是一个支撑系统,它不是用户的主线,如果说支撑系统都妨碍主线任务达成的时候,用户会义无反顾的掉头而去。

同时还需要低成本的获取,低成本指的是实际付出的钱。现在整个技术底层变化速度非常快,安全本身相对来说是滞后的,因为你一定是先有应用,有技术框架,然后才会有诚信的安全服务。在现在整个技术不断变化迭代的过程当中,形成一个稳定成熟的安全框架的其实是很难的。所以就导致大家会直观感觉,审计公司很贵,他们一定很挣钱。对于个人用户想去获取安全服务的时候,成本也非常高,并且不容易获得,包括用户的使用层面,这些都是实际的支出成本,给用户造成了非常大的麻烦。

只有安全服务能力本身地不断提升,才能让用户真正解决安全问题。比如现在我们做to c安全,在面对风险样本的时候,怎么能提高检出率,怎么能获得准确度,其实需要在整个引擎层做不断地深入,才能跟用户去建立可信度。


2.   需要解决的问题

用户从web2进入到web3,在安全层面要解决的问题,我觉得是有共识的。

第一是安全服务能力的持续优化,能不能通过自动化的方式,比如说情况验证,包括自动化检测,不同的自动化检测的框架,其实都是在提高服务效率本身去做加强的。如果未来下一个阶段出现千万级用户量的一个应用,整个安全服务是否已经做好准备是很重要的。

第二是成本足够低,第三是足够可信,所以在这里面其实安全服务本身的持续优化,自动化可能性,实现的成本,是不断优化的一个明确方向。

安全资源永远是不够用的,web 2的安全公司大家都在造轮子,比如各种安全服务的类别里面,每个公司是高度重合的,都在做同一个业务。安全资源的使用效率也是比较低的。想在web3里面做得更好,其实是需要在整个市场需求匹配这一层有更好的解决方式,一方面是供需的有效匹配,另一方面是安全服务本身的组织效率问题,也就是供给侧能不能改变。像原来web2一样,大家就会变得很卷,大家不停地重复造轮子,然后把一个可以做得很好的市场变成一个市场结构非常差的市场,在这里面可能有人活得还不错,但是大量的人其实活得都不好,导致整个安全市场的供给低效。


四、Web3安全服务的形态


1.生态主导,而不是公司垄断

原来垄断公司这种方式效率瓶颈非常明显,C端公司利用自己决策权垄断流量和用户价值;B端利用客户资源横向拓展,把自己的业务范围越做越大,就变成了一个可能头部公司垄断的情况。

但是我们看web3不是垄断公司主导而生态主导,因为这里面有一种更有效率的生态。在web3生态的发展效率是要比web2高的,甚至会超过垄断公司。首先web3不是中心化进行安全决策,不会出现对合作伙伴和最终用户服务质量不一致的情况,也不会有因为垄断导致的不充分竞争造成技术迭代失去重要性。


2.建立底层合作框架

通过生态的方式建立底层的合作框架,这里面每个从业者能找到自己合适的位置,在一个框架里面能够根据他的输入就能够得到有效的激励,其实也是把web3本身最有价值最有效率点发挥出来。如果我们能准确地评估所有人在安全服务的结构里面贡献值多少,并且进行准确的激励,就能促使更多的人在一个大框架内或者在一个生态内去贡献自己的擅长,而不是说有一个公司把所有客户都吃死就能够把所有不同的安全服务的钱都赚一点。

web3最终的服务形态,可能是由安全生态去主导的。如果在未来生态的效率超过垄断公司,他们需要的就是底层明确的合作框架,评估大家贡献值的激励,如何明确与市场需求的对接。能为每个安全服务找到它目标的有效市场,能够创造营收,我觉得这个是更主要的。


Q&A:


Question:(26x14):这样的形态和一些 4337合约钱包SDK的形态相比,会不会在安全地获取数据场景上面有一个竞争关系?

