剛剛過去的2月,交易所暴雷、遭受攻擊,私鑰被竊,DeFi項目出現漏洞和人為失誤,一系列的安全事件,給區塊鏈項目的管理敲響了警鐘。
3月6日下午,SheKnows直播間迎來區塊鏈安全專場,邀請了慢霧科技合伙人啟富、比特派創始人文浩、DDEX聯合創始人王博聞,圍繞區塊鏈安全的話題展開討論,在不安全的世界里尋找安全感。
昨天VS今天:區塊鏈行業是否越來越安全?
SheKnows:現在的區塊鏈行業比以前更安全了嗎?
啟富:安全的本質是信任,安全的核心是攻防對抗,攻防的核心又是成本對抗。安全是動態的,隨著業務的發展也可能會引入新的安全問題。安全也不是絕對的,從來不存在一家100%安全的公司或項目。隨著行業的發展,需要大家不斷地提升安全意識,才能有效的避免出現更多被黑事件。
文浩:雖然看起來到今天仍然是此起彼伏的黑客事件、安全事故、盜幣案例,但相比起當年,其實是安全了很多個量級了,具體理由如下:1.硬件冷錢包技術和方案有了長足的發展;2.開始出現了越來越多的專業的安全團隊;3.幣圈企業更有錢了,更有錢其實也很重要,因為有錢了就能在安全方面投入更大的資源。雖然行業更安全了,但其實行業所面臨的安全復雜度則高了很多倍,比如說智能合約安全、多鏈資產的管理等等的,都給今天的行業安全帶來了更多的挑戰,所有這些都需要行業內的大家一起努力。
王博聞:區塊鏈行業安全其實是一個黑盒子,每年都會有不同的平臺出現被盜的事件,從最早的門頭溝,到韓國Upbit被盜5000萬美金,幣安7000比特幣的被攻擊,到Fcoin內部虧空。包括最近出現的DeFi智能合約的一些攻擊,就比如說我上周分析的bzx的閃電貸攻擊,和SNX的套利。每年的智能合約安全的需求都在成倍的增長。
Hashed推出2億美元新基金 計劃投資于Web3項目:12月1日消息,韓國區塊鏈公司Hashed宣布新基金Hashed Venture Fund II從未公開投資者處籌集2億美元,計劃投資于Web3項目。Hashed指出,機構投資者對Web3的興趣越來越大,他們希望隨著該行業逐漸成為主流相關性,盡早投資該技術。該公司沒有披露新基金的投資者,這可能是由于法律要求。然而,Hashed指出,這2億美元的投資基金來自一些韓國頂級IT公司、多學科企業集團和全球知名投資公司,他們作為有限合伙人加入了該計劃。(Crypto Potato)[2021/12/1 12:44:35]
IOTA被盜,巨鯨丟幣,普通用戶該不該擔心?
背景:
事件1:黑客利用IOTA官方錢包應用Trinity的漏洞竊取資金,隨后官方宣布關閉整個網絡。
事件2:論壇名為“zhoujianfu”的巨鯨稱,丟失1547BTC和近60000BCH。SIM卡攻擊,疑似使用Blockchain.info服務。
SheKnows:針對事件1,之前看到慢霧分析的結果是,新版本的官方錢包里的一個交易模塊出了問題。能否具體講講?
啟富:原因是IOTA官方錢包引入了第三方的組件,然后第三方組件被黑,間接影響了他們官方錢包的很多用戶,導致他們的私鑰、密碼被盜。已經統計出來的損失,被盜的IOTA大概是855萬枚,價值大概230萬美金。技術上具體展開來說就是,IOTA官方錢包內置了一個第三方交易模塊MoonPay,等于錢包內有一個交易所的功能。攻擊者盜取并利用MoonPay的CloudflareAPIKey發起中間人劫持攻擊,在IOTA錢包引用的MoonPayJS文件中注入惡意JavaScript,盜取用戶的種子、密碼等。
區塊鏈風險投資公司Hashed正在為第二只基金籌集1.73億美元:金色財經報道,在第一個區塊鏈基金于2020年12月從投資者那里獲得1.2億美元的成功之后,Simon Seojoon Kim計劃為第二個區塊鏈基金籌集1.73億美元。然而,關于新基金及其潛在投資者的具體細節尚不清楚。Kim被總部位于香港的波士頓咨詢集團高級合伙人SeanPark稱為“加密貨幣絕地大師”,于2018年共同創立了區塊鏈和加密風險投資公司Hashed。該公司投資加密初創公司,使他們能夠通過員工擴張、合作伙伴關系和營銷實現增長。(cointelegraph)[2021/9/8 23:08:59]
SheKnows:怎么看待Trinity錢包被盜導致主網關停這件事?
