動區專訪 Trust Wallet 資訊安全長(CISO)Eve Lam,分享了她如何將傳統金融的嚴謹帶入 Web3 世界。
(前情提要:CZ轉推引爆 Trust Wallet 代幣 TWT 狂飆 40%;劍指10億Web3用戶大時代 )
(背景補充:Trust Wallet 推出的「錢包即服務」WaaS 是什麼、優缺點分析,能成未來主流? )
在加密貨幣市場,信任是比幣價更稀缺的資產。當駭客攻擊與監管壓力成為常態,錢包作為用戶資產的最後一道防線,其安全性如何被確保?
動區很開心專訪到 Trust Wallet 資訊安全長(CISO)Eve Lam,這位曾在華爾街傳統金融巨頭摩根士丹利(Morgan Stanley)服務長達 12 年的資安老將,分享了她如何將傳統金融的嚴謹帶入 Web3 世界,並揭示 Trust Wallet 如何透過 AI、開源策略與國際標準認證,為全球超過兩億用戶打造一個可被驗證的信任堡壘。
從華爾街到 Web3,安全長的轉身
動區動趨:首先,我們非常好奇妳的背景。在投身 Web3 之前,妳在 Web2 擁有豐富的經驗,是什麼樣的契機讓妳決定跨入這個新領域?
Eve Lam:當然,我是 Eve Lam,目前擔任 Trust Wallet 的資訊安全長。在加入幣安與 Trust Wallet 的這三年,我的職業生涯始終致力於串連傳統金融與去中心化世界。在此之前,我在紐約的投資銀行摩根士丹利工作了 12 年,擔任資安架構主管,可以說,我對 Web2 的安全領域非常熟悉。
大約四年前,我對加密貨幣產生了巨大的信仰,並有幸獲得加入幣安的機會。坦白說,當時我對 Web3 的安全還很陌生,但加入 Trust Wallet 後,我每天都在跟頂尖的資安專家學習,親手處理大量的安全事件、駭客攻擊,並從無數的詐騙案件中,學習如何保護我們的用戶,甚至幫助他們追回資金。這就是我現在的工作日常。
Web3 安全的核心:「信任」不該只是口號
動區動趨:身為 Trust Wallet 的 CISO,妳如何看待 Web3 安全性在 2025 年成為關鍵議題?
Eve Lam:
「Trust Wallet 將安全性視為第一要務,因為我們的客戶是基於信任才使用我們的錢包。如果不安全,資金將面臨風險,他們就不應該使用任何不安全的錢包。」
我認為安全性體現在兩個主要層面。首先是保護用戶,特別是新手。Trust Wallet 以其簡潔易用的介面吸引了大量新用戶,但他們也最容易成為詐騙的受害者。Web3 充滿了各種陷阱,從「蜜罐代幣」(Honeypot token)到各種釣魚騙局。
為此,我們開發了名為「安全掃描器」(Security Scanner)的功能,它就像一位副駕駛,當用戶試圖與可疑地址或合約互動時,系統會跳出警告:「嘿,請不要把資金發送給陌生人或詐騙者。」我們的目標是讓所有用戶,無論是老手還是新手,都能在安全的環境下自由探索 Web3 的機會。
「我們不用『信我兄弟』」,三道防線鞏固護城河
動區動趨:除了保護用戶免於外部威脅,Trust Wallet 本身的安全性如何確保?最近似乎有其他業界參與者自身遭到駭客攻擊。
Eve Lam:是的,保護系統本身是我們的第二道防線。就在幾天前,我們聽說有同業的源碼被駭客竄改,導致用戶受到影響。為了防止這種情況發生,我們採取了極為嚴格的措施。Trust Wallet 平均每年接受由全球頂級安全專家和「白帽駭客」執行的 40 次安全審計,他們會反覆檢驗我們的源碼,確保沒有任何可被利用的漏洞。
最後,也是最重要的一點,我們主動擁抱監管標準。儘管 DeFi 領域目前尚未全面監管,但我們已經超前部署,取得了 ISO 27001(資訊安全管理)和 ISO 27701(隱私資訊管理)兩項國際認證。這意味著 Trust Wallet 的營運流程,無論在安全性還是隱私保護上,都已達到國際公認的最高標準。
動區動趨:這似乎在業界並不常見,為何 Trust Wallet 選擇走一條更艱難但更合規的道路?
