SheKnows | 暴雷,攻击,漏洞!拿什么来保护你,我的BTC?
刚刚过去的2月,交易所暴雷、遭受攻击,私钥被窃,DeFi项目出现漏洞和人为失误,一系列的安全事件,给区块链项目的管理敲响了警钟。
3月6日下午,SheKnows直播间迎来区块链安全专场,邀请了慢雾科技合伙人启富、比特派创始人文浩、DDEX联合创始人王博闻,围绕区块链安全的话题展开讨论,在不安全的世界里寻找安全感。
昨天 VS 今天:区块链行业是否越来越安全?
SheKnows:现在的区块链行业比以前更安全了吗?
启富: 安全的本质是信任,安全的核心是攻防对抗,攻防的核心又是成本对抗。安全是动态的,随着业务的发展也可能会引入新的安全问题。安全也不是绝对的,从来不存在一家100%安全的公司或项目。随着行业的发展,需要大家不断地提升安全意识,才能有效的避免出现更多被黑事件。文浩: 虽然看起来到今天仍然是此起彼伏的黑客事件、安全事故、盗币案例,但相比起当年(比如说 Mtgox 时代),其实是安全了很多个量级了,具体理由如下:1. 硬件冷钱包技术和方案有了长足的发展;2. 开始出现了越来越多的专业的安全团队;3. 币圈企业(尤其是交易所)更有钱了,更有钱其实也很重要,因为有钱了就能在安全方面投入更大的资源。虽然行业更安全了,但其实行业所面临的安全复杂度则高了很多倍,比如说智能合约安全、多链资产的管理等等的,都给今天的行业安全带来了更多的挑战,所有这些都需要行业内的大家一起努力。
王博闻: 区块链行业安全其实是一个黑盒子,每年都会有不同的平台出现被盗的事件,从最早的门头沟,到韩国Upbit 被盗5000万美金, 币安7000比特币的被攻击,到Fcoin内部亏空。包括最近出现的DeFi 智能合约的一些攻击,就比如说我上周分析的bzx 的闪电贷攻击,和SNX的套利。每年的智能合约安全的需求都在成倍的增长 。
IOTA被盗,巨鲸丢币,普通用户该不该担心?
背景:SheKnows:针对事件1,之前看到慢雾分析的结果是,新版本的官方钱包里的一个交易模块出了问题。能否具体讲讲?事件1:黑客利用 IOTA 官方钱包应用 Trinity 的漏洞窃取资金,随后官方宣布关闭整个网络。
事件2:论坛名为“zhoujianfu”的巨鲸称,丢失1547 BTC和近60000 BCH。SIM卡攻击,疑似使用Blockchain.info服务。
启富: 原因是IOTA官方钱包引入了第三方的组件,然后第三方组件被黑,间接影响了他们官方钱包的很多用户,导致他们的私钥、密码被盗。已经统计出来的损失,被盗的IOTA大概是855万枚,价值大概230万美金。技术上具体展开来说就是,IOTA官方钱包内置了一个第三方交易模块 MoonPay,等于钱包内有一个交易所的功能。攻击者盗取并利用 MoonPay 的 Cloudflare API Key 发起中间人劫持攻击,在IOTA钱包引用的 MoonPay JS文件 中注入恶意 JavaScript,盗取用户的种子、密码等。SheKnows:怎么看待Trinity 钱包被盗导致主网关停这件事?
文浩: 其实应该是MoonPay模块的问题,MoonPay是一个第三方交易模块,用来帮助海外用户买卖币的第三方服务,除了Trinity其实还有一些其它的钱包在用Moonpay。攻击者是利用了MoonPay的Cloudflare API key完成了一系列劫持攻击,注入了恶意的JavaScript代码,详细的报告大家可以去找下慢雾的文章。其实这就是过去这些年我们一直强调的“JavaScript 钱包的安全天花板其实非常低”的原因。SheKnows:巨鲸由于SIM卡攻击而丢失巨额资产,其他的普通用户会不会遭受这种攻击?什么样的钱包算是安全的?
启富: SIM卡攻击手法,其实是挺流行的,但是在国内大家可以不用太担心,因为国内已经度过了早期运营商各种混乱,甚至运营商内部做恶这些情况,包括我们相关的一些法律以及监管,大家的手机号不会轻易被别人给复制。在我们国家大概10年前,这个现象还是挺普遍的。但是在国外运营商的实力,不一定有我们国内的这么强,大家都知道我们国家基建的水平是非常强的。而很多海外运营商属于私人企业在运作,技术实力等等都不一定那么高,包括相关的一些内部协议,可能都是很古老的版本,以及风控管理上可能都比较落后,确实会存在海外的手机号被社会工程学等方式复制。关于钱包安全的选择,我觉得需要结合用户自身的熟悉水平,如果是接触区块链不久的、持币量不大的用户,建议资产托管在全球知名的交易所,开启各项二次认证、登录保护措施;如果是对区块链有一定的认知,对去中心化钱包有相应的了解,可以选择国际知名的去中心化钱包,把币放在里面,同时离线备份好助记词、私钥;第三种是资金量大的,对安全要求高的,可以选择国际知名的硬件钱包,或者专业的资产托管平台。
FCoin暴雷,OKEx和Bitfinex被DDoS 攻击,交易所安全何去何从?
