刚刚过去的2月,交易所暴雷、遭受攻击,私钥被窃,DeFi项目出现漏洞和人为失误,一系列的安全事件,给区块链项目的管理敲响了警钟。
3月6日下午,SheKnows直播间迎来区块链安全专场,邀请了慢雾科技合伙人启富、比特派创始人文浩、DDEX联合创始人王博闻,围绕区块链安全的话题展开讨论,在不安全的世界里寻找安全感。
昨天VS今天:区块链行业是否越来越安全?
SheKnows:现在的区块链行业比以前更安全了吗?
启富:安全的本质是信任,安全的核心是攻防对抗,攻防的核心又是成本对抗。安全是动态的,随着业务的发展也可能会引入新的安全问题。安全也不是绝对的,从来不存在一家100%安全的公司或项目。随着行业的发展,需要大家不断地提升安全意识,才能有效的避免出现更多被黑事件。
文浩:虽然看起来到今天仍然是此起彼伏的黑客事件、安全事故、盗币案例,但相比起当年,其实是安全了很多个量级了,具体理由如下:1.硬件冷钱包技术和方案有了长足的发展;2.开始出现了越来越多的专业的安全团队;3.币圈企业更有钱了,更有钱其实也很重要,因为有钱了就能在安全方面投入更大的资源。虽然行业更安全了,但其实行业所面临的安全复杂度则高了很多倍,比如说智能合约安全、多链资产的管理等等的,都给今天的行业安全带来了更多的挑战,所有这些都需要行业内的大家一起努力。
DAO Maker联合创始人Hatu Sheikh加入NFT Inspect担任战略顾问:金色财经报道,DAO Maker联合创始人Hatu Sheikh宣布加入NFT Inspect担任战略顾问,旨在利用代币化策略等方面行业经验和专业知识为Inspect构建创新技术和社区发展提供支持。据悉,Hatu Sheikh将负责为NFT Inspect构建创新解决方案和战略计划,推动采用并增强 Inspect 生态系统内的用户体验。(globenewswire)[2023/6/10 21:28:49]
王博闻:区块链行业安全其实是一个黑盒子,每年都会有不同的平台出现被盗的事件,从最早的门头沟,到韩国Upbit被盗5000万美金,币安7000比特币的被攻击,到Fcoin内部亏空。包括最近出现的DeFi智能合约的一些攻击,就比如说我上周分析的bzx的闪电贷攻击,和SNX的套利。每年的智能合约安全的需求都在成倍的增长。
IOTA被盗,巨鲸丢币,普通用户该不该担心?
背景:
事件1:黑客利用IOTA官方钱包应用Trinity的漏洞窃取资金,随后官方宣布关闭整个网络。
事件2:论坛名为“zhoujianfu”的巨鲸称,丢失1547BTC和近60000BCH。SIM卡攻击,疑似使用Blockchain.info服务。
SheKnows:针对事件1,之前看到慢雾分析的结果是,新版本的官方钱包里的一个交易模块出了问题。能否具体讲讲?
启富:原因是IOTA官方钱包引入了第三方的组件,然后第三方组件被黑,间接影响了他们官方钱包的很多用户,导致他们的私钥、密码被盗。已经统计出来的损失,被盗的IOTA大概是855万枚,价值大概230万美金。技术上具体展开来说就是,IOTA官方钱包内置了一个第三方交易模块MoonPay,等于钱包内有一个交易所的功能。攻击者盗取并利用MoonPay的CloudflareAPIKey发起中间人劫持攻击,在IOTA钱包引用的MoonPayJS文件中注入恶意JavaScript,盗取用户的种子、密码等。
艺术家Pussy Riot和Shepard Fairey通过NFT系列为乌克兰筹集资金:金色财经报道,Pussy Riot的Nadya Tolokonnikova和街头艺术家Shepard Fairey鼓励支持者通过NFT的公开版集合为乌克兰筹集资金。该系列名为Putin's Ashes,将于周五在基于Tezos的NFT市场Objkt上发售。该系列的所有收益将捐赠给自2022年初以来一直与俄罗斯入侵作斗争的乌克兰士兵。公开版将于太平洋标准时间周五上午10点开始铸造,并于2月3日结束。每个NFT的定价为10TEZ(约合11美元)。
Pussy Riot计划于周五在洛杉矶的Jeffrey Deitch画廊以抗议和表演的形式开启该系列。Tolokonnikova于8月开始创作普京的骨灰,当时Pussy Riot成员焚烧了俄罗斯总统弗拉基米尔·普京的肖像以示抗议。从活动中收集骨灰,Tolokonnikova将它们装瓶,为NFT系列创作艺术品。该系列还采用Fairey标志性风格的作品,描绘了Tolokonnikova身穿紧身胸衣,胸前印有普京,看起来像是在燃烧。[2023/1/27 11:32:06]
SheKnows:怎么看待Trinity钱包被盗导致主网关停这件事?
