價值35兆日圓的教訓：安全設計為何必須從第一天開始

iPod之父Tony Fadell談數位資產安全設計的核心矛盾：越安全的系統往往越難用，而難用的安全等於沒有安全。這對亞洲加密市場意味著什麼？

全球約20%的比特幣——價值約3,550億美元——已經永久消失。不是被駭客竊取，而是被主人自己弄丟了。原因很簡單：私鑰太難保管。

這個數字揭示了一個數位資產產業長期迴避的根本矛盾：當安全措施複雜到一般人無法正確使用，安全本身就成了最大的風險。

iPod之父的第二堂課

Tony Fadell以打造Apple iPod聞名於世。但他在Ledger擔任董事會成員、並主導開發數位資產簽名設備「Ledger Stax」的經歷，讓他對安全設計有了截然不同的體悟。

開發iPod時，易用性優先於安全性，問題出現了再修補，是可以接受的迭代過程。但數位資產簽名設備不同——一旦產品推出，就沒有「事後補救」的空間。

「你會成為自己開發速度的受害者，」法德爾說。「如果沒有經過適當審查就推出功能，等到客戶開始要求安全性時，你才意識到從一開始就應該以不同的方式設計，而那時候要推翻已完成的設計，幾乎是不可能的事。」

這句話對整個科技產業都是警示。從消費性電子到金融基礎設施，「先上線再修補」的開發文化正在遭遇愈來愈高的代價。

一個真正安全的數位資產簽名設備，需要三個缺一不可的層次。

廣告合作

安全作業系統確保軟體環境不被入侵；安全元件（Secure Element）將軟體與硬體綁定，使加密金鑰無法被提取；而往往被忽略的第三層——安全使用者介面——決定了前兩層的防護是否真的有效。

Ledger的做法是設立內部攻擊研究團隊「Donjon」，持續模擬真實世界的攻擊場景，同時讓安全團隊與UX團隊進行「創造性對抗」。法德爾描述這個過程：「我們從UX角度製作原型，然後讓Donjon團隊審視，雙方來回推拉，找到兩者之間的最佳平衡點。」

這種張力的成果之一，是業界首創的NFC實體卡片「Recovery Key」。傳統上，用戶需要手寫12至24個英文單字的「種子短語」作為備份——這種方式既容易出錯，也難以安全保存。NFC卡片讓用戶可以將備份存放在保險箱，或交給信任的人保管，大幅降低人為失誤的風險。

2024年，日本加密貨幣交易所DMM Bitcoin遭不明駭客竊取超過3億美元資產，半年後宣告關閉。日本金融廳的調查揭露了嚴重的管理缺失：缺乏獨立審計、監控不足、安全實踐粗糙。

這個案例在亞洲加密市場引發廣泛討論。對照來看，台灣、香港、新加坡的監管機構近年來也在加速制定數位資產的安全標準，但「合規」與「真正安全」之間仍存在相當大的落差。

對企業用戶而言，挑戰更為複雜。法德爾指出，企業級安全需要「多重簽名（multisig）」機制，確保沒有任何單一人員能夠單獨控制資產。「必須確保攻擊向量不集中在一個人身上，」他說。「你需要讓多個人在多個設備上使用多重驗證因素——這在組合上是個極其複雜的問題。」

美國CISA推動的「Secure by Design」倡議，要求科技產品在設計與製造階段就內建安全性，而非事後修補。英國NCSC也發布了類似的軟體安全實踐規範。

這股趨勢對華人科技生態圈意味著什麼？中國大陸對加密貨幣採取嚴格管制，但對區塊鏈底層技術的應用持開放態度；台灣、香港、新加坡則在監管框架相對開放的環境中，積極發展數位資產產業。當全球「設計即安全」的標準逐漸成形，這些市場的產品與服務是否已做好準備，將直接影響其國際競爭力。

值得注意的是，安全設計不只是技術問題，也是信任問題。在一個用戶對平台信任度本就偏低的市場環境中，一次重大安全事故足以摧毀整個產業的公信力。