3月6日,比太钱包创始人,比特派钱包开发者文浩受邀参加了由巴比特主办的《SheKnows:暴雷,攻击,漏洞!拿什么来保护你,我的BTC?》线上AMA。并针对主持人在:1、宏观行业的安全;2、钱包的安全;3、DeFi的安全;4、给用户的建议,四个方面的问题进行了一一解答。
主持人:文浩总在行业内深耕多年,你觉得,现在的区块链行业比以前更安全了吗?
文浩:关于区块链行业的安全,虽然看起来到今天仍然是此起彼伏的黑客事件、安全事故、盗币案例,但相比起当年,其实是安全了很多个量级了,具体理由如下:1、硬件冷钱包技术和方案有了长足的发展,在比特币时代的早期,能有个Armory两台电脑冷热管理个币就不错了,而这类的方案其实很难用,所以还有一些交易所用电脑关机的方式来存储大额币,结果还曾出过电脑开机后被盗币的案例,更多的交易所其实就都是热钱包管币。再后来,出现了类似比太这种冷钱包方案,一些交易所开始用比太来存储大额币。随着硬件钱包技术的发展,Trezor、Ledger等优秀的硬件钱包方案也很好的帮助了行业内企业和个人安全的管理币。再到今天,我们也通过BITHD能为企业提供很多币种的多重签名资产管理功能。总体来讲,跟当年云服务器上直接存储这交易所私钥比起来,安全方面的进步经历了好几个阶段,发展到今天当然要安全很多了。2、开始出现了越来越多的专业的安全团队,比如说,在上一轮牛市前,币圈其实压根就没有什么安全团队,但这几年越来越多专业的安全团队和顶尖的安全人才开始入场,比如说国内的慢雾、派盾都很牛逼,国外牛逼的、逼格高大上也有很多,甚至像360这类的传统安全巨头也开始在区块链领域里发力,所有这些都能让行业更安全;3、币圈企业更有钱了,更有钱其实也很重要,因为有钱了就能在安全方面投入更大的资源;
Zipmex的救助投资者未能付款,员工被告知或将清算:金色财经报道,据The Block发文表示,Zipmex的救助投资者未能付款,员工被告知或将清算。
此前2月份消息,东南亚加密货币交易平台Zipmex在与一家风险投资公司达成协议,在完成收购交易后将重新开放客户提款。据一位知情人士透露,一项于去年11月进行“高级谈判”的救援协议已经签署。
去年7月,Zipmex在加密借贷公司Babel Finance以“异常流动性压力”为由停止提款后,在新加坡申请债务债权人保护。[2023/3/24 13:24:17]
总之,今天的区块链安全状况跟当年比起来,其实水平是提高了非常多的,如果告诉你,当年Mtgox法胖会在以太笔记本电脑里存着几十万个比特币的私钥,你敢信吗?虽然行业更安全了,但其实行业所面临的安全复杂度则高了很多倍,比如说智能合约安全、多链资产的管理等等的,都给今天的行业安全带来了更多的挑战,所有这些都需要行业内的大家一起努力。
主持人:下面的访谈,我们将结合具体的安全事件进行讨论。
黑客利用IOTA官方钱包应用Trinity的漏洞窃取资金,随后官方宣布关闭整个网络。文浩总,怎么看待「Trinity钱包被盗导致主网关停」这件事?
分析师Alex Krüger:美国SEC寻求的禁止质押可能会推动链下或海外的质押:金色财经报道,2月9日,美国SEC主席Gary Gensler和SEC称Kraken及其“质押即服务”产品通过其质押服务提供未注册的证券。因此,Kraken暂停了质押即服务,加密货币市场大幅下滑。
2月10日,分析师Alex Krüger对SEC主席最近的监管打击行动给予了积极评价。Alex Krüger表示,美国证券交易委员会正在寻求的禁止质押可能会推动链下或海外的质押。这将使以太坊进一步去中心化,因为它将不再受到美国监管机构的打击。[2023/2/11 12:00:18]
文浩:关于Trinity钱包被盗,我个人没有做过深入分析,因为我们不太关注JavaScript核心的钱包,不过呢,看了慢雾的相关分析报告,非常专业,其实应该是MoonPay模块的问题,MoonPay是一个第三方交易模块,用来帮助海外用户买卖币的第三方服务,除了Trinity其实还有一些其它的钱包在用Moonpay。攻击者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻击,注入了恶意的JavaScript代码,详细的报告大家可以去找下慢雾的文章。其实这就是过去这些年我们一直强调的“JavaScript钱包的安全天花板其实非常低”的原因。
数据:Coinbase的质押收入约占净收入的11%左右:金色财经报道,Coinbase 的去年三季度营收报告显示,质押收入大约 6280 万美元,约占净收入(5.8 亿美元)的 11% 左右。
今早报道,Coinbase 联合创始人兼首席执行官 Brian Armstrong 发推表示,我们听到传闻,称美国证券交易委员会(SEC)希望在美国取消零售客户的加密货币质押服务。[2023/2/9 11:56:24]
主持人:DeFi是目前最热门的话题之一,相应的安全问题也浮出水面。
事件1:DeFi项目bZx遭受了两次攻击。事件发生后,DeFi保险平台NexusMutual兑付了bZx事件中3.1万美元的用户索赔。
事件2:去中心化稳定币交易平台Curve出现异常交易,该笔交易使用价值8.9万美元的USDC兑换了价值46.5万美元的BUSD。部分DeFi业内人士猜测,此次攻击或与DeFi协议iEarn提供的Zap智能合约有关。近期出现的DeFi安全事件,会不会引发用户对DeFi的信任危机?
