剛剛過去的2月,交易所暴雷、遭受攻擊,私鑰被竊,DeFi項目出現漏洞和人為失誤,一系列的安全事件,給區塊鏈項目的管理敲響了警鐘。
3月6日下午,SheKnows直播間迎來區塊鏈安全專場,邀請了慢霧科技合伙人啟富、比特派創始人文浩、DDEX聯合創始人王博聞,圍繞區塊鏈安全的話題展開討論,在不安全的世界里尋找安全感。
昨天VS今天:區塊鏈行業是否越來越安全?
SheKnows:現在的區塊鏈行業比以前更安全了嗎?
啟富:安全的本質是信任,安全的核心是攻防對抗,攻防的核心又是成本對抗。安全是動態的,隨著業務的發展也可能會引入新的安全問題。安全也不是絕對的,從來不存在一家100%安全的公司或項目。隨著行業的發展,需要大家不斷地提升安全意識,才能有效的避免出現更多被黑事件。
文浩:雖然看起來到今天仍然是此起彼伏的黑客事件、安全事故、盜幣案例,但相比起當年,其實是安全了很多個量級了,具體理由如下:1.硬件冷錢包技術和方案有了長足的發展;2.開始出現了越來越多的專業的安全團隊;3.幣圈企業更有錢了,更有錢其實也很重要,因為有錢了就能在安全方面投入更大的資源。雖然行業更安全了,但其實行業所面臨的安全復雜度則高了很多倍,比如說智能合約安全、多鏈資產的管理等等的,都給今天的行業安全帶來了更多的挑戰,所有這些都需要行業內的大家一起努力。
王博聞:區塊鏈行業安全其實是一個黑盒子,每年都會有不同的平臺出現被盜的事件,從最早的門頭溝,到韓國Upbit被盜5000萬美金,幣安7000比特幣的被攻擊,到Fcoin內部虧空。包括最近出現的DeFi智能合約的一些攻擊,就比如說我上周分析的bzx的閃電貸攻擊,和SNX的套利。每年的智能合約安全的需求都在成倍的增長。
DeFi協議Shell Protocol將在Arbitrum上線v2版本:7月14日消息,DeFi協議Shell Protocol宣布將在Arbitrum上線v2版本,此前已在Arbitrum Rinkeby上部署了v2測試網。Shell Protocol表示,v2版本可以將復雜的交易進行批量處理,并且重新設計了AMM函數曲線,提高了流動性池的交易效率。[2022/7/14 2:12:08]
IOTA被盜,巨鯨丟幣,普通用戶該不該擔心?
背景:
事件1:黑客利用IOTA官方錢包應用Trinity的漏洞竊取資金,隨后官方宣布關閉整個網絡。
事件2:論壇名為“zhoujianfu”的巨鯨稱,丟失1547BTC和近60000BCH。SIM卡攻擊,疑似使用Blockchain.info服務。
SheKnows:針對事件1,之前看到慢霧分析的結果是,新版本的官方錢包里的一個交易模塊出了問題。能否具體講講?
啟富:原因是IOTA官方錢包引入了第三方的組件,然后第三方組件被黑,間接影響了他們官方錢包的很多用戶,導致他們的私鑰、密碼被盜。已經統計出來的損失,被盜的IOTA大概是855萬枚,價值大概230萬美金。技術上具體展開來說就是,IOTA官方錢包內置了一個第三方交易模塊MoonPay,等于錢包內有一個交易所的功能。攻擊者盜取并利用MoonPay的CloudflareAPIKey發起中間人劫持攻擊,在IOTA錢包引用的MoonPayJS文件中注入惡意JavaScript,盜取用戶的種子、密碼等。
SheKnows:怎么看待Trinity錢包被盜導致主網關停這件事?
穩定幣支付基礎設施提供商Kado完成540萬美元種子輪融資,Hashed領投:金色財經消息,穩定幣支付基礎設施提供商Kado完成540萬美元種子輪融資,Hashed 領投,R ace Capital、Circle Ventures、Collab+Currency、Republic Capital、PrimeBlock Ventures、0xVentures、T&G Ventures、Skyvision Capital、Lunatic Capital、Contango Digital、TPS Capital 和包括 Blockworks 聯合創始人 Jason Yanowitz 在內的一些天使投資人參投。Kado 于 2021 年 5 月在 Terra 社區黑客馬拉松期間成立,旨在通過創建讓用戶更容易消費和使用的產品來支持 Terra 的 UST 穩定幣生態系統。得益于這筆最新融資,K 熬到計劃擴展到 Terra 以外的其他生態系統,重點是 Solana 和 USDC、以及 Avalanche 和 USDC 等跨鏈服務。(Blockworks)[2022/3/9 13:45:21]
文浩:其實應該是MoonPay模塊的問題,MoonPay是一個第三方交易模塊,用來幫助海外用戶買賣幣的第三方服務,除了Trinity其實還有一些其它的錢包在用Moonpay。攻擊者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻擊,注入了惡意的JavaScript代碼,詳細的報告大家可以去找下慢霧的文章。其實這就是過去這些年我們一直強調的“JavaScript錢包的安全天花板其實非常低”的原因。
SheKnows:巨鯨由于SIM卡攻擊而丟失巨額資產,其他的普通用戶會不會遭受這種攻擊?什么樣的錢包算是安全的?
