Web 1.0 时代的网景公司开发了 SSL 协议，该协议通过加密确保用户与服务器之间的安全通信，为早期互联网应用提供了基础的安全保障。进入 Web 2.0 时代，互联网应用变得更加复杂，安全需求也随之提升。谷歌、微软、亚马逊等科技巨头和证书机构推动了 TLS 的发展。TLS 继承并改进了 SSL 的功能，提供更强的数据加密和完整性保护，确保了现代互联网经济模式下的安全通信。

在 Web2.0 中，安全响应机制是关键，因为系统在受到攻击后可以采取措施进行恢复。然而在 Web3 世界，由于交易的不可逆性，被攻击后的每一秒都意味着潜在的巨大损失。同时，去中心化的特性意味着没有一个实体能够为一个突如其来的安全事件负全责，受害者往往只能自认倒霉，寄希望于攻击者的自觉返还。因此Web3 的安全模式必须更加注重防患于未然，即在交易执行之前进行严格的安全检验，并以此为出发点，重新设计更加贴合加密原语的安全系统。

从面向的群体来看，Web3 安全产品形态可以分为 ToB,ToC 和 ToD。其中 ToB 和 ToD 的思路是通过为项目方和开发者提供智能合约审计报告、自动化代码审计和漏洞检测等，从产品侧进行安全防护。ToC 的思路是通过向用户提供风险分析、模拟交易、状态监控等相关的 API 接口，保护其钱包、交易和个人信息的安全，从用户侧进行防护。

ToB 的检测和审计

目前 ToB 的 Web3 安全项目，如 Certik, Beosin 等，是将 Web1.0 和 2.0 时代做代码扫描和应用安全测试的安全思路迁移到区块链上，从智能合约层面提供安全审计和验证服务。虽然已是业内标配，但实际执行的过程中，安全审计的效果只能说差强人意。

2023 年 3 月 13 日，Euler Finance 由于合约漏洞遭到攻击，损失约 1.97 亿美元（这也是 2023 年损失金额第二大的安全攻击）。攻击的根本原因在于合约未对用户实际持有的代币数量和捐赠之后用户的账本的健康状态进行正确的检查。而在此之前，从 2021 年 5 月至 2022 年 9 月，Euler Finance 接受了 6 家区块链安全公司的 10 次审计。

据 Beosin 统计，2023 年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 20.2 亿美元。在 191 起攻击事件里，有 79 起事件的项目方没有经过审计，101 起事件的项目方经过了审计。79 个没有经过审计的项目中，合约漏洞事件占了 47 起（59.5%）。101 个经过审计的项目中，合约漏洞事件占了 51 起（50.5%）。这两个案例分别说明了现有的产品侧审计体系的局限性。

总结来说，目前 ToB/ToD 的安全检测和审计的有效性受到以下牵制：

• 新资产、新协议层出不穷，链上环境日益复杂，静态的安全审计难以覆盖完全

• 即便源代码通过审计，也无法覆盖所有潜在的运行场景，如编译器的缺陷可能导致意外的漏洞

• 即便是再全面的审计以及运行时保护，也无法隔绝针对用户端的钓鱼行为，而后者

ToC 的监测和防护

ToC 的 Web3 安全项目相比 ToB 起步较晚，主要解决的是“用户普遍的数据主权需求与个体的安全知识储备和能力差异”之间存在的矛盾。类似的问题在 Web2.0 也存在，必须要有诸如 SSL/TLS 协议这类标准化的协议措施提供统一且有效的保障，以及 360 安全卫士、防火墙等终端软件提供用户可得的安全服务，方能系统地提升用户端安全保障。

从某种意义上讲，ToC 的安全服务是最难以被“去中介化”的服务，仅仅依靠用户教育和自身努力来确保安全是不现实的。除了用户自身的知识储备不足以应对复杂、专业、多样的安全问题外，对实时监控和迅速响应的要求，对威胁情报的收集，以及基础设施的资源投入，也均非个体用户能实现的范畴。

目前 Web3 ToC 的安全产品设计思路尚未摆脱“头痛医头”的工具化思路，比如 Scam Sniffer 主要通过扫描 URL 的方式预防钓鱼被盗，Token  Sniffer 可以检测智能合约的地址风险， Forta 被用于实时链上监控，Revoke 可以查看以及取消授权，Harpie 是链上防火墙， Phalcon 可以自动阻断攻击...

