在刚刚结束的鲸交所见面会厦门站活动现场,特邀演讲嘉宾慢雾科技创始人余弦面对主持人和观众的“灵魂拷问”,以代码审计方、黑客的视角,用专业、有力、幽默的方式,给予了精彩的解答。
以下摘取了慢雾科技创始人余弦与鲸交所CEO俊晶在提问环节时的精彩言论,让我们换个视角来看鲸交所。
提问:鲸交所的代码在你们审计的500多个项目中处于怎样的水平?
余弦:我们合作的时候也很看重项目方的研发实力。在对鲸交所的审计过程中,会特别去看用户资产相关的管理,还有关于签名数据验证等。这些如果做不好,会直接危害到用户资产。还有风控方面,在代码审计上主要指数据或者资产,因为攻防是一个系统化的整体。
鲸交所的审计重点在合约。当时在审计的时候,其实考验还是很大的,单靠一些工具或者算法,比如像现在比较流行的形式化验证,是不够的,还要满足具体的业务场景需求,这是关键。
慢雾首席信息安全官:SIM交换攻击将在未来成为麻烦:7月17日消息,慢雾首席信息安全官23pds称,基于SIM交换的黑客攻击目前还不太普遍,但在不久的将来有进一步上升的巨大潜力。他表示,随着Web3的普及并吸引更多人进入该行业,由于其技术要求相对较低,SIM交换攻击的可能性也随之增加。他同时提到了过去几年涉及加密货币中SIM交换黑客的一些案例,如2021年10月,由于2FA漏洞,黑客从至少6,000名客户那里窃取了加密货币。
SIM交换黑客是身份盗窃的一种形式,攻击者接管受害者的电话号码,使他们能够访问银行账户、信用卡或加密账户。[2023/7/17 10:59:52]
所以,我们特别在意整个合约的逻辑性,这也是鲸交所合约复杂之处。基本上,用户从授权、充值、提现,包括一些管理和操作,我们都会看,还有一些外部接口等。因为这些接口在合约上,合约在链上,有些工具可以直接标准化。如果这部分风控没有做好的话,我们审计中也会发现。
慢雾:仍有大部分钱包支持eth_sign,仅少部分钱包提供安全风险警告:金色财经报道,在加密货币NFT板块,越来越多的钓鱼网站滥用 eth_sign 签名功能来进行盲签欺诈,提醒或禁用这种低级的签名方法对于保护用户安全是至关重要的,不少 Web3 钱包已经采取相关措施来对这种危险的签名方法进行安全提示和限制。仍有一大部分加密钱包支持 eth_sign,其中少部分钱包提供 eth_sign 安全风险警告。如果用户仍想要使用 eth_sign,他们可以选择支持该功能的加密钱包。但是,用户在使用这些钱包时需要特别注意安全警告,以确保其交易的安全性。[2023/5/11 14:57:14]
我们审鲸交所合约花了很长时间,我们拿到审计文档,然后鲸交所团队过来我们这里密切交流,了解业务层的一些设计考虑,即使这样,我们还算是花了一个月的时间,这只是第一期上线前的审计。
慢雾:警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道,近期,慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试,通过一个如图这样的“Root 签名”即可以极低成本(特指“零元购”)钓走目标用户在 Blur 平台授权的所有 NFT,Blur 平台的这个“Root 签名”格式类似“盲签”,用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕,当发现来非 Blur 官方域名(blur.io)的“Root 签名”,一定要拒绝,避免潜在的资产损失。[2023/3/7 12:46:39]
现在鲸交所合约多签,我们是有一票否决权,如果我们发现更新后有安全问题,我们就会否定,不通过。
提问:鲸交所的合约在不断迭代更新,慢雾团队日常是如何监看合约变动的呢?
慢雾:美国演员SethGreen的NFT遭钓鱼攻击,资金已跨链到 BTC 并混币:5月18日消息,美国演员SethGreen遭遇钓鱼攻击致4个NFT(包括1个BAYC、2个MAYC和1个Doodle)被盗,钓鱼者地址已将NFT全部售出,获利近160枚ETH(约33万美元)。
慢雾MistTrack对0xC8a0907开头的钓鱼地址分析后,发现总共有8个用户的NFT被盗,包含MAYC、Doodle、BAYC、VOX等12类NFT,全部售出后总获利194ETH。同时,该钓鱼地址初始资金0.188ETH来自Change NOW。钓鱼者地址将大部分ETH转换为renBTC后跨链到6个BTC地址,约14BTC均通过混币转移以躲避追踪。NFT钓鱼无处不在,请大家保持怀疑,提高警惕。[2022/5/18 3:24:23]
余弦:我们开发了EOS天眼这个产品,用来监测链上合约的变动,任何用户都可以到我们平台上,订阅你关注的合约,这个合约如果有更新,我们会自动发邮件给你提示。
动态 | 慢雾预警:警惕新型“交易排挤攻击”:根据慢雾威胁情报分析系统分析,今日凌晨,EOS.WIN 遭遇黑客攻击。EOS.WIN 的攻击者 loveforlover 采用的是新型攻击手法,为“交易排挤攻击”,这种攻击手法与之前攻击 bocai.game 的攻击手法为同一种攻击手法。攻击者首先是使用 loveforlover 发起正常的转账交易,然后使用另一个合约帐号检测中奖行为。如果不中奖,则发起大量的 defer 交易,将项目方的开奖交易“挤”到下一个区块中,此次攻击源于项目方的随机数算法使用了时间种子,使攻击者提升了中奖几率,导致攻击成功。截止发文前,EOS.WIN 项目方仍未进行合约升级。慢雾安全团队在此建议所有的项目方和开发者不要在随机数算法内加入时间种子,防止被恶意攻击。[2019/1/11]
提问:跨链进展如何?跨链后鲸交所还安全吗?