SheepDex今日啟動首次回購燃燒:據官方消息,SheepDex已于UTC時間11月29日13:00啟動第一次燃燒。平臺將把團隊收益和部分手續費用于回購平臺代幣spc,所有回購的代幣將統一進行燃燒,預計將燃燒掉流通量20%以上。截止目前,今日平臺幣價漲幅已達到90%。
據悉,SheepDex于10月10日上線,是BSC鏈上擁有區間掛單功能的流動聚合DEX。使用SheepDex交易能解決去中心化交易所滑點高,成交難等流動性不足引起的問題,并獲得交易獎勵。流動性提供者可以獲得手續費分成和流動性挖礦激勵。
目前SheepDex已經通過兩家審計機構CertiK,PeckShield的安全審計。[2021/11/29 12:39:05]
啟富:SIM卡攻擊手法,其實是挺流行的,但是在國內大家可以不用太擔心,因為國內已經度過了早期運營商各種混亂,甚至運營商內部做惡這些情況,包括我們相關的一些法律以及監管,大家的手機號不會輕易被別人給復制。在我們國家大概10年前,這個現象還是挺普遍的。但是在國外運營商的實力,不一定有我們國內的這么強,大家都知道我們國家基建的水平是非常強的。而很多海外運營商屬于私人企業在運作,技術實力等等都不一定那么高,包括相關的一些內部協議,可能都是很古老的版本,以及風控管理上可能都比較落后,確實會存在海外的手機號被社會工程學等方式復制。
關于錢包安全的選擇,我覺得需要結合用戶自身的熟悉水平,如果是接觸區塊鏈不久的、持幣量不大的用戶,建議資產托管在全球知名的交易所,開啟各項二次認證、登錄保護措施;如果是對區塊鏈有一定的認知,對去中心化錢包有相應的了解,可以選擇國際知名的去中心化錢包,把幣放在里面,同時離線備份好助記詞、私鑰;第三種是資金量大的,對安全要求高的,可以選擇國際知名的硬件錢包,或者專業的資產托管平臺。
Hashed推出區塊鏈游戲和NFT創業工作室:金色財經報道,專注于區塊鏈的風險投資基金會Hashed宣布推出其區塊鏈游戲和NFT創業工作室。被稱為UNOPND的新產品將允許區塊鏈開發人員和愛好者利用Hashed來構建和推進他們的NFT和GameFi應用程序。[2021/10/6 20:07:59]
FCoin暴雷,OKEx和Bitfinex被DDoS攻擊,交易所安全何去何從?
背景:
事件1:FCoin交易所表示,由于資金困難導致資金儲備無法兌付用戶提現。
事件2:OKEx、Bitfinex等交易所頻繁遭受DDoS攻擊,相關服務受到影響。
SheKnows:你對“交易即挖礦”這種模式有沒有新的看法?FCoin暴雷,對交易所這個賽道會產生什么樣的影響?
王博聞:“交易即挖礦”是一個模式創新,很多人也參與過Fcoin交易即挖礦,這個模式是不可持續的,因為人為地透支交易需求,而且是將第二天的收益,透支給前一天,所以本質是擊鼓傳花。Fcoin擠兌的暴雷,主要是內部的統計系統和風控系統不完善所導致的,內部虧空嚴重,到最后擠兌發生,都是Fcoin本身內部的問題。這種問題就不會發生在DeFi產品上,因為所有的資產都是從第一天開始就是公示給所有人,大家都可以看到有多少用戶,每個用戶存取了多少錢,借了多少錢,所以平臺沒有作惡的可能性。在第一天把所有的賬務公示給所有人是DeFi資金安全的一個最好的廣告牌。
SheKnows:什么樣的交易所是相對安全的?去中心化交易所面臨哪些安全風險?
