SheKnows | 暴雷，攻擊，漏洞！拿什么來保護你，我的BTC？_EFI:SHE

剛剛過去的2月，交易所暴雷、遭受攻擊，私鑰被竊，DeFi項目出現漏洞和人為失誤，一系列的安全事件，給區塊鏈項目的管理敲響了警鐘。

3月6日下午，SheKnows直播間迎來區塊鏈安全專場，邀請了慢霧科技合伙人啟富、比特派創始人文浩、DDEX聯合創始人王博聞，圍繞區塊鏈安全的話題展開討論，在不安全的世界里尋找安全感。

昨天VS今天：區塊鏈行業是否越來越安全？

SheKnows：現在的區塊鏈行業比以前更安全了嗎？

啟富：安全的本質是信任，安全的核心是攻防對抗，攻防的核心又是成本對抗。安全是動態的，隨著業務的發展也可能會引入新的安全問題。安全也不是絕對的，從來不存在一家100%安全的公司或項目。隨著行業的發展，需要大家不斷地提升安全意識，才能有效的避免出現更多被黑事件。

文浩：雖然看起來到今天仍然是此起彼伏的黑客事件、安全事故、盜幣案例，但相比起當年，其實是安全了很多個量級了，具體理由如下：1.硬件冷錢包技術和方案有了長足的發展；2.開始出現了越來越多的專業的安全團隊；3.幣圈企業更有錢了，更有錢其實也很重要，因為有錢了就能在安全方面投入更大的資源。雖然行業更安全了，但其實行業所面臨的安全復雜度則高了很多倍，比如說智能合約安全、多鏈資產的管理等等的，都給今天的行業安全帶來了更多的挑戰，所有這些都需要行業內的大家一起努力。

王博聞：區塊鏈行業安全其實是一個黑盒子，每年都會有不同的平臺出現被盜的事件，從最早的門頭溝，到韓國Upbit被盜5000萬美金,幣安7000比特幣的被攻擊，到Fcoin內部虧空。包括最近出現的DeFi智能合約的一些攻擊，就比如說我上周分析的bzx的閃電貸攻擊，和SNX的套利。每年的智能合約安全的需求都在成倍的增長。

Hashed推出2億美元新基金 計劃投資于Web3項目:12月1日消息，韓國區塊鏈公司Hashed宣布新基金Hashed Venture Fund II從未公開投資者處籌集2億美元，計劃投資于Web3項目。Hashed指出，機構投資者對Web3的興趣越來越大，他們希望隨著該行業逐漸成為主流相關性，盡早投資該技術。該公司沒有披露新基金的投資者，這可能是由于法律要求。然而，Hashed指出，這2億美元的投資基金來自一些韓國頂級IT公司、多學科企業集團和全球知名投資公司，他們作為有限合伙人加入了該計劃。（Crypto Potato）[2021/12/1 12:44:35]

IOTA被盜，巨鯨丟幣，普通用戶該不該擔心？

背景：

事件1：黑客利用IOTA官方錢包應用Trinity的漏洞竊取資金，隨后官方宣布關閉整個網絡。

事件2：論壇名為“zhoujianfu”的巨鯨稱，丟失1547BTC和近60000BCH。SIM卡攻擊，疑似使用Blockchain.info服務。

SheKnows：針對事件1，之前看到慢霧分析的結果是，新版本的官方錢包里的一個交易模塊出了問題。能否具體講講？

啟富：原因是IOTA官方錢包引入了第三方的組件，然后第三方組件被黑，間接影響了他們官方錢包的很多用戶，導致他們的私鑰、密碼被盜。已經統計出來的損失，被盜的IOTA大概是855萬枚，價值大概230萬美金。技術上具體展開來說就是，IOTA官方錢包內置了一個第三方交易模塊MoonPay，等于錢包內有一個交易所的功能。攻擊者盜取并利用MoonPay的CloudflareAPIKey發起中間人劫持攻擊，在IOTA錢包引用的MoonPayJS文件中注入惡意JavaScript，盜取用戶的種子、密碼等。

區塊鏈風險投資公司Hashed正在為第二只基金籌集1.73億美元:金色財經報道，在第一個區塊鏈基金于2020年12月從投資者那里獲得1.2億美元的成功之后，Simon Seojoon Kim計劃為第二個區塊鏈基金籌集1.73億美元。然而，關于新基金及其潛在投資者的具體細節尚不清楚。Kim被總部位于香港的波士頓咨詢集團高級合伙人SeanPark稱為“加密貨幣絕地大師”，于2018年共同創立了區塊鏈和加密風險投資公司Hashed。該公司投資加密初創公司，使他們能夠通過員工擴張、合作伙伴關系和營銷實現增長。（cointelegraph）[2021/9/8 23:08:59]

