这是白话区块链的第1410期原创 

嘉宾 | 慢雾安全团队&库神钱包商务总监

Jessica

出品|白话区块链(ID:hellobtc)

据统计,仅仅是在2021年上半年,整个区块链生态就发生了78起较大的安全事件,其中涉及DeFi安全50起左右。日益增长的安全漏洞事件对于行业用户来说,无疑是一种巨大的威胁,为什么会频繁出现这样的事情,现在有做什么来改进呢?

上周五我们邀请了慢雾安全团队和库神钱包商务总监Jessica来我们分享相关内容。以下为内容提要:

DeFi安全中的常见类型有:精度计算错误问题、权限过大风险、经济模型缺陷问题、兼容性问题、预言机操控风险、奖励分配缺陷问题、滑点控制缺陷问题等等。DeFi安全总是出现最底层的原因还是智能合约。——慢雾安全团队区块链行业核心问题就是安全。在保管加密资产方面,建议用户“冷热搭配”,经常使用的小资金放在有实力的大交易平台或者热钱包,大资金一定存放在硬件冷钱包保管才能确保安全。短期来看,DeFi安全事件频发会对投资者产生一定的“劝退”作用,但长期来看,在DeFi 高额收益的激励下,这类安全事件对DeFi赛道的用户参与率影响有限。——库神钱包Jessica

 01 慢雾&库神

白话区块链:欢迎慢雾安全团队和库神商务总监Jessica做客白话大咖说,先和大家打个招呼吧?

 慢雾安全团队 :大家好,我们是慢雾安全团队。慢雾(SlowMist)是一家区块链安全公司,成立于 2018 年 1 月,已经服务了全球许多头部或知名的项目,我们做了很多 DeFi 方面的安全审计,这也是我们今天要聊的话题。

 库神Jessica :大家好,我是库神钱包Jessica。很开心和慢雾团队一起做客白话大咖说。库神于2016年11月成立,是一家专注于提供区块链资产安全存储解决方案的科技公司。

库神钱包是全球知名高端的冷钱包品牌,拥有行业内最多高净值用户。产品远销日本、韩国、美国、新加坡、俄罗斯等多个国家和地区,在全球高端硬件冷钱包领域市场份额占有重要地位。

 02 DeFi安全常见类型

白话区块链:8月10日当天,Poly Network遭到了成立以来最严重的攻击,也是历史上最大的去中心化金融安全漏洞,如此巨额的资产损失,引起了圈内人的关注。

之前慢雾团队分析认为,攻击者是通过精心构造的数据修改了以太坊跨链合约中keeper为攻击者指定的地址,并非由于keeper私钥泄漏导致。这属于DeFi中的哪种类型呢,也请给大家详细介绍一下DeFi安全常见类型有哪些呢?

 慢雾安全团队 :Poly Network这属于任意调用问题:合约存在任意外部调用接口,导致特权函数被调用。

DeFi安全中的常见类型有:精度计算错误问题、权限过大风险、经济模型缺陷问题、兼容性问题、预言机操控风险、奖励分配缺陷问题、滑点控制缺陷问题等等。

 03 钱包可以在哪些方面帮到用户?

白话区块链:在去年年末的时候,就和吴总有做过一场“黑天鹅事件”相关的AMA,很高兴这一次又可以深入聊一聊。在DeFi安全方面,库神作为一家专注于提供加密资产安全存储解决方案的公司,主打硬件钱包。

那么在安全方面,库神近来有什么重要布局吗?类似于这次的攻击类型,您认为钱包可以在哪些方面帮到用户?

 库神Jessica :近来库神钱包还是以安全为主,不断优化钱包功能,完善用户服务。今年我们推出了最新款库神冷钱包Pro3+, 此款钱包采用了CC EAL6+芯片,军事化安全防护,彻底杜绝网络黑客。

新增多种主流Token,支持BTC、ETH、XRP、BSV、TRX、LTC、FIL等以太坊,波场和EOS生态币。此外,Pro3+支持隔离验证地址,同费率费用更低,同费用速度更快。

DeFi从去年开始流行起来,但是资产安全问题也频频出现。库神钱包作为区块链资产的“保护神”,愿意共同建设DeFi市场的安全壁垒,保护去中心化世界的安全,拒绝去中心化的胡作非为。

所以建议大家不要过多的追求高利,而忘了高利下的高风险,应该根据自身情况,把资产做个比例划分,不动的资产放在冷钱包,收获坚守成果。

事实上,库神钱包也一直在做这件事,库神运营马上5年了, 截止目前从未出现过任何问题,在行业和使用过库神钱包的用户之间树立了良好的信誉和口碑。

 04 DeFi安全事故总是出现的底层原因

白话区块链:Poly Network被攻击是整个DeFi行业生态安全问题的一个缩影。据统计,2021年上半年,整个区块链生态共发生78起较大的安全事件,涉及DeFi安全50起。相比传统交易模式,两位觉得DeFi安全事故总是出现的底层原因是什么呢?