俊晶:已经全部开发完成!很快将有独家跨链资产首发鲸交所!
余弦:有我们在,当然安全了!
提问:曾有一个关于交易所安全的评分,其中安全最高的是Coinbase,大概80多分,第二名好像是币安40-50分。余弦怎么看这个评分?鲸交所自评有多少分?
余弦:这些评分基本都不靠谱的,考量的指标都比较简单。因为你真的要去评估交易所,如果没有和团队或内部核心开发紧密交流的话,都很难做出客观的评价。
俊晶:打分不太合适,还是请慢雾来评价。对于安全,我认为,一方面是成本投入,一方面是意识。交易所从上之下都要重视。鲸交所与慢雾有过非常深度和密切的交流。
余弦:我们评价,就不按照分数来了,按照对抗的级别来,可以分为国家级、省级、县级、村级等,很遗憾,没有一家能挡住国家级的。鲸交所至少在省级。
俊晶:关于“国家级”,再补充一句:如果是国家需要,我们捐给国家!不过,大家的资产鲸交所无法触碰,用户自己掌控资产权限,所以用户资产是无法捐出去的啊!
余弦:慢雾也一样!
提问:今天现场很多都是鲸东,他们都很关心团队的情况。慢雾团队和鲸交所团队有着较长时间合作,应该说是最紧密的伙伴了,因为要去同步审计他们的合约情况。从你的角度来评价,鲸交所是怎样的一个团队?
余弦:我们拜访过鲸交所,之前主要在上海,现在在杭州,对团队感觉战斗力非常强,能力非常强,战略战术的打法很清晰。去鲸交所去看下就能感受到“996”了!
提问:你们审计后一般都会给项目方一个证书进行评价。给鲸交所审计完,你们证书上给的评价是什么?
余弦:那肯定是优秀了!
提问:鲸交所是基于EOS开发的,假如有一条新的公链出来,超越了EOS,你们会怎么做?
俊晶:EOS是当时我们的最优选择,EOS交易免费和TPS高,我们在以太坊根本没法用。我认为,目前的公链中,都不足以支持WEB3.0。
鲸交所从设计之初到现在,我们都保留了迁移的能力。如果有更好的公链,我们会考虑的。我们目前已经有多链资产,不会局限在一个链上。我们的原则是,选择最合适的链,做去中心化的交易所。
提问:关于去中心化交易所的定义,有不同的说法。有的去中心化交易所不碰用户资产,也不通过合约托管。相比现在鲸交所目前的形态来说,哪个更好?
俊晶:从交易所的业务来看,不托管用户资产的这种去中心化交易所,在以太坊上就有的——以德。但以德最终还是小水洼里面的DEX。为什么?
交易所到底是为了去中心化而去中心化?还是一门运营的生意?刚你提到的这种DEX,合约其实很容易,直接部署在EOS上,目前国内外都有。
但交易所是强运营的事情,无法单纯的应用去中心化的技术来实现平台的高速运转和成长。再有,用户使用EOS需要处理CPU、RAM等,这些与用户间的摩擦,是无法让用户留存的。
我们举例鲸矿池,鲸矿池你投入后什么都不用管。其实,在EOS中投票权是随着时间有衰减的,如果是你个人,就需要自己去处理这些来实现利益最大化,而目前我们是平台来做的。一种是放在那不用管的躺赚,一种是需要自己处理操作,你会选择哪个?
这只是DEX的一个细节,还有很多。用户体验好,才能让DEX流行起来。我们选择这种模式,也与愿景有关。
余弦:两个团队互相交流很多,我们审计除了合约外,还有非合约层的代码,包括业务层、风控等。比较惊讶地是,鲸交所对安全的细节很在意。“在意”分为两种,一种是不懂,一种是很懂,知道敬畏,鲸交所属于后者。
合约多签是鲸交所第一个做的,每个版本都需要我们审计的,很少有项目这样做。当然,同时也能看出他们996挺疯狂的。后来我跟他们说,你们也不用不好意思找我们,因为我们是7*24小时的。
在安全方面,鲸交所做的很多,很确定的是,用户的资产绝对是在你们自己这里的。鲸交所官方是没法作恶的,内部出问题也没法作恶,好几个角色在把关。比如说私钥,有人可能担心用鲸交所App私钥在本地保存的,是否能提取出来?这些我们有验证,他们做了很多密码学的加密,破解很难。
还有离线保险箱,他们首创的,防止苹果企业证书掉签,很多安全上的做法,都走在行业最前面,会给同业或其他产品很多启发。慢雾内部有独立团队专门响应鲸交所。
回到提问,关于多少比例是去中心化的,这个意义不大,重要看两点:一是用户资产的权限一定要在你自己这里。二是误操作你的权限丢了怎么处理。这两点上,鲸交所是我们看到做的最好的。至于业务层的平衡,这是很好理解的。
提问:假设鲸交所CEO俊晶有一天要是跑路了,鲸交所的合约、用户资产是否会出问题?
余弦:大家都知道Google有句话:don'tbeevil,鲸交所已经做到了can'tbeevil。
结语
去中心化交易所一定是未来的趋势,而鲸交所已经走在了前列,正在迈向星辰大海,让我们拭目以待!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。