刚刚过去的2月,交易所暴雷、遭受攻击,私钥被窃,DeFi项目出现漏洞和人为失误,一系列的安全事件,给区块链项目的管理敲响了警钟。
3月6日下午,SheKnows直播间迎来区块链安全专场,邀请了慢雾科技合伙人启富、比特派创始人文浩、DDEX联合创始人王博闻,围绕区块链安全的话题展开讨论,在不安全的世界里寻找安全感。
昨天VS今天:区块链行业是否越来越安全?
SheKnows:现在的区块链行业比以前更安全了吗?
启富:安全的本质是信任,安全的核心是攻防对抗,攻防的核心又是成本对抗。安全是动态的,随着业务的发展也可能会引入新的安全问题。安全也不是绝对的,从来不存在一家100%安全的公司或项目。随着行业的发展,需要大家不断地提升安全意识,才能有效的避免出现更多被黑事件。
文浩:虽然看起来到今天仍然是此起彼伏的黑客事件、安全事故、盗币案例,但相比起当年,其实是安全了很多个量级了,具体理由如下:1.硬件冷钱包技术和方案有了长足的发展;2.开始出现了越来越多的专业的安全团队;3.币圈企业更有钱了,更有钱其实也很重要,因为有钱了就能在安全方面投入更大的资源。虽然行业更安全了,但其实行业所面临的安全复杂度则高了很多倍,比如说智能合约安全、多链资产的管理等等的,都给今天的行业安全带来了更多的挑战,所有这些都需要行业内的大家一起努力。
V神:试图让ChatGPT 3.5帮助将IPFS的bafyhashes转换成hex:金色财经报道,以太坊创始人Vitalik Buterin(V神)发布博客称,这次 ChatGPT 3.5 的表现令人印象深刻;它肯定比我之前的不幸遭遇跌跌撞撞的要少得多,我试图让它帮助我把 IPFS 的 bafyhashes 转换成 hex。总的来说,ChatGPT 似乎特别擅长教我一些我从未听说过但其他人一直在使用的库和 API;这降低了业余爱好者和专业人士之间的入门障碍,这似乎是一件非常积极的事情。[2023/4/14 14:03:53]
王博闻:区块链行业安全其实是一个黑盒子,每年都会有不同的平台出现被盗的事件,从最早的门头沟,到韩国Upbit被盗5000万美金,币安7000比特币的被攻击,到Fcoin内部亏空。包括最近出现的DeFi智能合约的一些攻击,就比如说我上周分析的bzx的闪电贷攻击,和SNX的套利。每年的智能合约安全的需求都在成倍的增长。
IOTA被盗,巨鲸丢币,普通用户该不该担心?
背景:
事件1:黑客利用IOTA官方钱包应用Trinity的漏洞窃取资金,随后官方宣布关闭整个网络。
事件2:论坛名为“zhoujianfu”的巨鲸称,丢失1547BTC和近60000BCH。SIM卡攻击,疑似使用Blockchain.info服务。
SheKnows:针对事件1,之前看到慢雾分析的结果是,新版本的官方钱包里的一个交易模块出了问题。能否具体讲讲?
启富:原因是IOTA官方钱包引入了第三方的组件,然后第三方组件被黑,间接影响了他们官方钱包的很多用户,导致他们的私钥、密码被盗。已经统计出来的损失,被盗的IOTA大概是855万枚,价值大概230万美金。技术上具体展开来说就是,IOTA官方钱包内置了一个第三方交易模块MoonPay,等于钱包内有一个交易所的功能。攻击者盗取并利用MoonPay的CloudflareAPIKey发起中间人劫持攻击,在IOTA钱包引用的MoonPayJS文件中注入恶意JavaScript,盗取用户的种子、密码等。
Hashed联创:APT在韩国是Meme币,散户称其为公寓:2月5日消息,韩国加密风投公司Hashed联创AlexShin表示:Aptos在韩国是一个Meme币。韩国第一大资产类别是房地产,更确切地说,是公寓。
散户称Aptos为公寓(apartment),声称如果人们持有APT,有一天就可以买得起一套真正的公寓。近一个月,APT涨幅近5倍,韩国最大交易平台Upbit的APT现货交易量一度超过Binance。[2023/2/5 11:48:18]
SheKnows:怎么看待Trinity钱包被盗导致主网关停这件事?
