安全事件頻發，小白用戶如何保護錢包安全？_NBS:區塊鏈

10月13日，全球領先的區塊鏈數據與技術服務提供商歐科云鏈在TwitterSpace上舉辦了一場主題為“安全事件頻發，小白用戶如何保護錢包安全？”的線上交流會，本次活動歐科云鏈首次對外公開了鏈上衛士產品線及目前在鏈上安全領域的布局。此外，本場活動還邀請到了三位深耕鏈上安全領域的嘉賓共同探討近期層出不窮的跨鏈橋安全事件，普通用戶該采取哪些策略、養成哪些習慣，來保障自身資產安全?以下為本次TwitterSpace文字版回顧：Q1:黑客事件頻發，跨鏈橋又是黑客攻擊的常客，今年3月底，阿蟹的跨鏈橋被黑6億美金，近日又發生了“BNBChainBSC跨鏈橋遭黑客攻擊，價值5.6億美金200萬枚BNB被憑空增發，對此安全事件的分析眾多，但是都較為晦澀難懂，請審計師幫我們分析一下...

OKLink安全研究員Raymond：這次BNBChainBSC跨鏈橋遭黑客攻擊，是黑客利用了BNBSmartChain校驗代碼的一個漏洞。按照正常流程，在校驗IAVL提交的數據過程中，會根據用戶提供的證明路徑，計算各層哈希值，但是校驗代碼少處理了一種情況，實際也就是少了三行代碼，它沒有處理一個節點左右都有字節點情況，黑客在正常數據里面，添加了個右節點，這個右節點由于前面說的代碼漏洞，沒有參與哈希計算，從而繞過了驗證，BNBSmartChain的TokenHub按照數據請求，直接給黑客增發200w個BNB，黑客拿BNB去Venus抵押，借出了大量的穩定幣，然后調用Stargate跨鏈橋，將資產轉移到ETH，AVAX，Fantom等鏈，轉價值近一個億美金的鏈上資產。事后幣安協調BNBSmartChain各個節點緊急停鏈，黑客被凍結在BNBSmartChain上的資產大概還有4.2個億美金。后來，BNBSmartChain各個節點將黑客地址加入黑名單，禁用了0x65預編譯合約的調用，并對鏈進行了重啟。據最新消息，BNBSmartChain已對校驗代碼進行了修改，節點重新進行硬分叉重啟，并重新開啟了跨鏈功能。Q2：以太坊的創始人V神此前也發推討論了對多鏈未來的信念，但對跨鏈生態系統表示懷疑。各位大佬對跨鏈橋或者層出不窮的跨鏈橋安全事件有何看法？底層原因是什么呢？

庫幣安全事件更新：已開放EWT、AMB和DAG存取款:10月4日凌晨，庫幣在推特表示，EWT、AMB和DAG的存取款服務現已在KuCoin恢復。[2020/10/4]

數據分析師Phyrex：由于跨鏈橋本身并不是原生資產，用戶在參與一些跨鏈橋項目時，需考慮項目方自身作惡的可能性。建議用戶盡量不要使用非官方的跨鏈橋，針對不熟悉的項目不要貪圖APY。送給廣大用戶DeFiSummer階段常用的一句話“當你不知道項目收益從何處來時，你就是收益本身。”OKLink安全研究員Raymond：跨鏈橋實現整體業務邏輯復雜，信息傳遞鏈條很長，因此跨鏈橋在安全風險方面極易出現問題。對黑客而言，跨鏈橋規模巨大的TVL比普通協議更具吸引力。最常見的比如私鑰安全問題、智能合約漏洞或者操作錯誤都可能導致跨鏈橋的大部分或全部資金損失。建議用戶在選擇跨鏈橋時，安全應首先考慮。此外除關注用戶體驗、低滑點高效率外，安全性是評估跨鏈橋的重中之重。OKLinkAuditPMUna：目前就跨鏈橋來說，首先是跨鏈橋數量多，光以太坊上就有100個跨鏈橋配套設施，其次是跨鏈資產多，以BTC為例，你應該看到過很多和BTC相關的資產，如WBTC、anyBTC、VBTC等等，其實這些都是基于BTC生成的跨鏈資產。同時跨鏈滲透到各種各樣的生態和DAPP中。目前光是以太坊生態中的橋鎖倉量就達到了78億美元，當然這也就吸引了黑客的注意。所以用戶在使用跨鏈橋產品時，一定要仔細甄別判斷跨鏈橋的安全性。目前跨鏈橋主要有3種技術方案：鎖定+鑄造/銷毀類，資金池類和原子置換類。不同的技術方案，其安全設置也是各有不同，比如“鎖定+鑄造/銷毀”這一類的跨鏈橋通常來說如果在驗證者去中心化分布、驗證者被要求質押資產、作惡有罰沒機制、資產由智能合約托管的情況下還是相對安全的。數據派交易員鏈研社：可以通過可靠的中心化平臺進行資產跨鏈。在完成跨鏈后，需要注意相關DApp的授權，如無必要建議解除授權。星球日報資深作者秦曉峰：跨鏈項目尋求創新又各自為戰，難免會留下一些代碼的安全漏洞，已經導致了非常多安全事件的發生。Q3:根據各位的經驗，分享一下，平時我們應該采取哪些策略、養成哪些習慣，以便普通用戶進一步提升交易安全？