文浩:其實應該是MoonPay模塊的問題,MoonPay是一個第三方交易模塊,用來幫助海外用戶買賣幣的第三方服務,除了Trinity其實還有一些其它的錢包在用Moonpay。攻擊者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻擊,注入了惡意的JavaScript代碼,詳細的報告大家可以去找下慢霧的文章。其實這就是過去這些年我們一直強調的“JavaScript錢包的安全天花板其實非常低”的原因。
SheKnows:巨鯨由于SIM卡攻擊而丟失巨額資產,其他的普通用戶會不會遭受這種攻擊?什么樣的錢包算是安全的?
啟富:SIM卡攻擊手法,其實是挺流行的,但是在國內大家可以不用太擔心,因為國內已經度過了早期運營商各種混亂,甚至運營商內部做惡這些情況,包括我們相關的一些法律以及監管,大家的手機號不會輕易被別人給復制。在我們國家大概10年前,這個現象還是挺普遍的。但是在國外運營商的實力,不一定有我們國內的這么強,大家都知道我們國家基建的水平是非常強的。而很多海外運營商屬于私人企業在運作,技術實力等等都不一定那么高,包括相關的一些內部協議,可能都是很古老的版本,以及風控管理上可能都比較落后,確實會存在海外的手機號被社會工程學等方式復制。
以太坊鏈上去中心化保險協議Unslashed正式啟動:以太坊鏈上去中心化保險協議Unslashed正式啟動。該項目此前一直在運行一個私人測試版本,在此期間,該協議已為價值超過12.3億美元的數字資產提供了保險,包括被鎖定在DeFi協議和集中式加密貨幣交易所的資產,如Coinbase、幣安、BitMex以及Synthetix、Bancor和Balancer池,且為各種風險提供了保障,包括交易所被盜、智能合約失效和穩定幣脫鉤等。據悉,Unslashed的目標是為個人和機構基金提供去中心化的保險服務。(Crypto Briefing)[2021/6/2 23:06:07]
關于錢包安全的選擇,我覺得需要結合用戶自身的熟悉水平,如果是接觸區塊鏈不久的、持幣量不大的用戶,建議資產托管在全球知名的交易所,開啟各項二次認證、登錄保護措施;如果是對區塊鏈有一定的認知,對去中心化錢包有相應的了解,可以選擇國際知名的去中心化錢包,把幣放在里面,同時離線備份好助記詞、私鑰;第三種是資金量大的,對安全要求高的,可以選擇國際知名的硬件錢包,或者專業的資產托管平臺。
FCoin暴雷,OKEx和Bitfinex被DDoS攻擊,交易所安全何去何從?
背景:
事件1:FCoin交易所表示,由于資金困難導致資金儲備無法兌付用戶提現。
事件2:OKEx、Bitfinex等交易所頻繁遭受DDoS攻擊,相關服務受到影響。
SheKnows:你對“交易即挖礦”這種模式有沒有新的看法?FCoin暴雷,對交易所這個賽道會產生什么樣的影響?
王博聞:“交易即挖礦”是一個模式創新,很多人也參與過Fcoin交易即挖礦,這個模式是不可持續的,因為人為地透支交易需求,而且是將第二天的收益,透支給前一天,所以本質是擊鼓傳花。Fcoin擠兌的暴雷,主要是內部的統計系統和風控系統不完善所導致的,內部虧空嚴重,到最后擠兌發生,都是Fcoin本身內部的問題。這種問題就不會發生在DeFi產品上,因為所有的資產都是從第一天開始就是公示給所有人,大家都可以看到有多少用戶,每個用戶存取了多少錢,借了多少錢,所以平臺沒有作惡的可能性。在第一天把所有的賬務公示給所有人是DeFi資金安全的一個最好的廣告牌。
Cardano創始人:Shelley測試網不會因為新冠疫情而被推遲:Cardano創始人Charles Hoskinson在Twitter發文表示,雪萊(Shelley)測試網不會因為新冠病疫情而被推遲,一切都在按計劃進行。[2020/3/15]
SheKnows:什么樣的交易所是相對安全的?去中心化交易所面臨哪些安全風險?
王博聞:直到交易所被盜之前,所有的安全保護宣傳都是不可證偽的。因為如果交易所開源冷熱錢包管理系統,黑客也會有專門的方式針對。所以最好的選擇,可能是分散風險,冷熱錢包自己控制,如果不信任自己錢包管理能力,可以在幾個最老,安全信任度最高的交易所,分散資產,比如說Kraken、Coinbase。
DEX的風險,我們把智能合約安全放在最高優先級,我們和行業領先的幾家安全審計機構Peckshield、Secbit合作,至今在以太坊上執行了45萬筆鏈上交易,沒有出過安全問題。我們也和行業內的白帽子合作,做公開的懸賞計劃,給提供安全線索的開發者一定的獎勵。
bZx被攻擊,Curve交易異常,DeFi遭遇信任危機?
