宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > Filecoin > 正文

SheKnows | 暴雷,攻击,漏洞!拿什么来保护你,我的BTC?

作者:

时间:1900/1/1 0:00:00

刚刚过去的2月,交易所暴雷、遭受攻击,私钥被窃,DeFi项目出现漏洞和人为失误,一系列的安全事件,给区块链项目的管理敲响了警钟。

3月6日下午,SheKnows直播间迎来区块链安全专场,邀请了慢雾科技合伙人启富、比特派创始人文浩、DDEX联合创始人王博闻,围绕区块链安全的话题展开讨论,在不安全的世界里寻找安全感。

昨天VS今天:区块链行业是否越来越安全?

SheKnows:现在的区块链行业比以前更安全了吗?

启富:安全的本质是信任,安全的核心是攻防对抗,攻防的核心又是成本对抗。安全是动态的,随着业务的发展也可能会引入新的安全问题。安全也不是绝对的,从来不存在一家100%安全的公司或项目。随着行业的发展,需要大家不断地提升安全意识,才能有效的避免出现更多被黑事件。

文浩:虽然看起来到今天仍然是此起彼伏的黑客事件、安全事故、盗币案例,但相比起当年,其实是安全了很多个量级了,具体理由如下:1.硬件冷钱包技术和方案有了长足的发展;2.开始出现了越来越多的专业的安全团队;3.币圈企业更有钱了,更有钱其实也很重要,因为有钱了就能在安全方面投入更大的资源。虽然行业更安全了,但其实行业所面临的安全复杂度则高了很多倍,比如说智能合约安全、多链资产的管理等等的,都给今天的行业安全带来了更多的挑战,所有这些都需要行业内的大家一起努力。

Hashed Network赢得第40轮波卡平行链插槽拍卖:2月21日消息,据官方消息,Hashed Network 赢得第 40 轮波卡平行链插槽拍卖。Hashed Network 专注于支持灵活支出政策、原生比特币和实时储备证明的多托管数字资产金库。[2023/2/21 12:20:13]

王博闻:区块链行业安全其实是一个黑盒子,每年都会有不同的平台出现被盗的事件,从最早的门头沟,到韩国Upbit被盗5000万美金,币安7000比特币的被攻击,到Fcoin内部亏空。包括最近出现的DeFi智能合约的一些攻击,就比如说我上周分析的bzx的闪电贷攻击,和SNX的套利。每年的智能合约安全的需求都在成倍的增长。

IOTA被盗,巨鲸丢币,普通用户该不该担心?

背景:

事件1:黑客利用IOTA官方钱包应用Trinity的漏洞窃取资金,随后官方宣布关闭整个网络。

事件2:论坛名为“zhoujianfu”的巨鲸称,丢失1547BTC和近60000BCH。SIM卡攻击,疑似使用Blockchain.info服务。

SheKnows:针对事件1,之前看到慢雾分析的结果是,新版本的官方钱包里的一个交易模块出了问题。能否具体讲讲?

启富:原因是IOTA官方钱包引入了第三方的组件,然后第三方组件被黑,间接影响了他们官方钱包的很多用户,导致他们的私钥、密码被盗。已经统计出来的损失,被盗的IOTA大概是855万枚,价值大概230万美金。技术上具体展开来说就是,IOTA官方钱包内置了一个第三方交易模块MoonPay,等于钱包内有一个交易所的功能。攻击者盗取并利用MoonPay的CloudflareAPIKey发起中间人劫持攻击,在IOTA钱包引用的MoonPayJS文件中注入恶意JavaScript,盗取用户的种子、密码等。

Hashed CEO称Terra崩盘以来患有精神疾病,拒绝出席韩国国民议会:10月24日消息,韩国国会政务委员会于10月开始对Luna-Terra事件展开国政监察,其中加密风投机构Hashed首席执行官Simon Seojoon Kim被选为该事件的证人,并预定于今日出席国民议会。但Simon Seojoon Kim今天提交不出席的理由陈述书。

Simon Seojoon Kim表示,“自从Luna-Terra崩盘以来,由于极度的精神压力,我一直患有焦虑症和恐慌症。我从7月29日起一直在另一家医院的精神科接受治疗,在药物治疗和辅导治疗期间压力情况急剧恶化,随之而来的症状也在恶化。”Kim附上专家意见和诊断书,称其需要情绪稳定。(E-Daily)[2022/10/24 16:36:48]

SheKnows:怎么看待Trinity钱包被盗导致主网关停这件事?

