时间:2022年5月28日
嘉宾:Steven???-------InsurAce保险协议
??????Amo?????------OneKey?硬件钱包
??????Johnson??-------InitiateCapital火凤资本
??????大橙子???-------零X干货铺发起人
Alex:大家好,我是今天的主持人Alex,今天Space主题很简单,就是关于加密世界的安全问题。最近偷盗频发,所以想借这次Space和大家探讨一下这个问题。欢迎几位嘉宾,下面请各位嘉宾做一个自我介绍。
Steven:大家好,我来自InsurAce,一个Defi保险协议。简单介绍一下,我们项目最早是建立在以太坊,目前我们已经部署到了四条链,是一个去中心化的多链保险平台。我们现在为很多用户提供链上保险服务,形式上跟别的保险不太一样,我们这个保险是一揽子的保险方式。怎么理解呢?原先在其它的Defi协议买保险是单独一个产品,每次购买都要付费一次,我们这边的保险方式可以想像成淘宝一样的电商购物平台,有一个购物车,可以买智能合约的漏洞保险,可以买钱包的保险,也可以买稳定币,只要加入购物车一次性支付就可以保证多个资产安全。
Johnson:我是Johnson,大家可以叫我Superlee,我来自火凤资本,英文叫做InitiateCapital,我们是在去年年初成立的。我们包括创始人的背景都是原来Web2的世界里做VC投资,主要是关注文化娱乐的赛道,投了很多游戏、潮玩、文化资源、动漫影视的公司,早在前几年开始接触Web3,去年成立了火凤。火凤现在主要也是关注Web3的投资机会,投了一些项目,包括Stepn,MaskNetwork、RSS3等等,关注的还是偏应用的会多一点,比如NFT、SocialFI相关的项目会多一些。我们自己也是从Web2到Web3的团队,包括我个人,所以其实比较关注加密世界的安全这个话题。其实做投资的话,我们内部经常讲,做任何投资首先不能只看回报,要保证投出去的钱安全,先不要亏钱,这是一个大前提,在不亏钱的情况下才想怎么能够赚钱。我觉得不亏钱就会涉及到安全的问题,这是一个很重要的话题,所以今天很高兴有机会参与这个讨论,和大家一起学习和交流。
Amo:大家好,我是OneKey硬件钱包的Amo,大家是不是多多少少都听说过OneKey?这里先做一个正式的介绍,OneKey是目前硬件钱包销售增长率第一的钱包,我们的团队90%以上都是深耕加密货币多年的专业工程师,都是很厉害的工程师。我们的优势在于支持多链、完全开源,Leisure也是半开源的状态。我们有专业的客服团队为大家解决各种链上的问题,所以对新手小白还是非常友好的。不管大家是参与Defi还是囤币,有硬件钱包才能比较好地保证我们资产的安全。今天很高兴能够参加Space,和大家讨论资产安全的问题,这个很重要。
Alex:第四位嘉宾有点迟到,我们就先开始吧。非常感谢嘉宾们的自我介绍,X2Y2作为一个交易平台也是非常关注我们在加密世界安全性的建设,并且经常想着怎样给我们的用户灌输安全意识,这也是举办这次Space的原因。首先想提出的一个问题就钱包的安全。我们都知道在加密世界,钱包是使用频率最高的应用,如何去保证钱包的安全,相信大家都会比较感兴趣。Amo肯定比较专业,你们是做硬件钱包的,你们觉得对硬件钱包而言,有什么注意的点是作为一个硬件钱包的项目方需要教导你们的客户,或者是向他们传达的呢?
