《EP28：深入解析鏈上安全：普通人如何構(gòu)建加密資產(chǎn)防火墻》

在數(shù)字資產(chǎn)日益普及的今天，加密安全已成為每個(gè)人在Web3世界中不可忽視的重要課題。Mint Ventures發(fā)起的WEB3 Mint To Be播客，致力于深入探討Web3領(lǐng)域的熱點(diǎn)問(wèn)題，為聽(tīng)眾提供清晰的洞察和實(shí)用的建議。本期節(jié)目，我們邀請(qǐng)到區(qū)塊鏈安全公司BlockSec的CEO周亞金，與大家共同探討加密安全的重要性，以及普通人如何有效保護(hù)自己的數(shù)字資產(chǎn)。

BlockSec的服務(wù)范疇和目標(biāo)客戶

Alex：本期節(jié)目，我們將聚焦于一個(gè)與每個(gè)人息息相關(guān)的話題——加密世界的安全。在遭遇真正的風(fēng)險(xiǎn)之前，許多人往往認(rèn)為自己不會(huì)成為新聞中安全事件的受害者。如何為自己的資產(chǎn)構(gòu)建一個(gè)堅(jiān)實(shí)的防火墻，確保在安全的環(huán)境下投資，是我們開(kāi)始加密旅程前必須掌握的技能。今天，我們邀請(qǐng)到了BlockSec的CEO周亞金，與我們分享關(guān)于加密安全的見(jiàn)解。周老師，歡迎您！

周亞金：大家好，我是周亞金，目前擔(dān)任BlockSec的CEO，同時(shí)也是浙江大學(xué)網(wǎng)絡(luò)空間安全的研究人員。非常高興能與大家交流。

Alex：好的，讓我們進(jìn)入正題。許多聽(tīng)眾可能對(duì)區(qū)塊鏈安全公司和安全服務(wù)了解不多。周老師，請(qǐng)您先介紹一下BlockSec，以及我們提供的服務(wù)內(nèi)容，哪些類型的人或機(jī)構(gòu)會(huì)成為我們的客戶？

周亞金：BlockSec是一家專注于Web3安全的公司，成立于2021年，由我和吳老師共同創(chuàng)立。在Web3安全領(lǐng)域，大家可能首先想到的是安全審計(jì)。實(shí)際上，BlockSec的業(yè)務(wù)范圍遠(yuǎn)不止于此，我們還提供一系列其他的安全產(chǎn)品和服務(wù)。具體來(lái)說(shuō)，我們的服務(wù)可以分為三大板塊。

第一個(gè)板塊是針對(duì)鏈上協(xié)議的安全。鏈上協(xié)議指的是部署在區(qū)塊鏈上進(jìn)行DeFi、NFT等活動(dòng)的智能合約。這些合約的安全性如何保障？BlockSec提供安全的審計(jì)服務(wù)和監(jiān)控產(chǎn)品。第二塊我們關(guān)注的是資產(chǎn)的安全。即用戶如何保證自己合約錢包中的資產(chǎn)，或投資于鏈上協(xié)議的資產(chǎn)安全。第三塊是合規(guī)與監(jiān)管。隨著越來(lái)越多的傳統(tǒng)金融機(jī)構(gòu)進(jìn)入Crypto行業(yè)，監(jiān)管機(jī)構(gòu)面臨著如何監(jiān)管這些新玩家的難題。BlockSec也提供幫助這些機(jī)構(gòu)進(jìn)行合規(guī)的服務(wù)。

我們的客戶覆蓋范圍廣泛。包括在鏈上提供Lending、去中心化交易等服務(wù)的項(xiàng)目方，以及擁有大量資產(chǎn)的高凈值客戶。我們的服務(wù)和產(chǎn)品可以幫助他們?cè)谥悄芎霞s部署前進(jìn)行安全審計(jì)，并在部署后進(jìn)行7×24小時(shí)的監(jiān)控，及時(shí)通知并阻斷安全風(fēng)險(xiǎn)。此外，我們還服務(wù)于監(jiān)管機(jī)構(gòu)，幫助他們監(jiān)管Crypto行業(yè)的玩家，或進(jìn)行合規(guī)操作。

關(guān)于加密安全的三點(diǎn)建議

Alex：周老師詳細(xì)介紹了BlockSec的業(yè)務(wù)范圍和客戶類型。接下來(lái)，我們想聽(tīng)聽(tīng)您對(duì)剛剛進(jìn)入Web3領(lǐng)域的朋友的建議。如果您身邊有朋友剛進(jìn)入加密投資領(lǐng)域，您會(huì)給他們哪三點(diǎn)關(guān)于加密安全的建議？

