BitKeep安全事件思考：自託管錢包問題及潛在變局

萬萬沒想到，一次 BitKeep 的駭客攻擊事件，卻讓加密錢包這個最古老的行業賽道「共識」動搖了？錢包到底安全不安全，被駭客攻擊是平台方的責任還是用戶自己擔責？開發加密錢包是不是個好生意？接下來的 Thread，本着科普的客觀態度，來談談當前自託管錢包賽道存在的問題，以及未來潛在的變局。

眾所周知，小白 onboard 加密行業一離不開交易所，二離不開自託管錢包。交易所（CEX）一般都是平台代託管模式，用戶下載註冊都沿用傳統的手機信箱+密碼+二次動態驗證碼的熟悉方式，且資產由交易所全權託管。因此用戶慣性思維就是沒事找平台算賬，駭客攻擊等外力侵犯默許都是由交易所平台擔責。

然而自託管錢包卻沒有沿用小白熟悉的傳統借記卡的運作邏輯（註冊、掛失、補辦等）。錢包平台方只提供了生成私鑰工具、管理資產的前端入口。用戶的私鑰儲存於手機本地，每一次鏈上交易，都需要用戶調用本地私鑰簽名再上鏈。錢包平台方只充當生成私鑰工具+資產管理前端+鏈上 DApp 入口的角色。

在自託管錢包開發者的敘事邏輯下，私鑰保管於用戶硬體終端本地，由用戶全權保管私鑰，且用戶可以同時將一串私鑰導入多個不同的平台。故而默許了一個免責條款：因私鑰丟失造成的資產損失由用戶承擔。這樣雖然技術上說得通，但錢包畢竟離用戶資產近，也不符合小白出了問題找平台的慣性思維。

事實上除了私鑰保管問題，還有很多非用戶主觀抗力丟失的可能：

1）用戶行動終端被 root，駭客通過木馬病毒獲得了高級權限；

2）用戶下載或更新 App，軟體 APK 包被駭客木馬劫持；

3) 用戶下載 APP 的目標 CDN 網路被駭客劫持；

4）錢包私鑰生成工具供應鏈被黑等等。因此，錢包大凡出現用戶資產安全問題就會扯皮。

關鍵是，錢包之間也內卷。為了提升體驗不停發新版、為了搶奪市場，覆蓋瀏覽器插件行動端 App 等各條鏈路，而且為了賺錢，開發閃兌、swap、跨鏈等需要 Approve 授權的業務，導致出現安全問題的漏洞點越來越多。這無疑增加了用戶安全保管私鑰的難度，這種前提下，出了安全問題就勢必得查明且界定責任方。

然而類似於 APK 被劫持這類問題，責任主體往往厘不清。站在用戶的弱者受保護框架下，平台自然就成了要主動扛責的一方。然而不同於交易所，自託管錢包不直接接觸用戶資產，盈利能力太弱，除了閃兌跨鏈手續費收入，其作為 DApp 流量入口的商業前景沒被打開。小問題還能 cover，真遇大面積攻擊，想賠都難。

即使這樣，自託管錢包賽道一直都是開發者爭搶的高地，畢竟 Metamask 的成功故事以及錢包作為一切鏈上入口的商業前景實在太迷人了，大部分開發者儘管知道可能會惹一身騷還是想 All in。況且，錢包賽道還是在持續演化發展 ing。原先錢包純做私鑰生成和流量入口的敘事正在思變。

機會在哪裡？簡單說就是場景分化，人群分化。 普通小白，交易所就是最優解；略高知高資產群體：硬體錢包、自託管錢包，一冷一熱搭配使用；重安全，就用安全級別較高的 MPC 錢包託管方案，想優化功能體驗，就用場景更靈活的智能合約錢包，以及圍繞帳戶抽象、法幣入口等 mass adoption 的其他方案等等。

無論 MPC 還是 CA 錢包做的都是重塑"私鑰"的事，私鑰保管看似簡單，但用戶-硬體-軟體-區塊鏈等各個層級間總會因個體安全意識的差異而滋生安全隱患的漏洞太多了。千言萬語一句話，整個市場用戶以及生態開發者 Builder 還是得進一步提高安全意識，加強安全建設。遇事扯皮互相指責的行業內耗毫無意義。

原文連結