背景:SheKnows:你对“交易即挖矿”这种模式有没有新的看法?FCoin暴雷,对交易所这个赛道会产生什么样的影响?事件1:FCoin 交易所表示,由于资金困难导致资金储备无法兑付用户提现。
事件2:OKEx、Bitfinex 等交易所频繁遭受 DDoS 攻击,相关服务受到影响。
王博闻: “交易即挖矿”是一个模式创新,很多人也参与过Fcoin交易即挖矿,这个模式是不可持续的,因为人为地透支交易需求,而且是将第二天的收益,透支给前一天,所以本质是击鼓传花。Fcoin挤兑的暴雷,主要是内部的统计系统和风控系统不完善所导致的,内部亏空严重,到最后挤兑发生,都是Fcoin本身内部的问题。这种问题就不会发生在DeFi 产品上,因为所有的资产都是从第一天开始就是公示给所有人,大家都可以看到有多少用户,每个用户存取了多少钱,借了多少钱,所以平台没有作恶的可能性。在第一天把所有的账务公示给所有人是DeFi资金安全的一个最好的广告牌。SheKnows:什么样的交易所是相对安全的?去中心化交易所(DEX)面临哪些安全风险?
王博闻: 直到交易所被盗之前,所有的安全保护宣传都是不可证伪的。因为如果交易所开源冷热钱包管理系统,黑客也会有专门的方式针对。所以最好的选择,可能是分散风险,冷热钱包自己控制,如果不信任自己钱包管理能力,可以在几个最老,安全信任度最高的交易所,分散资产,比如说Kraken、Coinbase。DEX的风险,我们把智能合约安全放在最高优先级,我们和行业领先的几家安全审计机构 Peckshield、Secbit合作,至今在以太坊上执行了45万笔链上交易,没有出过安全问题。我们也和行业内的白帽子合作,做公开的悬赏计划,给提供安全线索的开发者一定的奖励。
bZx 被攻击,Curve 交易异常,DeFi遭遇信任危机?
背景:SheKnows:近期出现的DeFi安全事件,会不会引发 DeFi 的信任危机?事件1:DeFi 项目 bZx 遭受了两次攻击。事件发生后,DeFi 保险平台 Nexus Mutual 兑付了 bZx 事件中 3.1 万美元的用户索赔。
事件2:去中心化稳定币交易平台 Curve 出现异常交易,该笔交易使用价值8.9万美元的 USDC 兑换了价值46.5万美元的 BUSD。部分DeFi业内人士猜测,此次攻击或与DeFi协议iEarn提供的Zap智能合约有关。
启富: DeFi的初心是开放金融,这降低了人们进行金融交易的门槛,同时监管上也变得没那么严格,DeFi 的很多事情还在摸索阶段,一件事情刚开始的时候总是会遭遇很多意料之外的事情,这是无法避免的,且完全没有必要因噎废食。DeFi 未来的路还很长,目前需要做的事是充分汲取这些安全事件的教训,在合约中设置好风控机制,并在产品上线前做好充分的安全审计,才能防止此类攻击再次重演。SheKnows:DeFi(去中心化金融)和CeFi(中心化金融)安全问题的区别是什么?文浩: 我觉得DeFi的安全事件并不会导致DeFi的信任危机,就像当年的 DAO 事件(都导致了 ETH 分叉),其实也没导致智能合约的逻辑危机一样。因为这类的安全事件,本身还是因为要么是业务逻辑、要么是智能合约安全所导致的,所以,不能因为出事儿了就连 DeFi都不相信了,合约有漏洞,那就把合约改好就好了,逻辑有问题,那就把逻辑修复下,DeFi本身的根基还是不变的。当然,由于区块链和智能合约的复杂度,在这上面干活儿的安全风险相比起传统的软件开发要高很多倍,难度也大得多,因此,开发者们更要重视安全,与优秀的像慢雾这样的安全团队一起协作,努力搭建出更加安全可靠的 DeFi服务。
王博闻: bzx可能是最近被讨论最多的 DeFi 被攻击的事件了,黑客通过闪电贷10000ETH, 赚取了1800 ETH。这是一个很高明的金融工程攻击手段,其实黑客是按照游戏规则来玩这个游戏的,他的获利也是所有规则范围允许的。所以也不会引发DeFi的信任危机,只会引入更多的新的参与者,比如说更多的安全审计和更多的保险产品。
