3月6日,比太钱包创始人,比特派钱包开发者文浩受邀参加了由巴比特主办的《SheKnows:暴雷,攻击,漏洞!拿什么来保护你,我的BTC?》线上AMA。并针对主持人在:1、宏观行业的安全;2、钱包的安全;3、DeFi的安全;4、给用户的建议,四个方面的问题进行了一一解答。
主持人:文浩总在行业内深耕多年,你觉得,现在的区块链行业比以前更安全了吗?
文浩:关于区块链行业的安全,虽然看起来到今天仍然是此起彼伏的黑客事件、安全事故、盗币案例,但相比起当年,其实是安全了很多个量级了,具体理由如下:1、硬件冷钱包技术和方案有了长足的发展,在比特币时代的早期,能有个Armory两台电脑冷热管理个币就不错了,而这类的方案其实很难用,所以还有一些交易所用电脑关机的方式来存储大额币,结果还曾出过电脑开机后被盗币的案例,更多的交易所其实就都是热钱包管币。再后来,出现了类似比太这种冷钱包方案,一些交易所开始用比太来存储大额币。随着硬件钱包技术的发展,Trezor、Ledger等优秀的硬件钱包方案也很好的帮助了行业内企业和个人安全的管理币。再到今天,我们也通过BITHD能为企业提供很多币种的多重签名资产管理功能。总体来讲,跟当年云服务器上直接存储这交易所私钥比起来,安全方面的进步经历了好几个阶段,发展到今天当然要安全很多了。2、开始出现了越来越多的专业的安全团队,比如说,在上一轮牛市前,币圈其实压根就没有什么安全团队,但这几年越来越多专业的安全团队和顶尖的安全人才开始入场,比如说国内的慢雾、派盾都很牛逼,国外牛逼的、逼格高大上也有很多,甚至像360这类的传统安全巨头也开始在区块链领域里发力,所有这些都能让行业更安全;3、币圈企业更有钱了,更有钱其实也很重要,因为有钱了就能在安全方面投入更大的资源;
Aave社区对资助Aave机器人用于自动化治理V2提案进行链上投票:9月1日消息,Aave社区正对资助Aave机器人用于治理V2的自动化提案进行链上投票,并将于9月3日结束。该提案旨在使用Aave Collector合约中的LINK 代币资助Aave机器人的运营成本,这将有助于对Aave治理v2的某些无需许可的行动进行自动化操作,提高Aave治理的整体有效性。[2023/9/1 13:11:19]
总之,今天的区块链安全状况跟当年比起来,其实水平是提高了非常多的,如果告诉你,当年Mtgox法胖会在以太笔记本电脑里存着几十万个比特币的私钥,你敢信吗?虽然行业更安全了,但其实行业所面临的安全复杂度则高了很多倍,比如说智能合约安全、多链资产的管理等等的,都给今天的行业安全带来了更多的挑战,所有这些都需要行业内的大家一起努力。
主持人:下面的访谈,我们将结合具体的安全事件进行讨论。
黑客利用IOTA官方钱包应用Trinity的漏洞窃取资金,随后官方宣布关闭整个网络。文浩总,怎么看待「Trinity钱包被盗导致主网关停」这件事?
