SheKnows | 暴雷，攻击，漏洞！拿什么来保护你，我的BTC？

刚刚过去的2月，交易所暴雷、遭受攻击，私钥被窃，DeFi项目出现漏洞和人为失误，一系列的安全事件，给区块链项目的管理敲响了警钟。

3月6日下午，SheKnows直播间迎来区块链安全专场，邀请了慢雾科技合伙人启富、比特派创始人文浩、DDEX联合创始人王博闻，围绕区块链安全的话题展开讨论，在不安全的世界里寻找安全感。

 

昨天 VS 今天：区块链行业是否越来越安全？

 

SheKnows：现在的区块链行业比以前更安全了吗？

启富：安全的本质是信任，安全的核心是攻防对抗，攻防的核心又是成本对抗。安全是动态的，随着业务的发展也可能会引入新的安全问题。安全也不是绝对的，从来不存在一家100%安全的公司或项目。随着行业的发展，需要大家不断地提升安全意识，才能有效的避免出现更多被黑事件。

文浩：虽然看起来到今天仍然是此起彼伏的黑客事件、安全事故、盗币案例，但相比起当年（比如说 Mtgox 时代），其实是安全了很多个量级了，具体理由如下：1. 硬件冷钱包技术和方案有了长足的发展；2. 开始出现了越来越多的专业的安全团队；3. 币圈企业（尤其是交易所）更有钱了，更有钱其实也很重要，因为有钱了就能在安全方面投入更大的资源。虽然行业更安全了，但其实行业所面临的安全复杂度则高了很多倍，比如说智能合约安全、多链资产的管理等等的，都给今天的行业安全带来了更多的挑战，所有这些都需要行业内的大家一起努力。

王博闻：区块链行业安全其实是一个黑盒子，每年都会有不同的平台出现被盗的事件，从最早的门头沟，到韩国Upbit 被盗5000万美金, 币安7000比特币的被攻击，到Fcoin内部亏空。包括最近出现的DeFi 智能合约的一些攻击，就比如说我上周分析的bzx 的闪电贷攻击，和SNX的套利。每年的智能合约安全的需求都在成倍的增长 。

 

IOTA被盗，巨鲸丢币，普通用户该不该担心？

 

背景：

事件1：黑客利用 IOTA 官方钱包应用 Trinity 的漏洞窃取资金，随后官方宣布关闭整个网络。

事件2：论坛名为“zhoujianfu”的巨鲸称，丢失1547 BTC和近60000 BCH。SIM卡攻击，疑似使用Blockchain.info服务。

SheKnows：针对事件1，之前看到慢雾分析的结果是，新版本的官方钱包里的一个交易模块出了问题。能否具体讲讲？

启富：原因是IOTA官方钱包引入了第三方的组件，然后第三方组件被黑，间接影响了他们官方钱包的很多用户，导致他们的私钥、密码被盗。已经统计出来的损失，被盗的IOTA大概是855万枚，价值大概230万美金。技术上具体展开来说就是，IOTA官方钱包内置了一个第三方交易模块 MoonPay，等于钱包内有一个交易所的功能。攻击者盗取并利用 MoonPay 的 Cloudflare API Key 发起中间人劫持攻击，在IOTA钱包引用的 MoonPay JS文件 中注入恶意 JavaScript，盗取用户的种子、密码等。

SheKnows：怎么看待Trinity 钱包被盗导致主网关停这件事？

文浩：其实应该是MoonPay模块的问题，MoonPay是一个第三方交易模块，用来帮助海外用户买卖币的第三方服务，除了Trinity其实还有一些其它的钱包在用Moonpay。攻击者是利用了MoonPay的Cloudflare API key完成了一系列劫持攻击，注入了恶意的JavaScript代码，详细的报告大家可以去找下慢雾的文章。其实这就是过去这些年我们一直强调的“JavaScript 钱包的安全天花板其实非常低”的原因。

SheKnows：巨鲸由于SIM卡攻击而丢失巨额资产，其他的普通用户会不会遭受这种攻击？什么样的钱包算是安全的？

启富：SIM卡攻击手法，其实是挺流行的，但是在国内大家可以不用太担心，因为国内已经度过了早期运营商各种混乱，甚至运营商内部做恶这些情况，包括我们相关的一些法律以及监管，大家的手机号不会轻易被别人给复制。在我们国家大概10年前，这个现象还是挺普遍的。但是在国外运营商的实力，不一定有我们国内的这么强，大家都知道我们国家基建的水平是非常强的。而很多海外运营商属于私人企业在运作，技术实力等等都不一定那么高，包括相关的一些内部协议，可能都是很古老的版本，以及风控管理上可能都比较落后，确实会存在海外的手机号被社会工程学等方式复制。

