区块链项目虽然对安全服务的付费意愿很高，但不代表愿意或者说有能力去支出大额的安全预算。即使一个漏洞确实保护了平台用户非常多的资产，但安全服务商能拿付到多少比例，怎么收费，都是个问题。

传统的项目常见的收费模式基本上有三类，一种是按项目收服务费或者SaaS模式收费。第二种是收取保护项目网格资产的一定比例提成，第三种是提供安全API，按调用次数来收费。如果是token类项目，可能还会通过内置代币模型来达到付费目的，但这类目前还没有很成熟的做法。

周亚金表示，代码审计通常是根据项目大小，按次收费。而智能合约上链后，数据监控的部分则会采取订阅制，比如按年收费。而对于追损服务，在订阅制之外，同时会根据追回金额的多少，按百分点收取费用。

不过在Mirana Ventures 投资人kenneth看来，“行业内其实没有一个清晰的收费标准，尽管大家在强调推出SaaS，但收费上还是case by case，可能差不多的项目方最终付费差得很多，不利于市场拓展”。

除了收费模式不标准外，安全审核或保护类的项目最终遭受类攻击，谁来担责呢？目前来看，大多数被攻击的项目都曾完成过安全审计，并且很多都是来自知名安全公司的升级，但仍然没有避免遭受被攻击的命运。

kenneth提到，像传统四大会记事务所的审计服务，一旦出现问题，都有第三方来制定一套从上到下的规则，来明确哪些是项目的责任和服务方的责任，目前区块链的安全服务并没有建立到这套规则。“即使未来有，但法律法规的不健全，不同国家和地区的规则差异，也会带来一些责任审查和追责的难题。”

Tornado Cash因反洗钱被制裁来看，安全服务未来会从代码审计拓展到类似与隐私数据等等其它服务上，会很受当地政策限制，很多数据相关业务并不能跨越国界。

而市场格局走向稳定成熟过程中，YM Capital 投资人Thomas表示，从Web2的发展经验来看，安全商业本身存在一个大量兼并机会，包括横向并购与纵向并购，未来安全公司也可能突破安全的边界，向非安全的其它数据业务方向做拓展。

从目前现状来看，很多所谓的Web3安全公司还是一个很Web2的心态，本质上还是只是服务的客户从Web2切换到Web3。YM Capital投资人Thomas期待的是，有没有更Web3去中心化形态的公司或组织，或者渠道上，能构建一张去中心化的安全网络。

Go Security创始人Mike也认为，安全不同的细分领域里面都会有一些头部公司，但相比于传统互联网安全服务，它会更加生态化，而不是靠一个头部公司来垄断整个市场。

区块链安全赛道是一个非常庞大的市场，但要根本上解决问题，不仅要依赖安全审计公司在项目上线前尽可能疏通漏洞，也需要白帽黑客等独立研究者在上线后基于赏金模式持续发掘漏洞，更需要监管机制、用户教育等方面的发力，形成针对区块链项目的全方位全周期安全保障机制。