文浩:我觉得Defi的安全事件并不会导致Defi的信任危机,就像当年的DAO事件,其实也没导致智能合约的逻辑危机一样。因为这类的安全事件,本身还是因为要么是业务逻辑、要么是智能合约安全所导致的,所以,不能因为出事儿了就连Defi都不相信了,合约有漏洞,那就把合约改好就好了,逻辑有问题,那就把逻辑修复下,Defi本身的根基还是不变的。当然,由于区块链和智能合约的复杂度,在这上面干活儿的安全风险相比起传统的软件开发要高很多倍,难度也大得多,因此,开发者们更要重视安全,与优秀的像慢雾这样的安全团队一起协作,努力搭建出更加安全可靠的Defi服务。就像交易所被盗并不意味着比特币就不安全了一样。安全事件能给我们敲响警钟,但Defi本身的逻辑是不变的。
Yuga Labs聘请动视暴雪前总裁担任新首席执行官:12月19日消息,Yuga Labs将任命动视暴雪前总裁兼首席运营官Daniel Alegre为首席执行官。Daniel Alegre将在2023年上半年上任,公司首任和现任首席执行官Nicole Muniz将作为合伙人和战略顾问留在团队中。
据悉,Daniel Alegre曾参与《使命召唤》、《魔兽世界》、《暗黑破坏神》、《守望先锋》和CandyCrush等游戏品牌的开发。(Decrypt)[2022/12/19 21:54:51]
主持人:比特派钱包有DeFi和CeFi的相关业务,DeFi和CeFi安全问题的区别是什么?目前DeFi项目存在什么样的安全风险?这两个问题文浩总怎么看?
文浩:关于Defi和Cefi在安全方面的区别,我这边还是有一些发言权的,因为比特派在这两块都有相关的产品和服务。首先呢,比特派在以太坊及USDT的钱包功能方面非常完善,ETH生态的Defi入口我们都已经做的很完备了,你在比特派里可以很方便的使用各类的Defi应用。同时呢,我们自己其实还有自己的Cefi产品,比特派钱包内就有完善的中心化借贷服务。这两者在安全方面的要求其实是有着本质的区别的。Defi的安全更重要的是智能合约的安全和业务逻辑的安全,你如果有一个智能合约代码漏洞,那上面的资产可能就完蛋了。而像前面提到的bZx先后两次遭受攻击,则是逻辑上的缺陷被攻击者利用然后进行的攻击。而这里呢,FlashLoan闪电贷是个非常优秀的想法,也是Defi创造力的很好的例子,但逻辑上有漏洞,那就会有很高的风险。Cefi的安全则不用管这些,Cefi的安全更多的则类似于交易所安全,因为用户是把币存在Cefi平台上的,你主要要担心的是黑客盗币。
外媒:韩国检方已逮捕一名Terraform员工,其被指控进行虚假交易和价格操纵:10月8日消息,韩国检方已逮捕一名 Yu 姓 Terraform 员工,该员工曾为 Do Kwon 的主要助手,其被指控进行虚假交易和价格操纵。
据报道,这是韩国检方在 Terra 案中的首次逮捕行动。(韩国JTBC)[2022/10/8 12:49:15]
对于Defi开发者来说,说实话真正做好是非常难的。我们虽然并未直接参与到具体的Defi项目之中,但比特派其实还是开发过也使用过不少智能合约的,在这个过程中,和慢雾、派盾等安全团队也有过深入的合作,而其中说实话遇到的问题和所获得的成长、收获还是很多的,提醒各个Defi团队,安全真不能掉以轻心。
位于发现页的DeFi应用
主持人:好的,我们进入最后一个话题,关于用户资产的安全
毕马威发布的最新报告显示,2017年以来,黑客至少盗窃了98亿美元的加密货币。数字资产的安全变得愈发重要。普通用户应该如何保护自己的数字资产呢?如果发现自己的数字资产被盗,应该马上采取什么样的行动?