文浩:其实应该是MoonPay模块的问题,MoonPay是一个第三方交易模块,用来帮助海外用户买卖币的第三方服务,除了Trinity其实还有一些其它的钱包在用Moonpay。攻击者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻击,注入了恶意的JavaScript代码,详细的报告大家可以去找下慢雾的文章。其实这就是过去这些年我们一直强调的“JavaScript钱包的安全天花板其实非常低”的原因。
Hashed联合创始人:Web 2公司向Web 3转移以寻找更多机会:金色财经联合Coinlive现场报道,“Token 2049”峰会活动在新加坡举办,在题为 \"洞察整个亚洲加密货币格局 \"的圆桌讨论中,Hashed的联合创始人兼合伙人Ryan Kim解释说,韩国的Web 2投资相当繁荣,现在Web 2公司有意向Web 3转移,以寻找更多机会。游戏开发商、3A工作室和科技巨头都在制作好的、合法的项目。他预见到这两年会有更多的机会。最近发生的一个有趣的项目是一个去中心化的K-pop团体,大多数投资者对其感兴趣。粉丝们可以通过铸造NFT和投票来参与他们喜欢的团体的旅程。[2022/9/29 6:02:19]
SheKnows:巨鲸由于SIM卡攻击而丢失巨额资产,其他的普通用户会不会遭受这种攻击?什么样的钱包算是安全的?
启富:SIM卡攻击手法,其实是挺流行的,但是在国内大家可以不用太担心,因为国内已经度过了早期运营商各种混乱,甚至运营商内部做恶这些情况,包括我们相关的一些法律以及监管,大家的手机号不会轻易被别人给复制。在我们国家大概10年前,这个现象还是挺普遍的。但是在国外运营商的实力,不一定有我们国内的这么强,大家都知道我们国家基建的水平是非常强的。而很多海外运营商属于私人企业在运作,技术实力等等都不一定那么高,包括相关的一些内部协议,可能都是很古老的版本,以及风控管理上可能都比较落后,确实会存在海外的手机号被社会工程学等方式复制。
关于钱包安全的选择,我觉得需要结合用户自身的熟悉水平,如果是接触区块链不久的、持币量不大的用户,建议资产托管在全球知名的交易所,开启各项二次认证、登录保护措施;如果是对区块链有一定的认知,对去中心化钱包有相应的了解,可以选择国际知名的去中心化钱包,把币放在里面,同时离线备份好助记词、私钥;第三种是资金量大的,对安全要求高的,可以选择国际知名的硬件钱包,或者专业的资产托管平台。
波卡周报:Polkadot 0.9.2已发布 等待平行链Shell升级为Statemine:据波卡周报,Polkadot 0.9.2 已发布,等待平行链Shell升级为Statemine。1.Polkadot 国库今天刚刚销毁掉了147,042个DOT,目前还有1461万个DOT等待大家去申请。2.Shell 平行链正在 Kusama 网络上运行。3.Kusama 第 108 号公投(强制恢复一个账户)没有被通过。4.Encounter 是一个独特的身份系统,正在申请成为 Kusama 的公益链。5.Kusama 理事会已经通过并执行了 Motion 295,它消除了由于 CPU 峰值导致不允许在 9010 Runtime 升级期间发送 imOnline 消息而导致的 115 个验证器的 slash 惩罚。6.Kusama 理事正投票 297 motion,以资助将 Kusama 集成到 Klever 钱包中。7.Kusama 国库目前有 345,211 KSM,有 690.42 KSM 会在一天后销毁掉。[2021/5/23 22:35:12]
FCoin暴雷,OKEx和Bitfinex被DDoS攻击,交易所安全何去何从?
背景:
事件1:FCoin交易所表示,由于资金困难导致资金储备无法兑付用户提现。
事件2:OKEx、Bitfinex等交易所频繁遭受DDoS攻击,相关服务受到影响。
SheKnows:你对“交易即挖矿”这种模式有没有新的看法?FCoin暴雷,对交易所这个赛道会产生什么样的影响?