启富: DeFi、CeFi安全问题的区别其实很像中心化交易所和去中心化交易所的区别,首先拿资金管理来说,中心化的平台托管了所有用户的资产,其冷热钱包架构及权限管理就非常重要,还有对风控体系的要求也很高;去中心化平台由于没有托管用户资金,这方面要考虑的问题就比较少;第二个是系统外安全风险,不论中心化、去中心化都会对外部资源(例如:币价、预言机数据等)有一定的依赖,当依赖的外部系统出现意外时,能否及时发现并“容错”也是一项很重要的考验。SheKnows:目前DeFi项目存在什么样的安全风险?文浩: DeFi的安全更重要的是智能合约的安全和业务逻辑的安全,你如果有一个智能合约代码漏洞,那上面的资产可能就完蛋了。而像前面提到的 bZx 先后两次遭受攻击,则是逻辑上的缺陷被攻击者利用然后进行的攻击。而这里呢,闪电贷是个非常优秀的想法,也是 DeFi创造力的很好的例子,但逻辑上有漏洞,那就会有很高的风险。CeFi的安全则不用管这些,CeFi的安全更多的则类似于交易所安全,因为用户是把币存在 CeFi平台上的,你主要要担心的是黑客盗币。
启富: 总结近几年发生的DeFi安全事件,可以发现主要有如下的安全风险:1. 智能合约逻辑层面的漏洞、风险;2. 业务模型中的缺陷(例如套利问题);3. 预言机问题;4. 治理机制缺陷。SheKnows:如何看待DeFi 保险对DeFi 生态的意义?
王博闻: DeFi本质还是普惠金融,普惠金融在现代金融市场是有非常多细分的业务场景, 对于巴菲特来说,他非常喜欢的投资标的就是保险业,因为保险业务本质是先收钱,后赔付。 所以有更多怎么更好分散风险,增加收益的选项。现在很多人对DeFi的不理解和不熟悉本身的原因,也是因为很新,很多人不了解。DeFi保险是一个增加普通用户信心的一种方式。
3年被盗98亿美元,普通用户如何保护资产安全?
背景:SheKnows:普通用户应该如何保护自己的数字资产呢?如果发现自己的数字资产被盗,应该马上采取什么样的行动?毕马威发布的最新报告显示,2017年以来,黑客至少盗窃了98亿美元的加密货币。数字资产的安全变得愈发重要。
启富: 选择一个适合自己的保管方式是关键。假如不幸发现自己的数字资产被盗,如果资产放在交易所里,应该先联系交易所调查分析被盗原因;如果资产是放在去中心化钱包里,很可能就是私钥、助记词泄露了,这时候可以联系慢雾[email protected]邮箱,我们AML系统可以对被盗资产进行监控和追踪,当发现资产进入交易平台时将尝试进行阻断。SheKnows:针对当前区块链的安全环境,请各位嘉宾提出自己的建议。文浩: 在这里,我可以给大家这么几个钱包保护的意见:
1. 请使用有安全口碑的、架构合理的钱包方案;2. 请一定要保管好助记词;3. 日常的币存在热钱包里,大额的币存在开源的硬件冷钱包里,如果需要更高的安全级别请用加密账户。4. 多人共管的币使用硬件冷钱包+多重签名共同管理,这类的丢币案例也很多,不能大意。
如果发现数字货币资产被盗,那首先应该尽可能的联系行业内相关的企业,看看能不能帮你获取更多、更完整的相关信息,然后再去报警。当然,所有这些你都得指望盗你币的人是个笨贼,留下了足够多的蛛丝马迹,否则找回还是很困难的。另外,像慢雾也有 AML 风控系统,并且慢雾也和包括比特派在内的钱包和交易所进行这相关风控合作,因此,也应第一时间报告给慢雾和比特派,大家可以一起看看能不能拦住相关资产的交易、兑换。
王博闻: 很多数字资产被盗之后都是无疾而终,能追回的寥寥无几,唯一能做的就是做好之前的资产保护,管理好自己的冷热钱包,分地点存储,放保险柜里,防火防水防脱墨。
启富: 慢雾的愿景就是成为区块链生态的安全基础设施,作为区块链优质从业代表,目前慢雾正紧密与国家相关单位制定区块链行业标准、区块链技术国标、区块链安全国标,为推动区块链技术发展、项目落地做出一份贡献,共同保障我国区块链行业有序、健康发展。只有行业不断健康发展,才能给我们这些早期从业者带来红利。文浩: 当前区块链的安全环境方面:我个人觉得还是需要行业内的企业共同努力,虽然我之前提到过的相比起当年行业安全水平提高了非常多,但说实话离真正好的安全水平还是相差很多的,大家仍有很多可做的事情让整个行业更安全!
王博闻: 我的建议还是从用户的角度出发,也是一句行业的金句了:只有你拥有的私钥,才是你的数字资产。祝愿大家2020年,找到最好的方式掌握自己的私钥。