文浩:关于Trinity钱包被盗,我个人没有做过深入分析,因为我们不太关注JavaScript核心的钱包,不过呢,看了慢雾的相关分析报告,非常专业,其实应该是MoonPay模块的问题,MoonPay是一个第三方交易模块,用来帮助海外用户买卖币的第三方服务,除了Trinity其实还有一些其它的钱包在用Moonpay。攻击者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻击,注入了恶意的JavaScript代码,详细的报告大家可以去找下慢雾的文章。其实这就是过去这些年我们一直强调的“JavaScript钱包的安全天花板其实非常低”的原因。
美联储鲍曼:应针对涉及数字资产等新型银行活动制定明确的监管规则:6月26日消息,美联储理事鲍曼在奥地利萨尔茨堡举行的全球研讨会上表示,特别需要关注的一个领域是目前对新型银行活动的监管方法,这使得金融机构处于监管真空状态。尽管已经做出了一些努力来提供指导,但这些活动的允许性和监管期望仍然存在很大的不确定性,包括银行即服务、数字资产和其他新型活动。这使得银行处于危险境地,依赖政策制定者的一般性但不具约束力的声明,只会在未来的某个时候受到批评。缺乏明确的监管和监督方法造成了这样一种风险,即监管机构可能会在事实发生后,对这些活动施加新的要求和期望,对一些先行者来说,是在重大投资后。如果我们的角色是有效的监督和调节,我们就必须愿意参与新颖的活动和传统的活动。[2023/6/26 22:00:16]
主持人:DeFi是目前最热门的话题之一,相应的安全问题也浮出水面。
事件1:DeFi项目bZx遭受了两次攻击。事件发生后,DeFi保险平台NexusMutual兑付了bZx事件中3.1万美元的用户索赔。
事件2:去中心化稳定币交易平台Curve出现异常交易,该笔交易使用价值8.9万美元的USDC兑换了价值46.5万美元的BUSD。部分DeFi业内人士猜测,此次攻击或与DeFi协议iEarn提供的Zap智能合约有关。近期出现的DeFi安全事件,会不会引发用户对DeFi的信任危机?
Blur旗下NFT借贷平台Blend5月份交易量达3.65亿美元:6月19日消息,据加密分析公司Messari提供数据,Blur旗下NFT借贷平台Blend5月份交易量达3.65亿美元,位列排行榜第二。排在第一位的是NFT fi(3.91亿美元),第三位为Bend(3.16亿美元)。[2023/6/19 21:47:01]
文浩:我觉得Defi的安全事件并不会导致Defi的信任危机,就像当年的DAO事件,其实也没导致智能合约的逻辑危机一样。因为这类的安全事件,本身还是因为要么是业务逻辑、要么是智能合约安全所导致的,所以,不能因为出事儿了就连Defi都不相信了,合约有漏洞,那就把合约改好就好了,逻辑有问题,那就把逻辑修复下,Defi本身的根基还是不变的。当然,由于区块链和智能合约的复杂度,在这上面干活儿的安全风险相比起传统的软件开发要高很多倍,难度也大得多,因此,开发者们更要重视安全,与优秀的像慢雾这样的安全团队一起协作,努力搭建出更加安全可靠的Defi服务。就像交易所被盗并不意味着比特币就不安全了一样。安全事件能给我们敲响警钟,但Defi本身的逻辑是不变的。
主持人:比特派钱包有DeFi和CeFi的相关业务,DeFi和CeFi安全问题的区别是什么?目前DeFi项目存在什么样的安全风险?这两个问题文浩总怎么看?
硅谷风投联合声明:若SVB被收购并适当资本化,我们将大力支持投资组合公司与其恢复业务合作:3月11日消息,General Catalyst 首席执行官赫曼特·塔内哈 (Hemant Taneja) 在社交媒体上发文表示,几位 VC 领导人今天已开会讨论了 SVB 垮台的后果,现发表联合声明如下:四十年来,硅谷银行(SVB)一直是风险投资行业以及创始人们值得信赖的长期合作伙伴,它一直是一个重要平台,在服务创业社区和支持美国创新经济方面发挥了关键作用。过去 48 小时发生的事件令人深感失望和担忧。如果 SVB 被收购并适当资本化,我们将大力支持并鼓励我们的投资组合公司恢复与 SVB 的银行业务关系。
