SheKnows | 暴雷，攻擊，漏洞！拿什么來保護你，我的BTC？_EFI:SHE

剛剛過去的2月，交易所暴雷、遭受攻擊，私鑰被竊，DeFi項目出現漏洞和人為失誤，一系列的安全事件，給區塊鏈項目的管理敲響了警鐘。

3月6日下午，SheKnows直播間迎來區塊鏈安全專場，邀請了慢霧科技合伙人啟富、比特派創始人文浩、DDEX聯合創始人王博聞，圍繞區塊鏈安全的話題展開討論，在不安全的世界里尋找安全感。

昨天VS今天：區塊鏈行業是否越來越安全？

SheKnows：現在的區塊鏈行業比以前更安全了嗎？

啟富：安全的本質是信任，安全的核心是攻防對抗，攻防的核心又是成本對抗。安全是動態的，隨著業務的發展也可能會引入新的安全問題。安全也不是絕對的，從來不存在一家100%安全的公司或項目。隨著行業的發展，需要大家不斷地提升安全意識，才能有效的避免出現更多被黑事件。

文浩：雖然看起來到今天仍然是此起彼伏的黑客事件、安全事故、盜幣案例，但相比起當年，其實是安全了很多個量級了，具體理由如下：1.硬件冷錢包技術和方案有了長足的發展；2.開始出現了越來越多的專業的安全團隊；3.幣圈企業更有錢了，更有錢其實也很重要，因為有錢了就能在安全方面投入更大的資源。雖然行業更安全了，但其實行業所面臨的安全復雜度則高了很多倍，比如說智能合約安全、多鏈資產的管理等等的，都給今天的行業安全帶來了更多的挑戰，所有這些都需要行業內的大家一起努力。

王博聞：區塊鏈行業安全其實是一個黑盒子，每年都會有不同的平臺出現被盜的事件，從最早的門頭溝，到韓國Upbit被盜5000萬美金,幣安7000比特幣的被攻擊，到Fcoin內部虧空。包括最近出現的DeFi智能合約的一些攻擊，就比如說我上周分析的bzx的閃電貸攻擊，和SNX的套利。每年的智能合約安全的需求都在成倍的增長。

Web3游戲Delabs Games完成470萬美元種子輪融資，Hashed領投:7月25日消息，Web3游戲Delabs Games宣布完成470萬美元種子輪融資，Hashed領投，參投方包括TheSpartan Group、Planetarium、Polygon Labs和Merit Circle等。

Delabs Games表示，自2021年以來，其一直在開發Rumble Racing Star、Space Frontier和Metabolts游戲。[2023/7/25 15:57:42]

IOTA被盜，巨鯨丟幣，普通用戶該不該擔心？

背景：

事件1：黑客利用IOTA官方錢包應用Trinity的漏洞竊取資金，隨后官方宣布關閉整個網絡。

事件2：論壇名為“zhoujianfu”的巨鯨稱，丟失1547BTC和近60000BCH。SIM卡攻擊，疑似使用Blockchain.info服務。

SheKnows：針對事件1，之前看到慢霧分析的結果是，新版本的官方錢包里的一個交易模塊出了問題。能否具體講講？

啟富：原因是IOTA官方錢包引入了第三方的組件，然后第三方組件被黑，間接影響了他們官方錢包的很多用戶，導致他們的私鑰、密碼被盜。已經統計出來的損失，被盜的IOTA大概是855萬枚，價值大概230萬美金。技術上具體展開來說就是，IOTA官方錢包內置了一個第三方交易模塊MoonPay，等于錢包內有一個交易所的功能。攻擊者盜取并利用MoonPay的CloudflareAPIKey發起中間人劫持攻擊，在IOTA錢包引用的MoonPayJS文件中注入惡意JavaScript，盜取用戶的種子、密碼等。

Hashed證實在Luna崩盤中損失超過30億美元:金色財經報道，加密風險投資公司Hashed首席執行官兼管理合伙人Simon Seojoon Kim證實，在5月初崩盤后，因投資Terra生態系統的luna代幣而損失了超過30億美元。在周三發表的彭博社采訪中，Kim表示Hashed在區塊鏈項目的早期購買了3000萬個luna代幣，當luna的價格在4月初達到頂峰時價值高達36億美元。但是，盡管在luna中面臨重大損失，Hashed并沒有對加密貨幣失去信心。事實上，該公司計劃在明年上半年籌集第三只基金。目前尚不清楚Hashed希望為其新基金籌集多少資金。（The block）[2022/8/3 2:56:39]

