《EP28：深入解析鏈上安全：普通人如何構建加密資產(chǎn)防火墻》

在數(shù)字資產(chǎn)日益普及的今天，加密安全已成為每個人在Web3世界中不可忽視的重要課題。Mint Ventures發(fā)起的WEB3 Mint To Be播客，致力于深入探討Web3領域的熱點問題，為聽眾提供清晰的洞察和實用的建議。本期節(jié)目，我們邀請到區(qū)塊鏈安全公司BlockSec的CEO周亞金，與大家共同探討加密安全的重要性，以及普通人如何有效保護自己的數(shù)字資產(chǎn)。

BlockSec的服務范疇和目標客戶

Alex：本期節(jié)目，我們將聚焦于一個與每個人息息相關的話題——加密世界的安全。在遭遇真正的風險之前，許多人往往認為自己不會成為新聞中安全事件的受害者。如何為自己的資產(chǎn)構建一個堅實的防火墻，確保在安全的環(huán)境下投資，是我們開始加密旅程前必須掌握的技能。今天，我們邀請到了BlockSec的CEO周亞金，與我們分享關于加密安全的見解。周老師，歡迎您！

周亞金：大家好，我是周亞金，目前擔任BlockSec的CEO，同時也是浙江大學網(wǎng)絡空間安全的研究人員。非常高興能與大家交流。

Alex：好的，讓我們進入正題。許多聽眾可能對區(qū)塊鏈安全公司和安全服務了解不多。周老師，請您先介紹一下BlockSec，以及我們提供的服務內容，哪些類型的人或機構會成為我們的客戶？

周亞金：BlockSec是一家專注于Web3安全的公司，成立于2021年，由我和吳老師共同創(chuàng)立。在Web3安全領域，大家可能首先想到的是安全審計。實際上，BlockSec的業(yè)務范圍遠不止于此，我們還提供一系列其他的安全產(chǎn)品和服務。具體來說，我們的服務可以分為三大板塊。

第一個板塊是針對鏈上協(xié)議的安全。鏈上協(xié)議指的是部署在區(qū)塊鏈上進行DeFi、NFT等活動的智能合約。這些合約的安全性如何保障？BlockSec提供安全的審計服務和監(jiān)控產(chǎn)品。第二塊我們關注的是資產(chǎn)的安全。即用戶如何保證自己合約錢包中的資產(chǎn)，或投資于鏈上協(xié)議的資產(chǎn)安全。第三塊是合規(guī)與監(jiān)管。隨著越來越多的傳統(tǒng)金融機構進入Crypto行業(yè)，監(jiān)管機構面臨著如何監(jiān)管這些新玩家的難題。BlockSec也提供幫助這些機構進行合規(guī)的服務。

我們的客戶覆蓋范圍廣泛。包括在鏈上提供Lending、去中心化交易等服務的項目方，以及擁有大量資產(chǎn)的高凈值客戶。我們的服務和產(chǎn)品可以幫助他們在智能合約部署前進行安全審計，并在部署后進行7×24小時的監(jiān)控，及時通知并阻斷安全風險。此外，我們還服務于監(jiān)管機構，幫助他們監(jiān)管Crypto行業(yè)的玩家，或進行合規(guī)操作。

關于加密安全的三點建議

Alex：周老師詳細介紹了BlockSec的業(yè)務范圍和客戶類型。接下來，我們想聽聽您對剛剛進入Web3領域的朋友的建議。如果您身邊有朋友剛進入加密投資領域，您會給他們哪三點關于加密安全的建議？

周亞金：這是一個很好的問題。我身邊的朋友也經(jīng)常向我咨詢安全建議。進入Crypto領域，風險無處不在。我們曾開玩笑說：如果你進入Crypto圈后，沒有遇到過釣魚或詐騙，那你就不算真正融入這個領域。當然，這只是玩笑話，但確實反映了Crypto行業(yè)的高風險性。以下是我給的建議：

第一個建議是私鑰保護。在Crypto領域，私鑰是證明你擁有資金的關鍵。私鑰是一串數(shù)字，與你的個人身份無關。一旦丟失或泄露，他人就能控制你的賬戶。保護私鑰的方法有多種，如硬件錢包、合約錢包或手機APP。我個人建議將私鑰的助記詞保存在保險箱中，并使用一個專用的設備存儲私鑰，避免進行其他操作，以降低風險。

第二個建議是在鏈上交易時保持安全和風險意識。記?。禾焐喜粫麴W餅。鏈上交易時，用戶面臨巨大的釣魚風險。即使是許多KOL和OG也曾遭遇釣魚攻擊，損失慘重。因此，對于任何要求連接錢包以獲取空投獎勵的陌生網(wǎng)站，都要保持警惕。

