3月6日,比太錢包創始人,比特派錢包開發者文浩受邀參加了由巴比特主辦的《SheKnows:暴雷,攻擊,漏洞!拿什么來保護你,我的BTC?》線上AMA。并針對主持人在:1、宏觀行業的安全;2、錢包的安全;3、DeFi的安全;4、給用戶的建議,四個方面的問題進行了一一解答。
主持人:文浩總在行業內深耕多年,你覺得,現在的區塊鏈行業比以前更安全了嗎?
文浩:關于區塊鏈行業的安全,雖然看起來到今天仍然是此起彼伏的黑客事件、安全事故、盜幣案例,但相比起當年,其實是安全了很多個量級了,具體理由如下:1、硬件冷錢包技術和方案有了長足的發展,在比特幣時代的早期,能有個Armory兩臺電腦冷熱管理個幣就不錯了,而這類的方案其實很難用,所以還有一些交易所用電腦關機的方式來存儲大額幣,結果還曾出過電腦開機后被盜幣的案例,更多的交易所其實就都是熱錢包管幣。再后來,出現了類似比太這種冷錢包方案,一些交易所開始用比太來存儲大額幣。隨著硬件錢包技術的發展,Trezor、Ledger等優秀的硬件錢包方案也很好的幫助了行業內企業和個人安全的管理幣。再到今天,我們也通過BITHD能為企業提供很多幣種的多重簽名資產管理功能。總體來講,跟當年云服務器上直接存儲這交易所私鑰比起來,安全方面的進步經歷了好幾個階段,發展到今天當然要安全很多了。2、開始出現了越來越多的專業的安全團隊,比如說,在上一輪牛市前,幣圈其實壓根就沒有什么安全團隊,但這幾年越來越多專業的安全團隊和頂尖的安全人才開始入場,比如說國內的慢霧、派盾都很牛逼,國外牛逼的、逼格高大上也有很多,甚至像360這類的傳統安全巨頭也開始在區塊鏈領域里發力,所有這些都能讓行業更安全;3、幣圈企業更有錢了,更有錢其實也很重要,因為有錢了就能在安全方面投入更大的資源;
Skip Protocol推出適用于Cosmos區塊鏈的軟件開發工具包:金色財經報道,區塊鏈基礎設施提供商Skip Protocol發布了一個新的軟件開發工具包(SDK),旨在為區塊構建者提供對交易順序的模塊化控制。新工具包名為The Block SDK,具有一組適用于Cosmos SDK和 ABCI++的原語,允許區塊鏈自定義其區塊。
目前的Cosmos鏈主要依賴于稱為CometBFT的傳統區塊構建方法,該方法的適用性有限。Skip聯合創始人Magnus Mareneck表示,Block SDK的設計使各個區塊鏈可以將其區塊轉變為lanes,每個lanes都有自己獨特的功能。[2023/8/26 10:03:52]
總之,今天的區塊鏈安全狀況跟當年比起來,其實水平是提高了非常多的,如果告訴你,當年Mtgox法胖會在以太筆記本電腦里存著幾十萬個比特幣的私鑰,你敢信嗎?雖然行業更安全了,但其實行業所面臨的安全復雜度則高了很多倍,比如說智能合約安全、多鏈資產的管理等等的,都給今天的行業安全帶來了更多的挑戰,所有這些都需要行業內的大家一起努力。
主持人:下面的訪談,我們將結合具體的安全事件進行討論。
黑客利用IOTA官方錢包應用Trinity的漏洞竊取資金,隨后官方宣布關閉整個網絡。文浩總,怎么看待「Trinity錢包被盜導致主網關停」這件事?