SheKnows：怎么看待Trinity錢包被盜導致主網關停這件事？

文浩：其實應該是MoonPay模塊的問題，MoonPay是一個第三方交易模塊，用來幫助海外用戶買賣幣的第三方服務，除了Trinity其實還有一些其它的錢包在用Moonpay。攻擊者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻擊，注入了惡意的JavaScript代碼，詳細的報告大家可以去找下慢霧的文章。其實這就是過去這些年我們一直強調的“JavaScript錢包的安全天花板其實非常低”的原因。

SheKnows：巨鯨由于SIM卡攻擊而丟失巨額資產，其他的普通用戶會不會遭受這種攻擊？什么樣的錢包算是安全的？

啟富：SIM卡攻擊手法，其實是挺流行的，但是在國內大家可以不用太擔心，因為國內已經度過了早期運營商各種混亂，甚至運營商內部做惡這些情況，包括我們相關的一些法律以及監管，大家的手機號不會輕易被別人給復制。在我們國家大概10年前，這個現象還是挺普遍的。但是在國外運營商的實力，不一定有我們國內的這么強，大家都知道我們國家基建的水平是非常強的。而很多海外運營商屬于私人企業在運作，技術實力等等都不一定那么高，包括相關的一些內部協議，可能都是很古老的版本，以及風控管理上可能都比較落后，確實會存在海外的手機號被社會工程學等方式復制。

以太坊鏈上去中心化保險協議Unslashed正式啟動:以太坊鏈上去中心化保險協議Unslashed正式啟動。該項目此前一直在運行一個私人測試版本，在此期間，該協議已為價值超過12.3億美元的數字資產提供了保險，包括被鎖定在DeFi協議和集中式加密貨幣交易所的資產，如Coinbase、幣安、BitMex以及Synthetix、Bancor和Balancer池，且為各種風險提供了保障，包括交易所被盜、智能合約失效和穩定幣脫鉤等。據悉，Unslashed的目標是為個人和機構基金提供去中心化的保險服務。（Crypto Briefing）[2021/6/2 23:06:07]

關于錢包安全的選擇，我覺得需要結合用戶自身的熟悉水平，如果是接觸區塊鏈不久的、持幣量不大的用戶，建議資產托管在全球知名的交易所，開啟各項二次認證、登錄保護措施；如果是對區塊鏈有一定的認知，對去中心化錢包有相應的了解，可以選擇國際知名的去中心化錢包，把幣放在里面，同時離線備份好助記詞、私鑰；第三種是資金量大的，對安全要求高的，可以選擇國際知名的硬件錢包，或者專業的資產托管平臺。

FCoin暴雷，OKEx和Bitfinex被DDoS攻擊，交易所安全何去何從？

背景：

事件1：FCoin交易所表示，由于資金困難導致資金儲備無法兌付用戶提現。

事件2：OKEx、Bitfinex等交易所頻繁遭受DDoS攻擊，相關服務受到影響。

SheKnows：你對“交易即挖礦”這種模式有沒有新的看法？FCoin暴雷，對交易所這個賽道會產生什么樣的影響？

王博聞：“交易即挖礦”是一個模式創新，很多人也參與過Fcoin交易即挖礦，這個模式是不可持續的，因為人為地透支交易需求，而且是將第二天的收益，透支給前一天，所以本質是擊鼓傳花。Fcoin擠兌的暴雷，主要是內部的統計系統和風控系統不完善所導致的，內部虧空嚴重，到最后擠兌發生，都是Fcoin本身內部的問題。這種問題就不會發生在DeFi產品上，因為所有的資產都是從第一天開始就是公示給所有人，大家都可以看到有多少用戶，每個用戶存取了多少錢，借了多少錢，所以平臺沒有作惡的可能性。在第一天把所有的賬務公示給所有人是DeFi資金安全的一個最好的廣告牌。

Cardano創始人：Shelley測試網不會因為新冠疫情而被推遲:Cardano創始人Charles Hoskinson在Twitter發文表示，雪萊（Shelley）測試網不會因為新冠病疫情而被推遲，一切都在按計劃進行。[2020/3/15]