Amo:我们可以先进入一个场景,就是进行Defi的时候需要链上频繁操作,会有各种交互、签名、确认等等,链上交互的第一个风险就是电脑可能会被黑、被远程控制,收到定向攻击邮件,熟人作案给你发个链接,点开电脑就中病。如果用的是热钱包,私钥是保存在手机或者电脑的缓存里的,这个时候就会很容易被窃取,黑客窃取到了以后就可以控制资产,瞬间就把资产转移掉,所以热钱包的风险还是挺大的。我们硬件钱包的助记词就是一个不触网的状态,使用公钥与外界交互,简单来说就是将公钥和私钥分开,然后我们在链上操作的时候连接硬件钱包,读取的是公钥,然后我们进行转帐、签名、授权是需要硬件钱包上的物理安全确认,确认之后才能完成交互,所以就是隔离私钥不触网,物理按键,还会在屏幕上显示交易的信息,所以可以比较有效地保护助记词。
报告:4月份加密投资产品平均每周资金流出总额为7950万美元:4月29日消息,据区块链数据公司CryptoCompare的报告,受市场下跌影响,4月份加密投资产品平均每周资金流出总额为7950万美元,这是2022年迄今为止最大的一次流出。记录的最大周流出量是截至4月8日的一周,共有1.34亿美元流出加密投资产品。
CryptoCompare研究人员表示,多资产加密投资产品的表现要好于单一资产产品。过去三个月,多资产产品都有资金流入,4月份迄今平均每周资金流入达到423万美元。 此外,4月份加密交易所日均交易量下降16.3%至2.44亿美元,连续六个月交易量下降。
总体而言,自2021年10月(8.41亿美元)以来,交易量下降了71.0%,自2021年1月创下历史新高(1.51亿美元)以来下降了83.8%。[2022/4/29 2:38:37]
Alex:?刚才提到有一个物理按键,那个物理按键是需要指纹,就是生物解锁的方式进行最后的确认吗?比如我要进行一笔转帐,或者BAYC转给另外一个人,我要卖给他,最后确认的时候是需要按下这个按键才能最后成功是吗?
Amo:这是一个很好的问题,实际上不用生物指纹什么的,它和小狐狸插件是一样的,插件点击硬件钱包以后会弹出一个是否确认的按键,这个时候需要输入钱包的PIN码,有了这个PIN码之后再去确认,才能完成交易。
Alex:那个PIN码相当于一个额外的给到用户,有点像Google的安全码是吗?
Amo:PIN码其实是钱包的一个解锁的密码,根据屏幕的时间、位置不同,然后这个PIN码是解锁,比如按了十次都是错的,这个时候数据会自动抹除,钱包回到一个初始状态。
Alex:那里面的钱怎么办?
Amo:还是要手抄备份助记词,把助记词导进去或者像小狐狸这种都是可以恢复资产的,所以备份还是很有必要的,只是在Defi的时候可以起到一个比较好的保护作用,私钥是不触网的状态。
Alex:明白,主要目的还是保护私钥不成为一个可触及的地方,就是达到一个没有网络的状态。
Amo:对,因为热钱包的话助记词就是在电脑里面,如果真的中或者点开一个什么文件,非常有可能被泄露,所以硬件钱包还是很有必要用一下的。
Alex:好的,感谢Amo的讲解,顺便问一下Steven,你有用过硬件钱包吗?你用起来观感如何?