Infura與錢包身份驗證基礎設施Web3Auth達成合作:5月2日消息,區塊鏈開發平臺Infura宣布與錢包身份驗證基礎設施Web3Auth達成合作,后者選擇在Infura上運行節點以獲得經濟高效且安全的解決方案。
據悉,Web3Auth通過其原生Torus錢包和SDK使DApp和錢包的身份驗證簡單而安全。[2023/5/2 14:38:14]
文浩:關于Trinity錢包被盜,我個人沒有做過深入分析,因為我們不太關注JavaScript核心的錢包,不過呢,看了慢霧的相關分析報告,非常專業,其實應該是MoonPay模塊的問題,MoonPay是一個第三方交易模塊,用來幫助海外用戶買賣幣的第三方服務,除了Trinity其實還有一些其它的錢包在用Moonpay。攻擊者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻擊,注入了惡意的JavaScript代碼,詳細的報告大家可以去找下慢霧的文章。其實這就是過去這些年我們一直強調的“JavaScript錢包的安全天花板其實非常低”的原因。
主持人:DeFi是目前最熱門的話題之一,相應的安全問題也浮出水面。
事件1:DeFi項目bZx遭受了兩次攻擊。事件發生后,DeFi保險平臺NexusMutual兌付了bZx事件中3.1萬美元的用戶索賠。
以太坊Layer 2網絡TVL突破90億美元,創歷史新高:金色財經報道,數據顯示,以太坊Layer 2網絡總鎖倉量(TVL)突破90億美元,創歷史新高,當前約為90.1億美元。其中Arbitrum One上TVL約59.8億美元,Optimism上TVL約20.2億美元,二者占總TVL的近90%。[2023/3/24 13:24:24]
事件2:去中心化穩定幣交易平臺Curve出現異常交易,該筆交易使用價值8.9萬美元的USDC兌換了價值46.5萬美元的BUSD。部分DeFi業內人士猜測,此次攻擊或與DeFi協議iEarn提供的Zap智能合約有關。近期出現的DeFi安全事件,會不會引發用戶對DeFi的信任危機?
文浩:我覺得Defi的安全事件并不會導致Defi的信任危機,就像當年的DAO事件,其實也沒導致智能合約的邏輯危機一樣。因為這類的安全事件,本身還是因為要么是業務邏輯、要么是智能合約安全所導致的,所以,不能因為出事兒了就連Defi都不相信了,合約有漏洞,那就把合約改好就好了,邏輯有問題,那就把邏輯修復下,Defi本身的根基還是不變的。當然,由于區塊鏈和智能合約的復雜度,在這上面干活兒的安全風險相比起傳統的軟件開發要高很多倍,難度也大得多,因此,開發者們更要重視安全,與優秀的像慢霧這樣的安全團隊一起協作,努力搭建出更加安全可靠的Defi服務。就像交易所被盜并不意味著比特幣就不安全了一樣。安全事件能給我們敲響警鐘,但Defi本身的邏輯是不變的。
Cato調查:超過 66% 的公眾反對美國采用數字美元:7月28日消息,總部位于華盛頓的自由派智庫 Cato 最近進行的一項調查顯示,超過 66% 的公眾擔心或完全反對美國采用數字美元,最常見的擔憂是隱私、金融壓迫和銀行系統混亂的風險。而數字美元的支持者認為,它可以在與外國競爭對手的競爭中為國家安全帶來好處,降低紙幣生產的環境成本,并通過使其更加透明來提高對貨幣體系的信任。政策分析師表示:“2000 多名評論者中有三分之二反對 CBDC 的想法,這一事實不僅表明這不是幾年前曾經的小眾問題,而是美國人認識到 CBDC 的真正風險可能會影響他們的財務自由”。[2022/7/28 2:42:28]
主持人:比特派錢包有DeFi和CeFi的相關業務,DeFi和CeFi安全問題的區別是什么?目前DeFi項目存在什么樣的安全風險?這兩個問題文浩總怎么看?