文浩:其实应该是MoonPay模块的问题,MoonPay是一个第三方交易模块,用来帮助海外用户买卖币的第三方服务,除了Trinity其实还有一些其它的钱包在用Moonpay。攻击者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻击,注入了恶意的JavaScript代码,详细的报告大家可以去找下慢雾的文章。其实这就是过去这些年我们一直强调的“JavaScript钱包的安全天花板其实非常低”的原因。

SheKnows:巨鲸由于SIM卡攻击而丢失巨额资产,其他的普通用户会不会遭受这种攻击?什么样的钱包算是安全的?

启富:SIM卡攻击手法,其实是挺流行的,但是在国内大家可以不用太担心,因为国内已经度过了早期运营商各种混乱,甚至运营商内部做恶这些情况,包括我们相关的一些法律以及监管,大家的手机号不会轻易被别人给复制。在我们国家大概10年前,这个现象还是挺普遍的。但是在国外运营商的实力,不一定有我们国内的这么强,大家都知道我们国家基建的水平是非常强的。而很多海外运营商属于私人企业在运作,技术实力等等都不一定那么高,包括相关的一些内部协议,可能都是很古老的版本,以及风控管理上可能都比较落后,确实会存在海外的手机号被社会工程学等方式复制。

Lysto获得1200万美元融资 Hashed领投:金色财经报道,区块链初创公司Lysto在A轮前融资中筹集了1200万美元,风险投资公司Square Peg、Beenext和Hashed共同领投了这轮融资,Tiger Global和Better Capital参与其中。天使投资人,包括BalajiSrinivasan(前Coinbase首席技术官)、PaulVeradittakit(PanteraCapital合伙人)、BinnyBansal(Flipkart联合创始人)以及BobbyOng和TMLee(CoinGecko联合创始人)也支持了这一轮融资。

作为交易的一部分,Square Peg的合伙人TusharRoy已加入Lysto的董事会。Lysto的前A轮融资使其迄今为止的总资金达到1500万美元。去年11月,该公司筹集了300万美元的种子资金。[2022/8/10 12:13:50]

关于钱包安全的选择,我觉得需要结合用户自身的熟悉水平,如果是接触区块链不久的、持币量不大的用户,建议资产托管在全球知名的交易所,开启各项二次认证、登录保护措施;如果是对区块链有一定的认知,对去中心化钱包有相应的了解,可以选择国际知名的去中心化钱包,把币放在里面,同时离线备份好助记词、私钥;第三种是资金量大的,对安全要求高的,可以选择国际知名的硬件钱包,或者专业的资产托管平台。

FCoin暴雷,OKEx和Bitfinex被DDoS攻击,交易所安全何去何从?

背景:

事件1:FCoin交易所表示,由于资金困难导致资金储备无法兑付用户提现。

事件2:OKEx、Bitfinex等交易所频繁遭受DDoS攻击,相关服务受到影响。

SheepDex今日完成首次代币回购燃烧:据官方消息,SheepDex于2021年11月29日UTC+8 13:00完成首次代币回购燃烧。此次总共燃烧770000枚平台币SPC,占总流通量的17%。销毁哈希见文中图片。

用于回购的资金来源主要来源是手续费收入和团队收益,当日币价最高涨幅增长90%。

据悉,SheepDex是BSC上流动性聚集的DEX,可以更好的降低交易滑点和促成成交。[2021/11/29 12:39:26]

SheKnows:你对“交易即挖矿”这种模式有没有新的看法?FCoin暴雷,对交易所这个赛道会产生什么样的影响?