关于钱包安全的选择，我觉得需要结合用户自身的熟悉水平，如果是接触区块链不久的、持币量不大的用户，建议资产托管在全球知名的交易所，开启各项二次认证、登录保护措施；如果是对区块链有一定的认知，对去中心化钱包有相应的了解，可以选择国际知名的去中心化钱包，把币放在里面，同时离线备份好助记词、私钥；第三种是资金量大的，对安全要求高的，可以选择国际知名的硬件钱包，或者专业的资产托管平台。

 

FCoin暴雷，OKEx和Bitfinex被DDoS 攻击，交易所安全何去何从？

 

背景：

事件1：FCoin 交易所表示，由于资金困难导致资金储备无法兑付用户提现。

事件2：OKEx、Bitfinex 等交易所频繁遭受 DDoS 攻击，相关服务受到影响。

SheKnows：你对“交易即挖矿”这种模式有没有新的看法？FCoin暴雷，对交易所这个赛道会产生什么样的影响？

王博闻：“交易即挖矿”是一个模式创新，很多人也参与过Fcoin交易即挖矿，这个模式是不可持续的，因为人为地透支交易需求，而且是将第二天的收益，透支给前一天，所以本质是击鼓传花。Fcoin挤兑的暴雷，主要是内部的统计系统和风控系统不完善所导致的，内部亏空严重，到最后挤兑发生，都是Fcoin本身内部的问题。这种问题就不会发生在DeFi 产品上，因为所有的资产都是从第一天开始就是公示给所有人，大家都可以看到有多少用户，每个用户存取了多少钱，借了多少钱，所以平台没有作恶的可能性。在第一天把所有的账务公示给所有人是DeFi资金安全的一个最好的广告牌。

SheKnows：什么样的交易所是相对安全的？去中心化交易所（DEX）面临哪些安全风险？

王博闻：直到交易所被盗之前，所有的安全保护宣传都是不可证伪的。因为如果交易所开源冷热钱包管理系统，黑客也会有专门的方式针对。所以最好的选择，可能是分散风险，冷热钱包自己控制，如果不信任自己钱包管理能力，可以在几个最老，安全信任度最高的交易所，分散资产，比如说Kraken、Coinbase。

DEX的风险，我们把智能合约安全放在最高优先级，我们和行业领先的几家安全审计机构 Peckshield、Secbit合作，至今在以太坊上执行了45万笔链上交易，没有出过安全问题。我们也和行业内的白帽子合作，做公开的悬赏计划，给提供安全线索的开发者一定的奖励。

 

bZx 被攻击，Curve 交易异常，DeFi遭遇信任危机？

 

背景：

事件1：DeFi 项目 bZx 遭受了两次攻击。事件发生后，DeFi 保险平台 Nexus Mutual 兑付了 bZx 事件中 3.1 万美元的用户索赔。

事件2：去中心化稳定币交易平台 Curve 出现异常交易，该笔交易使用价值8.9万美元的 USDC 兑换了价值46.5万美元的 BUSD。部分DeFi业内人士猜测，此次攻击或与DeFi协议iEarn提供的Zap智能合约有关。

SheKnows：近期出现的DeFi安全事件，会不会引发 DeFi 的信任危机？

启富：DeFi的初心是开放金融，这降低了人们进行金融交易的门槛，同时监管上也变得没那么严格，DeFi 的很多事情还在摸索阶段，一件事情刚开始的时候总是会遭遇很多意料之外的事情，这是无法避免的，且完全没有必要因噎废食。DeFi 未来的路还很长，目前需要做的事是充分汲取这些安全事件的教训，在合约中设置好风控机制，并在产品上线前做好充分的安全审计，才能防止此类攻击再次重演。

文浩：我觉得DeFi的安全事件并不会导致DeFi的信任危机，就像当年的 DAO 事件（都导致了 ETH 分叉），其实也没导致智能合约的逻辑危机一样。因为这类的安全事件，本身还是因为要么是业务逻辑、要么是智能合约安全所导致的，所以，不能因为出事儿了就连 DeFi都不相信了，合约有漏洞，那就把合约改好就好了，逻辑有问题，那就把逻辑修复下，DeFi本身的根基还是不变的。当然，由于区块链和智能合约的复杂度，在这上面干活儿的安全风险相比起传统的软件开发要高很多倍，难度也大得多，因此，开发者们更要重视安全，与优秀的像慢雾这样的安全团队一起协作，努力搭建出更加安全可靠的 DeFi服务。

王博闻：bzx可能是最近被讨论最多的 DeFi 被攻击的事件了，黑客通过闪电贷10000ETH, 赚取了1800 ETH。这是一个很高明的金融工程攻击手段，其实黑客是按照游戏规则来玩这个游戏的，他的获利也是所有规则范围允许的。所以也不会引发DeFi的信任危机，只会引入更多的新的参与者，比如说更多的安全审计和更多的保险产品。

