在本期播客中,主持人亞歷克斯與blocksec首席執行官周亞金探討了加密貨幣世界的安全問題。周亞金指出,blocksec不僅提供安全審計,還涵蓋鏈上協議和用戶資產的安全服務。他分享了三個顯著的安全事件,包括鴨嘴獸協議的攻擊、paraspace的漏洞及bybit的社工攻擊。周亞金建議用戶在進入加密貨幣行業時注意保護私鑰,謹慎選擇項目,並強調了行業潛力,以及頭部安全公司的品牌和信任作為護城河的重要性。
主持人:Alex,Mint Ventures研究合夥人
嘉賓:周亞金,區塊鏈安全公司blocksec首席執行官
:2025.3.28
聲明:本期播客我們所討論的內容不代表各位嘉賓所在機構的觀點,並且所提到的項目也不構成任何投資建議。 ,並且所提到的項目也不構成任何投資建議。
塊的服務範疇和目標客戶
Alex:本期節目我們來談一個與各位都息息相關的話題,就是加密貨幣世界的安全。在我們遭遇真正的風險之前,往往都以為自己不會成為新聞里安全事件的受害者。如何為自己的資產構建一個防火牆,讓自己在安全的環境下投資,是我們開始加密貨幣旅程之前的必修課題。本期播客我們邀請到了區塊鏈安全公司,是我們開始加密貨幣旅程之前的必修課題。本期播客我們邀請到了區塊鏈安全公司
周亞金:大家好,我是周亞金
亞歷克斯:好的,咱們進入今天的正題。我相信蠻多的聽眾可能對區塊鏈的安全公司、安全服務並沒有那麼了解。請周老師先給我們介紹一下塊,你們提供的服務內容大概是哪些,什麼樣的人、什麼樣的機構會成為你們的客戶。 ,什麼樣的人、什麼樣的機構會成為你們的客戶。
周亞金:好的,blocksec是一家web3安全公司,我們成立於2021年,由我和吳老師共3個web3的安全,大家可能第一想到的就是安全審計。其實塊,blocksec的業務範圍不僅僅是安全審計,我們還提供一系列其他的安全產品和服務。具體來講,服務可以分為三大板塊。第一個板塊我們稱之為針對鏈上協議的安全。鏈上協議就是我們講部署在區塊鏈上進行一些defi或者是nft,或者其他活動的一些智能合約。這些合約的安全性應該如何保障呢? blocksecsecsec就提供了安全的審計服務和安全的監控的產品。第二塊我們比較關注的是資產的安全。所謂資產的安全就是用戶手頭所擁有的資產,比方說這些資產是在自己的合約錢包裡面,比方說這些資產是在自己的合約錢包裡面,比方說這些資產是在自己的合約錢包裡面進入到跨境支付的行業裡面。那實際上這些傳統金融機構進入到這個行業裡面之後,給監管帶來一個難題,監管機構不知道怎麼去監管,這些機構又不知道怎麼符合合規。所以我們也有在幫助監管機構去監管進入到crypto行業裡面的這些玩家
lending的平台
關於加密貨幣安全的三點建議
Alex:明白,剛剛周老師談到了客戶類型,他們有什麼樣的需求
周亞金:這個問題非常好。我身邊的朋友也經常問我一些安全建議,他們也想進入這個行業,但是又聽說好像很多人都會遇到一些風險。我們曾經有個開玩笑的說法:如果你進入crypto圈子之後,沒有被釣魚,也沒有被詐騙,你就不會成為這個領域裡面資深的玩家。當然這是個開玩笑,但確實你也能發現這個行業裡面存在很多風險。如果要提三個建議的話,但確實你也能發現這個行業裡面存在很多風險。如果要提三個建議的話來保護私鑰。每一種方法其實都有它自己的優缺點。通過我自己的經驗以及我們身邊的一些安全朋友的整體經驗,基本的原則就是私鑰的助記詞,把它記下來放到保險箱裡面,無論這個保險箱是你自己家的還是銀行的,通過鏈上的簽名,你可以將資產授權給一個合約或其他用戶來使用,並且這樣的授權只需要通過你的錢包簽署你看不懂的一堆奇奇怪怪的東西就能實現。所以在簽署錢包簽名的時候,你因為不太明白或者說被欺騙,簽署了授權的交易
Alex:我身邊其實有蠻多高淨值的朋友,他們也是行業裡面的,按理來說您提到的這些安全意識,按理來說您提到的這些安全意識,他們多少都是有一點的,但是每年我都會聽到身邊有一些大戶被盜。行業裡有一個說法,他知道你的錢包是有錢的