王博聞:直到交易所被盜之前,所有的安全保護宣傳都是不可證偽的。因為如果交易所開源冷熱錢包管理系統,黑客也會有專門的方式針對。所以最好的選擇,可能是分散風險,冷熱錢包自己控制,如果不信任自己錢包管理能力,可以在幾個最老,安全信任度最高的交易所,分散資產,比如說Kraken、Coinbase。
動態 | Cardano測試網Shelley已正式上線:根據Cardano基金會官方推特消息,Shelley測試網已推出并上線。根據官方博客介紹,Shelley測試網為社區的ADA用戶和開發人員提供了一種方法,讓他們可以嘗試使用staking,并幫助他們在Cardano上建立一個stake pools集合。[2019/6/22]
DEX的風險,我們把智能合約安全放在最高優先級,我們和行業領先的幾家安全審計機構Peckshield、Secbit合作,至今在以太坊上執行了45萬筆鏈上交易,沒有出過安全問題。我們也和行業內的白帽子合作,做公開的懸賞計劃,給提供安全線索的開發者一定的獎勵。
bZx被攻擊,Curve交易異常,DeFi遭遇信任危機?
背景:
事件1:DeFi項目bZx遭受了兩次攻擊。事件發生后,DeFi保險平臺NexusMutual兌付了bZx事件中3.1萬美元的用戶索賠。
事件2:去中心化穩定幣交易平臺Curve出現異常交易,該筆交易使用價值8.9萬美元的USDC兌換了價值46.5萬美元的BUSD。部分DeFi業內人士猜測,此次攻擊或與DeFi協議iEarn提供的Zap智能合約有關。
SheKnows:近期出現的DeFi安全事件,會不會引發DeFi的信任危機?
啟富:DeFi的初心是開放金融,這降低了人們進行金融交易的門檻,同時監管上也變得沒那么嚴格,DeFi的很多事情還在摸索階段,一件事情剛開始的時候總是會遭遇很多意料之外的事情,這是無法避免的,且完全沒有必要因噎廢食。DeFi未來的路還很長,目前需要做的事是充分汲取這些安全事件的教訓,在合約中設置好風控機制,并在產品上線前做好充分的安全審計,才能防止此類攻擊再次重演。
文浩:我覺得DeFi的安全事件并不會導致DeFi的信任危機,就像當年的DAO事件,其實也沒導致智能合約的邏輯危機一樣。因為這類的安全事件,本身還是因為要么是業務邏輯、要么是智能合約安全所導致的,所以,不能因為出事兒了就連DeFi都不相信了,合約有漏洞,那就把合約改好就好了,邏輯有問題,那就把邏輯修復下,DeFi本身的根基還是不變的。當然,由于區塊鏈和智能合約的復雜度,在這上面干活兒的安全風險相比起傳統的軟件開發要高很多倍,難度也大得多,因此,開發者們更要重視安全,與優秀的像慢霧這樣的安全團隊一起協作,努力搭建出更加安全可靠的DeFi服務。
王博聞:bzx可能是最近被討論最多的DeFi被攻擊的事件了,黑客通過閃電貸10000ETH,賺取了1800ETH。這是一個很高明的金融工程攻擊手段,其實黑客是按照游戲規則來玩這個游戲的,他的獲利也是所有規則范圍允許的。所以也不會引發DeFi的信任危機,只會引入更多的新的參與者,比如說更多的安全審計和更多的保險產品。
SheKnows:DeFi和CeFi安全問題的區別是什么?
啟富:DeFi、CeFi安全問題的區別其實很像中心化交易所和去中心化交易所的區別,首先拿資金管理來說,中心化的平臺托管了所有用戶的資產,其冷熱錢包架構及權限管理就非常重要,還有對風控體系的要求也很高;去中心化平臺由于沒有托管用戶資金,這方面要考慮的問題就比較少;第二個是系統外安全風險,不論中心化、去中心化都會對外部資源有一定的依賴,當依賴的外部系統出現意外時,能否及時發現并“容錯”也是一項很重要的考驗。
文浩:DeFi的安全更重要的是智能合約的安全和業務邏輯的安全,你如果有一個智能合約代碼漏洞,那上面的資產可能就完蛋了。而像前面提到的bZx先后兩次遭受攻擊,則是邏輯上的缺陷被攻擊者利用然后進行的攻擊。而這里呢,閃電貸是個非常優秀的想法,也是DeFi創造力的很好的例子,但邏輯上有漏洞,那就會有很高的風險。CeFi的安全則不用管這些,CeFi的安全更多的則類似于交易所安全,因為用戶是把幣存在CeFi平臺上的,你主要要擔心的是黑客盜幣。
SheKnows:目前DeFi項目存在什么樣的安全風險?
啟富:總結近幾年發生的DeFi安全事件,可以發現主要有如下的安全風險:1.智能合約邏輯層面的漏洞、風險;2.業務模型中的缺陷;3.預言機問題;4.治理機制缺陷。
SheKnows:如何看待DeFi保險對DeFi生態的意義?
王博聞:DeFi本質還是普惠金融,普惠金融在現代金融市場是有非常多細分的業務場景,對于巴菲特來說,他非常喜歡的投資標的就是保險業,因為保險業務本質是先收錢,后賠付。所以有更多怎么更好分散風險,增加收益的選項。現在很多人對DeFi的不理解和不熟悉本身的原因,也是因為很新,很多人不了解。DeFi保險是一個增加普通用戶信心的一種方式。
3年被盜98億美元,普通用戶如何保護資產安全?