SheKnows：什么樣的交易所是相對安全的？去中心化交易所面臨哪些安全風險？

王博聞：直到交易所被盜之前，所有的安全保護宣傳都是不可證偽的。因為如果交易所開源冷熱錢包管理系統，黑客也會有專門的方式針對。所以最好的選擇，可能是分散風險，冷熱錢包自己控制，如果不信任自己錢包管理能力，可以在幾個最老，安全信任度最高的交易所，分散資產，比如說Kraken、Coinbase。

DEX的風險，我們把智能合約安全放在最高優先級，我們和行業領先的幾家安全審計機構Peckshield、Secbit合作，至今在以太坊上執行了45萬筆鏈上交易，沒有出過安全問題。我們也和行業內的白帽子合作，做公開的懸賞計劃，給提供安全線索的開發者一定的獎勵。

bZx被攻擊，Curve交易異常，DeFi遭遇信任危機？

背景：

事件1：DeFi項目bZx遭受了兩次攻擊。事件發生后，DeFi保險平臺NexusMutual兌付了bZx事件中3.1萬美元的用戶索賠。

事件2：去中心化穩定幣交易平臺Curve出現異常交易，該筆交易使用價值8.9萬美元的USDC兌換了價值46.5萬美元的BUSD。部分DeFi業內人士猜測，此次攻擊或與DeFi協議iEarn提供的Zap智能合約有關。

SheKnows：近期出現的DeFi安全事件，會不會引發DeFi的信任危機？

聲音 | Cardano首席執行官：Shelley、 Gauguin和RENA協議將為生態系統增加價值:據AMBCrypto消息，Cardano首席執行官Charles Hoskinson最近在視頻中談到RENA協議及其在加密領域的應用。此外，他談到已有的技術，包括PoW及其長期影響。他接著說，每一個發布的新東西都有一個升級版本，總是有事情要做。他最后表示，Shelley、 Gauguin和RENA將為Cardano生態系統增加巨大價值。[2019/6/8]

啟富：DeFi的初心是開放金融，這降低了人們進行金融交易的門檻，同時監管上也變得沒那么嚴格，DeFi的很多事情還在摸索階段，一件事情剛開始的時候總是會遭遇很多意料之外的事情，這是無法避免的，且完全沒有必要因噎廢食。DeFi未來的路還很長，目前需要做的事是充分汲取這些安全事件的教訓，在合約中設置好風控機制，并在產品上線前做好充分的安全審計，才能防止此類攻擊再次重演。

文浩：我覺得DeFi的安全事件并不會導致DeFi的信任危機，就像當年的DAO事件，其實也沒導致智能合約的邏輯危機一樣。因為這類的安全事件，本身還是因為要么是業務邏輯、要么是智能合約安全所導致的，所以，不能因為出事兒了就連DeFi都不相信了，合約有漏洞，那就把合約改好就好了，邏輯有問題，那就把邏輯修復下，DeFi本身的根基還是不變的。當然，由于區塊鏈和智能合約的復雜度，在這上面干活兒的安全風險相比起傳統的軟件開發要高很多倍，難度也大得多，因此，開發者們更要重視安全，與優秀的像慢霧這樣的安全團隊一起協作，努力搭建出更加安全可靠的DeFi服務。

王博聞：bzx可能是最近被討論最多的DeFi被攻擊的事件了，黑客通過閃電貸10000ETH,賺取了1800ETH。這是一個很高明的金融工程攻擊手段，其實黑客是按照游戲規則來玩這個游戲的，他的獲利也是所有規則范圍允許的。所以也不會引發DeFi的信任危機，只會引入更多的新的參與者，比如說更多的安全審計和更多的保險產品。

SheKnows：DeFi和CeFi安全問題的區別是什么？

啟富：DeFi、CeFi安全問題的區別其實很像中心化交易所和去中心化交易所的區別，首先拿資金管理來說，中心化的平臺托管了所有用戶的資產，其冷熱錢包架構及權限管理就非常重要，還有對風控體系的要求也很高；去中心化平臺由于沒有托管用戶資金，這方面要考慮的問題就比較少；第二個是系統外安全風險，不論中心化、去中心化都會對外部資源有一定的依賴，當依賴的外部系統出現意外時，能否及時發現并“容錯”也是一項很重要的考驗。