周亞金:你這個問題非常好。其實安全問題,特別是涉及到crypto安全,本質上是一個不平衡的對抗。如果你的錢包裡面擁有足夠多的資產
印象最深的三個安全事件
亞歷克斯:明白,這個建議確實非常重要。您能不能給我們分享一下從業以來印象最深刻的三個安全事件?可以是您自己親自經歷的,也可以是身邊的朋友或者您的一些見聞。 ,也可以是身邊的朋友或者您的一些見聞。
:我可以給大家分享一下我們實際上親自參與處理過且印像比較深的安全事件。第一個例子我記得是在:我可以給大家分享一下我們實際上親自參與處理過且印像比較深的安全事件。第一個例子我記得是在2023年2,,鏈上有一個協議叫鴨嘴獸協議被攻擊了。它是一個借貸加上其他功能的平台。這個協議有一個安全的漏洞,黑客通過這個漏洞,黑客通過這個漏洞,9英里,的資產。這個事情之所以我印像比較深刻,是因為黑客在攻擊鴨嘴獸協議的時候犯了一個錯誤。他去攻擊智能合約的時候,是因為黑客在攻擊鴨嘴獸協議的時候犯了一個錯誤。他去攻擊智能合約的時候2.4個百萬從攻擊者合約裡面提取出來。這也是整個區塊鏈安全歷史上第一次我們稱之為叫hack back,就是說利用它的漏洞,將它竊取的資金再提取出來還給項目方。這是一個特別有意思的對抗的事情,我印象蠻深刻的。 ,我印象蠻深刻的。
亞歷克斯:你們跟鴨嘴獸之前是合作關係,還是說是經過這個事件之後才開始交易所? ,還是說是經過這個事件之後才開始交易所?
周亞金:我們之前其實是沒有任何的合作關係,有了這個事件之後才聯繫。我可以延伸講一下整個安全事件處理的流程。我們自己內部有一套安全攻擊的引擎,當安全事件發生了之後
然後第二個案例也比較有意思,這也是,這也是2023年的時候發生的。咱們的中文聽眾可能會更熟悉一點,paraspace。 paraspace。 paraspace是可以質押無聊猿的nft,藉其他的資產出來。我知道很多的中文og og其實都是無聊猿nft的持有者。這個協議其實有一個安全的漏洞的交易,就是失敗了但是又上鍊了交易。這就是我們引擎的能力,能判斷這是一筆攻擊交易。判斷出來之後,我們就想了一個辦法說
但是這個安全事件之後,實際上也引發了我們很多的思考,因為這裡面有很多安全道德和倫理上的一些問題。比方說我們觀察到一筆攻擊之後,雖然將這個協議裡面的資金支取出來
Alex:這個安全事件我好像當時還注意到過。您剛剛講到保護性的攻擊,我想問一個細節,就是您剛剛提到的,恢復攻擊發生之後,你們肯定需要一個內部的討論跟決策
周亞金:非常快,我們從第一時間知道到最後完成這件事情大概也就是幾分鐘的時間。因為公司已經形成一個非常完善的安全處理流程,知道安全事情之後馬上就會進行討論和決策,決策完了之後因為已經有一些自動化的工具,所以很快就能把事情給做了。 ,所以很快就能把事情給做了。
亞歷克斯:明白。
:第三個案例是大家應該最近都關注到的:第三個案例是大家應該最近都關注到的bybit安全事件,二月份的時候有,15,,bybit,bybit的安全事件其實跟智能合約的漏洞沒有任何關係,我們稱之為信任鏈條過長。在一個這麼大資金體量又有這麼長信任鏈條的體系裡面,我們稱之為信任鏈條過長。在一個這麼大資金體量又有這麼長信任鏈條的體系裡面,攻擊者通過社工的攻擊找到了最薄弱的環節錢包得要通過電腦的瀏覽器或者說通過他的硬件錢包。你會發現這裡面涉及到的方方面面特別多。我們講安全塊錢,但是我並不知道塊錢,你就發現不一致了。具體到這個,bybit的case裡,如果你簽名的錢包裡面能有這樣比較好的提醒能力,實際上也是能阻止這樣的攻擊的。但是比較遺憾的就是在這個,case裡面
親歷社工攻擊
亞歷克斯:剛剛您提到的案例當中,有一個詞叫,“社工攻擊”,可能不一定所有的聽眾都能理解這個概念的含義,您能不能解釋一下?