背景:
事件1:DeFi項目bZx遭受了兩次攻擊。事件發生后,DeFi保險平臺NexusMutual兌付了bZx事件中3.1萬美元的用戶索賠。
事件2:去中心化穩定幣交易平臺Curve出現異常交易,該筆交易使用價值8.9萬美元的USDC兌換了價值46.5萬美元的BUSD。部分DeFi業內人士猜測,此次攻擊或與DeFi協議iEarn提供的Zap智能合約有關。
SheKnows:近期出現的DeFi安全事件,會不會引發DeFi的信任危機?
聲音 | Cardano首席執行官:Shelley、 Gauguin和RENA協議將為生態系統增加價值:據AMBCrypto消息,Cardano首席執行官Charles Hoskinson最近在視頻中談到RENA協議及其在加密領域的應用。此外,他談到已有的技術,包括PoW及其長期影響。他接著說,每一個發布的新東西都有一個升級版本,總是有事情要做。他最后表示,Shelley、 Gauguin和RENA將為Cardano生態系統增加巨大價值。[2019/6/8]
啟富:DeFi的初心是開放金融,這降低了人們進行金融交易的門檻,同時監管上也變得沒那么嚴格,DeFi的很多事情還在摸索階段,一件事情剛開始的時候總是會遭遇很多意料之外的事情,這是無法避免的,且完全沒有必要因噎廢食。DeFi未來的路還很長,目前需要做的事是充分汲取這些安全事件的教訓,在合約中設置好風控機制,并在產品上線前做好充分的安全審計,才能防止此類攻擊再次重演。
文浩:我覺得DeFi的安全事件并不會導致DeFi的信任危機,就像當年的DAO事件,其實也沒導致智能合約的邏輯危機一樣。因為這類的安全事件,本身還是因為要么是業務邏輯、要么是智能合約安全所導致的,所以,不能因為出事兒了就連DeFi都不相信了,合約有漏洞,那就把合約改好就好了,邏輯有問題,那就把邏輯修復下,DeFi本身的根基還是不變的。當然,由于區塊鏈和智能合約的復雜度,在這上面干活兒的安全風險相比起傳統的軟件開發要高很多倍,難度也大得多,因此,開發者們更要重視安全,與優秀的像慢霧這樣的安全團隊一起協作,努力搭建出更加安全可靠的DeFi服務。
王博聞:bzx可能是最近被討論最多的DeFi被攻擊的事件了,黑客通過閃電貸10000ETH,賺取了1800ETH。這是一個很高明的金融工程攻擊手段,其實黑客是按照游戲規則來玩這個游戲的,他的獲利也是所有規則范圍允許的。所以也不會引發DeFi的信任危機,只會引入更多的新的參與者,比如說更多的安全審計和更多的保險產品。
SheKnows:DeFi和CeFi安全問題的區別是什么?
啟富:DeFi、CeFi安全問題的區別其實很像中心化交易所和去中心化交易所的區別,首先拿資金管理來說,中心化的平臺托管了所有用戶的資產,其冷熱錢包架構及權限管理就非常重要,還有對風控體系的要求也很高;去中心化平臺由于沒有托管用戶資金,這方面要考慮的問題就比較少;第二個是系統外安全風險,不論中心化、去中心化都會對外部資源有一定的依賴,當依賴的外部系統出現意外時,能否及時發現并“容錯”也是一項很重要的考驗。
文浩:DeFi的安全更重要的是智能合約的安全和業務邏輯的安全,你如果有一個智能合約代碼漏洞,那上面的資產可能就完蛋了。而像前面提到的bZx先后兩次遭受攻擊,則是邏輯上的缺陷被攻擊者利用然后進行的攻擊。而這里呢,閃電貸是個非常優秀的想法,也是DeFi創造力的很好的例子,但邏輯上有漏洞,那就會有很高的風險。CeFi的安全則不用管這些,CeFi的安全更多的則類似于交易所安全,因為用戶是把幣存在CeFi平臺上的,你主要要擔心的是黑客盜幣。
SheKnows:目前DeFi項目存在什么樣的安全風險?
啟富:總結近幾年發生的DeFi安全事件,可以發現主要有如下的安全風險:1.智能合約邏輯層面的漏洞、風險;2.業務模型中的缺陷;3.預言機問題;4.治理機制缺陷。
SheKnows:如何看待DeFi保險對DeFi生態的意義?
王博聞:DeFi本質還是普惠金融,普惠金融在現代金融市場是有非常多細分的業務場景,對于巴菲特來說,他非常喜歡的投資標的就是保險業,因為保險業務本質是先收錢,后賠付。所以有更多怎么更好分散風險,增加收益的選項。現在很多人對DeFi的不理解和不熟悉本身的原因,也是因為很新,很多人不了解。DeFi保險是一個增加普通用戶信心的一種方式。
3年被盜98億美元,普通用戶如何保護資產安全?