Steven:是这样,我一直想买OneKey,刚开始买不到,后来就忘记了,再后来就不需要买了。
Alex:这是一个悲伤的故事。
Steven:虽然我没有用OneKey,但我还是会买的,一般我自己的做法是做一些帐户隔离。比如我会注册三个钱包或者四个钱包,你的每个钱包的属性或者用处可能不太一样,比如我买NFT的放在一个钱包里面,我跟Defi交互的话可能会用一个钱包。因为在链上操作的话风险其实是很大的,包括你的很多资产,比如放在交易平台上面。其实现在交易所基本上不太可能会被盗,被盗的话交易所也会赔付,所以最大的风险还是链上交互的风险。我觉得大部分用户能够做得比较少,前一段时间余老师发了一篇文章,就是讲加密货币黑暗森林自救手册,那篇文章我看了两三遍,我觉得整个大部分用户或者从业的用户可能都不一定看得懂,即使能够看得懂也不一定执行得了。就像创建钱包、识别插件、助记词这些,用户都可能做得很好。事前还可以做,比如通过硬件钱包可以把你的风险继续下降一个层次。
还有一种方式就是像我们这种保险协议也可以购买一下,因为链上从Defi出来到现在,基本上不用说每天,几乎每周都会发生被盗或者跑路事件。这些问题和风险,其实在线上的话能够做的是有限的,而且大部分用户对这种风险识别的能力其实是不够的。Defi这种其实每个协议也不像互联网一样,每个Defi独立运营,因为Defi相互的交互组合性和调用行为特别多。有的时候你的一个钱包参与了A-Defi,可能B-Defi被盗之后也会影响到A-Defi。我觉得大部分用户踏入这个圈层,应该更多地建立起一些保险意识。现在疫情,我们大家都关在家里,前一段时间一直在说要有底线思维,参与区块链这个领域也要有一个底线思维。比如大部分闲置资产必须是放在硬钱包里面,可能在链上交互的话,把该做的提前做好,比如买一份保险,不管是你的资产多或者少,其实保险都有一个很必要的操作。因为不管多少,你的资产多的话保费凑得相对多一点,资产少的话保费凑得相对少一点。
Alex:我问一下,比如要买Insurance的话是动态的吗?我有一个BAYC,付的保费可能跟我只有一个Azuki付的保费不一样吗?
Steven:因为你所有的是NFT,NFT保险和钱包保险,现在这两个产品我们还在研发。因为这里有些问题,比如钱包保险需要用户证明资金损失是不是合法的,这个钱包是不是你的。现在通过技术手段或者通过调查手段,可能中间还是有些漏洞的。我们觉得未来通过一些证明用户的身份信息,包括链上社会信用的交叉节点进行改进,然后我们风控,比如我跟X2Y2合作,中间可能探讨一些风控模型和精算,然后定一个价格出来用户直接买。今天买的NFT大概是需要保证整个的价值是多少,有可能是动态的,有可能是静态的,这是不一定的。
现在保险卖的最好的有几种:第一是智能合约漏洞,这个是比较常见的,第二是稳定币脱锚保险,前一段时间UST这件事我们也赔付了,只要脱锚我们就给你赔付,一比一置换。很多用户损失以后通过我们这里也会得到一个补偿,其实这是对用户的一个保护,就是你在参与进来,对Terror如果有足够认知,这种明显带有旁氏模型的项目其实是有风险的,那么就应该把自己的风险进行转移,比如通过保险的方式或者通过其它的方式。
大部分用户主要是风险意识不够,我们现在为大部分用户保的就是智能合约漏洞,资产管理平台被盗,这种被盗的风险也是挺大的,如果你的资产足够大,或者也不用足够大,都可以去保。因为现在元宇宙和NFT一直都是比较出圈的类型,所以我们一直在研发NFT保险和钱包保险,这些也是我们未来的重点。
Alex:明白,也就是说你们目前的保险更多的还是针对资产可能出现的问题,但对NFT和钱包,比如钱包本身的硬件或者软件的问题还没有考虑到你们的赔付范围以内是吗?
Steven:保险上架与否,跟传统保险一样也有风控和精算,再就是一个保险价格。因为用户也要算赔率,比如你买一个猴子,可能现在是值两百个以太,如果对这个价格波动风险没有进行有效的定价,定得低了的话风险就转移到平台上来了,那这个保险事业就不可持续了,如果定得高的话,大部分用户又不愿意去买,中间需要探讨出来一个切实可行的方式,既让它能够面向市场,大部分用户不用付多少成本保护得了自己的资产,又能让产品有利润可持续发展。
Alex:非常感谢,我觉得蛮有新意的,期待你们推出关于NFT的保险,我们可以进行深度的合作。我们的用户很多,今天还有一个客户搜索了我们的网站,他其实进的不是我们的网站,而是进到一个钓鱼网站,Google搜索X2Y2,因为那个网站是从Google购买的广告,不小心进入那个钓鱼网站,NFT就被偷了,很神奇,我就觉得还有这种操作?
Steven:这种问题其实非常常见,我们团队内部定期也会给你发一个钓鱼链接邮件,看你到底填没填,我们内部一直在测试自己。
Alex:测试的结果有很多人会点吗?还是不会管?