周亞金：這是一個(gè)很好的問(wèn)題。我身邊的朋友也經(jīng)常向我咨詢安全建議。進(jìn)入Crypto領(lǐng)域，風(fēng)險(xiǎn)無(wú)處不在。我們?cè)_(kāi)玩笑說(shuō)：如果你進(jìn)入Crypto圈后，沒(méi)有遇到過(guò)釣魚(yú)或詐騙，那你就不算真正融入這個(gè)領(lǐng)域。當(dāng)然，這只是玩笑話，但確實(shí)反映了Crypto行業(yè)的高風(fēng)險(xiǎn)性。以下是我給的建議：

第一個(gè)建議是私鑰保護(hù)。在Crypto領(lǐng)域，私鑰是證明你擁有資金的關(guān)鍵。私鑰是一串?dāng)?shù)字，與你的個(gè)人身份無(wú)關(guān)。一旦丟失或泄露，他人就能控制你的賬戶。保護(hù)私鑰的方法有多種，如硬件錢包、合約錢包或手機(jī)APP。我個(gè)人建議將私鑰的助記詞保存在保險(xiǎn)箱中，并使用一個(gè)專用的設(shè)備存儲(chǔ)私鑰，避免進(jìn)行其他操作，以降低風(fēng)險(xiǎn)。

第二個(gè)建議是在鏈上交易時(shí)保持安全和風(fēng)險(xiǎn)意識(shí)。記?。禾焐喜粫?huì)掉餡餅。鏈上交易時(shí)，用戶面臨巨大的釣魚(yú)風(fēng)險(xiǎn)。即使是許多KOL和OG也曾遭遇釣魚(yú)攻擊，損失慘重。因此，對(duì)于任何要求連接錢包以獲取空投獎(jiǎng)勵(lì)的陌生網(wǎng)站，都要保持警惕。

第三個(gè)建議是了解加密資產(chǎn)的基本知識(shí)。例如，授權(quán)機(jī)制。在Crypto中，授權(quán)是一個(gè)重要概念。例如，你擁有一類數(shù)字資產(chǎn)如USDT或USDC，可以通過(guò)鏈上簽名將資產(chǎn)授權(quán)給合約或其他用戶使用。如果不了解授權(quán)機(jī)制，可能會(huì)簽署錯(cuò)誤的交易，導(dǎo)致資產(chǎn)被他人動(dòng)用。因此，對(duì)授權(quán)機(jī)制有基本了解非常重要。

總結(jié)起來(lái)，我的建議是：保護(hù)好私鑰，保持鏈上交易的安全意識(shí)，了解Crypto的授權(quán)機(jī)制。

高凈值用戶的安全挑戰(zhàn)

Alex：我身邊確實(shí)有高凈值的朋友，他們都是行業(yè)內(nèi)的OG或老手，但每年仍會(huì)聽(tīng)到他們?cè)庥霰槐I的消息。行業(yè)里有一種說(shuō)法：如果專業(yè)的黑客盯上你，知道你的錢包有錢，他們動(dòng)用所有資源，你很難逃脫。您認(rèn)為這種說(shuō)法有道理嗎？

周亞金：你提出的問(wèn)題非常好。安全問(wèn)題，尤其是Crypto安全，本質(zhì)上是不平衡的對(duì)抗。如果你的錢包里擁有大量資產(chǎn)，你很容易成為黑客的攻擊目標(biāo)。一旦成為目標(biāo)，黑客會(huì)動(dòng)用大量資源，包括社工、技術(shù)等，根據(jù)你的日常行為模式和生活習(xí)慣設(shè)計(jì)攻擊方案。在這種對(duì)抗中，防御難度極高。因此，高凈值用戶應(yīng)盡量低調(diào)，避免暴露資產(chǎn)信息，并做好資產(chǎn)隔離，將大量資產(chǎn)存放在不常用的錢包中，并尋求安全專家的幫助。

印象最深刻的三個(gè)安全事件

Alex：您的建議非常重要。能否分享三個(gè)您印象最深刻的安全事件？

周亞金：當(dāng)然可以。以下是我們親自參與處理且印象深刻的安全事件：

第一個(gè)例子是2023年2月發(fā)生的鴨嘴獸協(xié)議被攻擊事件。黑客通過(guò)協(xié)議漏洞竊取了近9百萬(wàn)美元的資產(chǎn)。黑客在攻擊時(shí)犯了一個(gè)錯(cuò)誤，他在部署攻擊合約時(shí)，合約中存在一個(gè)可利用的漏洞，導(dǎo)致部分攻擊資金被提取出來(lái)。我們第一時(shí)間檢測(cè)到該事件，并與項(xiàng)目方合作，利用黑客的漏洞將部分資金追回。這是區(qū)塊鏈安全史上第一次“hack back”事件，即利用漏洞將攻擊資金追回。

