6 月 11 日，Proof of Talk 峰会期间举行了一场主题为「构建 Web3 协议信任（Building Trust in Web3 Protocols）」的圆桌论坛。论坛邀请了多位行业代表，包括 CertiK 首席商务官 Jason Jiang、Innerworks 联合创始人兼 CEO Oliver Quie，以及 Hacken 首席产品官 Denis Ivanov。论坛围绕「如何为 Web3 项目建立真实、可持续的信任」展开了深入讨论。

当「安全审计」逐渐被包装成营销话术，Web3 项目如何避免「审计洗白（audit-washing）」，构建面向未来的安全信任？

在论坛上，Jason Jiang 直言，当前行业存在显著的「审计洗白」现象。也就是说，一些项目仅凭发布一份审计报告，就声称自身「安全」；无论报告的时效性、范围或结果如何，就将审计报告当作「安全徽章」。

他指出，即使是高标准的静态代码验证，也只是安全模型中的一个环节。它是必要的，但远远不够。很多风险其实发生在审计之后：例如，可升级合约在审计后可能引入新的攻击面，治理机制的偏离，或是由外部账户（EOA）控制的管理功能，都可能导致审计时的假设失效。

此外，还有一些超出静态分析能力的风险：例如预言机、跨链桥、流动性变化和可组合性等因素，都会带来新的动态依赖。

因此，Jason Jiang 强调：「已审计」绝不等于「安全」。

协议设计：信任的架构基石

在谈及协议设计如何影响用户信任时，Jason Jiang 进一步指出，许多风险并非来自代码漏洞，而是源于架构假设。他特别提到对权限、控制权和升级机制中未明确的假设，是影响信任的重要因素。

他分析了几个关键设计向量对信任的具体影响：

在可升级性与不变性方面，如果项目需要保留升级能力，应强制使用多签控制，并结合具有时间延迟的链上治理机制。同时，应赋予社区明确的否决权。这样可以避免关键权限由少数外部账户（EOA）掌控，从而维护去中心化的承诺。

在模块化与开源方面，核心组件如核心算法、金库管理、治理模块等，应进行隔离设计。每个模块应支持独立测试和验证，以减少复杂依赖带来的风险。透明化的失效保护机制（如时间锁、可暂停合约、熔断机制），也必须配合清晰的应急流程，防止隐藏的「紧急权限」架空这些机制。

最后，治理实践应做到完全链上化，并具备可审计性。需要清晰披露：谁拥有何种升级权限、升级流程如何运作、时间限制如何设置。只有这样，治理才能真正落地，而不是停留在理论层面。

Web3 信任公式：信任=代码 + 行为 + 文化 + 合规

面对 Web3 特有的挑战，一个高度去中心化且缺乏身份背书的环境，Jason Jiang 提出了构建信任的公式：信任=代码 + 行为 + 文化 + 合规。

他指出，协议赢得信任不仅依赖于代码质量，还在于项目在压力下的行为模式。其中，几个关键行动至关重要：

首先，项目应实施并持续维护漏洞赏金计划。这一机制是否资金充足、响应是否及时、支付是否高效，直接反映了项目的运营成熟度和对透明开放的承诺。

其次，在安全事件不可避免时，项目应发布透明、详实、技术严谨的复盘报告。报告应说明事件根本原因、明确承认失误、评估影响，并提出改进措施。即使在危机中，这样的处理也能积累制度性信任。

此外，项目还应通过时间证明自身韧性。表现包括：应对市场剧烈波动的承受力、对安全威胁的快速透明反应、以及不断适应新型攻击的能力。Jason Jiang 总结到：「在加密世界，一年相当于传统行业的八年。一个稳定运行六年的项目，等于赢得了半个世纪的信任。」

本次 Proof of Talk 峰会的圆桌讨论汇聚了多为行业安全专家。与会者一致认为，要重塑 Web3 信任的基石，并推动其可持续发展，必须在多个维度展开深度合作。这包括底层技术创新、协议设计优化，以及项目行为的长期验证。在此背景下，与会者呼吁，行业应从「审计即安全」迈向「安全即服务」，Web3 项目才能真正实现可信、透明和持续的安全保障。