Answer(Mike):我认为之后钱包的形态一定会有比较大的变化。对于现在的安全服务来说,我们安全检测的对象其实没有变,仍然还是合约或者授权信息或者链上的行为数据,实现的攻击方式也不会受现在比如4337或者AA钱包或者账户抽象的影响。所以从目前看,提供安全服务的场景其实没有受到影响,但可能有一个影响,就是钱包都分散了,日后每个应用里面都会自带钱包,用户不再通过一些主流的钱包平台管理自己资产的时候,这对于我们来说就是挑战。在下一步解决的问题是首先让更多人持有数字资产,再有就是数字资产的总量和形式,类别更多元化。在这里用户一定是有一个明确的需求,对于资产需要有统一的管理,并且寻找一些对用户资产更有效升值的方式。之后钱包肯定是有市场和需求的,也是有可能沉淀大量用户的,但是他们的形态包括整个产品设计的逻辑可能会产生比较大的变化,应该是一个产品定位上的调整。只要根据用户的需求不断去变化,然后进入到新的场景里面,我们现有的服务模式和商业模式其实是不受影响的。

Question(欧行之):在安全去中心化模式下,在效率和解决问题的程度上怎么做到一个平衡,尤其针对一些defi项目的业务漏洞攻击情况,安全去中心化场景下解决问题能解决到什么程度?或者说它真的是一个效率最高或者说解决问题最好的方法吗?

Answer(Mike):安全一定是一个攻防的过程,不存在完全安全的情况。我觉得现在的整个安全的发展方向很明确,去中心化应用从技术层面能够变得更安全,但是最终还是不太可能完全解决应用的安全问题,有两个原因,一方面是攻击者可以通过合约的实现进行攻击或者很多其他方式把钱盗走,另一方面是开发者自身的经验不足,或者安全的新的攻击方式的发生,导致受损。我认为的方式是在去中心化的基础上建立更好的安全机制,现在还没有到web3的安全极限,比如安全规范,安全环节的处理,公司内部的安全培训,安全的运营流程,我们现在甚至没有意识去做这些事,所以本身安全的提升还有很大的空间。当这些都完成后,就能把攻击事件控制在一个比较小的范围,因为现在大量的攻击仍然还是第一技术水平的攻击方式。剩下还有些新的漏洞,还是要设置合理的缓冲带和治理机制。中心化和去中心化,是一个长期共存的状态,也还会有更优的处理机制出现。

Question(欧行之):web3的产品同质化也很严重,这种web2的情况还是出现了,是否是因为目前web3的公司大部分也是web2的人来做的,把传统的思维带进来从而大家还是在几个小的场景中去卷,还没有实现突破?
Answer(Mike):对,是这样的,现在很多web3公司的安全人员都是从web2过来的,主要来自安全公司,大厂和国内外院校。所以更多的还是拿web2做安全的思维做web3。但是我们并不应该认为因为web3是去中心化的,所以去中化就赢了,我们怎么认为和最后谁胜出其实并没有逻辑关系。web3的生态效率会超过现有web2的提供安全服务的方式,最终效率会让更多安全行业内的人进入到web3或者采用去中化这种方式进行合作。要找到有效的方式聚合,最终to c服务里面是会有一两个生态在主导的,大家越往后走就越发现生态的效率越来越高。

Question(欧行之):在熊市环境下,你们的用户规模和服务的用户量是不是也会面临着大规模下降的情况?甚至它的下降程度比DEX或者DeFi项目方更加严峻?

Answer(Mike):从实际数据来看我们的用户肯定受市场影响,但下降的比例远低于DeFi或者GameFi的应用。从用户行为数据上来看,对安全敏感的用户基本都是 Web3里面的核心用户,所以对于web3资产的管理意识已经超过了90%的用户,远远低于其他应用。


7UPDAO

声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议。


7up DAO

关于我们

7upDAO是一个Web3投研社区,致力于分享Web3前沿动态,深度分析各赛道热点话题。社区聚集了大量的Web3投资人、创业者、工程师、产品经理、艺术家...


微信群:加微信seven7upDAO入群

Twitter:@7upDAO

Discord:https://discord.gg/7updao

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存