文浩:首先,巨鲸用户因为SIM卡攻击丢币相当于再次验证了我们一直以来的一个观点,那就是不要用Web钱包、JavaScript钱包等安全架构天花板低的钱包,而我们其实是在2014年就反复强调过这一点的。Trinity、巨鲸用户这两个例子其实只是又给这类的悲剧增加了相同的案例而已。
作为最早开发钱包的团队之一,在过去六七年的时间里面,我们实在是看到了太多的被盗案例,而其中不少的丢币都是反复发生的,也就是说,五年前有人怎么丢币,现在仍然有人用相同的方式丢币。
在这里,我可以给大家这么几个钱包保护的意见:1、请使用有安全口碑的、架构合理的钱包方案,今天的这两个例子里用的都是不合理的方案导致的悲剧。2、请一定要保管好助记词,这里要说明一点,因为助记词保管不当丢币的实在是太多了。把助记词存到网盘、邮箱,截图存到相册并且不知道都备份在哪些应用同步到了云相册里的;聊天工具里随便一个子就能的你把助记词发给他的;助记词压根就没抄,然后把钱包删了手机扔了的;用草书抄助记词,连自己都认不出来的的;总之,各类的奇奇怪怪的因为助记词丢币的实在是太多了。3、日常的币存在热钱包里,大额的币存在开源的硬件冷钱包里,如果需要更高的安全级别请用加密账户;4、多人共管的币使用硬件冷钱包+多重签名共同管理,这类的丢币案例也很多,不能大意;
BitHD护盾&刀锋支持BTC、ETH、USDT、BCH、LTC、EOS及全系ERC20token的多签功能
如果发现数字货币资产被盗,那首先应该尽可能的联系行业内相关的企业,看看能不能帮你获取更多、更完整的相关信息,然后再去报警。当然,所有这些你都得指望盗你币的人是个笨贼,留下了足够多的蛛丝马迹,否则找回还是很困难的。
另外,像慢雾也有AML风控系统,并且慢雾也和包括比特派在内的钱包和交易所进行这相关风控合作,因此,也应第一时间报告给慢雾和比特派,大家可以一起看看能不能拦住相关资产的交易、兑换。
主持人:最后一个问题,针对当前区块链的安全环境,请嘉宾提出自己的建议。
文浩:当前区块链的安全环境方面:我个人觉得还是需要行业内的企业共同努力,虽然我之前提到过的相比起当年行业安全水平提高了非常多,但说实话离真正好的安全水平还是相差很多的,我这里可以举几个例子:比如说,一年前,如果你们企业想管理五千万美金的USDT,你们该怎么办?如果我告诉你,在当时没有任何好办法,能拿一个硬件钱包让一个人自己来管理就已经很不错了,你敢信吗?直到今天,仍然只有BITHD上能做原生的硬件钱包USDT多重签名,这其实就是行业内安全水平还有很多不足的地方,你们想想看,那个管理你们企业五千万USDT的人跑路了咋办?再比如说,现在有不少厂商宣传第三方托管服务,其安全性你也得打上个大大的问号。从当年的Bitgo开始,再到这一两年全球越来越多的第三方托管,大家宣传起来都是一副“托管在我们这里的,你就放心吧”的劲头。但问题是,如果你做一个交易所,请永远记住,请只用那些第三方托管服务来作为热钱包使用,永远别拿他们来当冷钱包,这类的错误方案所导致的悲剧实在是太多了。Bitgo的方案就先后坑过两家企业,一个是Bitfinex被盗了12万个比特币,另一个是Upbit,也是被盗了巨量资产,当然丢了之后Bitgo是不会管的,其实也没法管。其它的第三方托管服务也曾有过各种被盗币的案例。这道理其实很简单,你自己用个托管服务的apikey调用着就把币给发了,那黑客黑了你的交易所之后,用同样的apikey不一样能把币给发送到黑客自己的地址了吗?所以,哪怕你做了再多的安全防护,请只把第三方托管服务用于热钱包方案中,别存大额。
总之呢,行业的安全相比起当年有了非常多、全方位的进步,但仍有很多不足之处,大家仍有很多可做的事情让整个行业更安全!
标签:USD区块链USDTUSD币USD价格区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势USDT币USDT价格
加密货币寒冬和FTX崩盘削弱了加密货币放款人的队伍。Genesis、BlockFi、VoyageurDigital和CelsiusNetwork都在过去七个月内申请破产,而危机的蔓延可能仍未结束.
1900/1/1 0:00:00根据FTX工作人员分享的一份报告,在币安宣布将收购该交易所之前,首席执行官SamBankman-Fried解释说,在72小时内,FTX的提款额约为60亿美元.
1900/1/1 0:00:00自从2009年比特币问世开始,基于比特币的底层技术区块链也开始逐渐被人所熟知。自此,数字货币,这种电子货币的替代货币,开始登上历史的舞台.
1900/1/1 0:00:00加密税中最容易被误解的一个概念是成本基础,或者简单地说,就是购买加密资产所支付的费用。这是一个非常重要的数字,因为你必须知道它是什么,才能知道你欠了多少税.
1900/1/1 0:00:00过去一周,加密货币市场在前一周的上涨势头之后再次开始成交量下降。过去一周,前20大资产多数跌幅高达12%,市值缩水2亿,总市值达到$1.08T.
1900/1/1 0:00:00在国庆节的前一天,李笑来就曾经发了一则隐退的文章,宣称自己将不会再做个人的项目投资,人们在震惊之际似乎又在情理之中.
1900/1/1 0:00:00