第二個(gè)例子是2023年發(fā)生的ParaSpace協(xié)議被攻擊事件。我們的系統(tǒng)第一時(shí)間預(yù)警，并聯(lián)系項(xiàng)目方分析原因。攻擊者在攻擊時(shí)，手續(xù)費(fèi)不足導(dǎo)致交易失敗，但攻擊行為和trace已暴露在鏈上。我們模擬攻擊交易行為，自動(dòng)化生成攻擊交易，將協(xié)議中的500萬(wàn)美元資金轉(zhuǎn)移至安全賬戶，并聯(lián)系項(xiàng)目方返還資金。這次行動(dòng)是歷史上金額最高的“rescue”行動(dòng)，即拯救鏈上資金。但這次行動(dòng)也引發(fā)了我們對(duì)安全道德和倫理的思考。

第三個(gè)例子是Bybit安全事件。黑客通過(guò)社工攻擊，攻破了SAFE錢包的開(kāi)發(fā)者電腦，部署了惡意代碼，導(dǎo)致用戶資金被盜。這次事件損失高達(dá)15億美元，是迄今為止安全圈中損失最大的單筆事件。黑客通過(guò)攻破SAFE錢包的開(kāi)發(fā)者電腦，修改了用戶在錢包中看到的操作界面，導(dǎo)致用戶簽署了惡意的升級(jí)交易，從而接管了錢包并轉(zhuǎn)移資金。這次事件給我們帶來(lái)的啟示是，涉及大額資金的一定要做交叉驗(yàn)證，不能依賴單一信息源，以降低風(fēng)險(xiǎn)。

親歷社工攻擊

Alex：您提到的社工攻擊，可能不是所有聽(tīng)眾都能理解。能否解釋一下？

周亞金：社工攻擊全稱是社會(huì)工程學(xué)攻擊，它利用的不是技術(shù)手段，而是你的工作習(xí)慣、人際交往關(guān)系、工作職責(zé)等，針對(duì)你設(shè)計(jì)的一套攻擊手法。我有一個(gè)親身經(jīng)歷的社工攻擊案例。我作為BlockSec的CEO，經(jīng)常收到一些邀請(qǐng)，如參與播客、會(huì)議、采訪等，以及一些投資機(jī)構(gòu)的聯(lián)系。我曾收到一封自稱是投資機(jī)構(gòu)的郵件，希望商談投資機(jī)會(huì)。我們公司安全意識(shí)較強(qiáng)，對(duì)郵件和域名進(jìn)行了觀察和背調(diào)，發(fā)現(xiàn)這是一個(gè)看似真實(shí)的機(jī)構(gòu)，盡管我從未聽(tīng)說(shuō)過(guò)。我們約了會(huì)議，但他沒(méi)有提供會(huì)議鏈接，只是約了時(shí)間。會(huì)議前，他要求下載一個(gè)軟件，利用我焦急的心理，我毫無(wú)猶豫地下載了含有惡意成分的視頻會(huì)議軟件，導(dǎo)致我的私鑰被盜。

這次攻擊利用了我的職位和工作職責(zé)，以及我在開(kāi)會(huì)前的焦急心理，成功實(shí)施了攻擊。

與區(qū)塊鏈協(xié)議交互時(shí)的安全原則

Alex：回到普通人如何與區(qū)塊鏈協(xié)議交互的問(wèn)題。我們很多人在鏈上交互時(shí)，也是DeFi協(xié)議的用戶。在跟這些DeFi協(xié)議或其他協(xié)議交互時(shí)，有哪些需要遵守的安全原則？

周亞金：普通用戶在進(jìn)行鏈上交易時(shí)，首先要做好項(xiàng)目方的背調(diào)。如果你是高凈值用戶，投資鏈上協(xié)議時(shí)，需要對(duì)項(xiàng)目方進(jìn)行充分的盡調(diào)。盡調(diào)包括了解項(xiàng)目方創(chuàng)始人身份、技術(shù)能力等。你可以查看項(xiàng)目方是否經(jīng)過(guò)頭部安全公司的審計(jì)，并簡(jiǎn)單review審計(jì)報(bào)告中的核心關(guān)鍵點(diǎn)。此外，進(jìn)行交互時(shí)要采用漸進(jìn)式的方式，不要一次性大資金進(jìn)入，以降低風(fēng)險(xiǎn)。借助專業(yè)的安全工具，如攻擊監(jiān)控平臺(tái)，時(shí)刻掌握所投資協(xié)議的安全風(fēng)險(xiǎn)。對(duì)于資金量較小的用戶，主要防范釣魚(yú)風(fēng)險(xiǎn)，不要貪心，不要輕信陌生網(wǎng)站，并使用安全工具識(shí)別釣魚(yú)網(wǎng)站。