Steven:刚开始有标题,你也不知道为什么,团队之间可能也要回复,所以点得就比较多,后来大家的识别率就会降下来。因为我们是做保险的,一定要把风险意识提高,就像硬件钱包跟链上进行风险隔离一样,我们其实也是一样的。风险分内部和外部,团队内部一定要和外部的风险进行隔离,内部风险需要自己想办法通过机制解决。
Alex:非常感谢Steven,再问一下Johnson,你有用过什么硬件钱包吗?或者关于硬件钱包和热钱包你有没有听说过的特别神奇的局?
Johnson:我自己可能体验过一些,但不太多,因为对用户来讲,如果资产量比较大的话,稳妥的方式是找一个硬件钱包,如果平时只是一些小额的,或者进出比较频繁的话,那么这方面的需求就不是特别明显。因为我们自己是做投资的,也跟一些做钱包尤其是硬件钱包的团队交流过,总体上觉得尤其是在国内华语地区,大家对硬件钱包的认识或者是使用率相比欧美地区是相对低的,尤其是国内做硬件钱包的团队,他们大部分的用户和销路还是在欧美地区为主,国内由于各方面的原因,大家的意识也不是很强,信息也不是特别通畅,所以大家对硬件钱包或者钱包的安全认知还是比较低的。
长远来讲,肯定是需要大家多多提高安全意识,需要有些人不管是行业的团队还是媒体,或者是X2Y2这样的重要平台,大家多去做一些宣传和科普,这是很重要的。关于安全我也听说过,之前也有一个做硬件钱包的,哪个钱包我就不说了,反正就是一个钱包,用户去买,很不幸的是去了拼多多,上去买了硬件钱包,回来以后把自己的加密货币存进去,然后就被盗了。很奇怪,然后就去找这个团队。
Alex:定点投放的局。
Johnson:是的,核心在于他买的这个渠道不对,他去了拼多多,这个平台上卖给他的卖家显然不是官方,不是硬件钱包官方的店,是某个个人,然后卖给他的硬件钱包理论上应该是加密的,但其实是动了手脚的,就是把里面的私钥之类的东西改了。那个用户拿到手的时候觉得没有问题,但这里是有陷阱的,他把资产转进去以后很快就被转走了,因为他是买了一个陷阱。后来找到那个团队,团队一看就知道这是一个陷阱,因为买的渠道不对,所以就被了。这是一个很大的教训,即便是买硬件钱包也要选择官方的途径、官方的渠道,这也是很重要的一个点。
Alex:我自己是有准备购买过另外一款钱包,但我朋友跟我说反正没有什么资产,你还是别买了。那个时候是猴子币,大家凑钱集中在一个人手上充猴子币,当时就有很大的需求。大家看到一个人帐户上有十多个猴子币,那个时候应该是有超过四十个以太坊的价值,反正就是很贵,大家都很紧张,就问他要不要去买硬件钱包。
Johnson:是的。
Alex:所以还是有场景的问题,现在很多人没有应用场景,所以没有这个需求。
Johnson:我也看到在一些社区的用户慢慢地有了这样的意识,比如买了猴子币或者BAYC之后就会比较小心,会把NFT放到硬件钱包,尽量不要去接触网络,因为的确是这种局会层出不穷地出来,如果稍不留心,把这个东西放在一个钱包,这个钱包去交互一些东西的话就有可能会被盗。
Alex:确实,我看到第四位嘉宾也上来了,大橙子。
大橙子:今天的主题是加密世界的安全,我觉得今天参加这场Space的应该没有人比我在这上面亏得多,我在上面损失了六万个BNB。
Alex:可以和大家顺便分享一下,为什么会因为这个。
大橙子:BNB是我这辈子最成功的投资,刚开始IEU的时候我就参与了,当时是叫做ICU,我十万人民币买了十一万个,当时的成本是九毛人民币。因为我这个人币特别拿得住,所以当时就一直拿着,然后就把这个事情忘了,放在交易所里面。2018年4月的时候,当时币安也是没有怎么完全起来,2018年3月的时候,他们的工作人员打电话给我说帐户有异常,因为我当时币安帐户里只有十一万个BNB,什么都没有,他们说你的BNB都被卖成另一个币,就是现在对抄成一个小币。黑客就是先买那个小币,因为他们没有我帐号的提币权限,只有交易权限,所以就对抄出去了。
