DEF:SheKnows | 暴雷，攻击，漏洞！拿什么来保护你，我的BTC？

刚刚过去的2月，交易所暴雷、遭受攻击，私钥被窃，DeFi项目出现漏洞和人为失误，一系列的安全事件，给区块链项目的管理敲响了警钟。

3月6日下午，SheKnows直播间迎来区块链安全专场，邀请了慢雾科技合伙人启富、比特派创始人文浩、DDEX联合创始人王博闻，围绕区块链安全的话题展开讨论，在不安全的世界里寻找安全感。

昨天VS今天：区块链行业是否越来越安全？

SheKnows：现在的区块链行业比以前更安全了吗？

启富：安全的本质是信任，安全的核心是攻防对抗，攻防的核心又是成本对抗。安全是动态的，随着业务的发展也可能会引入新的安全问题。安全也不是绝对的，从来不存在一家100%安全的公司或项目。随着行业的发展，需要大家不断地提升安全意识，才能有效的避免出现更多被黑事件。

文浩：虽然看起来到今天仍然是此起彼伏的黑客事件、安全事故、盗币案例，但相比起当年，其实是安全了很多个量级了，具体理由如下：1.硬件冷钱包技术和方案有了长足的发展；2.开始出现了越来越多的专业的安全团队；3.币圈企业更有钱了，更有钱其实也很重要，因为有钱了就能在安全方面投入更大的资源。虽然行业更安全了，但其实行业所面临的安全复杂度则高了很多倍，比如说智能合约安全、多链资产的管理等等的，都给今天的行业安全带来了更多的挑战，所有这些都需要行业内的大家一起努力。

Shell Protocol已开放“是否成立DAO以接受其他项目空投”投票:3月22日消息，DeFi协议Shell Protocol已开放“是否成立Shell DAO以接受其他项目空投”投票。此前报道，Shell Protocol曾于Arbitrum网络发行Toucan NFT，并将此NFT系列用于社区治理投票。[2023/3/22 13:18:44]

王博闻：区块链行业安全其实是一个黑盒子，每年都会有不同的平台出现被盗的事件，从最早的门头沟，到韩国Upbit被盗5000万美金,币安7000比特币的被攻击，到Fcoin内部亏空。包括最近出现的DeFi智能合约的一些攻击，就比如说我上周分析的bzx的闪电贷攻击，和SNX的套利。每年的智能合约安全的需求都在成倍的增长。

IOTA被盗，巨鲸丢币，普通用户该不该担心？

背景：

事件1：黑客利用IOTA官方钱包应用Trinity的漏洞窃取资金，随后官方宣布关闭整个网络。

事件2：论坛名为“zhoujianfu”的巨鲸称，丢失1547BTC和近60000BCH。SIM卡攻击，疑似使用Blockchain.info服务。

SheKnows：针对事件1，之前看到慢雾分析的结果是，新版本的官方钱包里的一个交易模块出了问题。能否具体讲讲？

启富：原因是IOTA官方钱包引入了第三方的组件，然后第三方组件被黑，间接影响了他们官方钱包的很多用户，导致他们的私钥、密码被盗。已经统计出来的损失，被盗的IOTA大概是855万枚，价值大概230万美金。技术上具体展开来说就是，IOTA官方钱包内置了一个第三方交易模块MoonPay，等于钱包内有一个交易所的功能。攻击者盗取并利用MoonPay的CloudflareAPIKey发起中间人劫持攻击，在IOTA钱包引用的MoonPayJS文件中注入恶意JavaScript，盗取用户的种子、密码等。

Nifty Gateway推出允许策划作品的平台Publishers:9月1日消息，NFT交易平台Nifty Gateway宣布推出允许用户策划自己作品的平台Publishers，超50位策展人将能够选择艺术家名单并以类似Shopify的方式经营自己的NFT店面，之后会扩展到其他想要发布NFT的团体，例如艺术家、为忠诚度或效用发布NFT的品牌等。[2022/9/1 13:02:48]