文浩:其实应该是MoonPay模块的问题,MoonPay是一个第三方交易模块,用来帮助海外用户买卖币的第三方服务,除了Trinity其实还有一些其它的钱包在用Moonpay。攻击者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻击,注入了恶意的JavaScript代码,详细的报告大家可以去找下慢雾的文章。其实这就是过去这些年我们一直强调的“JavaScript钱包的安全天花板其实非常低”的原因。
SheKnows:巨鲸由于SIM卡攻击而丢失巨额资产,其他的普通用户会不会遭受这种攻击?什么样的钱包算是安全的?
启富:SIM卡攻击手法,其实是挺流行的,但是在国内大家可以不用太担心,因为国内已经度过了早期运营商各种混乱,甚至运营商内部做恶这些情况,包括我们相关的一些法律以及监管,大家的手机号不会轻易被别人给复制。在我们国家大概10年前,这个现象还是挺普遍的。但是在国外运营商的实力,不一定有我们国内的这么强,大家都知道我们国家基建的水平是非常强的。而很多海外运营商属于私人企业在运作,技术实力等等都不一定那么高,包括相关的一些内部协议,可能都是很古老的版本,以及风控管理上可能都比较落后,确实会存在海外的手机号被社会工程学等方式复制。
DeFi协议Shell Protocol宣布将发行治理Token SHELL:7月5日消息,DeFi 协议Shell Protocol在其社交网站宣布,协议确认将发行治理Token SHELL。
此前该协议曾于Arbitrum网络发行Toucan NFT,并将此NFT系列用于社区治理投票。[2022/7/5 1:51:35]
关于钱包安全的选择,我觉得需要结合用户自身的熟悉水平,如果是接触区块链不久的、持币量不大的用户,建议资产托管在全球知名的交易所,开启各项二次认证、登录保护措施;如果是对区块链有一定的认知,对去中心化钱包有相应的了解,可以选择国际知名的去中心化钱包,把币放在里面,同时离线备份好助记词、私钥;第三种是资金量大的,对安全要求高的,可以选择国际知名的硬件钱包,或者专业的资产托管平台。
FCoin暴雷,OKEx和Bitfinex被DDoS攻击,交易所安全何去何从?
背景:
事件1:FCoin交易所表示,由于资金困难导致资金储备无法兑付用户提现。
事件2:OKEx、Bitfinex等交易所频繁遭受DDoS攻击,相关服务受到影响。
SheKnows:你对“交易即挖矿”这种模式有没有新的看法?FCoin暴雷,对交易所这个赛道会产生什么样的影响?
王博闻:“交易即挖矿”是一个模式创新,很多人也参与过Fcoin交易即挖矿,这个模式是不可持续的,因为人为地透支交易需求,而且是将第二天的收益,透支给前一天,所以本质是击鼓传花。Fcoin挤兑的暴雷,主要是内部的统计系统和风控系统不完善所导致的,内部亏空严重,到最后挤兑发生,都是Fcoin本身内部的问题。这种问题就不会发生在DeFi产品上,因为所有的资产都是从第一天开始就是公示给所有人,大家都可以看到有多少用户,每个用户存取了多少钱,借了多少钱,所以平台没有作恶的可能性。在第一天把所有的账务公示给所有人是DeFi资金安全的一个最好的广告牌。
BTFS团队目前已发布BTFS V2.0.1测试网-Fisher:据官方消息,BTFS团队目前已发布BTFS V2.0.1测试网-Fisher。新上线的BTFS V2.0.1测试网-Fisher依托于BTTC支持跨链使用,多种渠道的支付方式,使BTFS分布式网络的使用更加便捷,使用场景更加丰富。
BitTorrent 文件系统(BTFS)既是一种协议,也是一种网络应用,它提供了一种内容可寻址的点对点机制,用于在去中心化的文件系统中存储和共享数字化内容,同时,它也为去中心化应用(Dapp)提供了一个基础平台。BTFS团队一直在根据最新的网络运行情况和BTT市场行情等,进行上传价格、空投奖励方案等一系列动态调整。[2022/1/7 8:32:47]
SheKnows:什么样的交易所是相对安全的?去中心化交易所面临哪些安全风险?
