Web3需遠離僅靠2美元就加入項目的“內鬼”_WEB3.0:3COMMAS幣

降低Web3.0領域項目中內部威脅風險的一個重要且有效的手段就是：徹底審查新加入的團隊成員。然而許多人認為這過于復雜，因此直接跳過了這一重要步驟。

在本文中，CertiK的專業調查員將為大家分享一些常見的安全檢查案例，并就用戶如何自己進行背景調查給予幾項最簡單實用的建議。

為什么要審查團隊成員？

根據哈佛大學關于《如何造就一個成功的創業團隊》報告表明，招募合適的人才或是創業成功與否的關鍵和決定因素。

數據顯示，60%的創業團隊失敗源于團隊問題，而團隊在Web3.0領域的項目中起著更為至關重要的作用。

此外，它對項目的完整性和安全性也至關重要。

管理層們往往會忽視這一事實：

安全問題不僅僅來自于代碼漏洞或外部攻擊者，還可能來自于內部威脅。一個內部人員利用自己的權限和對內部結構的了解從而攫取利益，進一步傷害到整個企業。

與聯合創始人或開發人員一起創建一個項目，倘若沒有正式審查程序，反而會增加內部威脅的風險從而導致最終的災難性后果——比如團隊成員非法修改代碼、濫用信息或竊取項目資金，造成不可挽回的損失和丑聞。

例如，Wonderland的首席財務官“Sifu”隱瞞了他曾用「OmarDhanani」一名進行金融犯罪并被定罪的事實，并且他之前還曾使用MichaelPatryn的名字與他人聯合創立了QuadrigaCX騙局并造成了用戶1.33億美元的損失；Blockparty的前首席技術官RikeshThapa因其從項目中竊取了相當于100萬美元的資金而被起訴……諸如此類的案例數不勝數。

馬來西亞Web3信息技術公司MASVERSE宣布開始天使輪融資:2月21日消息，總部位于馬來西亞的信息技術公司MASVERSE在種子輪融資中獲得了1.5 億美元的估值，并得到了新加坡區塊鏈風險投資公司Stratified Capital和馬來西亞科技公司MEP Enviro的資金支持。此外，該公司即日起將進行天使輪融資。

據了解，MASVERSE專注于開發 WEB 3.0 區塊鏈生態，并創建了馬來西亞首個一站式 WEB 3.0 生態系統，該生態系統由 12 個獨特的基礎設施的支柱組成，為數據交換提供安全可靠的網絡。 MASVERSE 在成立僅 6 個月的時間里，就已經推出了 NFT 市場、Lab 和 MGG DAO，并計劃在 2023 年加大開發力度，采用自有鏈和APP，并擴展其數據庫。[2023/2/21 12:19:32]

擁有一個具備較高技術背景且資金充足的合作伙伴無疑令很多人難以拒絕，但如果因為疏忽或缺乏背景調查而雇傭到了一個有犯罪前科的人員，那項目的結局很有可能是毀滅，且會給用戶和投資者造成無法挽回的損失。

原文大致翻譯如下：

“RikeshThapa本應對項目的龐大資金負起責任，但他卻辜負了公司的信任。得益于本辦公室及我們執法伙伴的專業和努力，盡管Thapa不惜一切代價掩蓋他的欺詐行為，但他現在不得不為自己的罪行負責了。”

GameFi項目Paima Studios將參與微軟Web3計劃，助力項目方在日本推廣Paima引擎:2月1日消息，以Cardano和Milkomeda為重點的GameFi項目Paima Studios將參與微軟的一項新的Web3計劃，幫助日本游戲開發商和Web3創業者在應用程序中部署Paima引擎。[2023/2/1 11:41:40]

–美國聯邦檢察官DamianWilliams

對即將加入項目團隊的人員進行徹底的背景調查百利而無一害。

首先，大部分不法人員選擇目標時，都會盯上那些因各種原因無法進行這種核實的微小企業。因此核實候選人的身份、歷史和背景是對心懷不軌人員的一種威懾。就如同家門口的攝像頭，即便不開啟，也會對小偷有著震懾作用。

其次，在雇用某位成員之前確定其具備的潛在風險，也提供了一個可以撤銷高風險人員資格的機會。

第三，如果你決定繼續聘用高風險人員，那么背景調查可以幫助你采取措施從而降低風險：比如限制該人員參與項目的某些方面，或根據他們的風險水平限制訪問級別。這與解決特權訪問管理(PAM)的風險類似。