据悉,参与该联合声明的硅谷风投包括 Accel、Altimeter Capital、B Capital Group、General Catalyst、Gil Capital、Greylock Partners、Khosla Ventures、Kleiner Perkins、Lightspeed Venture Partners、Mayfield Fund、Redpoint Ventures、Ribbit Capital 和 Upfront Ventures。[2023/3/11 12:57:04]
文浩:关于Defi和Cefi在安全方面的区别,我这边还是有一些发言权的,因为比特派在这两块都有相关的产品和服务。首先呢,比特派在以太坊及USDT的钱包功能方面非常完善,ETH生态的Defi入口我们都已经做的很完备了,你在比特派里可以很方便的使用各类的Defi应用。同时呢,我们自己其实还有自己的Cefi产品,比特派钱包内就有完善的中心化借贷服务。这两者在安全方面的要求其实是有着本质的区别的。Defi的安全更重要的是智能合约的安全和业务逻辑的安全,你如果有一个智能合约代码漏洞,那上面的资产可能就完蛋了。而像前面提到的bZx先后两次遭受攻击,则是逻辑上的缺陷被攻击者利用然后进行的攻击。而这里呢,FlashLoan闪电贷是个非常优秀的想法,也是Defi创造力的很好的例子,但逻辑上有漏洞,那就会有很高的风险。Cefi的安全则不用管这些,Cefi的安全更多的则类似于交易所安全,因为用户是把币存在Cefi平台上的,你主要要担心的是黑客盗币。
Web3通信协议Push Protocol的APP端新版本已支持钱包到钱包的通信服务:3月9日消息,Web3通信协议Push Protocol(原EPNS)的APP端新版本已支持钱包到钱包的聊天通信服务。
此前报道Push Protocol表示,将推出钱包到钱包的通信服务PushChat,并首先向在ETH Bogota使用Push的开发者开放。[2023/3/9 12:51:36]
对于Defi开发者来说,说实话真正做好是非常难的。我们虽然并未直接参与到具体的Defi项目之中,但比特派其实还是开发过也使用过不少智能合约的,在这个过程中,和慢雾、派盾等安全团队也有过深入的合作,而其中说实话遇到的问题和所获得的成长、收获还是很多的,提醒各个Defi团队,安全真不能掉以轻心。
位于发现页的DeFi应用
主持人:好的,我们进入最后一个话题,关于用户资产的安全
毕马威发布的最新报告显示,2017年以来,黑客至少盗窃了98亿美元的加密货币。数字资产的安全变得愈发重要。普通用户应该如何保护自己的数字资产呢?如果发现自己的数字资产被盗,应该马上采取什么样的行动?
文浩:首先,巨鲸用户因为SIM卡攻击丢币相当于再次验证了我们一直以来的一个观点,那就是不要用Web钱包、JavaScript钱包等安全架构天花板低的钱包,而我们其实是在2014年就反复强调过这一点的。Trinity、巨鲸用户这两个例子其实只是又给这类的悲剧增加了相同的案例而已。
作为最早开发钱包的团队之一,在过去六七年的时间里面,我们实在是看到了太多的被盗案例,而其中不少的丢币都是反复发生的,也就是说,五年前有人怎么丢币,现在仍然有人用相同的方式丢币。
在这里,我可以给大家这么几个钱包保护的意见:1、请使用有安全口碑的、架构合理的钱包方案,今天的这两个例子里用的都是不合理的方案导致的悲剧。2、请一定要保管好助记词,这里要说明一点,因为助记词保管不当丢币的实在是太多了。把助记词存到网盘、邮箱,截图存到相册并且不知道都备份在哪些应用同步到了云相册里的;聊天工具里随便一个子就能的你把助记词发给他的;助记词压根就没抄,然后把钱包删了手机扔了的;用草书抄助记词,连自己都认不出来的的;总之,各类的奇奇怪怪的因为助记词丢币的实在是太多了。3、日常的币存在热钱包里,大额的币存在开源的硬件冷钱包里,如果需要更高的安全级别请用加密账户;4、多人共管的币使用硬件冷钱包+多重签名共同管理,这类的丢币案例也很多,不能大意;
