专访 Trust Wallet CISO Eve Lam：钱包信任不靠口号，以独立审计守护用户资产

动区专访 Trust Wallet 资讯安全长（CISO）Eve Lam，分享了她如何将传统金融的严谨带入 Web3 世界。 （前情提要：CZ转推引爆 Trust Wallet 代币 TWT 狂飙 40%；剑指10亿Web3用户大时代 ） （背景补充：Trust Wallet 推出的「钱包即服务」WaaS 是什么、优缺点分析，能成未来主流？ ） 在加密货币市场，信任是比币价更稀缺的资产。当骇客攻击与监管压力成为常态，钱包作为用户资产的最后一道防线，其安全性如何被确保？ 动区很开心专访到 Trust Wallet 资讯安全长（CISO）Eve Lam，这位曾在华尔街传统金融巨头摩根士丹利（Morgan Stanley）服务长达 12 年的资安老将，分享了她如何将传统金融的严谨带入 Web3 世界，并揭示 Trust Wallet 如何透过 AI、开源策略与国际标准认证，为全球超过两亿用户打造一个可被验证的信任堡垒。 从华尔街到 Web3，安全长的转身 动区动趋：首先，我们非常好奇妳的背景。在投身 Web3 之前，妳在 Web2 拥有丰富的经验，是什么样的契机让妳决定跨入这个新领域？ Eve Lam：当然，我是 Eve Lam，目前担任 Trust Wallet 的资讯安全长。在加入币安与 Trust Wallet 的这三年，我的职业生涯始终致力于串连传统金融与去中心化世界。在此之前，我在纽约的投资银行摩根士丹利工作了 12 年，担任资安架构主管，可以说，我对 Web2 的安全领域非常熟悉。 大约四年前，我对加密货币产生了巨大的信仰，并有幸获得加入币安的机会。坦白说，当时我对 Web3 的安全还很陌生，但加入 Trust Wallet 后，我每天都在跟顶尖的资安专家学习，亲手处理大量的安全事件、骇客攻击，并从无数的诈骗案件中，学习如何保护我们的用户，甚至帮助他们追回资金。这就是我现在的工作日常。 Web3 安全的核心：「信任」不该只是口号 动区动趋：身为 Trust Wallet 的 CISO，妳如何看待 Web3 安全性在 2025 年成为关键议题？ Eve Lam： 「Trust Wallet 将安全性视为第一要务，因为我们的客户是基于信任才使用我们的钱包。如果不安全，资金将面临风险，他们就不应该使用任何不安全的钱包。」 我认为安全性体现在两个主要层面。首先是保护用户，特别是新手。Trust Wallet 以其简洁易用的介面吸引了大量新用户，但他们也最容易成为诈骗的受害者。Web3 充满了各种陷阱，从「蜜罐代币」（Honeypot token）到各种钓鱼骗局。 为此，我们开发了名为「安全扫描器」（Security Scanner）的功能，它就像一位副驾驶，当用户试图与可疑地址或合约互动时，系统会跳出警告：「嘿，请不要把资金发送给陌生人或诈骗者。」我们的目标是让所有用户，无论是老手还是新手，都能在安全的环境下自由探索 Web3 的机会。 「我们不用『信我兄弟』」，三道防线巩固护城河 动区动趋：除了保护用户免于外部威胁，Trust Wallet 本身的安全性如何确保？最近似乎有其他业界参与者自身遭到骇客攻击。 Eve Lam：是的，保护系统本身是我们的第二道防线。就在几天前，我们听说有同业的源码被骇客窜改，导致用户受到影响。为了防止这种情况发生，我们采取了极为严格的措施。Trust Wallet 平均每年接受由全球顶级安全专家和「白帽骇客」执行的 40 次安全审计，他们会反复检验我们的源码，确保没有任何可被利用的漏洞。 最后，也是最重要的一点，我们主动拥抱监管标准。尽管 DeFi 领域目前尚未全面监管，但我们已经超前部署，取得了 ISO 27001（资讯安全管理）和 ISO 27701（隐私资讯管理）两项国际认证。这意味着 Trust Wallet 的营运流程，无论在安全性还是隐私保护上，都已达到国际公认的最高标准。 动区动趋：这似乎在业界并不常见，为何 Trust Wallet 选择走一条更艰难但更合规的道路？ Eve Lam：我们想建立的信任，是可以被验证的。这就是为什么我们做了三件关键的事：第一，我们将源码开源，任何对我们系统有疑虑的人都可以亲自检视，证明我们没有隐藏任何后门。第二，我们聘请独立的 ISO 审计员来验证我们的营运方式，证明我们诚实地将用户的安全与隐私放在首位。 「在 Web3，许多非托管钱包的玩家只会说『信我，兄弟』（trust me, bro）。但我们采取零信任原则，我们不只是口头上说自己值得信赖，而是聘请来自欧、美、亚洲的多家独立审计机构，由他们出具报告来说明 Trust Wallet 是值得信赖的。」 第三方的证明，远比我们自己的宣传更有力。当然，我们也会说自己很好，但我们更希望让全世界的专家都来为我们背书。 AI 扮演的隐形保镳：模拟交易、预警风险 动区动趋：妳提到了利用 AI 驱动的安全解决方案，例如即时威胁侦测，这具体是如何运作的？ Eve Lam：AI 大多在幕后工作，用户通常不会察觉。当用户准备将钱包连接到一个钓鱼网站或恶意 DApp，并准备签署一笔交易时，我们的 AI 就会启动。它会「模拟」这笔交易执行后的结果，如果侦测到任何恶意或可疑行为，例如资金会被转移到已知的诈骗地址，系统就会立即向用户发出警告。 AI 的重要性在于，诈骗手法极其复杂，单纯查看智能合约是很难判断其好坏的。我们与多家安全供应商合作，建立了一个庞大的「威胁情报网络」。AI 能从数亿用户（不仅是 Trust Wallet 的用户）的行为中学习诈骗者的模式，并给出风险评分，例如「高度危险」、「中度风险」或「安全」。这就像一个集体免疫系统，我们共享情报，共同对抗骇客。 RWA 的新篇章：在钱包里买进「辉达股票」 动区动趋：Trust Wallet 最近推出了真实世界资产（RWA）功能，允许用户直接在 App 内接触代币化的股票或 ETF。这次发布对连接传统金融与 Web3 有何意义？ Eve L…