:社工攻擊全稱叫社會工程學攻擊:社工攻擊全稱叫社會工程學攻擊,它利用的不是一些技術手段或其他的會議軟件。但是他沒有提供任何會議鏈接,只是約了一個時間。到了要開會的時間,你發郵件給他說我們已經要開會了,把你的會議鏈接發給我。他馬上就給你發一個會議鏈接,你點擊這個鏈接之後會發現很奇怪
亞歷克斯:我看前兩天行業裡面也有一個關注度不小的事件,就是某一個協議的創始人說自己在參加線下聚會的時候,手機離開自己大概就十幾分鐘,手機的錢包裡面大概幾百萬資金就被盜了。假設這個攻擊是在他手機離開的時候發生的,這是不是也是屬於社工攻擊的一種? ,這是不是也是屬於社工攻擊的一種?
周亞金:對,我覺得它屬於社工攻擊的一種
與區塊鏈協議交互時的安全原則
亞歷克斯:明白。剛剛我們談了很多很有代表性的一些大的安全事件,那麼回到我們普通人做區塊鏈協議交互的時候,就像您說的,您之前服務的很多項目都是defi協議,我們很多人在鏈上去交互的時候很多也是defi協議。我們在跟這些defi協議或是別的協議去交互的時候,有沒有一些需要遵守的安全原則?我相信大部分的普通用戶是沒有代碼閱讀能力的
周亞金:我覺得普通用戶如果要去做鏈上交易,首先要做好項目方的一些背調,我覺得還是挺重要的。你去投資一個鏈上的項目,如果你是小資金體量本著去試一試的態度一些核心的關鍵點。比方說是哪幾家審計的,他們的風評怎麼樣,這個報告裡面有沒有一些核心觀念的安全漏洞。並不是說報告裡面有發現核心安全漏洞就說明這個協議不安全,恰恰說明這個安全公司可能比較盡職
Alex:我注意到一個事件,前兩天幣安下了很多項目的代幣,說他們能夠提供的運營各方面都不達標,所以幣安把它下了。然後項目方就說可能因為各種各樣的問題,這個項目後續就不運營了,處在一個半廢棄的狀態。那麼假設這個用戶可能一兩年前使用過,這個協議目前項目方沒人管了
周亞金:是的,這個也是有可能的。特別是像你剛才講的,如果一個用戶把自己的資金授權給一些協議,而這些協議和智能合約後續可能都已經沒有人維護了,那如果這個授權不取消
亞歷克斯:明白。關於交互的安全,我還有一個問題。過往的一些被攻擊的defi協議也好,別的協議也好,我們發現用dex 之類的相對來說被盜、被攻擊的數量不如像借貸或者質押類的這麼多。這個跟這兩類協議它本身的智能合約類型有關係嗎?還是有其他原因?
