本文旨在探索用户对Web3生态系统中安全审计的看法。研究采用问卷调查和半结构化访谈的方法，收集了来自Web3用户（包括投资者、开发者、普通用户）的数据，分析了他们对安全审计的认知、信任程度、以及审计报告对决策的影响。研究发现，用户普遍认为安全审计是必要的，但对审计的独立性和覆盖面存在疑虑；同时，审计结果的呈现方式会影响用户的信任。论文提出了改进审计透明度、标准化报告格式、以及加强用户教育的建议。该研究为Web3平台的安全审计实践提供了用户视角的洞察，有助于审计机构优化服务。

随着Web3基础设施的快速采用，加密货币交易所、托管服务和基于区块链的平台面临越来越多的安全事件。现有研究主要关注智能合约和区块链协议中的漏洞，但现实世界中的大量损失源于链下系统、组织流程和以人为中心的运营工作流。本文对Web3生态系统中公开记录的高影响力安全漏洞进行了基于事件的定性分析，包括Bybit交易所事件（2025年）、Ronin Network桥接妥协（2022年）和DMM比特币交易所漏洞（2024年）。系统分析了这些案例，并将其映射到既定的Web2安全参考框架，包括基于OWASP的漏洞类别和组织安全控制域。结果表明，Web3环境中的主要失败模式未得到通用安全控制目录的充分解决，特别是在加密密钥管理、交易批准治理、签名者和验证者基础设施、第三方工具依赖以及人在回路流程方面。基于这些发现，本文主张在Web3组织中采用既定的信息安全管理体系（ISMS），并推导出一套结构化的区块链特定网络安全控制类别，以将现有ISMS框架应用于基于区块链的系统。提出的类别旨在弥合通用安全治理框架与Web3基础设施固有领域特定风险之间的差距。适合安全研究人员、Web3组织安全负责人及政策制定者阅读。

本文提出了一种名为ACTS（TLS会话内容证明）的分布式架构，旨在解决Web3大规模应用中的一个关键问题：如何让现有的、广泛使用的软件验证用户从TLS服务器检索到特定数据，同时不修改TLS服务器本身。现有方案（如DECO、Xie等人的工作及TLSNotary）虽然实现了这一目标，但要求验证者运行先进的非标准化密码方案（如ZK-SNARKs），限制了大规模采用。ACTS基于此前工作，并利用Fuchsbauer和Wolf在Eurocrypt 2024上提出的谓词盲签名概念，突破了这些限制。ACTS架构在保持TLS服务器不变的前提下，允许用户向验证者证明其拥有从TLS服务器检索的数据，而验证者只需检查标准签名（如RSA-PSS）即可。具体贡献包括：一个轮数最优的谓词盲签名协议，可产生标准RSA-PSS签名；将该原语集成到DECO架构及其后继者中，用于认证TLS数据；优化了构造，使其在商品硬件上对大规模且重要的公证人（负责不知情地认证TLS数据、保护数据机密性的角色）策略类实用。通过在从TLS服务器下载并编码为AES-GCM密文的PDF文档用例上进行实验评估，用户可通过公证人服务在PDF中添加标准PADES签名及元数据，最终获得标准签名的PDF，可直接使用现有PDF阅读器透明验证。实验结果表明，该架构适用于实际场景中的真实部署。

本文首次提出并研究了私有认证者交集（Private Certifier Intersection, PCI）问题。在Web 3.0去中心化场景中，互不信任的各方需要基于共同信任的认证机构（certifiers）来交叉验证声明，同时保护不公开的共同认证者以外的隐私。PCI允许持有证书的双方或多方在不泄露交集外任何认证者信息的前提下，识别出共同的认证者并验证其颁发的证书。论文在简化UC框架下形式化定义了多方PCI，针对两种场景：只需任意一个声明有效（PCI-Any）或所有声明均有效（PCI-All）。作者设计并实现了两个可证明安全且实际高效的协议：一个基于ECDSA证书的PCI-Any协议，以及一个基于BLS证书的PCI-All协议。技术核心是提出了首个基于秘密共享的MPC框架，支持黑盒方式高效计算椭圆曲线算术运算，包括双线性对。该框架基于MP-SPDZ库，并使用OpenSSL和RELIC进行椭圆曲线运算。在局域网和广域网环境下进行了基准测试，结果显示跨洲际WAN环境中，处理40个输入集的时间不到一分钟，证明了方案的实用性。