第三個建議是了解加密資產(chǎn)的基本知識。例如，授權機制。在Crypto中，授權是一個重要概念。例如，你擁有一類數(shù)字資產(chǎn)如USDT或USDC，可以通過鏈上簽名將資產(chǎn)授權給合約或其他用戶使用。如果不了解授權機制，可能會簽署錯誤的交易，導致資產(chǎn)被他人動用。因此，對授權機制有基本了解非常重要。

總結起來，我的建議是：保護好私鑰，保持鏈上交易的安全意識，了解Crypto的授權機制。

高凈值用戶的安全挑戰(zhàn)

Alex：我身邊確實有高凈值的朋友，他們都是行業(yè)內的OG或老手，但每年仍會聽到他們遭遇被盜的消息。行業(yè)里有一種說法：如果專業(yè)的黑客盯上你，知道你的錢包有錢，他們動用所有資源，你很難逃脫。您認為這種說法有道理嗎？

周亞金：你提出的問題非常好。安全問題，尤其是Crypto安全，本質上是不平衡的對抗。如果你的錢包里擁有大量資產(chǎn)，你很容易成為黑客的攻擊目標。一旦成為目標，黑客會動用大量資源，包括社工、技術等，根據(jù)你的日常行為模式和生活習慣設計攻擊方案。在這種對抗中，防御難度極高。因此，高凈值用戶應盡量低調，避免暴露資產(chǎn)信息，并做好資產(chǎn)隔離，將大量資產(chǎn)存放在不常用的錢包中，并尋求安全專家的幫助。

印象最深刻的三個安全事件

Alex：您的建議非常重要。能否分享三個您印象最深刻的安全事件？

周亞金：當然可以。以下是我們親自參與處理且印象深刻的安全事件：

第一個例子是2023年2月發(fā)生的鴨嘴獸協(xié)議被攻擊事件。黑客通過協(xié)議漏洞竊取了近9百萬美元的資產(chǎn)。黑客在攻擊時犯了一個錯誤，他在部署攻擊合約時，合約中存在一個可利用的漏洞，導致部分攻擊資金被提取出來。我們第一時間檢測到該事件，并與項目方合作，利用黑客的漏洞將部分資金追回。這是區(qū)塊鏈安全史上第一次“hack back”事件，即利用漏洞將攻擊資金追回。

第二個例子是2023年發(fā)生的ParaSpace協(xié)議被攻擊事件。我們的系統(tǒng)第一時間預警，并聯(lián)系項目方分析原因。攻擊者在攻擊時，手續(xù)費不足導致交易失敗，但攻擊行為和trace已暴露在鏈上。我們模擬攻擊交易行為，自動化生成攻擊交易，將協(xié)議中的500萬美元資金轉移至安全賬戶，并聯(lián)系項目方返還資金。這次行動是歷史上金額最高的“rescue”行動，即拯救鏈上資金。但這次行動也引發(fā)了我們對安全道德和倫理的思考。

第三個例子是Bybit安全事件。黑客通過社工攻擊，攻破了SAFE錢包的開發(fā)者電腦，部署了惡意代碼，導致用戶資金被盜。這次事件損失高達15億美元，是迄今為止安全圈中損失最大的單筆事件。黑客通過攻破SAFE錢包的開發(fā)者電腦，修改了用戶在錢包中看到的操作界面，導致用戶簽署了惡意的升級交易，從而接管了錢包并轉移資金。這次事件給我們帶來的啟示是，涉及大額資金的一定要做交叉驗證，不能依賴單一信息源，以降低風險。

親歷社工攻擊

Alex：您提到的社工攻擊，可能不是所有聽眾都能理解。能否解釋一下？

周亞金：社工攻擊全稱是社會工程學攻擊，它利用的不是技術手段，而是你的工作習慣、人際交往關系、工作職責等，針對你設計的一套攻擊手法。我有一個親身經(jīng)歷的社工攻擊案例。我作為BlockSec的CEO，經(jīng)常收到一些邀請，如參與播客、會議、采訪等，以及一些投資機構的聯(lián)系。我曾收到一封自稱是投資機構的郵件，希望商談投資機會。我們公司安全意識較強，對郵件和域名進行了觀察和背調，發(fā)現(xiàn)這是一個看似真實的機構，盡管我從未聽說過。我們約了會議，但他沒有提供會議鏈接，只是約了時間。會議前，他要求下載一個軟件，利用我焦急的心理，我毫無猶豫地下載了含有惡意成分的視頻會議軟件，導致我的私鑰被盜。

這次攻擊利用了我的職位和工作職責，以及我在開會前的焦急心理，成功實施了攻擊。

與區(qū)塊鏈協(xié)議交互時的安全原則

Alex：回到普通人如何與區(qū)塊鏈協(xié)議交互的問題。我們很多人在鏈上交互時，也是DeFi協(xié)議的用戶。在跟這些DeFi協(xié)議或其他協(xié)議交互時，有哪些需要遵守的安全原則？