SheKnows：怎么看待Trinity錢包被盜導致主網關停這件事？

文浩：其實應該是MoonPay模塊的問題，MoonPay是一個第三方交易模塊，用來幫助海外用戶買賣幣的第三方服務，除了Trinity其實還有一些其它的錢包在用Moonpay。攻擊者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻擊，注入了惡意的JavaScript代碼，詳細的報告大家可以去找下慢霧的文章。其實這就是過去這些年我們一直強調的“JavaScript錢包的安全天花板其實非常低”的原因。

SheKnows：巨鯨由于SIM卡攻擊而丟失巨額資產，其他的普通用戶會不會遭受這種攻擊？什么樣的錢包算是安全的？

啟富：SIM卡攻擊手法，其實是挺流行的，但是在國內大家可以不用太擔心，因為國內已經度過了早期運營商各種混亂，甚至運營商內部做惡這些情況，包括我們相關的一些法律以及監管，大家的手機號不會輕易被別人給復制。在我們國家大概10年前，這個現象還是挺普遍的。但是在國外運營商的實力，不一定有我們國內的這么強，大家都知道我們國家基建的水平是非常強的。而很多海外運營商屬于私人企業在運作，技術實力等等都不一定那么高，包括相關的一些內部協議，可能都是很古老的版本，以及風控管理上可能都比較落后，確實會存在海外的手機號被社會工程學等方式復制。

Polkadot委員會已批準131號協議，將Shell平行鏈升級到Statemint:金色財經報道，Polkadot委員會已批準131號協議，將 Shell 升級到 Statemint，這將是一個由兩個預定事務組成。第一個將在 Shell 中為 Statemint 的“創世紀”設置一些存儲密鑰。第二個將授權升級到 Statemint。這兩個調用都需要在Shell上構建，然后從XCM中的中繼鏈中調度。下一步是將其公投，由所有 DOT 持有者投票。[2021/12/14 7:38:41]

關于錢包安全的選擇，我覺得需要結合用戶自身的熟悉水平，如果是接觸區塊鏈不久的、持幣量不大的用戶，建議資產托管在全球知名的交易所，開啟各項二次認證、登錄保護措施；如果是對區塊鏈有一定的認知，對去中心化錢包有相應的了解，可以選擇國際知名的去中心化錢包，把幣放在里面，同時離線備份好助記詞、私鑰；第三種是資金量大的，對安全要求高的，可以選擇國際知名的硬件錢包，或者專業的資產托管平臺。

FCoin暴雷，OKEx和Bitfinex被DDoS攻擊，交易所安全何去何從？

背景：

事件1：FCoin交易所表示，由于資金困難導致資金儲備無法兌付用戶提現。

事件2：OKEx、Bitfinex等交易所頻繁遭受DDoS攻擊，相關服務受到影響。

SheKnows：你對“交易即挖礦”這種模式有沒有新的看法？FCoin暴雷，對交易所這個賽道會產生什么樣的影響？

王博聞：“交易即挖礦”是一個模式創新，很多人也參與過Fcoin交易即挖礦，這個模式是不可持續的，因為人為地透支交易需求，而且是將第二天的收益，透支給前一天，所以本質是擊鼓傳花。Fcoin擠兌的暴雷，主要是內部的統計系統和風控系統不完善所導致的，內部虧空嚴重，到最后擠兌發生，都是Fcoin本身內部的問題。這種問題就不會發生在DeFi產品上，因為所有的資產都是從第一天開始就是公示給所有人，大家都可以看到有多少用戶，每個用戶存取了多少錢，借了多少錢，所以平臺沒有作惡的可能性。在第一天把所有的賬務公示給所有人是DeFi資金安全的一個最好的廣告牌。

穩定幣兌換協議Shell Protocol發布V2版本路線圖:9月28日消息，穩定幣兌換協議Shell Protocol發布V2版本路線圖，V2版本主要有兩個模塊：一個用來確定兌換率的交易邏輯層和一個追蹤余額和轉移代幣的核算層。

Shell首先將會在未來幾周后發布一份粘合曲線的白皮書以及如何通過Solidity實現的參考，下一步則是推出完整的V2協議，包括聯合曲線引擎和核算層，這一步將會以穩定幣為基礎來展開。最后一步則是全面推出ShellV2，這一過程包括成熟的流動性挖礦和治理模塊，以及推出協議的治理代幣。Shell Protocol是一個穩定幣兌換協議，旨在通過新穎的自動做市機制為穩定幣創建一個具有流動性的貨幣系統。[2021/9/28 17:12:21]