BitHD护盾&刀锋支持BTC、ETH、USDT、BCH、LTC、EOS及全系ERC20token的多签功能
如果发现数字货币资产被盗,那首先应该尽可能的联系行业内相关的企业,看看能不能帮你获取更多、更完整的相关信息,然后再去报警。当然,所有这些你都得指望盗你币的人是个笨贼,留下了足够多的蛛丝马迹,否则找回还是很困难的。
另外,像慢雾也有AML风控系统,并且慢雾也和包括比特派在内的钱包和交易所进行这相关风控合作,因此,也应第一时间报告给慢雾和比特派,大家可以一起看看能不能拦住相关资产的交易、兑换。
主持人:最后一个问题,针对当前区块链的安全环境,请嘉宾提出自己的建议。
文浩:当前区块链的安全环境方面:我个人觉得还是需要行业内的企业共同努力,虽然我之前提到过的相比起当年行业安全水平提高了非常多,但说实话离真正好的安全水平还是相差很多的,我这里可以举几个例子:比如说,一年前,如果你们企业想管理五千万美金的USDT,你们该怎么办?如果我告诉你,在当时没有任何好办法,能拿一个硬件钱包让一个人自己来管理就已经很不错了,你敢信吗?直到今天,仍然只有BITHD上能做原生的硬件钱包USDT多重签名,这其实就是行业内安全水平还有很多不足的地方,你们想想看,那个管理你们企业五千万USDT的人跑路了咋办?再比如说,现在有不少厂商宣传第三方托管服务,其安全性你也得打上个大大的问号。从当年的Bitgo开始,再到这一两年全球越来越多的第三方托管,大家宣传起来都是一副“托管在我们这里的,你就放心吧”的劲头。但问题是,如果你做一个交易所,请永远记住,请只用那些第三方托管服务来作为热钱包使用,永远别拿他们来当冷钱包,这类的错误方案所导致的悲剧实在是太多了。Bitgo的方案就先后坑过两家企业,一个是Bitfinex被盗了12万个比特币,另一个是Upbit,也是被盗了巨量资产,当然丢了之后Bitgo是不会管的,其实也没法管。其它的第三方托管服务也曾有过各种被盗币的案例。这道理其实很简单,你自己用个托管服务的apikey调用着就把币给发了,那黑客黑了你的交易所之后,用同样的apikey不一样能把币给发送到黑客自己的地址了吗?所以,哪怕你做了再多的安全防护,请只把第三方托管服务用于热钱包方案中,别存大额。
总之呢,行业的安全相比起当年有了非常多、全方位的进步,但仍有很多不足之处,大家仍有很多可做的事情让整个行业更安全!
标签:USD区块链USDTUSD币USD价格区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势USDT币USDT价格
元宇宙可能是2021年被引用最多的词汇之一。如今在韩国,无论规模大小,企业们都在踊跃进入元宇宙竞技场以寻求未来,甚至韩国经济和财政部也公开认定元宇宙是未来的关键产业之一.
1900/1/1 0:00:00CryptoArt:SunRoom本投研报告由币萌研究院发布,报告内容仅供参考,切勿作为投资建议或投资依据。文中所涉数据均截至2021/3/16,可能与发文时的实际情况有所偏差,请自行验证.
1900/1/1 0:00:00「咖说V讲」系列,原汁原味地汇集国际咖级名流的数字化投资观点,阅读者尽可以智者见智,取法其上,健壮成长.
1900/1/1 0:00:00基于以太坊区块链的顶级虚拟社交平台Decentraland(MANA),在去年10月成功举办了全球首个元宇宙音乐节后,又将举办全球首个元宇宙时装周.
1900/1/1 0:00:00新兴的NFT市场,为艺术家和创作者们提供了作品货币化的新机会,但也为者窃取NFT和加密货币创造了机会。本文揭露NFT市场出现以来常见的NFT行为,提醒读者们注意识别,冷静地避免遭受损失.
1900/1/1 0:00:00标志性的丰田跑车GRSupra,早期称为CelicaSupra,截至今年已经面世35周年了。为了庆祝,在生日同一天,乐高日本公司、LEGOLAND日本公司和丰田Gazoo赛车公司联合制作完成了一.
1900/1/1 0:00:00