SheKnows：DeFi（去中心化金融）和CeFi（中心化金融）安全问题的区别是什么？

启富：DeFi、CeFi安全问题的区别其实很像中心化交易所和去中心化交易所的区别，首先拿资金管理来说，中心化的平台托管了所有用户的资产，其冷热钱包架构及权限管理就非常重要，还有对风控体系的要求也很高；去中心化平台由于没有托管用户资金，这方面要考虑的问题就比较少；第二个是系统外安全风险，不论中心化、去中心化都会对外部资源（例如：币价、预言机数据等）有一定的依赖，当依赖的外部系统出现意外时，能否及时发现并“容错”也是一项很重要的考验。

文浩：DeFi的安全更重要的是智能合约的安全和业务逻辑的安全，你如果有一个智能合约代码漏洞，那上面的资产可能就完蛋了。而像前面提到的 bZx 先后两次遭受攻击，则是逻辑上的缺陷被攻击者利用然后进行的攻击。而这里呢，闪电贷是个非常优秀的想法，也是 DeFi创造力的很好的例子，但逻辑上有漏洞，那就会有很高的风险。CeFi的安全则不用管这些，CeFi的安全更多的则类似于交易所安全，因为用户是把币存在 CeFi平台上的，你主要要担心的是黑客盗币。

SheKnows：目前DeFi项目存在什么样的安全风险？

启富：总结近几年发生的DeFi安全事件，可以发现主要有如下的安全风险：1. 智能合约逻辑层面的漏洞、风险；2. 业务模型中的缺陷（例如套利问题）；3. 预言机问题；4. 治理机制缺陷。

SheKnows：如何看待DeFi 保险对DeFi 生态的意义？

王博闻：DeFi本质还是普惠金融，普惠金融在现代金融市场是有非常多细分的业务场景， 对于巴菲特来说，他非常喜欢的投资标的就是保险业，因为保险业务本质是先收钱，后赔付。 所以有更多怎么更好分散风险，增加收益的选项。现在很多人对DeFi的不理解和不熟悉本身的原因，也是因为很新，很多人不了解。DeFi保险是一个增加普通用户信心的一种方式。

 

3年被盗98亿美元，普通用户如何保护资产安全？

 

背景：

毕马威发布的最新报告显示，2017年以来，黑客至少盗窃了98亿美元的加密货币。数字资产的安全变得愈发重要。

SheKnows：普通用户应该如何保护自己的数字资产呢？如果发现自己的数字资产被盗，应该马上采取什么样的行动？

启富：选择一个适合自己的保管方式是关键。假如不幸发现自己的数字资产被盗，如果资产放在交易所里，应该先联系交易所调查分析被盗原因；如果资产是放在去中心化钱包里，很可能就是私钥、助记词泄露了，这时候可以联系慢雾hack@slowmist.com邮箱，我们AML系统可以对被盗资产进行监控和追踪，当发现资产进入交易平台时将尝试进行阻断。

文浩：在这里，我可以给大家这么几个钱包保护的意见：

1. 请使用有安全口碑的、架构合理的钱包方案；2. 请一定要保管好助记词；3. 日常的币存在热钱包里，大额的币存在开源的硬件冷钱包里，如果需要更高的安全级别请用加密账户。4. 多人共管的币使用硬件冷钱包+多重签名共同管理，这类的丢币案例也很多，不能大意。

如果发现数字货币资产被盗，那首先应该尽可能的联系行业内相关的企业，看看能不能帮你获取更多、更完整的相关信息，然后再去报警。当然，所有这些你都得指望盗你币的人是个笨贼，留下了足够多的蛛丝马迹，否则找回还是很困难的。另外，像慢雾也有 AML 风控系统，并且慢雾也和包括比特派在内的钱包和交易所进行这相关风控合作，因此，也应第一时间报告给慢雾和比特派，大家可以一起看看能不能拦住相关资产的交易、兑换。

王博闻：很多数字资产被盗之后都是无疾而终，能追回的寥寥无几，唯一能做的就是做好之前的资产保护，管理好自己的冷热钱包，分地点存储，放保险柜里，防火防水防脱墨。

SheKnows：针对当前区块链的安全环境，请各位嘉宾提出自己的建议。

启富：慢雾的愿景就是成为区块链生态的安全基础设施，作为区块链优质从业代表，目前慢雾正紧密与国家相关单位制定区块链行业标准、区块链技术国标、区块链安全国标，为推动区块链技术发展、项目落地做出一份贡献，共同保障我国区块链行业有序、健康发展。只有行业不断健康发展，才能给我们这些早期从业者带来红利。

文浩：当前区块链的安全环境方面：我个人觉得还是需要行业内的企业共同努力，虽然我之前提到过的相比起当年行业安全水平提高了非常多，但说实话离真正好的安全水平还是相差很多的，大家仍有很多可做的事情让整个行业更安全！

王博闻：我的建议还是从用户的角度出发，也是一句行业的金句了：只有你拥有的私钥，才是你的数字资产。祝愿大家2020年，找到最好的方式掌握自己的私钥。