后来就查什么原因,我不知道,如果是币圈的老人,你们有没有印象,一款软件叫做搜搜BTC,币圈新人肯定不知道,老人知道。搜搜BTC现在是叫做AICoin,前身叫做搜搜BTC,是同一个团队。当时搜搜BTC绑定币安的API,也不分几个月不用默认会沉默关掉或者怎么样,因为太早了,API那个东西我也对它的安全没有什么概念,开的时候就是有交易权限的。当时好像也不分什么只读交易之类的,开了就是有的。然后当时搜搜BTC绑定这个API,我上去看资金情况各方面会比较方便,我就绑定了,至少绑定了一年多,我甚至把这个事情都给忘了。后来2018年4月的时候,他们突然打电话给我说帐户被对抄掉了,最终损失大概是六万个BNB,当时我帐户上有十一万个BNB,也和何毅搞了老半天,最后赔了我九十个BTC。六万个BNB当时是值一百二十个BTC,现在是不得了,就是BTC本位的话,币安赔了我三十个BTC。这是我吃的最大一次亏,当时BNB也还好,不是很值钱,如果放到现在的话,那就不得了了。
Alex:我听下来好像是因为你给一个软件开了API的权限,就是你当时已经忘记设置这个权限,导致他们一直可以交易是吗?
大橙子:对,因为那个API是有交易权限的,我个人比较怀疑的是他们内部的员工,但也没有任何证据,后面因为“九四”之后大家都转出去了,搜搜BTC的主体也没了,后来我才知道是AICoin,但这个东西没法查也没法告,我也不知道是币安技术有问题还是搜搜BTC技术有问题或者是哪个环节,反正肯定是API,这个是币安查出来的,因为API才导致我被对抄走的。
Alex:就是因为API滥用,权限给的太多了,或者交互没有做好导致过分窃取你的帐户的使用权。
大橙子:我要告诉大家的一点是,如果交易API你是授权给外部用的话,一定要绑定IP。现在已经很成熟了,就是如果是交易API授权给哪个第三方,当然他们是只读,绑定哪个第三方一定要绑定IP,就是只有这个IP的服务器才能调用交易API,这样即使API被盗也是没有关系的。如果交易API不绑定IP,给到第三方,你的帐户就太危险太危险,而且这种事情后来也出了很多很多起,不单单是币安,OK也有出过,几个大户也是这样被盗的。
Alex:明白,就是把交易API授权给了某个程序,因为那个程序可以帮他更好地监测币的走向,没有想到反而被利用了。
大橙子:因为你不知道那个程序是怎么存你的API,甚至可能明文存在数据库,他的数据库被扒了,或者他内部员工作恶意作案然后离职,这种东西根本讲不清楚的。
Alex:其实这个有点像热钱包,也不能说是热钱包,可能是涉及到交易所帐户的安全权限问题。
大橙子:这个就是API管理问题,最核心的,现在我们有很多API会给外部用,有的时候找量化团队也要交易API给量化团队,用你的帐户跑他的策略,最核心的是一定要绑定IP,这是很关键的。
Alex:我想问一下大橙子,因为你的资金量很大,但你是有交易需求的,所以没有办法用硬件钱包吗?
大橙子:其实当时有硬件钱包,我听周围的人说了一些很可笑的问题,因为当时都不成熟,听到这些问题导致我不敢用。当时也太早了,2017年到2018年的时候,我不太信任硬件钱包,我觉得放交易所比较安全。当时我对API没有这方面的概念,就是这个东西可以对抄走的,当时我完全没有这个概念。因为我知道他们没有提币权限,只有交易权限的话问题也不大,后来我才知道原来是可以对抄走的,至少可以对抄走一半的资金。
Alex:就是用交易权限。
大橙子:但这个事情直到现在还有发生。
Alex:因为现在API这个技术还是不太完善的原因吗?