王博闻:“交易即挖矿”是一个模式创新,很多人也参与过Fcoin交易即挖矿,这个模式是不可持续的,因为人为地透支交易需求,而且是将第二天的收益,透支给前一天,所以本质是击鼓传花。Fcoin挤兑的暴雷,主要是内部的统计系统和风控系统不完善所导致的,内部亏空严重,到最后挤兑发生,都是Fcoin本身内部的问题。这种问题就不会发生在DeFi产品上,因为所有的资产都是从第一天开始就是公示给所有人,大家都可以看到有多少用户,每个用户存取了多少钱,借了多少钱,所以平台没有作恶的可能性。在第一天把所有的账务公示给所有人是DeFi资金安全的一个最好的广告牌。

SheKnows:什么样的交易所是相对安全的?去中心化交易所面临哪些安全风险?

王博闻:直到交易所被盗之前,所有的安全保护宣传都是不可证伪的。因为如果交易所开源冷热钱包管理系统,黑客也会有专门的方式针对。所以最好的选择,可能是分散风险,冷热钱包自己控制,如果不信任自己钱包管理能力,可以在几个最老,安全信任度最高的交易所,分散资产,比如说Kraken、Coinbase。

灰度任命董事总经理Michael Sonnenshein为新CEO:据官方消息,灰度今天宣布任命灰度董事总经理Michael Sonnenshein为灰度首席执行官,灰度创始人、前首席执行官Barry Silbert将继续担任母公司Digital Currency Group的首席执行官。Sonnenshein将确定公司的战略方向,通过投资其人员和运营能力来扩展灰度的业务,并扩大投资者访问数字货币资产类别的能力。该公司预计在2021年将其员工人数增加一倍,并推出多种新产品。

金色财经此前报道,灰度投资(GrayscaleInvestments)董事总经理MichaelSonnenshein表示,对于灰度,BTC突破2万美元大关不令人惊讶,因为该资产仍处于初期阶段。Sonnenshein补充说,在“比特币历史性的一年”即将结束之际,突破这个“象征性门槛”是合适的。[2021/1/8 16:40:50]

DEX的风险,我们把智能合约安全放在最高优先级,我们和行业领先的几家安全审计机构Peckshield、Secbit合作,至今在以太坊上执行了45万笔链上交易,没有出过安全问题。我们也和行业内的白帽子合作,做公开的悬赏计划,给提供安全线索的开发者一定的奖励。

bZx被攻击,Curve交易异常,DeFi遭遇信任危机?

背景:

事件1:DeFi项目bZx遭受了两次攻击。事件发生后,DeFi保险平台NexusMutual兑付了bZx事件中3.1万美元的用户索赔。

事件2:去中心化稳定币交易平台Curve出现异常交易,该笔交易使用价值8.9万美元的USDC兑换了价值46.5万美元的BUSD。部分DeFi业内人士猜测,此次攻击或与DeFi协议iEarn提供的Zap智能合约有关。

SheKnows:近期出现的DeFi安全事件,会不会引发DeFi的信任危机?

启富:DeFi的初心是开放金融,这降低了人们进行金融交易的门槛,同时监管上也变得没那么严格,DeFi的很多事情还在摸索阶段,一件事情刚开始的时候总是会遭遇很多意料之外的事情,这是无法避免的,且完全没有必要因噎废食。DeFi未来的路还很长,目前需要做的事是充分汲取这些安全事件的教训,在合约中设置好风控机制,并在产品上线前做好充分的安全审计,才能防止此类攻击再次重演。

文浩:我觉得DeFi的安全事件并不会导致DeFi的信任危机,就像当年的DAO事件,其实也没导致智能合约的逻辑危机一样。因为这类的安全事件,本身还是因为要么是业务逻辑、要么是智能合约安全所导致的,所以,不能因为出事儿了就连DeFi都不相信了,合约有漏洞,那就把合约改好就好了,逻辑有问题,那就把逻辑修复下,DeFi本身的根基还是不变的。当然,由于区块链和智能合约的复杂度,在这上面干活儿的安全风险相比起传统的软件开发要高很多倍,难度也大得多,因此,开发者们更要重视安全,与优秀的像慢雾这样的安全团队一起协作,努力搭建出更加安全可靠的DeFi服务。

