正当大部份人都狂热地追逐 ChatGPT，试图混水摸鱼争夺初期红利之时，Web3 却转入了低调期，有条不紊地进行着通向成熟期的各项工作，尤其是监管。

由于北京方面充分的政策支持，清零之后境外资本在香港的踌躇，再加上大量人才的涌入，香港 Web3 似乎大有冲击业内山顶的架势。不过，这一切到底是浮云还是火山喷发前的宁静，还需要时间的考验，毕竟刚开场谁还不能猛攻一气呢？国足都能。

当然，香港 Web3 的从业者们可不会如旁观者那样谨慎地观望，真正在一线的人所感受和投入的东西大多不被局外人知晓。无论从表面上，还是实理上，都需要有足够深刻的考量，并且真的去执行。

先从表面上说，香港区块链协会主席 Charley Tsai 认为，虚拟资产十几年以来的监管漏洞必须要由 SFC 来完善，HKMA 和海关等加以配合。要走得稳健才不会扯到蛋，走慢一点，走好一点。在监管方面必须发展相关的科技进行实时监管。

而具体的实理方面，要考量的最佳实践就太多了。Web3 就仿佛是一个常年裸奔的美女，从不知衣服为何物，即便花钱买了衣服，也只是皇帝的新装。

自从总部在香港的 FTX 翻船跑路巴哈马之后，缺乏监管的集中式交易所存在的风险一时间成了 Web3 被口诛笔伐的焦点。虽然 KYC/AML 的合规程序有效，但缺乏足够有技术含量的解决方案的情况下，一个虚拟资产运营商如何获得客户信任，成了避免另一个 FTX 产生的关键问题。信任！信任！信任！这几乎是 Web3 是否能真正成功的充要条件。增加透明度，比如将日志上链，记录所有托管服务器的操作，让客户和监管机构随时审计，其实比 proof of reserve 更高效。

SFC 也许应该重新考虑加密行业的威胁模型。传统银行系统严重依赖物理安全措施，但是加密资产托管需要完全不同的思维方式。SFC 可以考虑将一些咨询纳入威胁模型，避免 0day 或者零信任身份验证。许多时候，所谓的安全都是在自嗨，搞的都是马奇诺防线，内核运行时加固了吗？主板固件加固了吗？没有的话，整天搞一堆防火墙和杀毒软件有什么用呢？这些问题在现在都有了非常好的工业级解决方案，Web3 是这类最新尖端技术最好的登陆点。

关于私钥存储，大部份安全专家也许会说，在三级、四级数据中心内使用 HSM 即可，这通常被认为是业内最安全的方法。但是，哪怕一点点小的缺陷，都可能导致整个安全防线崩盘，要利用漏洞窃取 HSM 的认证会话并非不可能。还有人迷信安全多方计算（SMPC），要知道理论再完美也敌不过奸商，万一买到的是挂羊头卖狗肉的方案，那就是给攻击者献上大礼包享受 NTR 的快感了。

最后，供应链攻击尤其是在中文世界似乎根本就不当回事，在国家紧急出台相关法规、国标的情况下，许多甲方无动于衷，这些涉及国家安全的规章标准尚且被当作擦屁股的纸，难道 Web3 的世界会有人真的拿供应链攻击当回事？至少，Web3 的监管层面似乎从来没提到过供应链攻击的问题。Web3 可以说是站在开源巨人肩膀上成长起来的，是开源的亲儿子之一，那么，谁来保证所依赖的开源库的长期维护呢？通过什么样的手段可以保证呢？

香港不是新加坡，新加坡金管局一柄尚方宝剑什么都能管，香港是多头监管，证监会管交易和资管，金管局管银行，海关管汇款兑换。香港 Web3 的监管必然是一个统筹的系统工程，如何作为，就留给未来十年去解答了。