大橙子:技术没有关系,就是你把API给别人,如果不绑定IP的话风险就是很大的,但现在还有很多人API给到外面是不绑定IP的。
Alex:必须绑定IP才能使用,其实这个局教训还很严重,换算到现在的话其实是损失了很多,三百刀一个。
大橙子:是的,要是现在被偷一万个,我要想不开了。
Alex:天台见吗。
大橙子:现在太多了。
Alex:我觉得也算是花钱买个教训,而且相信你的资产肯定也不止这么多。我接着问大橙子,刚才你谈到的其实是关于钱包的API授权的安全问题,你在交易的时候有遇到过那些合约的安全问题吗?比如刚才你提到的可能对你的合约进行了限制,或者取合约的使用权限修改合约,会有这种情况吗?
大橙子:我没有碰到过,但我身边的一个朋友,以前是币安的,他的BAYC被盗了,人家Twitter上发了一个链接,跟他说这个网址用BAYC可以领取某个NFT,当时他就信了,点进去以后,那个网址就他授权,然后他授权以后那只BAYC就被盗了。那个应该是半年之前的事情,就是我的朋友。
Alex:我有一个朋友也是进了钓鱼网站,点了一下授权,那个帐户里面所有NFT都没有了,基本上NFT都是跟这个授权有关系。
大橙子:我个人觉得硬件钱包和非硬件钱包有一个最大的区别,如果你的东西放在硬件钱包,要去点那个授权的话很麻烦,要把东西拿出来再去点,当时会有一段思考的时间,或者你会跟别人去说,人家会提醒你,但如果纯粹是一个小狐狸,人家一发信息你马上就可以点,思考的时间都来不及的话,点了授权就没有了。我身边有好几个都是这样,所以他们觉得用硬件钱包,并不是硬件钱包就多安全。当然,硬件钱包的确安全,但硬件钱包没有那么容易让你操作,这是真的。
Alex:交互的操作性可能没有那么简洁,但也变相地让安全性提高了。
大橙子:是的。
Alex:就是对这种钱包而言,大橙子是有一些值得大家借鉴的血泪教训,我也想问一下Steven,你们赔付有没有遇到过这种用户来找你们进行赔付,不小心点了一些合约,导致钱包里的币都被转走了,这种你们有遇到过吗?
Steven:目前是没有的,因为这可能跟大家对Defi的保险需求有关。传统行业就说美国的整个金融资产,保险这个领域占到整个金融资产的差不多20%,但是Defi保险在整个Defi行业其实存在和占比都不是很高。我觉得这是大家的风险意识可能还不是很高,但恰恰是元宇宙的发展,Defi的发展,链上交互这些和链下买个股票不太一样,完全就是在钱包里的所有东西都有可能陈列成资产。大家应该有这样的意识,因为之前我们赔付了几个,有资产平台被盗的,但也赔的不多,就是赔了几万美金。
Alex:资产平台被盗是什么意思?