周亞金：普通用戶在進行鏈上交易時，首先要做好項目方的背調。如果你是高凈值用戶，投資鏈上協(xié)議時，需要對項目方進行充分的盡調。盡調包括了解項目方創(chuàng)始人身份、技術能力等。你可以查看項目方是否經(jīng)過頭部安全公司的審計，并簡單review審計報告中的核心關鍵點。此外，進行交互時要采用漸進式的方式，不要一次性大資金進入，以降低風險。借助專業(yè)的安全工具，如攻擊監(jiān)控平臺，時刻掌握所投資協(xié)議的安全風險。對于資金量較小的用戶，主要防范釣魚風險，不要貪心，不要輕信陌生網(wǎng)站，并使用安全工具識別釣魚網(wǎng)站。

關于交互的安全，我注意到一個案例：幣安下架了一些項目代幣，稱其運營不達標，項目方表示可能因各種問題停止運營，處于半廢棄狀態(tài)。如果用戶之前使用過DeFi協(xié)議，而協(xié)議無人管理，代碼升級權限不明確，可能會導致資金被黑客或別有用心的人掌握。因此，普通用戶要定期review自己的授權，撤銷不使用的授權，以降低風險。

關于交互的安全，我還有一個問題：為什么DEX被盜的數(shù)量不如借貸或質押類協(xié)議多？

周亞金：你說得很對。相對而言，DEX的安全風險比借貸、Yield farming等協(xié)議低。首先，DEX協(xié)議相對簡單，核心是恒定乘積公式，且已有成熟的參考樣例如Uniswap。其次，DEX不存錢，用戶只需swap即可，資產(chǎn)不會長時間停留在DEX Pool中。即使DEX Pool被攻擊，大部分用戶不會損失，損失的是提供流動性的用戶。而借貸平臺等協(xié)議，資產(chǎn)是實實在在存放在協(xié)議中，且用戶通常超額抵押，一旦被攻擊，受損用戶群體較大。歷史上，DEX被攻擊的原因多為授權漏洞，但這種類型相對容易發(fā)現(xiàn)。

區(qū)塊鏈安全行業(yè)的現(xiàn)狀和潛力

Alex：我們聊了很多安全攻防和如何保護個人資產(chǎn)安全的具體問題。最后一個問題，關于區(qū)塊鏈安全行業(yè)的現(xiàn)狀。21、22年時，DeFi的繁榮帶動了區(qū)塊鏈安全行業(yè)的快速發(fā)展。目前，這個行業(yè)規(guī)模如何？發(fā)展現(xiàn)狀和利潤水平如何？

周亞金：這是一個很好的問題。區(qū)塊鏈安全行業(yè)目前處于早期階段，整體市場規(guī)模約為30億美元，與傳統(tǒng)網(wǎng)安產(chǎn)業(yè)相比仍有較大差距。區(qū)塊鏈安全行業(yè)的發(fā)展現(xiàn)狀與區(qū)塊鏈行業(yè)的發(fā)展密切相關。近年來，DeFi Summer的熱潮過后，區(qū)塊鏈產(chǎn)業(yè)規(guī)模有所下降，但傳統(tǒng)金融機構正逐步進入該行業(yè)，帶來合規(guī)化需求。合規(guī)和監(jiān)管將成為區(qū)塊鏈安全行業(yè)未來發(fā)展的關鍵。

頭部安全公司的護城河

Alex：頭部安全公司的護城河主要有哪些？

周亞金：頭部安全公司的護城河主要體現(xiàn)在以下幾個方面：品牌和信任、安全創(chuàng)新技術、合規(guī)、監(jiān)管和地緣政治影響。品牌和信任是安全審計的關鍵，頭部公司仍然處于供不應求的狀態(tài)。安全創(chuàng)新技術是解決區(qū)塊鏈安全問題的關鍵，BlockSec不僅提供智能合約審計服務，還提供攻擊監(jiān)控和阻斷平臺，覆蓋智能合約全生命周期。合規(guī)、監(jiān)管和地緣政治影響也是區(qū)塊鏈安全公司的重要護城河，合規(guī)和監(jiān)管將成為區(qū)塊鏈安全行業(yè)未來發(fā)展的關鍵。

Alex：今天我們聊了加密安全的多維度話題，從具體的安全事件到個人需要注意的安全原則，再到整個行業(yè)的發(fā)展規(guī)模等。非常感謝周亞金今天帶來的真知灼見。希望未來還有機會再聊更多相關話題。

周亞金：謝謝Alex。

原文鏈接 歡迎加入idea2003 BlockBeats官方社群：Telegram訂閱群：http://www.iy168.cn/theblockbeats Telegram交流群：http://www.iy168.cn/BlockBeats_App Twitter官方賬號：http://www.iy168.cn/BlockBeatsAsia