SheKnows：什么樣的交易所是相對安全的？去中心化交易所面臨哪些安全風險？

王博聞：直到交易所被盜之前，所有的安全保護宣傳都是不可證偽的。因為如果交易所開源冷熱錢包管理系統，黑客也會有專門的方式針對。所以最好的選擇，可能是分散風險，冷熱錢包自己控制，如果不信任自己錢包管理能力，可以在幾個最老，安全信任度最高的交易所，分散資產，比如說Kraken、Coinbase。

DEX的風險，我們把智能合約安全放在最高優先級，我們和行業領先的幾家安全審計機構Peckshield、Secbit合作，至今在以太坊上執行了45萬筆鏈上交易，沒有出過安全問題。我們也和行業內的白帽子合作，做公開的懸賞計劃，給提供安全線索的開發者一定的獎勵。

bZx被攻擊，Curve交易異常，DeFi遭遇信任危機？

背景：

事件1：DeFi項目bZx遭受了兩次攻擊。事件發生后，DeFi保險平臺NexusMutual兌付了bZx事件中3.1萬美元的用戶索賠。

DeFi共同基金Sheesha Finance融資944萬美元:金色財經報道，總部位于阿拉伯聯合酋長國的DeFi共同基金Sheesha Finance已在為期兩周的代幣銷售中籌集了944萬美元，這突顯了投資者對DeFi應用的需求增加。[2021/4/14 20:16:35]

事件2：去中心化穩定幣交易平臺Curve出現異常交易，該筆交易使用價值8.9萬美元的USDC兌換了價值46.5萬美元的BUSD。部分DeFi業內人士猜測，此次攻擊或與DeFi協議iEarn提供的Zap智能合約有關。

SheKnows：近期出現的DeFi安全事件，會不會引發DeFi的信任危機？

啟富：DeFi的初心是開放金融，這降低了人們進行金融交易的門檻，同時監管上也變得沒那么嚴格，DeFi的很多事情還在摸索階段，一件事情剛開始的時候總是會遭遇很多意料之外的事情，這是無法避免的，且完全沒有必要因噎廢食。DeFi未來的路還很長，目前需要做的事是充分汲取這些安全事件的教訓，在合約中設置好風控機制，并在產品上線前做好充分的安全審計，才能防止此類攻擊再次重演。

文浩：我覺得DeFi的安全事件并不會導致DeFi的信任危機，就像當年的DAO事件，其實也沒導致智能合約的邏輯危機一樣。因為這類的安全事件，本身還是因為要么是業務邏輯、要么是智能合約安全所導致的，所以，不能因為出事兒了就連DeFi都不相信了，合約有漏洞，那就把合約改好就好了，邏輯有問題，那就把邏輯修復下，DeFi本身的根基還是不變的。當然，由于區塊鏈和智能合約的復雜度，在這上面干活兒的安全風險相比起傳統的軟件開發要高很多倍，難度也大得多，因此，開發者們更要重視安全，與優秀的像慢霧這樣的安全團隊一起協作，努力搭建出更加安全可靠的DeFi服務。

王博聞：bzx可能是最近被討論最多的DeFi被攻擊的事件了，黑客通過閃電貸10000ETH,賺取了1800ETH。這是一個很高明的金融工程攻擊手段，其實黑客是按照游戲規則來玩這個游戲的，他的獲利也是所有規則范圍允許的。所以也不會引發DeFi的信任危機，只會引入更多的新的參與者，比如說更多的安全審計和更多的保險產品。

SheKnows：DeFi和CeFi安全問題的區別是什么？

啟富：DeFi、CeFi安全問題的區別其實很像中心化交易所和去中心化交易所的區別，首先拿資金管理來說，中心化的平臺托管了所有用戶的資產，其冷熱錢包架構及權限管理就非常重要，還有對風控體系的要求也很高；去中心化平臺由于沒有托管用戶資金，這方面要考慮的問題就比較少；第二個是系統外安全風險，不論中心化、去中心化都會對外部資源有一定的依賴，當依賴的外部系統出現意外時，能否及時發現并“容錯”也是一項很重要的考驗。