王博闻:直到交易所被盗之前,所有的安全保护宣传都是不可证伪的。因为如果交易所开源冷热钱包管理系统,黑客也会有专门的方式针对。所以最好的选择,可能是分散风险,冷热钱包自己控制,如果不信任自己钱包管理能力,可以在几个最老,安全信任度最高的交易所,分散资产,比如说Kraken、Coinbase。
DEX的风险,我们把智能合约安全放在最高优先级,我们和行业领先的几家安全审计机构Peckshield、Secbit合作,至今在以太坊上执行了45万笔链上交易,没有出过安全问题。我们也和行业内的白帽子合作,做公开的悬赏计划,给提供安全线索的开发者一定的奖励。
bZx被攻击,Curve交易异常,DeFi遭遇信任危机?
背景:
事件1:DeFi项目bZx遭受了两次攻击。事件发生后,DeFi保险平台NexusMutual兑付了bZx事件中3.1万美元的用户索赔。
声音 | 韩国Hashed合伙人:韩国市场具有区块链发展的独特优势:金色财经现场报道,9月14日,Hashed合伙人金成浩(音)在世界区块链大会·济州技术大会上发表演讲,他表示:韩国各个领域以及政府对区块链非常关注,同时区块链产业领域也在进行很多大大小小的活动。此外,韩国比较完备的网络基础设施和优良的互联网的历史习惯都有利于韩国区块链产业的发展。预计韩国DAPP会推广的更快一些,因为韩国国内开展了很多战略性的市场,而且在韩国有比较成功的案例。[2018/9/14]
事件2:去中心化稳定币交易平台Curve出现异常交易,该笔交易使用价值8.9万美元的USDC兑换了价值46.5万美元的BUSD。部分DeFi业内人士猜测,此次攻击或与DeFi协议iEarn提供的Zap智能合约有关。
SheKnows:近期出现的DeFi安全事件,会不会引发DeFi的信任危机?
启富:DeFi的初心是开放金融,这降低了人们进行金融交易的门槛,同时监管上也变得没那么严格,DeFi的很多事情还在摸索阶段,一件事情刚开始的时候总是会遭遇很多意料之外的事情,这是无法避免的,且完全没有必要因噎废食。DeFi未来的路还很长,目前需要做的事是充分汲取这些安全事件的教训,在合约中设置好风控机制,并在产品上线前做好充分的安全审计,才能防止此类攻击再次重演。
文浩:我觉得DeFi的安全事件并不会导致DeFi的信任危机,就像当年的DAO事件,其实也没导致智能合约的逻辑危机一样。因为这类的安全事件,本身还是因为要么是业务逻辑、要么是智能合约安全所导致的,所以,不能因为出事儿了就连DeFi都不相信了,合约有漏洞,那就把合约改好就好了,逻辑有问题,那就把逻辑修复下,DeFi本身的根基还是不变的。当然,由于区块链和智能合约的复杂度,在这上面干活儿的安全风险相比起传统的软件开发要高很多倍,难度也大得多,因此,开发者们更要重视安全,与优秀的像慢雾这样的安全团队一起协作,努力搭建出更加安全可靠的DeFi服务。
王博闻:bzx可能是最近被讨论最多的DeFi被攻击的事件了,黑客通过闪电贷10000ETH,赚取了1800ETH。这是一个很高明的金融工程攻击手段,其实黑客是按照游戏规则来玩这个游戏的,他的获利也是所有规则范围允许的。所以也不会引发DeFi的信任危机,只会引入更多的新的参与者,比如说更多的安全审计和更多的保险产品。
SheKnows:DeFi和CeFi安全问题的区别是什么?
启富:DeFi、CeFi安全问题的区别其实很像中心化交易所和去中心化交易所的区别,首先拿资金管理来说,中心化的平台托管了所有用户的资产,其冷热钱包架构及权限管理就非常重要,还有对风控体系的要求也很高;去中心化平台由于没有托管用户资金,这方面要考虑的问题就比较少;第二个是系统外安全风险,不论中心化、去中心化都会对外部资源有一定的依赖,当依赖的外部系统出现意外时,能否及时发现并“容错”也是一项很重要的考验。
文浩:DeFi的安全更重要的是智能合约的安全和业务逻辑的安全,你如果有一个智能合约代码漏洞,那上面的资产可能就完蛋了。而像前面提到的bZx先后两次遭受攻击,则是逻辑上的缺陷被攻击者利用然后进行的攻击。而这里呢,闪电贷是个非常优秀的想法,也是DeFi创造力的很好的例子,但逻辑上有漏洞,那就会有很高的风险。CeFi的安全则不用管这些,CeFi的安全更多的则类似于交易所安全,因为用户是把币存在CeFi平台上的,你主要要担心的是黑客盗币。
SheKnows:目前DeFi项目存在什么样的安全风险?