在去中心化的环境下，传统的集中安全保护不再适用，然而有效的安全保护势必需要相对统一的标准，确保不同安全解决方案的兼容性和可靠性。目前的区块链架构缺乏对用户的保护设计，要实现 Web3 用户端全面安全保护，除了现有的工具化方案，还需要构建稳固的底层基础设施和中间件。

GoPlus 将自己定义为“一个开放、无需许可和用户驱动的 Web3 模块化用户安全层”。从 GoPlus 的网络架构来看，其核心组件是用户安全模块 (USM)。USM 被设计为 SDK 的形态，可以将各种安全服务集成到基础设施和 dApp 中，渗透到用户交互的各个环节。

具体而言：

• 用户直接面向的是一款叫做 SecWareX 的综合安全产品

• SecWareX 提供的服务叫做 SecWare(Security Software)，包含反欺诈、反钓鱼和反 MEV 等细分服务

• SecWare 由 SecWare 生态的开发者基于基础层构建

SecWareX、USM、SecWare 生态和基础层之间经由各种细分服务的互联互通是用户意图得以实现的根本原因，USM 在其中起到桥梁的作用。相较于功能单一、静态、碎片化的传统安全工具，USM 的设计理念更注重系统性、一体化和实时响应，提供了一个更加人性化的交互环境。用户得以完全控制自己的资产安全，并根据自己的需求配置各种风控和安全策略。

最好的保护往往是隐形的。工具类产品的开发经常容易陷入功能的堆积，忽视对于用户使用信心这一心理变量的考量。由于 USM 能够抽象出 Web3 用户安全的技术复杂性，用户被保护的体验几乎是无感的，有利于增强他们的使用 Web3 产品的信心、积极性和参与度。

这种对于安全性和易用性的平衡设计也得到了用户采用的认可，自 2021 年推出以来，GoPlus 经历了指数级增长，用户安全数据使用量比 2022 年增长了 5000 多倍。目前主流的 Web3 数据网站包括 Uniswap、DEXToools、DEX Screener、CoinMarketCap、Audit Scan、MetaMask Snaps 等都在使用 GoPlus 的 API，每日 API 调用量达到 2100 万次。SecWareX 上线 2 个月即获得了 180 万独立 IP 用户和 260 万日活有效地址。

下表展示了部分 Web3 ToC 安全项目，这些项目创立时间普遍较晚，GoPlus 算是最早开始探索 ToC 商业模式的安全项目之一，业务数据也比较亮眼。

随着 Web3 世界向着更高的可组合性和互操作性迈进，模块化作为一种安全新思路，可能成为顺应趋势的最优解。GoPlus 在保持内部稳定可靠的同时，凭借其高度可插拔、轻量级、易于集成和多链兼容的功能，创造了一种模块化安全的新范式。

具体而言，通过将 USM 打造成未来 L1，L2 和 L3 的标准组件，GoPlus 为区块链提供了原生的用户安全保护和风险控制能力。这种设计顺应了 USM 的隐形保护哲学，从区块链的底层架构入手，为用户创造一个安全可靠的环境。随着用户安全意识和安全需求的不断加强，可以预见在不久的未来，安全模块层或许也会像 DA 层一样，成为每条链都必须组装的关键能力。

目前 GoPlus 已经支持了 20 多个区块链网络，并与 RPC、Rollups 和 RaaS 项目合作。GoPlus 将在今年 Q4 正式发布 USM SDK 并支持更多的区块网络，扩大安全服务的规模和范围，未来还有望利用 Eigenlayer 主动验证服务（AVS）功能增强整个网络的去中心化和安全性。

根据路线图，GoPlus 将在今年 Q2-Q3 推出代币 $GPS，用户使用 SecWare 服务时需要支付 $GPS 作为安全 gas 费，这部分收入会被分配给生态系统内的贡献者。此外，$GPS 也将作为活动奖励激励用户的深入参与，质押 $GPS 可以获得网络治理的投票权。

GoPlus 团队在数据安全领域经验丰富，成员主要来自中国、土耳其、美国、希腊等国家，大多数都曾从事过 Web2 安全相关的工作，部分成员是国内最早一批的 dapp 开发者，在安全数据方面有多年的沉淀。

GoPlus 的创始人 Mike 是 360 安全浏览器的主要产品负责人之一、曾创立桔子浏览器并被 A 股上市公司收购；2017 年开始进入 Web3 行业，2020 年开始创立 GoPlus。

GoPlus 目前的总融资额超过 2500 万美元，投资方包括 Binance Labs, OKX Ventures, HashKey Capital, Animoca Brands, GSR 等机构。2021 年 8 月第一轮融资后，估值 3000 万美元；2022 年 4 月私募结束后，估值 6000 万美元；2022 年 12 月币安及红点投资后，估值 1.5 亿美元；今年 6 月完成最新一轮 1000 万美元的融资，目前估值 3 亿美元。

GoPlus 的出现是对 Web3 安全的一次变局，其产品设计充分体现了团队对于安全的思考和加密原语的理解。Web3 世界的整体安全需要在一次次的防微杜渐中确立，这个过程需要包括基础设施和不同应用的开放合作，GoPlus 在其中占据了一个积极的生态位，这种思路值得所有 Web3 SaaS 和工具类应用思考。

• https://whitepaper.gopluslabs.io/goplus-network

• https://www.binance.com/fr-AF/square/post/7993119433969

• https://foresightnews.pro/article/detail/60433

• https://foresightnews.pro/article/detail/50495

• https://www.chaincatcher.com/article/2119624

• https://mp.weixin.qq.com/s/J7Pbu5E6h9VqzvnNTmbwfw

• https://foresightnews.pro/article/detail/57050

• https://mp.weixin.qq.com/s/gkhwiw-qlL_N2Nh5ysawsA

交流群（备注公司及岗位）