庫幣安全事件更新：OPQ將聯合庫幣進行代幣替換追回:Opacity Storage于推特上表示，針對此次庫幣熱錢包異常轉賬事件涉及的OPQ代幣，將進行代幣替換，幫助庫幣追回被盜資產。[2020/9/28]

數據分析師Phyrex：可以配置三個錢包：首先是“簽名錢包”，錢包里不要存放資產只在一些需要簽名授權的場景下使用。其次是“交互錢包”，錢包里盡量只放一些gas費。交互過后，也及時解除授權。最后是“資產錢包”，只存放資產使用。另外也提醒大家，一定要管理好自己的設備，不要給其他人保管。數據派交易員鏈研社：針對大部分普通用戶而言，選擇大平臺產品存儲資產是最簡單、也是最省心的。如果一定要自我保存，建議用戶可從提升自身安全意識、不盲目相信項目方、斷網式資產存儲三個維度來避免賬戶被黑、提升自身交易安全。具體來說，用戶需要監控錢包和合約的授權行為，和陌生網站的交互需要多加小心。另外，私鑰的生成步驟和保存環境也要足夠安全，盡量使用經過大量用戶驗證過的錢包應用。OKLink安全研究員Raymond：在提升鏈上交互安全方面，除以上嘉賓所說的使用大平臺產品、取消不必要的資產授權外，我這邊建議用戶善用區塊鏈工具來降低鏈上交互風險。比如通過OKLink多鏈瀏覽器，提前判斷交互地址是否存在“負面地址標簽”：如hack、phishing等，降低與黑灰地址交互帶來的隱藏風險；通過鏈上衛士“風險代幣掃描”工具，避免落入貔貅盤的圈套。OKLinkAuditPMUna：錢包安全是離用戶最近的一環，對于普通用戶來說，錢包安全主要分為防盜和防丟。在防盜層面，我們發現很多風險事件都是在授權那一步出現的，黑客通過設置一個釣魚網站騙走用戶的授權，再將用戶資金轉移。針對此類情況，衛士目前正在開發針對不同代幣標準的授權檢測接口，后面這個接口檢測能力也會對外開放，不過這個這一點也從側面說明授權動作是風險極高的，在錢包授權時候，一定要仔細閱讀錢包的授權信息，如果沒有寧可換一個錢包，如果是一個盲簽信息，不要冒險，一旦私鑰被盜所有資產都可能會丟失。而防丟層面遇到最多的就是“助記詞丟失”，因此建議廣大用戶盡量用硬件錢包、保存好助記詞，私鑰、助記詞盡可能通過web0的方式保存，不要通過網絡傳輸。星球日報資深作者秦曉峰：大家普遍比較認同大型中心化平臺在跨鏈時速度更快、更安全，即使出現安全漏洞平臺也會承擔這部分損失。這種跨鏈的原理是通過用戶從A鏈將資產充入平臺的A鏈充幣地址，再從同一賬號的B鏈地址提幣至用戶在B鏈的錢包地址，但這種做法也有限制：需要平臺在B鏈提供該資產，且不容易參與跨鏈橋項目并獲得額外收益。Q4:OKLink鏈上衛士有什么重要布局嗎？類似于這次的攻擊類型，您認為可以在哪些方面幫到用戶？