周亞金:你說得很對。相對來講,dex 的安全風險會比其他的借貸、產量耕作以及一些金融衍生的協議的安全風險低一些。因為首先dex的整體協議比較簡單,dex xy = k這種恆定乘積。當然= k這種恆定乘積。當然uniswap v3 v3稍有不一樣,基本的核心就是恆定乘積公式。那麼首先它協議簡單,基本的核心就是恆定乘積公式。那麼首先它協議簡單,其次它已經有一個非常好的參考樣例進去平台和其他平台就不一樣了,你的資產是實實在在放在裡面,而且你是超額質押。你如果是一些其他的更複雜的協議,就是本身就會有留存很多用戶的資產在裡面,它被攻擊之後,受損的用戶的群體也會相當於比較大
然後我們也發現過去在歷史上,dex其實也不是沒有被攻擊過。它被攻擊的原因都比較簡單,首先因為dex的風險敞口其實在於授權,因為你要swap的時候,你需要將你自己的代幣授權給dex的路由合約,雖然路由合約不存錢,但如果路由合約裡面有一些任意執行的漏洞
Alex:所以在剛剛您說的授權的漏洞這個案例裡面,如果一個審計公司發現dex有任意執行這樣的權限,一般都會去給他建議說這是不合理的,或者在報告披露的時候會去提醒大家這個事情? ,或者在報告披露的時候會去提醒大家這個事情?
周亞金:對,這一定是個漏洞,一定是不合理的。如果讓安全公司審計,它必須要把這個給修復掉
區塊鏈安全行業的現狀和潛力
Alex:OK,剛剛我們聊了很多在安全攻防上,以及如何保護個人資產安全的一些具體問題。我們來聊今天最後一個問題
:這是一個很好的問題:這是一個很好的問題十億,就是1000多億美金。但今天我在參加這個節目之前看了一眼數據,現在的整個tvl是十億,也就是說離最高峰可能一半多一點點,導致說我們區塊鏈這個行業的發展好像遇到了一個瓶頸。 ,導致說我們區塊鏈這個行業的發展好像遇到了一個瓶頸。
但是與此同時,我們也發現了這個行業新的潛力,就是傳統的金融機構在慢慢進入這個產業。傳統的金融機構進入產業裡面有一些信號,比方說傳統的銀行在鏈上發穩定幣
頭部安全公司的護城河
亞歷克斯:好的。我印象非常深刻,在,在21、22年的時候,當時感覺區塊鏈的安全公司,尤其是做智能合約審計的都非常賺錢。甚至說一些比較知名的安全公司如果能讓你插隊安排快點審計都感覺是對你的優待。您認為比較頭部的那些安全公司的護城河主要有哪些? ,尤其是做智能合約審計的都非常賺錢。甚至說一些比較知名的安全公司如果能讓你插隊安排快點審計都感覺是對你的優待。您認為比較頭部的那些安全公司的護城河主要有哪些?
周亞金:我覺得可能有幾個點。第一個點在於說品牌和信任。特別是安全審計,它其實是對品牌認知要求非常強的一個服務。您剛才講到之前市場比較好的時候,審計非常火,可能需要排很長的時間。實際上今天頭部的安全審計公司仍然是這麼一個情況,並不是說一個項目方來審計這個行業一定最後是會需要在合規跟監管底下才能有可能獲得大規模的發展機會。這個觀點不是每個人都認同,只是我們在這個行業裡面待了那麼多年,我們能看到這個行業要發展一定是在陽光底下,一定是在合規跟監管的體系底下,才能把傳統的那些老錢吸引到這個行業裡面來。在這個情況底下,提早做好合規跟監管的產品跟服務。合規跟監管的產品服務需要你對這個行業的監管政策、合規要求有比較深的理解
Alex:了解。今天咱們聊加密貨幣安全這個話題維度還是挺多的,從具體的一個安全事件,到每個人需要注意的一些安全性的原則,然後包括整個行業的發展規模等等我們都有聊到。非常感謝周亞金今天能夠到我們節目分享這些真知灼見,希望我們以後還能有別的機會再聊一聊更多相關的話題,希望我們以後還能有別的機會再聊一聊更多相關的話題
周亞金:謝謝亞歷克斯。
資訊來源:由0x資訊編譯自互聯網。版權歸作者所有,未經許可,不得轉載