王博闻:bzx可能是最近被讨论最多的DeFi被攻击的事件了,黑客通过闪电贷10000ETH,赚取了1800ETH。这是一个很高明的金融工程攻击手段,其实黑客是按照游戏规则来玩这个游戏的,他的获利也是所有规则范围允许的。所以也不会引发DeFi的信任危机,只会引入更多的新的参与者,比如说更多的安全审计和更多的保险产品。

SheKnows:DeFi和CeFi安全问题的区别是什么?

启富:DeFi、CeFi安全问题的区别其实很像中心化交易所和去中心化交易所的区别,首先拿资金管理来说,中心化的平台托管了所有用户的资产,其冷热钱包架构及权限管理就非常重要,还有对风控体系的要求也很高;去中心化平台由于没有托管用户资金,这方面要考虑的问题就比较少;第二个是系统外安全风险,不论中心化、去中心化都会对外部资源有一定的依赖,当依赖的外部系统出现意外时,能否及时发现并“容错”也是一项很重要的考验。

文浩:DeFi的安全更重要的是智能合约的安全和业务逻辑的安全,你如果有一个智能合约代码漏洞,那上面的资产可能就完蛋了。而像前面提到的bZx先后两次遭受攻击,则是逻辑上的缺陷被攻击者利用然后进行的攻击。而这里呢,闪电贷是个非常优秀的想法,也是DeFi创造力的很好的例子,但逻辑上有漏洞,那就会有很高的风险。CeFi的安全则不用管这些,CeFi的安全更多的则类似于交易所安全,因为用户是把币存在CeFi平台上的,你主要要担心的是黑客盗币。

SheKnows:目前DeFi项目存在什么样的安全风险?

启富:总结近几年发生的DeFi安全事件,可以发现主要有如下的安全风险:1.智能合约逻辑层面的漏洞、风险;2.业务模型中的缺陷;3.预言机问题;4.治理机制缺陷。

SheKnows:如何看待DeFi保险对DeFi生态的意义?

王博闻:DeFi本质还是普惠金融,普惠金融在现代金融市场是有非常多细分的业务场景,对于巴菲特来说,他非常喜欢的投资标的就是保险业,因为保险业务本质是先收钱,后赔付。所以有更多怎么更好分散风险,增加收益的选项。现在很多人对DeFi的不理解和不熟悉本身的原因,也是因为很新,很多人不了解。DeFi保险是一个增加普通用户信心的一种方式。

3年被盗98亿美元,普通用户如何保护资产安全?

背景:

毕马威发布的最新报告显示,2017年以来,黑客至少盗窃了98亿美元的加密货币。数字资产的安全变得愈发重要。

SheKnows:普通用户应该如何保护自己的数字资产呢?如果发现自己的数字资产被盗,应该马上采取什么样的行动?

启富:选择一个适合自己的保管方式是关键。假如不幸发现自己的数字资产被盗,如果资产放在交易所里,应该先联系交易所调查分析被盗原因;如果资产是放在去中心化钱包里,很可能就是私钥、助记词泄露了,这时候可以联系慢雾hack@slowmist.com邮箱,我们AML系统可以对被盗资产进行监控和追踪,当发现资产进入交易平台时将尝试进行阻断。

文浩:在这里,我可以给大家这么几个钱包保护的意见:

1.请使用有安全口碑的、架构合理的钱包方案;2.请一定要保管好助记词;3.日常的币存在热钱包里,大额的币存在开源的硬件冷钱包里,如果需要更高的安全级别请用加密账户。4.多人共管的币使用硬件冷钱包+多重签名共同管理,这类的丢币案例也很多,不能大意。