Steven:就是海外的,具体的案例我还不太了解,就是类似于把钱放在资管平台上面,然后被盗了,钱也不多。因为保费整体就能够直接赔付,所以就给赔了。其实现在我们上架的保险还是很多,我们在海外的社区一直都做得特别好,所以海外的用户是非常多的,大部分保险上架都是因为海外社区有这样的用户,比如今天你是一个ABCD的Defi项目方,要不要把这个保险产品合作上架,其实对他来讲无所谓,但对他的用户是有所谓的,倒逼很多社区用户到我们这边提需求给项目方,项目方就跟我们商讨把这个保险上来,大概就是这样的方式。我们的整个风控也会跟审计机构合作,所以风控做得比较好,赔付的话我们还是比较少的,最近稳定币脱锚赔付的比较多。
Alex:稳定币脱锚这个现象也比较少见。
Steven:这是一个特例,这种极端事件还是很难遇到的。
Alex:也就是说在你们这边,像刚才提到的合约的问题去赔付还算是比较少的。
Steven:其实还是那个问题,大家对买保险的意识不够,所以用户买得不多的话我们就赔付得少,大家买得多的话赔付也就进而多起来了。风控也是在保险上架之前我们会评估智能合约安全,就是和审计机构合作,包括项目团队背景,这些我们都会评估。我们也会担心项目会有风险,所以上架一个项目的风险会多方面考量。
Alex:这样看来的话,合约安全更多的还是在于我们自己对它的判断,比如它跳出来说要不要你授权,你应不应该去点,其实取决于我们对网站的信任程度,我个人听下来是这个感觉。
Steven:就是你在互联网上跟各个Defi或者NFT交互,拿白名单,各个群里有的时候根本识别不出来,所以大家要有这个风险意识,这个链接到底能不能点,然后做一个客观的评估,要不就提前买好保险,我们对整个钱包的资产去做一个保护,因为你能做的确实很有限。
Alex:我觉得其实讲的非常有道理,个人听下来,假设我真的有一千万的话可能会给我的一千万买个保险,这样会睡得更踏实一点。
Steven:十万也敢买,十万也是钱。
Alex:这个问题转给Johnson,你们从投资的角度而言有没有看到一些项目,可能会去解决这样的合约安全问题。刚才Steven是从事后赔付的角度帮助我们完善安全,有没有项目方是准备在事前去做一些事情,或者是有没有那种可以在事前帮助大家建立这样的安全意识,并且阻止这样的悲剧发生?
Johnson:我感觉好像比较少,因为整个安全比较复杂,有些是技术层面的原因,比如技术漏洞或者合约编写的漏洞,这是从技术角度去想办法规避;有些是大家的意识,就是需要通过意识的提升和教育。之前我们看到一些社群在转漫物科技做的手册,大家也都在传播,其实这也是在做教育和普及的工作,就是从科普和意识给大家做一个提升,某种程度上会有很大的帮助。要是说产品的话,我们自己接触这方面的团队会比较少,好像没有专门针对这种安全的。
Alex:我好像没有看到专门针对合约,特别是交互之前会有一个特别多的审计,对合约的审计见了很多,但这种很少。
Johnson:因为合约是个死的东西,相对比较容易做出一个产品,如果是针对任何交互或者新的产品的漏洞,可能就很难是一个固定的产品,因为你的产品和市场不断变化,可能很难做成一个产品。我再Echo一下前面大橙子讲的,很有道理,你会发现很多局,不管是加密还是Web2的电信,很多时候的确就是因为当这个事情发生就没有经过大脑思考,电信就像一些阿姨或者老年人接到一个电话就慌了,赶紧跑到银行转帐,没有一个第三方站出来劝他一下,或者是让他有时间去思考,才会发生这样的安全问题。加密世界也是一样,硬件钱包我挺认同的,其实是给你多一层思考,想一想这个事到底靠不靠谱,是不是他说的那么好。我自己的感觉是很多时候陷进去是因为你有一个Fomo的心态,包括很多时候我们去冲一些币或者买NFT都是有一种FOMO的心态,当你有这个心态存在的时候,可能就套在山顶上。有的时候我们说宁愿错过也不要FOMO,到了加密里面,某种程度上都挺普适的,就是当你有一个好的、很诱人的机会过来,别人上来给你一个很好的Offer,给了一个很优惠的价格,你先想一想这个事情真的有那么好吗?你把它搁一搁,到朋友圈问一问,这个事有别人做吗?你们怎么看这个事?然后再想要不要这个东西,不用那么急。
Alex:我觉得讲的蛮有道理,很多时候被的心理都是那个时刻可能有一个神奇的力量在推动着我们,没有看仔细,很快地就点了确认键,所以导致可能合约层面上的一些安全问题就出来了。各位嘉宾多多少少也有提到,我还没有看清楚直接点了同意,导致对方转走我NFT或者NFT的资产的权限,最终导致被了。除了以上这两种,关于钱包的安全风险,关于合约的安全风险,最后还有一个Defi安全风险,我就直接抛给大橙子,你有遇到过项目方的安全风险吗?