启富:总结近几年发生的DeFi安全事件,可以发现主要有如下的安全风险:1.智能合约逻辑层面的漏洞、风险;2.业务模型中的缺陷;3.预言机问题;4.治理机制缺陷。
SheKnows:如何看待DeFi保险对DeFi生态的意义?
王博闻:DeFi本质还是普惠金融,普惠金融在现代金融市场是有非常多细分的业务场景,对于巴菲特来说,他非常喜欢的投资标的就是保险业,因为保险业务本质是先收钱,后赔付。所以有更多怎么更好分散风险,增加收益的选项。现在很多人对DeFi的不理解和不熟悉本身的原因,也是因为很新,很多人不了解。DeFi保险是一个增加普通用户信心的一种方式。
3年被盗98亿美元,普通用户如何保护资产安全?
背景:
毕马威发布的最新报告显示,2017年以来,黑客至少盗窃了98亿美元的加密货币。数字资产的安全变得愈发重要。
SheKnows:普通用户应该如何保护自己的数字资产呢?如果发现自己的数字资产被盗,应该马上采取什么样的行动?
启富:选择一个适合自己的保管方式是关键。假如不幸发现自己的数字资产被盗,如果资产放在交易所里,应该先联系交易所调查分析被盗原因;如果资产是放在去中心化钱包里,很可能就是私钥、助记词泄露了,这时候可以联系慢雾hack@slowmist.com邮箱,我们AML系统可以对被盗资产进行监控和追踪,当发现资产进入交易平台时将尝试进行阻断。
文浩:在这里,我可以给大家这么几个钱包保护的意见:
1.请使用有安全口碑的、架构合理的钱包方案;2.请一定要保管好助记词;3.日常的币存在热钱包里,大额的币存在开源的硬件冷钱包里,如果需要更高的安全级别请用加密账户。4.多人共管的币使用硬件冷钱包+多重签名共同管理,这类的丢币案例也很多,不能大意。
如果发现数字货币资产被盗,那首先应该尽可能的联系行业内相关的企业,看看能不能帮你获取更多、更完整的相关信息,然后再去报警。当然,所有这些你都得指望盗你币的人是个笨贼,留下了足够多的蛛丝马迹,否则找回还是很困难的。另外,像慢雾也有AML风控系统,并且慢雾也和包括比特派在内的钱包和交易所进行这相关风控合作,因此,也应第一时间报告给慢雾和比特派,大家可以一起看看能不能拦住相关资产的交易、兑换。
王博闻:很多数字资产被盗之后都是无疾而终,能追回的寥寥无几,唯一能做的就是做好之前的资产保护,管理好自己的冷热钱包,分地点存储,放保险柜里,防火防水防脱墨。
SheKnows:针对当前区块链的安全环境,请各位嘉宾提出自己的建议。
启富:慢雾的愿景就是成为区块链生态的安全基础设施,作为区块链优质从业代表,目前慢雾正紧密与国家相关单位制定区块链行业标准、区块链技术国标、区块链安全国标,为推动区块链技术发展、项目落地做出一份贡献,共同保障我国区块链行业有序、健康发展。只有行业不断健康发展,才能给我们这些早期从业者带来红利。
文浩:当前区块链的安全环境方面:我个人觉得还是需要行业内的企业共同努力,虽然我之前提到过的相比起当年行业安全水平提高了非常多,但说实话离真正好的安全水平还是相差很多的,大家仍有很多可做的事情让整个行业更安全!
王博闻:我的建议还是从用户的角度出发,也是一句行业的金句了:只有你拥有的私钥,才是你的数字资产。祝愿大家2020年,找到最好的方式掌握自己的私钥。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。