王博闻:“交易即挖矿”是一个模式创新,很多人也参与过Fcoin交易即挖矿,这个模式是不可持续的,因为人为地透支交易需求,而且是将第二天的收益,透支给前一天,所以本质是击鼓传花。Fcoin挤兑的暴雷,主要是内部的统计系统和风控系统不完善所导致的,内部亏空严重,到最后挤兑发生,都是Fcoin本身内部的问题。这种问题就不会发生在DeFi产品上,因为所有的资产都是从第一天开始就是公示给所有人,大家都可以看到有多少用户,每个用户存取了多少钱,借了多少钱,所以平台没有作恶的可能性。在第一天把所有的账务公示给所有人是DeFi资金安全的一个最好的广告牌。
动态 | Dapp.com完成一百万美元Pre-A轮融资 Hashed领投:9月6日消息,Dapp.com宣布完成一百万美元Pre-A轮融资,领投方为韩国最大的加密货币投资机构Hashed。
Hashed CEO Simon Kim评论本次投资:“区块链应用生态系统需要一个新理念的市场。很荣幸能作为战略投资者参与Dapp.com,他们是该领域发展最快的国际化公司。”
Dapp.com此前已累计获得来自FBG、数码港、大空翼Du Capital等超400万美元的融资。Hashed管理着韩国最大的加密资产基金。 Hashed投资的项目包括EOS、Kyber Netwrok、Terra、Klaytn等。[2019/9/6]
SheKnows:什么样的交易所是相对安全的?去中心化交易所面临哪些安全风险?
王博闻:直到交易所被盗之前,所有的安全保护宣传都是不可证伪的。因为如果交易所开源冷热钱包管理系统,黑客也会有专门的方式针对。所以最好的选择,可能是分散风险,冷热钱包自己控制,如果不信任自己钱包管理能力,可以在几个最老,安全信任度最高的交易所,分散资产,比如说Kraken、Coinbase。
DEX的风险,我们把智能合约安全放在最高优先级,我们和行业领先的几家安全审计机构Peckshield、Secbit合作,至今在以太坊上执行了45万笔链上交易,没有出过安全问题。我们也和行业内的白帽子合作,做公开的悬赏计划,给提供安全线索的开发者一定的奖励。
bZx被攻击,Curve交易异常,DeFi遭遇信任危机?
背景:
事件1:DeFi项目bZx遭受了两次攻击。事件发生后,DeFi保险平台NexusMutual兑付了bZx事件中3.1万美元的用户索赔。
事件2:去中心化稳定币交易平台Curve出现异常交易,该笔交易使用价值8.9万美元的USDC兑换了价值46.5万美元的BUSD。部分DeFi业内人士猜测,此次攻击或与DeFi协议iEarn提供的Zap智能合约有关。
SheKnows:近期出现的DeFi安全事件,会不会引发DeFi的信任危机?
启富:DeFi的初心是开放金融,这降低了人们进行金融交易的门槛,同时监管上也变得没那么严格,DeFi的很多事情还在摸索阶段,一件事情刚开始的时候总是会遭遇很多意料之外的事情,这是无法避免的,且完全没有必要因噎废食。DeFi未来的路还很长,目前需要做的事是充分汲取这些安全事件的教训,在合约中设置好风控机制,并在产品上线前做好充分的安全审计,才能防止此类攻击再次重演。
文浩:我觉得DeFi的安全事件并不会导致DeFi的信任危机,就像当年的DAO事件,其实也没导致智能合约的逻辑危机一样。因为这类的安全事件,本身还是因为要么是业务逻辑、要么是智能合约安全所导致的,所以,不能因为出事儿了就连DeFi都不相信了,合约有漏洞,那就把合约改好就好了,逻辑有问题,那就把逻辑修复下,DeFi本身的根基还是不变的。当然,由于区块链和智能合约的复杂度,在这上面干活儿的安全风险相比起传统的软件开发要高很多倍,难度也大得多,因此,开发者们更要重视安全,与优秀的像慢雾这样的安全团队一起协作,努力搭建出更加安全可靠的DeFi服务。
王博闻:bzx可能是最近被讨论最多的DeFi被攻击的事件了,黑客通过闪电贷10000ETH,赚取了1800ETH。这是一个很高明的金融工程攻击手段,其实黑客是按照游戏规则来玩这个游戏的,他的获利也是所有规则范围允许的。所以也不会引发DeFi的信任危机,只会引入更多的新的参与者,比如说更多的安全审计和更多的保险产品。
SheKnows:DeFi和CeFi安全问题的区别是什么?