SheKnows：怎么看待Trinity钱包被盗导致主网关停这件事？

文浩：其实应该是MoonPay模块的问题，MoonPay是一个第三方交易模块，用来帮助海外用户买卖币的第三方服务，除了Trinity其实还有一些其它的钱包在用Moonpay。攻击者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻击，注入了恶意的JavaScript代码，详细的报告大家可以去找下慢雾的文章。其实这就是过去这些年我们一直强调的“JavaScript钱包的安全天花板其实非常低”的原因。

SheKnows：巨鲸由于SIM卡攻击而丢失巨额资产，其他的普通用户会不会遭受这种攻击？什么样的钱包算是安全的？

启富：SIM卡攻击手法，其实是挺流行的，但是在国内大家可以不用太担心，因为国内已经度过了早期运营商各种混乱，甚至运营商内部做恶这些情况，包括我们相关的一些法律以及监管，大家的手机号不会轻易被别人给复制。在我们国家大概10年前，这个现象还是挺普遍的。但是在国外运营商的实力，不一定有我们国内的这么强，大家都知道我们国家基建的水平是非常强的。而很多海外运营商属于私人企业在运作，技术实力等等都不一定那么高，包括相关的一些内部协议，可能都是很古老的版本，以及风控管理上可能都比较落后，确实会存在海外的手机号被社会工程学等方式复制。

WOO Network与SheepDex达成合作:据官方消息，流动性&交易供应平台WOO Network 与BSC上第一个V3流动聚合平台SheepDex达成战略合作。接下来Woo Network将利用其流动性网络的优势，提高SheepDex 的流动性和交易量，共同构建SheepDex生态。SheepDex 将于12月10日UTC时间11:00添加新的交易对 WOO/BNB，同时开启流动性挖矿和交易挖矿奖励。[2021/12/10 7:31:36]

关于钱包安全的选择，我觉得需要结合用户自身的熟悉水平，如果是接触区块链不久的、持币量不大的用户，建议资产托管在全球知名的交易所，开启各项二次认证、登录保护措施；如果是对区块链有一定的认知，对去中心化钱包有相应的了解，可以选择国际知名的去中心化钱包，把币放在里面，同时离线备份好助记词、私钥；第三种是资金量大的，对安全要求高的，可以选择国际知名的硬件钱包，或者专业的资产托管平台。

FCoin暴雷，OKEx和Bitfinex被DDoS攻击，交易所安全何去何从？

背景：

事件1：FCoin交易所表示，由于资金困难导致资金储备无法兑付用户提现。

事件2：OKEx、Bitfinex等交易所频繁遭受DDoS攻击，相关服务受到影响。

SheKnows：你对“交易即挖矿”这种模式有没有新的看法？FCoin暴雷，对交易所这个赛道会产生什么样的影响？

王博闻：“交易即挖矿”是一个模式创新，很多人也参与过Fcoin交易即挖矿，这个模式是不可持续的，因为人为地透支交易需求，而且是将第二天的收益，透支给前一天，所以本质是击鼓传花。Fcoin挤兑的暴雷，主要是内部的统计系统和风控系统不完善所导致的，内部亏空严重，到最后挤兑发生，都是Fcoin本身内部的问题。这种问题就不会发生在DeFi产品上，因为所有的资产都是从第一天开始就是公示给所有人，大家都可以看到有多少用户，每个用户存取了多少钱，借了多少钱，所以平台没有作恶的可能性。在第一天把所有的账务公示给所有人是DeFi资金安全的一个最好的广告牌。

WISeKey WIShelter手机App利用区块链等技术认证未感染新冠肺炎的用户:WISeKey开发的WIShelter手机应用程序现在包括用户上传和数字认证其COVID-19测试结果的功能，使用数字ID和区块链协议认证未感染COVID-19的用户，为其国际旅行提供便利。[2020/7/6]

SheKnows：什么样的交易所是相对安全的？去中心化交易所面临哪些安全风险？

王博闻：直到交易所被盗之前，所有的安全保护宣传都是不可证伪的。因为如果交易所开源冷热钱包管理系统，黑客也会有专门的方式针对。所以最好的选择，可能是分散风险，冷热钱包自己控制，如果不信任自己钱包管理能力，可以在几个最老，安全信任度最高的交易所，分散资产，比如说Kraken、Coinbase。