文浩：DeFi的安全更重要的是智能合約的安全和業務邏輯的安全，你如果有一個智能合約代碼漏洞，那上面的資產可能就完蛋了。而像前面提到的bZx先后兩次遭受攻擊，則是邏輯上的缺陷被攻擊者利用然后進行的攻擊。而這里呢，閃電貸是個非常優秀的想法，也是DeFi創造力的很好的例子，但邏輯上有漏洞，那就會有很高的風險。CeFi的安全則不用管這些，CeFi的安全更多的則類似于交易所安全，因為用戶是把幣存在CeFi平臺上的，你主要要擔心的是黑客盜幣。

SheKnows：目前DeFi項目存在什么樣的安全風險？

啟富：總結近幾年發生的DeFi安全事件，可以發現主要有如下的安全風險：1.智能合約邏輯層面的漏洞、風險；2.業務模型中的缺陷；3.預言機問題；4.治理機制缺陷。

SheKnows：如何看待DeFi保險對DeFi生態的意義？

王博聞：DeFi本質還是普惠金融，普惠金融在現代金融市場是有非常多細分的業務場景，對于巴菲特來說，他非常喜歡的投資標的就是保險業，因為保險業務本質是先收錢，后賠付。所以有更多怎么更好分散風險，增加收益的選項。現在很多人對DeFi的不理解和不熟悉本身的原因，也是因為很新，很多人不了解。DeFi保險是一個增加普通用戶信心的一種方式。

3年被盜98億美元，普通用戶如何保護資產安全？

背景：

畢馬威發布的最新報告顯示，2017年以來，黑客至少盜竊了98億美元的加密貨幣。數字資產的安全變得愈發重要。

SheKnows：普通用戶應該如何保護自己的數字資產呢？如果發現自己的數字資產被盜，應該馬上采取什么樣的行動？

啟富：選擇一個適合自己的保管方式是關鍵。假如不幸發現自己的數字資產被盜，如果資產放在交易所里，應該先聯系交易所調查分析被盜原因；如果資產是放在去中心化錢包里，很可能就是私鑰、助記詞泄露了，這時候可以聯系慢霧hack@slowmist.com郵箱，我們AML系統可以對被盜資產進行監控和追蹤，當發現資產進入交易平臺時將嘗試進行阻斷。

文浩：在這里，我可以給大家這么幾個錢包保護的意見：

1.請使用有安全口碑的、架構合理的錢包方案；2.請一定要保管好助記詞；3.日常的幣存在熱錢包里，大額的幣存在開源的硬件冷錢包里，如果需要更高的安全級別請用加密賬戶。4.多人共管的幣使用硬件冷錢包+多重簽名共同管理，這類的丟幣案例也很多，不能大意。

如果發現數字貨幣資產被盜，那首先應該盡可能的聯系行業內相關的企業，看看能不能幫你獲取更多、更完整的相關信息，然后再去報警。當然，所有這些你都得指望盜你幣的人是個笨賊，留下了足夠多的蛛絲馬跡，否則找回還是很困難的。另外，像慢霧也有AML風控系統，并且慢霧也和包括比特派在內的錢包和交易所進行這相關風控合作，因此，也應第一時間報告給慢霧和比特派，大家可以一起看看能不能攔住相關資產的交易、兌換。

王博聞：很多數字資產被盜之后都是無疾而終，能追回的寥寥無幾，唯一能做的就是做好之前的資產保護，管理好自己的冷熱錢包，分地點存儲，放保險柜里，防火防水防脫墨。

SheKnows：針對當前區塊鏈的安全環境，請各位嘉賓提出自己的建議。

啟富：慢霧的愿景就是成為區塊鏈生態的安全基礎設施，作為區塊鏈優質從業代表，目前慢霧正緊密與國家相關單位制定區塊鏈行業標準、區塊鏈技術國標、區塊鏈安全國標，為推動區塊鏈技術發展、項目落地做出一份貢獻，共同保障我國區塊鏈行業有序、健康發展。只有行業不斷健康發展，才能給我們這些早期從業者帶來紅利。

文浩：當前區塊鏈的安全環境方面：我個人覺得還是需要行業內的企業共同努力，雖然我之前提到過的相比起當年行業安全水平提高了非常多，但說實話離真正好的安全水平還是相差很多的，大家仍有很多可做的事情讓整個行業更安全！

王博聞：我的建議還是從用戶的角度出發，也是一句行業的金句了：只有你擁有的私鑰，才是你的數字資產。祝愿大家2020年，找到最好的方式掌握自己的私鑰。

Tags：EFIDEFDEFISHEDeFi Pulse IndexModefinSights DeFi TraderSheepSwap Finance

DOGE