大橙子:之前我Defi的时候碰到过好几次,尤其是出新矿的时候,我们自己会有一个小群,然后自己会去审计一下合约安全,但我觉得这个东西不可避免,要去冲这些小矿的话,懂合约代码的要自己去审计一下才能避免,因为审计公司也不是完全靠谱,不是所有东西都能够审计出来,这就是我的建议。
Alex:就是还是要自学代码是吗?
大橙子:因为你要懂得这些,真金白银要放进去,除非是冲所有人都在冲的矿,那样问题不大,真的碰到这种也就认命了,要是冲新矿的话怕被项目方搞一下,自己还是要去看一下合约代码,否则不能去冒这个险。
Alex:明白,确实是这样,最后再问OneKey,Amo其实主要是涉及到硬件钱包,就是关于钱包的安全,你们的用户会有给你们反馈,就是他们有遇到一些比较刁钻或者比较神奇的情况吗?方不方便分享一下,相当于我们安全须知收尾的案例分享,有没有什么比较有意思的案例?
Amo:就像刚才大家都说自己的资金没有那么多,好像买一个钱包也没有什么必要的这种心理,还是有很多私钥可能就保存在电脑里面,或者是直接用热钱包。前一段时间还有出现iCloud备份小狐狸的插件热钱包的助记词,是有一个人被盗取了,也是因为热钱包存在手机里面,iCloud备份,然后紧急修复了。要是用硬件钱包的话肯定没有热钱包那么方便,热钱包直接确认一下就好,硬件钱包需要物理确认调取按键。实际上就像你们之前说的合约风险,我们这边建议要是头矿的话还是要一矿一地址,硬件钱包的价格相当于一笔Gas费,所以还是划算的,大家都有侥幸心理,但真的遇到问题的话就麻烦了。保险也是这样一个概念,实际上还是事前防范会比较好。
Alex:我们可以找Steven买保险。
Amo:刚才说到恶意合约,之前我们是有做一个集成,曝光出哪些有恶意合约的网站,到时候我去找一找,尽量把已经公布的恶意合约集成进来,未来我们可能也会做到进入这个Defi的时候有一个提示,被很多人标注可能是有风险的功能,也是我们现在正在考虑开发的,希望安全领域能够做得更好一点。
Alex:非常感谢Amo的分享,其实这是一个与时俱进的问题,之前我都没有给我的钱包或者资产买保险的意识,今天听了各位嘉宾的分享,我突然发现虽然我的钱也不多,但可以考虑去买一买,不知道有没有观众对安全问题有什么想要问嘉宾的?如果有的话可以举手。我这边收到了一个社区的问题,现在既然术也在与时俱进,不知道对硬件钱包而言,技术会有一些更新和更迭吗?或者是有什么比较先进的技术?可不可以分享一下?
Amo:实际上,主要的风险就是私钥存在哪里,硬件钱包是存在安全芯片里面,这是可以保护的,另外就是刚才提到的一个较大的风险,那就是合约,现在迭代比较快的也是各种合约,可能不小心去授权就会被盗取资产,这是硬件钱包目前没有办法保护的,还是需要去看一看合约是什么,我们需要集成一下恶意合约,包括硬件钱包现在已经有部分比较恶意的签名,我们是支持不让签署的,点击进去以后就是一个比较恶意的状态,签名是签不了的,有些用户过来问为什么签不了?我们提交到工程师那边发现调取的其实是一个恶意签名,然后我们也在不断地想把这一块更加完善一点。
Alex:如果大家没有其它问题,今天的Space就先到这里,非常感谢三位嘉宾以及暂时开不了麦的Steven的到来,大家讲解很多关于安全的实例,大橙子用自己的亲身血泪教训告诉大家一定要慎用API,要对API的使用进行限制,Johnson、Steven和Amo也是对安全问题,包括钱包和合约进行了梳理,再次感谢大家的参与。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。