DEX的风险，我们把智能合约安全放在最高优先级，我们和行业领先的几家安全审计机构Peckshield、Secbit合作，至今在以太坊上执行了45万笔链上交易，没有出过安全问题。我们也和行业内的白帽子合作，做公开的悬赏计划，给提供安全线索的开发者一定的奖励。

bZx被攻击，Curve交易异常，DeFi遭遇信任危机？

背景：

事件1：DeFi项目bZx遭受了两次攻击。事件发生后，DeFi保险平台NexusMutual兑付了bZx事件中3.1万美元的用户索赔。

事件2：去中心化稳定币交易平台Curve出现异常交易，该笔交易使用价值8.9万美元的USDC兑换了价值46.5万美元的BUSD。部分DeFi业内人士猜测，此次攻击或与DeFi协议iEarn提供的Zap智能合约有关。

SheKnows：近期出现的DeFi安全事件，会不会引发DeFi的信任危机？

Cardano Shelley测试网已有200个活跃质押池在运行:金色财经报道，Cardano Shelley测试网现在已有200个已注册的活跃质押池，并且正在运行。据此前消息，Cardano Shelley测试网于6月9日正式开放公测。[2020/6/17]

启富：DeFi的初心是开放金融，这降低了人们进行金融交易的门槛，同时监管上也变得没那么严格，DeFi的很多事情还在摸索阶段，一件事情刚开始的时候总是会遭遇很多意料之外的事情，这是无法避免的，且完全没有必要因噎废食。DeFi未来的路还很长，目前需要做的事是充分汲取这些安全事件的教训，在合约中设置好风控机制，并在产品上线前做好充分的安全审计，才能防止此类攻击再次重演。

文浩：我觉得DeFi的安全事件并不会导致DeFi的信任危机，就像当年的DAO事件，其实也没导致智能合约的逻辑危机一样。因为这类的安全事件，本身还是因为要么是业务逻辑、要么是智能合约安全所导致的，所以，不能因为出事儿了就连DeFi都不相信了，合约有漏洞，那就把合约改好就好了，逻辑有问题，那就把逻辑修复下，DeFi本身的根基还是不变的。当然，由于区块链和智能合约的复杂度，在这上面干活儿的安全风险相比起传统的软件开发要高很多倍，难度也大得多，因此，开发者们更要重视安全，与优秀的像慢雾这样的安全团队一起协作，努力搭建出更加安全可靠的DeFi服务。

王博闻：bzx可能是最近被讨论最多的DeFi被攻击的事件了，黑客通过闪电贷10000ETH,赚取了1800ETH。这是一个很高明的金融工程攻击手段，其实黑客是按照游戏规则来玩这个游戏的，他的获利也是所有规则范围允许的。所以也不会引发DeFi的信任危机，只会引入更多的新的参与者，比如说更多的安全审计和更多的保险产品。

SheKnows：DeFi和CeFi安全问题的区别是什么？

启富：DeFi、CeFi安全问题的区别其实很像中心化交易所和去中心化交易所的区别，首先拿资金管理来说，中心化的平台托管了所有用户的资产，其冷热钱包架构及权限管理就非常重要，还有对风控体系的要求也很高；去中心化平台由于没有托管用户资金，这方面要考虑的问题就比较少；第二个是系统外安全风险，不论中心化、去中心化都会对外部资源有一定的依赖，当依赖的外部系统出现意外时，能否及时发现并“容错”也是一项很重要的考验。

文浩：DeFi的安全更重要的是智能合约的安全和业务逻辑的安全，你如果有一个智能合约代码漏洞，那上面的资产可能就完蛋了。而像前面提到的bZx先后两次遭受攻击，则是逻辑上的缺陷被攻击者利用然后进行的攻击。而这里呢，闪电贷是个非常优秀的想法，也是DeFi创造力的很好的例子，但逻辑上有漏洞，那就会有很高的风险。CeFi的安全则不用管这些，CeFi的安全更多的则类似于交易所安全，因为用户是把币存在CeFi平台上的，你主要要担心的是黑客盗币。