Eve Lam:我們想建立的信任,是可以被驗證的。這就是為什麼我們做了三件關鍵的事:第一,我們將源碼開源,任何對我們系統有疑慮的人都可以親自檢視,證明我們沒有隱藏任何後門。第二,我們聘請獨立的 ISO 審計員來驗證我們的營運方式,證明我們誠實地將用戶的安全與隱私放在首位。
「在 Web3,許多非託管錢包的玩家只會說『信我,兄弟』(trust me, bro)。但我們採取零信任原則,我們不只是口頭上說自己值得信賴,而是聘請來自歐、美、亞洲的多家獨立審計機構,由他們出具報告來說明 Trust Wallet 是值得信賴的。」
第三方的證明,遠比我們自己的宣傳更有力。當然,我們也會說自己很好,但我們更希望讓全世界的專家都來為我們背書。
AI 扮演的隱形保鑣:模擬交易、預警風險
動區動趨:妳提到了利用 AI 驅動的安全解決方案,例如即時威脅偵測,這具體是如何運作的?
Eve Lam:AI 大多在幕後工作,用戶通常不會察覺。當用戶準備將錢包連接到一個釣魚網站或惡意 DApp,並準備簽署一筆交易時,我們的 AI 就會啟動。它會「模擬」這筆交易執行後的結果,如果偵測到任何惡意或可疑行為,例如資金會被轉移到已知的詐騙地址,系統就會立即向用戶發出警告。
AI 的重要性在於,詐騙手法極其複雜,單純查看智能合約是很難判斷其好壞的。我們與多家安全供應商合作,建立了一個龐大的「威脅情報網絡」。AI 能從數億用戶(不僅是 Trust Wallet 的用戶)的行為中學習詐騙者的模式,並給出風險評分,例如「高度危險」、「中度風險」或「安全」。這就像一個集體免疫系統,我們共享情報,共同對抗駭客。
RWA 的新篇章:在錢包裡買進「輝達股票」
動區動趨:Trust Wallet 最近推出了真實世界資產(RWA)功能,允許用戶直接在 App 內接觸代幣化的股票或 ETF。這次發布對連接傳統金融與 Web3 有何意義?
Eve Lam:我個人對這個新功能感到非常興奮!簡單來說,RWA 讓任何人都能購買代幣化版本的真實世界資產,例如美國國債,或是像輝達(NVIDIA)這樣的熱門股票。過去,購買這類資產通常有地域限制,比如僅限美國公民。但現在,透過代幣化,任何人都可以 24/7 全天候交易這些資產,不再受限於傳統股市的開盤時間,甚至週末也能交易。
「你可以想像,未來你的錢包裡不只有 NFT 和加密貨幣,還同時擁有美國股票的代幣。這是一個讓所有人都能在同一個地方接觸不同資產的一站式商店。」
這對新興市場的用戶尤其意義重大,他們現在也能輕鬆投資以往難以觸及的機構級優質資產。我們透過與 ONVU Finance 和 1inch 等夥伴合作,作為一個簡單易用的介面,讓全球用戶都能參與其中,我們的最終目標是讓任何被代幣化的資產,都能在 Trust Wallet 上取得。
萬鏈互通、極簡體驗:Trust Wallet 的致勝之道
動區動趨:最後一個問題,與市場上其他錢包相比,Trust Wallet 最大的優勢是什麼?
Eve Lam:我想總結為三點。首先是「廣泛的鏈支援」,我們支援超過 100 多條區塊鏈。這意味著當用戶看到一個新興的熱門代幣時,他們可以直接在 Trust Wallet 內進行跨鏈兌換,而不需要先把資產轉來轉去,既耗時又浪費 Gas Fee。我曾聽說有用戶為了兌換一個不被支援的代幣,不得不先把資產轉到 Trust Wallet,完成兌換後再轉回去。
其次是「極致的易用性」。無論你是剛踏入 Web3 的新手,還是資深玩家,都能找到適合自己的使用方式。我們的介面對新手極其友好,同時也為專家提供了可以自訂參數的進階功能。
最後,也是我們最堅持的,就是「安全性」。我們在幕後投入了大量資源來鞏固這道防線,並會持續努力以維持用戶的信任。總結來說,支援的廣度、使用的簡易度和安全的深度,這三者共同構成了我們在市場上脫穎而出的關鍵。
📍相關報導📍
假招聘廣告暗藏加密駭客!惡意軟體ModStealer專竊用戶資料,瞄準加密貨幣錢包