背景:
畢馬威發布的最新報告顯示,2017年以來,黑客至少盜竊了98億美元的加密貨幣。數字資產的安全變得愈發重要。
SheKnows:普通用戶應該如何保護自己的數字資產呢?如果發現自己的數字資產被盜,應該馬上采取什么樣的行動?
啟富:選擇一個適合自己的保管方式是關鍵。假如不幸發現自己的數字資產被盜,如果資產放在交易所里,應該先聯系交易所調查分析被盜原因;如果資產是放在去中心化錢包里,很可能就是私鑰、助記詞泄露了,這時候可以聯系慢霧hack@slowmist.com郵箱,我們AML系統可以對被盜資產進行監控和追蹤,當發現資產進入交易平臺時將嘗試進行阻斷。
文浩:在這里,我可以給大家這么幾個錢包保護的意見:
1.請使用有安全口碑的、架構合理的錢包方案;2.請一定要保管好助記詞;3.日常的幣存在熱錢包里,大額的幣存在開源的硬件冷錢包里,如果需要更高的安全級別請用加密賬戶。4.多人共管的幣使用硬件冷錢包+多重簽名共同管理,這類的丟幣案例也很多,不能大意。
如果發現數字貨幣資產被盜,那首先應該盡可能的聯系行業內相關的企業,看看能不能幫你獲取更多、更完整的相關信息,然后再去報警。當然,所有這些你都得指望盜你幣的人是個笨賊,留下了足夠多的蛛絲馬跡,否則找回還是很困難的。另外,像慢霧也有AML風控系統,并且慢霧也和包括比特派在內的錢包和交易所進行這相關風控合作,因此,也應第一時間報告給慢霧和比特派,大家可以一起看看能不能攔住相關資產的交易、兌換。
王博聞:很多數字資產被盜之后都是無疾而終,能追回的寥寥無幾,唯一能做的就是做好之前的資產保護,管理好自己的冷熱錢包,分地點存儲,放保險柜里,防火防水防脫墨。
SheKnows:針對當前區塊鏈的安全環境,請各位嘉賓提出自己的建議。
啟富:慢霧的愿景就是成為區塊鏈生態的安全基礎設施,作為區塊鏈優質從業代表,目前慢霧正緊密與國家相關單位制定區塊鏈行業標準、區塊鏈技術國標、區塊鏈安全國標,為推動區塊鏈技術發展、項目落地做出一份貢獻,共同保障我國區塊鏈行業有序、健康發展。只有行業不斷健康發展,才能給我們這些早期從業者帶來紅利。
文浩:當前區塊鏈的安全環境方面:我個人覺得還是需要行業內的企業共同努力,雖然我之前提到過的相比起當年行業安全水平提高了非常多,但說實話離真正好的安全水平還是相差很多的,大家仍有很多可做的事情讓整個行業更安全!
王博聞:我的建議還是從用戶的角度出發,也是一句行業的金句了:只有你擁有的私鑰,才是你的數字資產。祝愿大家2020年,找到最好的方式掌握自己的私鑰。
Tags:EFIDEFIDEFSHEAlchemist DeFi AurumBasketDAO DeFi Indexdefiner幣幣幣情SHEEBA
撰文:JamesonLopp,keys.casaCTO,也是statoshi.info與bitcoinsig.com創始人 來源:鏈聞 「中本聰圓桌」是比特幣社區OG每年一度的秘密聚會.
1900/1/1 0:00:00以太坊域名服務之所得名,不僅是因為它支持給以太坊地址賦予域名,還因為它運行在以太坊區塊鏈上并接受ETH作為支付方式.
1900/1/1 0:00:00美國民主黨總統候選人AndrewYang宣布退出2020年美國總統競標。 Bit2Me推出新的電子商務加密支付網關:金色財經報道,西班牙加密貨幣交易公司Bit2Me推出其名為Bit2Me Com.
1900/1/1 0:00:00截至2020年2月7日,全球數字通證總市值為2842.24億美元,相比上月末上漲888.3億美元,漲幅為45.5%.
1900/1/1 0:00:00作者:羅滔 編者注:原標題為《區塊鏈在GDPR框架下的法律問題》數字化浪潮席卷全球,越來越多的企業在利用技術來徹底改變企業的業績或觸角。數據作為數字化轉型的根基,對企業來說至關重要.
1900/1/1 0:00:00翻譯:劉斌、趙云德 來源:點滴科技資訊 編者注:原標題為《國際清算銀行:2019年中央銀行數字貨幣調查——即將到來》 國際清算銀行創新主管:CBDC不會改變現金的重要性:國際清算銀行(BIS)的.
1900/1/1 0:00:00