安全公司：4月發生較典型安全事件超12起:據成都鏈安區塊鏈安全態勢感知平臺數據監測，4月發生較典型安全事件超12起，以太坊、Defi接連暴雷，各類詐騙依然活躍。Defi發生3起安全事件：Uniswap上imBTC池遭到黑客重入攻擊，損失超30萬美元；Lendf.me遭到類似Uniswap事件的重入攻擊；Hegic代碼錯誤造成28000美元用戶資金永久無法訪問。交易所發生1起安全事件：幣安交易所遭到攻擊并導致合約頁面大范圍卡頓。暗網發生3起安全事件：Email.it遭黑客入侵造成60萬用戶數據泄露；2.67億個Facebook帳戶信息在暗網以600美元的售價出售；黑客將慧影醫療公司新冠檢測數據掛暗網交易。詐騙跑路、加密騙局4起：“EOS生態”資金盤項目跑路涉及金額3.6億；Telegram的“搬磚套利”騙局造成用戶900Eth損失；用戶遭遇虛假imtoken人員詐騙；EOS主網犯罪分子誘騙用戶充值。其他方面1起安全事件：PegNet本周遭到“51%攻擊“。總的來說，4月較3月所發生的的安全事件有所減少，但以太坊及Defi方面，形勢依然嚴峻，我們建議Defi項目方遇風險時，應及時進行自查，排查出潛伏的安全漏洞與安全風險，必要時借助第三方安全公司的力量，對于相關加密騙局，用戶應避免貪圖小利心態，防止被騙。[2020/4/30]

OKLinkAuditPMUna：我們之所以選擇啟動鏈上衛士產品線，主因是雖然區塊鏈的發明讓「信任」這種寶貴的東西得以部分解決。但在區塊鏈代碼世界里，人們對區塊鏈的理解會存在許多誤區。這些誤區導致了壞人輕易鉆了空子，頻繁將黑手伸進了人們的錢包，造成了大量的資金損失。近年來在被攻擊的項目中，70%由第三方審計機構審計。然而，在剩下的30%未經審計的項目中，因攻擊而遭受的損失占總損失額的60%以上。而鏈上衛士審計團隊致力于開發基于安全和數據的產品。我們的核心能力可以分為數據安全能力和代碼安全能力。一方面，我們為商業客戶提供服務。另一方面，尋求安全需求的客戶和區塊鏈初學者也可以享受幫助。我們堅持以用戶需求為導向，打造低門檻、全面、有效的產品，擴大區塊鏈用戶的認知。就好比我們剛開放的鏈上衛士產品：TokenScanner，支持對貔貅盤、交易稅等30+風險項檢測。針對C端用戶已開放風險掃描、安全評分、代幣分類器3大功能，能夠幫助用戶快速洞察代幣的風險程度；而針對B端用戶開發的「API功能」，預計將于年底覆蓋支持9條EVM鏈的風險代幣檢測能力，目前首期僅支持ETH/BSC兩條公鏈，截至目前已檢測超353萬代幣資產，其中通過風險掃描功能，確認約有10.6萬個代幣存在風險。TwitterSpace回看鏈接：https://twitter.com/oukeyunlian/status/1580106713134297089

安全公司：在過去2個月中共發生13起較典型的安全事件:據成都鏈安區塊鏈安全態勢感知平臺Beosin-Eagle?Eye統計數據顯示，在過去2個月中，共發生13起較典型的安全事件。在Defi方面：2月15日，BZX協議被爆出遭到可組合資產流動性套利攻擊，攻擊者通過閃貸從BZX借出ETH后獲利1000多ETH；2月18日，BZX再次遭到類似攻擊，攻擊者通過抬高幣價對BZX合約進行蒙騙，導致損失2378ETH；Curve出現異常交易，攻擊者對Curve的busd.curve.fi以及y.curve.fi兩種資金池進行一次鉗形攻擊。[2020/3/2]

動態 | 12月發生較典型安全事件超9起:據成都鏈安態勢感知平臺數據顯示，在過去一個月（12月）中，共發生9起較為典型的安全事件。其中包括：DApp方面：12月6日，Tron Lounge DApp遭到回滾交易攻擊，共計損失54653TRX。公鏈方面：12月14日，唯鏈官方宣布遭遇黑客攻擊，被盜走了11億枚VET， 640萬美元不翼而飛；12月20日，NULS公鏈官方賬戶被盜200萬NULS代幣；12月30日，公鏈 IOTA 主網出現共識分裂而無法更新的情況，TPS 一度接近 0；12月1日，Vertcoin（VTC）遭受了51％攻擊，攻擊者成功利用自己的553個區塊替代了603個VTC主鏈區塊。錢包方面：以太坊錢包Shitcoin Wallet疑似被惡意JavaScript代碼，企圖從瀏覽器窗口抓取數據并發送至遠程服務器erc20wallet.tk。其他方面：Poloniex加密貨幣交易所發郵件告知客戶或存在數據泄漏；黑客被發現利用著名歌手泰勒·斯威夫特的JPEG照片來隱藏惡意加密挖礦軟件MyKingz；58COIN官方公告表示，近期有不明人士冒用58COIN官方名義達成釣魚目的。[2020/1/2]

Tags：BNB區塊鏈ChainNBSbnb怎么換成人民幣區塊鏈存證怎么弄chaincoinNBS價格

OKB