启富:DeFi、CeFi安全问题的区别其实很像中心化交易所和去中心化交易所的区别,首先拿资金管理来说,中心化的平台托管了所有用户的资产,其冷热钱包架构及权限管理就非常重要,还有对风控体系的要求也很高;去中心化平台由于没有托管用户资金,这方面要考虑的问题就比较少;第二个是系统外安全风险,不论中心化、去中心化都会对外部资源有一定的依赖,当依赖的外部系统出现意外时,能否及时发现并“容错”也是一项很重要的考验。
文浩:DeFi的安全更重要的是智能合约的安全和业务逻辑的安全,你如果有一个智能合约代码漏洞,那上面的资产可能就完蛋了。而像前面提到的bZx先后两次遭受攻击,则是逻辑上的缺陷被攻击者利用然后进行的攻击。而这里呢,闪电贷是个非常优秀的想法,也是DeFi创造力的很好的例子,但逻辑上有漏洞,那就会有很高的风险。CeFi的安全则不用管这些,CeFi的安全更多的则类似于交易所安全,因为用户是把币存在CeFi平台上的,你主要要担心的是黑客盗币。
SheKnows:目前DeFi项目存在什么样的安全风险?
启富:总结近几年发生的DeFi安全事件,可以发现主要有如下的安全风险:1.智能合约逻辑层面的漏洞、风险;2.业务模型中的缺陷;3.预言机问题;4.治理机制缺陷。
SheKnows:如何看待DeFi保险对DeFi生态的意义?
王博闻:DeFi本质还是普惠金融,普惠金融在现代金融市场是有非常多细分的业务场景,对于巴菲特来说,他非常喜欢的投资标的就是保险业,因为保险业务本质是先收钱,后赔付。所以有更多怎么更好分散风险,增加收益的选项。现在很多人对DeFi的不理解和不熟悉本身的原因,也是因为很新,很多人不了解。DeFi保险是一个增加普通用户信心的一种方式。
3年被盗98亿美元,普通用户如何保护资产安全?
背景:
毕马威发布的最新报告显示,2017年以来,黑客至少盗窃了98亿美元的加密货币。数字资产的安全变得愈发重要。
SheKnows:普通用户应该如何保护自己的数字资产呢?如果发现自己的数字资产被盗,应该马上采取什么样的行动?
启富:选择一个适合自己的保管方式是关键。假如不幸发现自己的数字资产被盗,如果资产放在交易所里,应该先联系交易所调查分析被盗原因;如果资产是放在去中心化钱包里,很可能就是私钥、助记词泄露了,这时候可以联系慢雾hack@slowmist.com邮箱,我们AML系统可以对被盗资产进行监控和追踪,当发现资产进入交易平台时将尝试进行阻断。
文浩:在这里,我可以给大家这么几个钱包保护的意见:
1.请使用有安全口碑的、架构合理的钱包方案;2.请一定要保管好助记词;3.日常的币存在热钱包里,大额的币存在开源的硬件冷钱包里,如果需要更高的安全级别请用加密账户。4.多人共管的币使用硬件冷钱包+多重签名共同管理,这类的丢币案例也很多,不能大意。
如果发现数字货币资产被盗,那首先应该尽可能的联系行业内相关的企业,看看能不能帮你获取更多、更完整的相关信息,然后再去报警。当然,所有这些你都得指望盗你币的人是个笨贼,留下了足够多的蛛丝马迹,否则找回还是很困难的。另外,像慢雾也有AML风控系统,并且慢雾也和包括比特派在内的钱包和交易所进行这相关风控合作,因此,也应第一时间报告给慢雾和比特派,大家可以一起看看能不能拦住相关资产的交易、兑换。
王博闻:很多数字资产被盗之后都是无疾而终,能追回的寥寥无几,唯一能做的就是做好之前的资产保护,管理好自己的冷热钱包,分地点存储,放保险柜里,防火防水防脱墨。
SheKnows:针对当前区块链的安全环境,请各位嘉宾提出自己的建议。
启富:慢雾的愿景就是成为区块链生态的安全基础设施,作为区块链优质从业代表,目前慢雾正紧密与国家相关单位制定区块链行业标准、区块链技术国标、区块链安全国标,为推动区块链技术发展、项目落地做出一份贡献,共同保障我国区块链行业有序、健康发展。只有行业不断健康发展,才能给我们这些早期从业者带来红利。
文浩:当前区块链的安全环境方面:我个人觉得还是需要行业内的企业共同努力,虽然我之前提到过的相比起当年行业安全水平提高了非常多,但说实话离真正好的安全水平还是相差很多的,大家仍有很多可做的事情让整个行业更安全!
王博闻:我的建议还是从用户的角度出发,也是一句行业的金句了:只有你拥有的私钥,才是你的数字资产。祝愿大家2020年,找到最好的方式掌握自己的私钥。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。