如果发现数字货币资产被盗,那首先应该尽可能的联系行业内相关的企业,看看能不能帮你获取更多、更完整的相关信息,然后再去报警。当然,所有这些你都得指望盗你币的人是个笨贼,留下了足够多的蛛丝马迹,否则找回还是很困难的。另外,像慢雾也有AML风控系统,并且慢雾也和包括比特派在内的钱包和交易所进行这相关风控合作,因此,也应第一时间报告给慢雾和比特派,大家可以一起看看能不能拦住相关资产的交易、兑换。

王博闻:很多数字资产被盗之后都是无疾而终,能追回的寥寥无几,唯一能做的就是做好之前的资产保护,管理好自己的冷热钱包,分地点存储,放保险柜里,防火防水防脱墨。

SheKnows:针对当前区块链的安全环境,请各位嘉宾提出自己的建议。

启富:慢雾的愿景就是成为区块链生态的安全基础设施,作为区块链优质从业代表,目前慢雾正紧密与国家相关单位制定区块链行业标准、区块链技术国标、区块链安全国标,为推动区块链技术发展、项目落地做出一份贡献,共同保障我国区块链行业有序、健康发展。只有行业不断健康发展,才能给我们这些早期从业者带来红利。

文浩:当前区块链的安全环境方面:我个人觉得还是需要行业内的企业共同努力,虽然我之前提到过的相比起当年行业安全水平提高了非常多,但说实话离真正好的安全水平还是相差很多的,大家仍有很多可做的事情让整个行业更安全!

王博闻:我的建议还是从用户的角度出发,也是一句行业的金句了:只有你拥有的私钥,才是你的数字资产。祝愿大家2020年,找到最好的方式掌握自己的私钥。

标签:EFIDEFIDEFSHEOneFinBank CoinParadise DefiHyperDeflateSHEL价格

Filecoin热门资讯
DeFi如何演化:四个阶段

前言:DeFi从诞生到现在,不过短短两年多时间,演化很快,并迅速成为整个区块链行业最具有吸引力的叙事。DeFi会经历什么样的演化?本文用互联网的演化做类比,第一阶段的诞生更多是对传统模式的模仿。第二阶段有了原生模式的突破.

1900/1/1 0:00:00
国际清算银行:没有央行数字货币专注于跨境支付

来源:?Cointelegraph中文作者:HelenPartz 编译:George 一份新报告称,跨境支付似乎并不是全球各国参与本国数字货币项目的优先事项.

1900/1/1 0:00:00
生财有道!Chainalysis如何获得美国政府的千万美元合同

加密数据分析公司Chainalysis在过去五年已经从美国政府获得了1000万美元的合同,有近十个机构和一个军事部门从该区块链公司购买从跟踪工具到数据分析培训等产品和服务.

1900/1/1 0:00:00
精选 | 跨赛博空间、物质世界和 Finspace 生存的比特币

来源:真本聪 今天内容包括: 1)概述比特币期货平台的费用结构和激励措施;2)DappRadar:枯燥的有钱人是如何影响菠菜应用的;3)StakingHub:NuCypherAMA; 4)比特币的栖息地; 5)粘合剂宣言:让中心化与去.

1900/1/1 0:00:00
V神最新讲话:以太坊没有我也“绝对可以”生存下来

本文来自TheBlock,原文作者:StevenZheng翻译:Odaily星球日报余顺遂,原题《V神最新讲话谈论DeFi、ETH2.0及以太坊社区》以太坊联合创始人V神周六在美国科罗拉多州举办的年度区块链黑客马拉松会议?ETHDen.

1900/1/1 0:00:00
百万销量硬件钱包,Ledger NanoX能否撼动前代“机皇”宝座

Hi体验新鲜好物,吐槽反人类设计,这里是ChainNode测评间,我是本期客串女侠,晓萌。以交易挖矿轰动行业的Fcoin在2月正式宣布兑付无力,规模高达7000-13000个BTC,数万投资者或面临血本无归;bZx协议遭遇黑客两连击,

1900/1/1 0:00:00