SheKnows：目前DeFi项目存在什么样的安全风险？

启富：总结近几年发生的DeFi安全事件，可以发现主要有如下的安全风险：1.智能合约逻辑层面的漏洞、风险；2.业务模型中的缺陷；3.预言机问题；4.治理机制缺陷。

SheKnows：如何看待DeFi保险对DeFi生态的意义？

王博闻：DeFi本质还是普惠金融，普惠金融在现代金融市场是有非常多细分的业务场景，对于巴菲特来说，他非常喜欢的投资标的就是保险业，因为保险业务本质是先收钱，后赔付。所以有更多怎么更好分散风险，增加收益的选项。现在很多人对DeFi的不理解和不熟悉本身的原因，也是因为很新，很多人不了解。DeFi保险是一个增加普通用户信心的一种方式。

3年被盗98亿美元，普通用户如何保护资产安全？

背景：

毕马威发布的最新报告显示，2017年以来，黑客至少盗窃了98亿美元的加密货币。数字资产的安全变得愈发重要。

SheKnows：普通用户应该如何保护自己的数字资产呢？如果发现自己的数字资产被盗，应该马上采取什么样的行动？

启富：选择一个适合自己的保管方式是关键。假如不幸发现自己的数字资产被盗，如果资产放在交易所里，应该先联系交易所调查分析被盗原因；如果资产是放在去中心化钱包里，很可能就是私钥、助记词泄露了，这时候可以联系慢雾hack@slowmist.com邮箱，我们AML系统可以对被盗资产进行监控和追踪，当发现资产进入交易平台时将尝试进行阻断。

文浩：在这里，我可以给大家这么几个钱包保护的意见：

1.请使用有安全口碑的、架构合理的钱包方案；2.请一定要保管好助记词；3.日常的币存在热钱包里，大额的币存在开源的硬件冷钱包里，如果需要更高的安全级别请用加密账户。4.多人共管的币使用硬件冷钱包+多重签名共同管理，这类的丢币案例也很多，不能大意。

如果发现数字货币资产被盗，那首先应该尽可能的联系行业内相关的企业，看看能不能帮你获取更多、更完整的相关信息，然后再去报警。当然，所有这些你都得指望盗你币的人是个笨贼，留下了足够多的蛛丝马迹，否则找回还是很困难的。另外，像慢雾也有AML风控系统，并且慢雾也和包括比特派在内的钱包和交易所进行这相关风控合作，因此，也应第一时间报告给慢雾和比特派，大家可以一起看看能不能拦住相关资产的交易、兑换。

王博闻：很多数字资产被盗之后都是无疾而终，能追回的寥寥无几，唯一能做的就是做好之前的资产保护，管理好自己的冷热钱包，分地点存储，放保险柜里，防火防水防脱墨。

SheKnows：针对当前区块链的安全环境，请各位嘉宾提出自己的建议。

启富：慢雾的愿景就是成为区块链生态的安全基础设施，作为区块链优质从业代表，目前慢雾正紧密与国家相关单位制定区块链行业标准、区块链技术国标、区块链安全国标，为推动区块链技术发展、项目落地做出一份贡献，共同保障我国区块链行业有序、健康发展。只有行业不断健康发展，才能给我们这些早期从业者带来红利。

文浩：当前区块链的安全环境方面：我个人觉得还是需要行业内的企业共同努力，虽然我之前提到过的相比起当年行业安全水平提高了非常多，但说实话离真正好的安全水平还是相差很多的，大家仍有很多可做的事情让整个行业更安全！

王博闻：我的建议还是从用户的角度出发，也是一句行业的金句了：只有你拥有的私钥，才是你的数字资产。祝愿大家2020年，找到最好的方式掌握自己的私钥。

标签：EFIDEFIDEFSHEdefi去中心化交易所下载DeFi BidsBasketDAO DeFi IndexSHEEB币

币安app官网下载热门资讯