一旦被審查人員的身份和個人資料得到正式核實，他們可能會更加具有責任感，從而進一步減輕風險。

數據：Web3開發人員為高盛開發人員的兩倍多:2月13日消息，Blockworks記者Jacquelyn Melinek發推稱，根據21Shares的數據，現在有18400多名Web3開發人員，是高盛9000名開發人員的兩倍多。[2022/2/13 9:48:41]

最后，如果內部人員在采取了所有的風險緩解措施后仍然發生了犯罪事件，擁有背景調查記錄將有效協助未來對犯罪者的調查和起訴。

在接下來的內容中，我們的前執法部門刑事調查員將逐步介紹如何正確驗證合作伙伴或相關人員。

如何審查Web3.0的開發人員

不要輕信傳統的“背景調查”——這意味著，如果誰說他做了“背景調查”、“犯罪記錄調查”、“審查”或“篩選”，可能僅僅只是提供了名字或身份證，隨后由檢察員在犯罪和信用記錄數據庫中將其名字檢索了一遍而已。

這種所謂的“審查”又快又便宜，查詢費僅2美元一次。

雖然這種背景調查也涉及了很多行話，聽起來「不明覺厲」，但這其實沒有起到任何實質上的作用。

尤其是對惡意行為者來說，想要繞過數據庫查詢簡直輕而易舉——比如使用化名、假名、假身份證、別人的身份證，甚至請演員來替代其進行背景調查。

另外，即便是惡意行為者提供了真實的身份證件，犯罪記錄數據庫的記錄范圍也是有限的，且不一定是什么時候更新的舊數據。

Web3基金會已建立開源注冊服務:10月27日，Web3基金會官方發推宣布，已經建立一個低成本的開源注冊服務，即自動驗證元素（以前稱為Riot），以使在Polkadot網絡上建立鏈上身份更容易。[2020/10/27]

許多欺詐者使用化名犯罪，還有許多欺詐者從未被起訴，因此顯然無法在犯罪和信用記錄數據庫將其檢索而出。再者，即便是沒有犯罪記錄，也不一定能預測此人未來的行為。因此數據庫查詢的有效性十分有限，它只是真正的背景調查過程中的一個步驟而非是全部內容。

在背景調查時，我們需要建立一個清晰、透明、公平的驗證過程。

清晰且嚴格的安全要求和背景驗證過程有著比起本身更多的意義——免責聲明不僅是公平和合規的必要手段，同時還可以阻止惡意行為者，且向誠信行為者證明項目具備足夠的安全標準。

這種做法本身就可以構建一個有效的安全環境，為企業建立深厚的安全文化。

我們也必須保持對所有人一視同仁的調查過程：公平、非歧視且尊重個人隱私。

評估和決策必須保證僅圍繞相關調查結果，保持絕對客觀并記錄在案，除此之外，也要為被審查人員提供一個可上訴的渠道和章程。

如果背景調查和風險評估的結果顯示該人員不適宜被雇傭，那么也要通過人力資源相關專業人士確保該程序符合當地的勞動法。

聲音 | 慢霧科技余弦：盜挖Webchain跟CoinIMP平臺零手續費有關:慢霧科技創始人余弦剛剛在微博表示：難怪最近利用Drupal漏洞植入惡意挖礦腳本的行為里，除了挖門羅幣，還在挖Webchain，這是一條我之前沒關注過的隱私幣（挖礦方面也是基于CryptoNight哈希算法）。原來這與CoinIMP這個挖礦平臺有關，0%手續費呀。[2019/2/27]