文浩:關于Defi和Cefi在安全方面的區別,我這邊還是有一些發言權的,因為比特派在這兩塊都有相關的產品和服務。首先呢,比特派在以太坊及USDT的錢包功能方面非常完善,ETH生態的Defi入口我們都已經做的很完備了,你在比特派里可以很方便的使用各類的Defi應用。同時呢,我們自己其實還有自己的Cefi產品,比特派錢包內就有完善的中心化借貸服務。這兩者在安全方面的要求其實是有著本質的區別的。Defi的安全更重要的是智能合約的安全和業務邏輯的安全,你如果有一個智能合約代碼漏洞,那上面的資產可能就完蛋了。而像前面提到的bZx先后兩次遭受攻擊,則是邏輯上的缺陷被攻擊者利用然后進行的攻擊。而這里呢,FlashLoan閃電貸是個非常優秀的想法,也是Defi創造力的很好的例子,但邏輯上有漏洞,那就會有很高的風險。Cefi的安全則不用管這些,Cefi的安全更多的則類似于交易所安全,因為用戶是把幣存在Cefi平臺上的,你主要要擔心的是黑客盜幣。
英格蘭銀行副行長:加密資產暴跌的幸存者可能成為未來與亞馬遜和eBay競爭的科技公司:6月22日消息,英格蘭銀行副行長Jon Cunliffe表示,加密資產暴跌的幸存者可能成為未來與亞馬遜和 eBay 競爭的科技公司。Cunliffe周三在蘇黎世的Point Zero論壇上表示,“今年的加密貨幣崩盤類似于當年·互聯網泡沫,當時蒸發了5萬億美元,無論未來幾個月發生什么,使用它的加密貨幣技術和金融都將繼續存在。
關于CBDC和穩定幣,他說,“中央銀行是否應該提供CBDC,或者是否應該進一步優化私人穩定幣并將其與中央銀行賬本聯系起來,這是值得考慮的。”(彭博社)[2022/6/22 1:24:44]
對于Defi開發者來說,說實話真正做好是非常難的。我們雖然并未直接參與到具體的Defi項目之中,但比特派其實還是開發過也使用過不少智能合約的,在這個過程中,和慢霧、派盾等安全團隊也有過深入的合作,而其中說實話遇到的問題和所獲得的成長、收獲還是很多的,提醒各個Defi團隊,安全真不能掉以輕心。
位于發現頁的DeFi應用
主持人:好的,我們進入最后一個話題,關于用戶資產的安全
畢馬威發布的最新報告顯示,2017年以來,黑客至少盜竊了98億美元的加密貨幣。數字資產的安全變得愈發重要。普通用戶應該如何保護自己的數字資產呢?如果發現自己的數字資產被盜,應該馬上采取什么樣的行動?
文浩:首先,巨鯨用戶因為SIM卡攻擊丟幣相當于再次驗證了我們一直以來的一個觀點,那就是不要用Web錢包、JavaScript錢包等安全架構天花板低的錢包,而我們其實是在2014年就反復強調過這一點的。Trinity、巨鯨用戶這兩個例子其實只是又給這類的悲劇增加了相同的案例而已。
作為最早開發錢包的團隊之一,在過去六七年的時間里面,我們實在是看到了太多的被盜案例,而其中不少的丟幣都是反復發生的,也就是說,五年前有人怎么丟幣,現在仍然有人用相同的方式丟幣。
在這里,我可以給大家這么幾個錢包保護的意見:1、請使用有安全口碑的、架構合理的錢包方案,今天的這兩個例子里用的都是不合理的方案導致的悲劇。2、請一定要保管好助記詞,這里要說明一點,因為助記詞保管不當丟幣的實在是太多了。把助記詞存到網盤、郵箱,截圖存到相冊并且不知道都備份在哪些應用同步到了云相冊里的;聊天工具里隨便一個騙子就能騙的你把助記詞發給他的;助記詞壓根就沒抄,然后把錢包刪了手機扔了的;用草書抄助記詞,連自己都認不出來的的;總之,各類的奇奇怪怪的因為助記詞丟幣的實在是太多了。3、日常的幣存在熱錢包里,大額的幣存在開源的硬件冷錢包里,如果需要更高的安全級別請用加密賬戶;4、多人共管的幣使用硬件冷錢包+多重簽名共同管理,這類的丟幣案例也很多,不能大意;
BitHD護盾&刀鋒支持BTC、ETH、USDT、BCH、LTC、EOS及全系ERC20token的多簽功能