關(guān)于交互的安全，我注意到一個(gè)案例：幣安下架了一些項(xiàng)目代幣，稱其運(yùn)營(yíng)不達(dá)標(biāo)，項(xiàng)目方表示可能因各種問(wèn)題停止運(yùn)營(yíng)，處于半廢棄狀態(tài)。如果用戶之前使用過(guò)DeFi協(xié)議，而協(xié)議無(wú)人管理，代碼升級(jí)權(quán)限不明確，可能會(huì)導(dǎo)致資金被黑客或別有用心的人掌握。因此，普通用戶要定期review自己的授權(quán)，撤銷不使用的授權(quán)，以降低風(fēng)險(xiǎn)。

關(guān)于交互的安全，我還有一個(gè)問(wèn)題：為什么DEX被盜的數(shù)量不如借貸或質(zhì)押類協(xié)議多？

周亞金：你說(shuō)得很對(duì)。相對(duì)而言，DEX的安全風(fēng)險(xiǎn)比借貸、Yield farming等協(xié)議低。首先，DEX協(xié)議相對(duì)簡(jiǎn)單，核心是恒定乘積公式，且已有成熟的參考樣例如Uniswap。其次，DEX不存錢，用戶只需swap即可，資產(chǎn)不會(huì)長(zhǎng)時(shí)間停留在DEX Pool中。即使DEX Pool被攻擊，大部分用戶不會(huì)損失，損失的是提供流動(dòng)性的用戶。而借貸平臺(tái)等協(xié)議，資產(chǎn)是實(shí)實(shí)在在存放在協(xié)議中，且用戶通常超額抵押，一旦被攻擊，受損用戶群體較大。歷史上，DEX被攻擊的原因多為授權(quán)漏洞，但這種類型相對(duì)容易發(fā)現(xiàn)。

區(qū)塊鏈安全行業(yè)的現(xiàn)狀和潛力

Alex：我們聊了很多安全攻防和如何保護(hù)個(gè)人資產(chǎn)安全的具體問(wèn)題。最后一個(gè)問(wèn)題，關(guān)于區(qū)塊鏈安全行業(yè)的現(xiàn)狀。21、22年時(shí)，DeFi的繁榮帶動(dòng)了區(qū)塊鏈安全行業(yè)的快速發(fā)展。目前，這個(gè)行業(yè)規(guī)模如何？發(fā)展現(xiàn)狀和利潤(rùn)水平如何？

周亞金：這是一個(gè)很好的問(wèn)題。區(qū)塊鏈安全行業(yè)目前處于早期階段，整體市場(chǎng)規(guī)模約為30億美元，與傳統(tǒng)網(wǎng)安產(chǎn)業(yè)相比仍有較大差距。區(qū)塊鏈安全行業(yè)的發(fā)展現(xiàn)狀與區(qū)塊鏈行業(yè)的發(fā)展密切相關(guān)。近年來(lái)，DeFi Summer的熱潮過(guò)后，區(qū)塊鏈產(chǎn)業(yè)規(guī)模有所下降，但傳統(tǒng)金融機(jī)構(gòu)正逐步進(jìn)入該行業(yè)，帶來(lái)合規(guī)化需求。合規(guī)和監(jiān)管將成為區(qū)塊鏈安全行業(yè)未來(lái)發(fā)展的關(guān)鍵。

頭部安全公司的護(hù)城河

Alex：頭部安全公司的護(hù)城河主要有哪些？

周亞金：頭部安全公司的護(hù)城河主要體現(xiàn)在以下幾個(gè)方面：品牌和信任、安全創(chuàng)新技術(shù)、合規(guī)、監(jiān)管和地緣政治影響。品牌和信任是安全審計(jì)的關(guān)鍵，頭部公司仍然處于供不應(yīng)求的狀態(tài)。安全創(chuàng)新技術(shù)是解決區(qū)塊鏈安全問(wèn)題的關(guān)鍵，BlockSec不僅提供智能合約審計(jì)服務(wù)，還提供攻擊監(jiān)控和阻斷平臺(tái)，覆蓋智能合約全生命周期。合規(guī)、監(jiān)管和地緣政治影響也是區(qū)塊鏈安全公司的重要護(hù)城河，合規(guī)和監(jiān)管將成為區(qū)塊鏈安全行業(yè)未來(lái)發(fā)展的關(guān)鍵。

Alex：今天我們聊了加密安全的多維度話題，從具體的安全事件到個(gè)人需要注意的安全原則，再到整個(gè)行業(yè)的發(fā)展規(guī)模等。非常感謝周亞金今天帶來(lái)的真知灼見(jiàn)。希望未來(lái)還有機(jī)會(huì)再聊更多相關(guān)話題。

周亞金：謝謝Alex。

原文鏈接 歡迎加入idea2003 BlockBeats官方社群：Telegram訂閱群：http://www.iy168.cn/theblockbeats Telegram交流群：http://www.iy168.cn/BlockBeats_App Twitter官方賬號(hào)：http://www.iy168.cn/BlockBeatsAsia