背景:
畢馬威發布的最新報告顯示,2017年以來,黑客至少盜竊了98億美元的加密貨幣。數字資產的安全變得愈發重要。
SheKnows:普通用戶應該如何保護自己的數字資產呢?如果發現自己的數字資產被盜,應該馬上采取什么樣的行動?
啟富:選擇一個適合自己的保管方式是關鍵。假如不幸發現自己的數字資產被盜,如果資產放在交易所里,應該先聯系交易所調查分析被盜原因;如果資產是放在去中心化錢包里,很可能就是私鑰、助記詞泄露了,這時候可以聯系慢霧hack@slowmist.com郵箱,我們AML系統可以對被盜資產進行監控和追蹤,當發現資產進入交易平臺時將嘗試進行阻斷。
文浩:在這里,我可以給大家這么幾個錢包保護的意見:
1.請使用有安全口碑的、架構合理的錢包方案;2.請一定要保管好助記詞;3.日常的幣存在熱錢包里,大額的幣存在開源的硬件冷錢包里,如果需要更高的安全級別請用加密賬戶。4.多人共管的幣使用硬件冷錢包+多重簽名共同管理,這類的丟幣案例也很多,不能大意。
如果發現數字貨幣資產被盜,那首先應該盡可能的聯系行業內相關的企業,看看能不能幫你獲取更多、更完整的相關信息,然后再去報警。當然,所有這些你都得指望盜你幣的人是個笨賊,留下了足夠多的蛛絲馬跡,否則找回還是很困難的。另外,像慢霧也有AML風控系統,并且慢霧也和包括比特派在內的錢包和交易所進行這相關風控合作,因此,也應第一時間報告給慢霧和比特派,大家可以一起看看能不能攔住相關資產的交易、兌換。
王博聞:很多數字資產被盜之后都是無疾而終,能追回的寥寥無幾,唯一能做的就是做好之前的資產保護,管理好自己的冷熱錢包,分地點存儲,放保險柜里,防火防水防脫墨。
SheKnows:針對當前區塊鏈的安全環境,請各位嘉賓提出自己的建議。
啟富:慢霧的愿景就是成為區塊鏈生態的安全基礎設施,作為區塊鏈優質從業代表,目前慢霧正緊密與國家相關單位制定區塊鏈行業標準、區塊鏈技術國標、區塊鏈安全國標,為推動區塊鏈技術發展、項目落地做出一份貢獻,共同保障我國區塊鏈行業有序、健康發展。只有行業不斷健康發展,才能給我們這些早期從業者帶來紅利。
文浩:當前區塊鏈的安全環境方面:我個人覺得還是需要行業內的企業共同努力,雖然我之前提到過的相比起當年行業安全水平提高了非常多,但說實話離真正好的安全水平還是相差很多的,大家仍有很多可做的事情讓整個行業更安全!
王博聞:我的建議還是從用戶的角度出發,也是一句行業的金句了:只有你擁有的私鑰,才是你的數字資產。祝愿大家2020年,找到最好的方式掌握自己的私鑰。
Tags:EFIDEFDEFISHEDefi.financeXDEFI Governance Tokendefi幣多少錢一個SHEEP幣
“MOV成,BTM必成”。作為基于Bystack主側鏈架構的下一代去中心跨鏈Layer2價值交換協議,MOV在2019年11月25日上線測試網.
1900/1/1 0:00:00作者:Iris 來源:IPFS原力區 1、谷歌Play的迷の操作2019年12月27日,MetaMask團隊在Twitter上發文稱,谷歌應用商店已下架了自己的安卓客戶端.
1900/1/1 0:00:00本文來源:微眾銀行區塊鏈,有刪減微眾銀行區塊鏈開源版圖再添新成員,新成員命名WeCross,是一款區塊鏈跨鏈協作平臺,由微眾銀行區塊鏈團隊自主研發并完全開源.
1900/1/1 0:00:00術語“治理”是一個總概性術語,它涵蓋了我們如何在規模上進行協調的方法和過程。我們如何組織我們的社會,如何定義和執行規則,如何做出集體決定。今天,我們的協調主要依靠政府和受法律保護的私營公司.
1900/1/1 0:00:00作者:郭凱平「東北大學工商管理學院」 文章:中國金融雜志 資金自由流動,是金融開放與金融發展的應有之義.
1900/1/1 0:00:00作者:?JoelMonegro 翻譯:?阿劍 原文來源:Placeholder 編譯:以太坊愛好者 本文是對《區塊鏈應用的棧層》(2014)和《胖協議》(2016)兩篇文章的延續思考.
1900/1/1 0:00:00