如果發現數字貨幣資產被盜,那首先應該盡可能的聯系行業內相關的企業,看看能不能幫你獲取更多、更完整的相關信息,然后再去報警。當然,所有這些你都得指望盜你幣的人是個笨賊,留下了足夠多的蛛絲馬跡,否則找回還是很困難的。
另外,像慢霧也有AML風控系統,并且慢霧也和包括比特派在內的錢包和交易所進行這相關風控合作,因此,也應第一時間報告給慢霧和比特派,大家可以一起看看能不能攔住相關資產的交易、兌換。
主持人:最后一個問題,針對當前區塊鏈的安全環境,請嘉賓提出自己的建議。
文浩:當前區塊鏈的安全環境方面:我個人覺得還是需要行業內的企業共同努力,雖然我之前提到過的相比起當年行業安全水平提高了非常多,但說實話離真正好的安全水平還是相差很多的,我這里可以舉幾個例子:比如說,一年前,如果你們企業想管理五千萬美金的USDT,你們該怎么辦?如果我告訴你,在當時沒有任何好辦法,能拿一個硬件錢包讓一個人自己來管理就已經很不錯了,你敢信嗎?直到今天,仍然只有BITHD上能做原生的硬件錢包USDT多重簽名,這其實就是行業內安全水平還有很多不足的地方,你們想想看,那個管理你們企業五千萬USDT的人跑路了咋辦?再比如說,現在有不少廠商宣傳第三方托管服務,其安全性你也得打上個大大的問號。從當年的Bitgo開始,再到這一兩年全球越來越多的第三方托管,大家宣傳起來都是一副“托管在我們這里的,你就放心吧”的勁頭。但問題是,如果你做一個交易所,請永遠記住,請只用那些第三方托管服務來作為熱錢包使用,永遠別拿他們來當冷錢包,這類的錯誤方案所導致的悲劇實在是太多了。Bitgo的方案就先后坑過兩家企業,一個是Bitfinex被盜了12萬個比特幣,另一個是Upbit,也是被盜了巨量資產,當然丟了之后Bitgo是不會管的,其實也沒法管。其它的第三方托管服務也曾有過各種被盜幣的案例。這道理其實很簡單,你自己用個托管服務的apikey調用著就把幣給發了,那黑客黑了你的交易所之后,用同樣的apikey不一樣能把幣給發送到黑客自己的地址了嗎?所以,哪怕你做了再多的安全防護,請只把第三方托管服務用于熱錢包方案中,別存大額。
總之呢,行業的安全相比起當年有了非常多、全方位的進步,但仍有很多不足之處,大家仍有很多可做的事情讓整個行業更安全!
Tags:USD區塊鏈USDTUSD幣USD價格區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢USDT幣USDT價格
從區塊鏈的發展路徑來看,其所帶來的分布式記賬理念不僅能夠為電子現金交易服務,還可以被用于更廣義的價值轉移:各類有形資產和無形的所有權歸屬流通理論上都可以運用區塊鏈技術進行記錄追蹤.
1900/1/1 0:00:001.美聯儲加息步伐可能更快,峰值利率可能更高(應該是美聯儲評估了當前數據得出的結果)2.通脹自去年年中以來有所緩和.
1900/1/1 0:00:00聊聊zk吧。順道加強自己對zk的信念… 1.zksync吧前前后后融資了4輪大概4.5億左右吧,具體數額和融資金額是小金額往大金額推動,資本是逐利的,金額加大,應該是代表了前景,和技術大概應該有.
1900/1/1 0:00:00文章作者:Blockunicorn 三箭資本為破產的LUNA&UST買單之后,隨后自身也是感染了LUNA的病,呈現出LUNA“斷崖式”下跌,不幸的事情發生后.
1900/1/1 0:00:00加密貨幣市場再2月吸引了不少投資,共籌集了$8.16億美元的資金,比1月的融資額增加了97%。一共有77個項目獲得了融資,募資最多的項目拿到7000萬美元的融資.
1900/1/1 0:00:00Solana憑借其快速增長的生態系統,在加密領域中占據了前沿位置,這使得它成為以太坊的主要競爭對手之一,也是使用最廣泛的區塊鏈,之前以太坊區塊鏈作為公鏈,是用戶的首要選擇,但隨著用戶量的增加.
1900/1/1 0:00:00