要求被審查人員提供的信息和文件：

①簽署一份背景調查的免責聲明和棄權書

②提交簡歷、身份證、學歷證明復印件

③提交包含其個人信息的安全調查表

進行一次安全角度的面試

線下面談將令被審查人員難以繞過驗證過程，也更容易發現問題。

面試官可以要求被審查人員描述他們的履歷，要求提供準確的、可核實的參考資料，并對缺失或不清楚的信息給予解釋。

在這一過程中，我們可以通過被審查人員的反應來識別風險。

較為典型的風險信號有例如對某特定的問題或話題言辭含糊不清、前后說辭不一、講述虛假的信息等。

這樣的面談并非是像審判犯人那樣或是為了指責或強迫對方說出什么真相，而僅是為了收集信息和進行風險評估。

因此在面談中，所有非常態的反應和回答信息均會被記錄并進行核實和風險評估。

比較及驗證

這一步不是要尋找新的信息，而是要核實被審查人員所提供的信息是否能被證實。

我們不必核實被審查人員生活的點點滴滴，但是核實陳述內容和參考資料還是必要的。

這里有一點需要說明：調查員核實的是信息樣本，而不是被審查人員。

通常情況下，調查員會仔細核實和印證被審查人員提供的文件和陳述，包括：全名、別名、出生地和日期、地址、目前的動向、教育、就業事件和職位、經手的項目、相關認證、職業路線圖，以及所有可以有效確認或證實的相關主張。

這一驗證步驟對流程的質量至關重要，是簡單檢查和真正有效調查之間的核心區別。

尋找差異

這一步不是尋找或核實信息，而是通過測量差異的數量來評估數據集的一致性。

這里的差異特指兩個信息之間無法解釋的差異。它們是檢測欺騙性和欺詐性行為以及缺失或隱藏信息的一種強大又非常有效的方法。

俗話說“一個謊言要用無數個謊言來圓”，當被審查人員隱瞞某些事情時，就會在不同的背景信息之間產生多個差異。

差異可以是兩個說法之間的差異，也可以是兩份文件之間的差異，還可以是一個私下講述和公開信息之間的差異等。

例如，一個人說他非常擅長某種編碼，但卻無法提供關于該領域以往經驗的準確信息，這就是一個非常典型的高風險信號——虛假履歷和可疑的履歷隱瞞。

要求提供補充信息

如果調查員發現被審查人員講述的某個信息有可疑跡象，那么評估該信息的一個方式就是要求被審查人員提供補充信息。

如果無法提供，那么也許對于該信息的可疑猜測是正確的，但如果被審查人員可以提供補充信息，那么就意味著該信息的可疑風險部分降低了。

進行風險評估

對于最終的風險評估，需要權衡已識別的危險信號、風險信號和差異列表。

如果在測試過程中，出現了更多的可疑跡象，則該評估方向的權重增加，如果出現減輕風險的狀況（如合理的解釋、保證)，則該項的權重降低。

在遠程合作和伙伴關系的背景下，可以在風險評估中考慮申請人的所在國家。調查員可以通過例如CPI得分來核實該國是否存在較高的欺詐風險，或通過FATF名單，和WJP指數來衡量該國追究罪犯責任的能力，以及通過引渡條約等信息來評估該國的司法合作水平。

最后，經驗證的信息量和與被審查人員認識的時間長度也可作為降低風險的因素之一。通過以上的所有標準評估后，我們將得到一個客觀、基于事實的風險與可信度評估。

Web3.0人員審查面臨的挑戰

審查合作伙伴和開發人員是提高項目安全性的有效方式，但將這一高級安全原則應用于區塊鏈行業仍具有挑戰性。

原因如下：相關的專業人員往往較為注重隱私，他們中的一些人甚至在某些情況下會受到當地政府的威脅。在這種敏感背景下，進行全面深入的背景調查，檢測隱藏的風險信號并客觀地評估個人風險非常費時費力。

這也是為什么許多項目和組織會選擇只進行表面上的背景調查，哪怕這種調查無法驗證被審查人員的真實身份，也無法發現其是否具備隱藏的危險性和惡意意圖。

使用第三方調查專家來進行背景調查可以促進這些安全措施的有效性和效率。

第三方調查專家能夠對被審查人員的個人信息進行保密，甚至不將這些隱私信息透露給項目團隊，保障被審查人員的合法隱私權不被侵犯。

相比于準備招納人才的項目團隊，一個經過專業培訓、具備犯罪和背景調查經驗、了解嚴格有效調查流程的專家顯然更能夠發現相關風險，進行有效的背景調查和評估。

CertiK的國際專家調查團由多國經驗豐富的調查員和分析員組成，在專業性和可信任度上都毋庸置疑。除了全面的背景調查和風險評估外，CertiK還具備一個保存著Web3.0欺詐者相關信息的專有數據集，并定制了有助于欺詐檢測的風險信號。

Tags：WEBWEB3WEB3.0MASweb3游戲公司web3域名后綴web3.0幣排行榜3COMMAS幣

火幣下載