文浩：DeFi的安全更重要的是智能合約的安全和業務邏輯的安全，你如果有一個智能合約代碼漏洞，那上面的資產可能就完蛋了。而像前面提到的bZx先后兩次遭受攻擊，則是邏輯上的缺陷被攻擊者利用然后進行的攻擊。而這里呢，閃電貸是個非常優秀的想法，也是DeFi創造力的很好的例子，但邏輯上有漏洞，那就會有很高的風險。CeFi的安全則不用管這些，CeFi的安全更多的則類似于交易所安全，因為用戶是把幣存在CeFi平臺上的，你主要要擔心的是黑客盜幣。

SheKnows：目前DeFi項目存在什么樣的安全風險？

啟富：總結近幾年發生的DeFi安全事件，可以發現主要有如下的安全風險：1.智能合約邏輯層面的漏洞、風險；2.業務模型中的缺陷；3.預言機問題；4.治理機制缺陷。

SheKnows：如何看待DeFi保險對DeFi生態的意義？

王博聞：DeFi本質還是普惠金融，普惠金融在現代金融市場是有非常多細分的業務場景，對于巴菲特來說，他非常喜歡的投資標的就是保險業，因為保險業務本質是先收錢，后賠付。所以有更多怎么更好分散風險，增加收益的選項。現在很多人對DeFi的不理解和不熟悉本身的原因，也是因為很新，很多人不了解。DeFi保險是一個增加普通用戶信心的一種方式。

3年被盜98億美元，普通用戶如何保護資產安全？

背景：

畢馬威發布的最新報告顯示，2017年以來，黑客至少盜竊了98億美元的加密貨幣。數字資產的安全變得愈發重要。

SheKnows：普通用戶應該如何保護自己的數字資產呢？如果發現自己的數字資產被盜，應該馬上采取什么樣的行動？

啟富：選擇一個適合自己的保管方式是關鍵。假如不幸發現自己的數字資產被盜，如果資產放在交易所里，應該先聯系交易所調查分析被盜原因；如果資產是放在去中心化錢包里，很可能就是私鑰、助記詞泄露了，這時候可以聯系慢霧hack@slowmist.com郵箱，我們AML系統可以對被盜資產進行監控和追蹤，當發現資產進入交易平臺時將嘗試進行阻斷。

文浩：在這里，我可以給大家這么幾個錢包保護的意見：

1.請使用有安全口碑的、架構合理的錢包方案；2.請一定要保管好助記詞；3.日常的幣存在熱錢包里，大額的幣存在開源的硬件冷錢包里，如果需要更高的安全級別請用加密賬戶。4.多人共管的幣使用硬件冷錢包+多重簽名共同管理，這類的丟幣案例也很多，不能大意。

如果發現數字貨幣資產被盜，那首先應該盡可能的聯系行業內相關的企業，看看能不能幫你獲取更多、更完整的相關信息，然后再去報警。當然，所有這些你都得指望盜你幣的人是個笨賊，留下了足夠多的蛛絲馬跡，否則找回還是很困難的。另外，像慢霧也有AML風控系統，并且慢霧也和包括比特派在內的錢包和交易所進行這相關風控合作，因此，也應第一時間報告給慢霧和比特派，大家可以一起看看能不能攔住相關資產的交易、兌換。

王博聞：很多數字資產被盜之后都是無疾而終，能追回的寥寥無幾，唯一能做的就是做好之前的資產保護，管理好自己的冷熱錢包，分地點存儲，放保險柜里，防火防水防脫墨。

SheKnows：針對當前區塊鏈的安全環境，請各位嘉賓提出自己的建議。

啟富：慢霧的愿景就是成為區塊鏈生態的安全基礎設施，作為區塊鏈優質從業代表，目前慢霧正緊密與國家相關單位制定區塊鏈行業標準、區塊鏈技術國標、區塊鏈安全國標，為推動區塊鏈技術發展、項目落地做出一份貢獻，共同保障我國區塊鏈行業有序、健康發展。只有行業不斷健康發展，才能給我們這些早期從業者帶來紅利。

文浩：當前區塊鏈的安全環境方面：我個人覺得還是需要行業內的企業共同努力，雖然我之前提到過的相比起當年行業安全水平提高了非常多，但說實話離真正好的安全水平還是相差很多的，大家仍有很多可做的事情讓整個行業更安全！

王博聞：我的建議還是從用戶的角度出發，也是一句行業的金句了：只有你擁有的私鑰，才是你的數字資產。祝愿大家2020年，找到最好的方式掌握自己的私鑰。

Tags：EFIDEFIDEFSHEAlchemist DeFi AurumBasketDAO DeFi Indexdefiner幣幣幣情SHEEBA

以太坊交易