 慢雾安全团队 :最底层的原因还是智能合约吧。智能合约并不像传统APP可以随时下架,合约一旦部署,便是不可撤回的。合约可能一创建就包含着错误,而错误却无法被修改,导致事故的发生。

 库神Jessica :区块链上的智能合约是基于去信任(permissionless)来和用户以及其他智能合约交互的,对于那些设计智能合约的人来说,很难考虑到未来有人可能与他们的合约进行交互的每一种方式。其他人可以构建一种智能合约,以一种原作者不希望看到的方式与合约进行交互。

白话区块链:另外,在整个行业内黑客事件也层出不穷,他们的主要手法有哪些,目前市面上有采取什么措施来防止或者应对 DeFi 安全事故的发生呢?

 慢雾安全团队 :手法还是很多的,有些手法经常出现,有些很少出现,我例举几个:Rug Pull、闪电贷、套利等等,可以检查项目的流动性是如何锁定的,是否有时间锁,是否有多重签名,用户在参与DeFi前最好对项目做做调查,避免被骗。

另外一个就是项目方一定要有自己的安全的意识,上线前最好找业内专业的安全审计公司进行审计,至少可以把一些已知的攻击手法尽量规避掉。

白话区块链:DeFi因在诸如借贷、支付等金融科技领域,提供了独具创新性的解决方案而备受赞誉,但突出的智能合约安全问题成为了DeFi行业的最大挑战。

如果智能合约资产被盗或出现攻击事件,如何让投资者利益损失最小或无损?有哪些安全防护措施?

 库神Jessica :是的,如果智能合约资产被盗或出现攻击事件,首先,早发现早退出,第一时间联系项目所在平台,usdt联系泰达公司。投资者做好安全防护措施,防范大于未然:

1.使用硬件钱包参与DeFi,私钥助记词不触网,学习钱包安全管理;2.不盲目冲高apr的项目,选择通过专业审计的项目;3.不用浏览器搜索DeFi网站,核对正确的智能合约地址;4.不挖二池,做好对冲策略。

 05 判断一个项目是否安全的指标

白话区块链:很多项目在进行全面的外部安全审计、原创的编码和测试网络环境下的模拟测试等步骤后还会存在风险,项目审计意味着什么,判断一个项目是否安全的指标有哪些呢?

 慢雾安全团队 :很多人会有这样的一个误区,觉得经过审计的项目就是永远安全的,但是所有的DeFi协议都存在着变数,就算是一个小小的更新也会导致巨大的问题,而且我们审计的范围是有限的。

安全具体是没有一个指标的,我们首先关注的是智能合约里在计算用户收益时,会不会存在溢出等问题。其次,我们会关注项目方是否留有后门,是否盗取用户资金。

安全,永远都是任重而道远的。

 06 用户在加密货币的保管方面需要注意什么?

白话区块链:DeFi的爆炸性增长使其复杂性呈现指数级别增长,因此加强DeFi风险管理是目前DeFi生态建设的重中之重。您认为目前用户在加密货币的保管方面,平时操作需要注意什么以防止类似事件导致的资金损失?

 库神Jessica :区块链行业核心问题就是安全!在保管加密资产方面,建议用户“冷热搭配”,经常使用的小资金放在有实力的大交易平台或者热钱包,大资金一定存放在硬件冷钱包保管才能确保安全。

选择有实力的大品牌钱包产品,并且离线保存好私钥和密码,正确渠道下载app。一个钱包地址一个项目,结束参与及时取消授权。

 07 MPC+TEE

白话区块链:看到慢雾之前提到过,由于热钱包还是单私钥的,所以被黑是迟早的事,而MPC+TEE不仅可以去单点风险,还可以在关键策略上做好可信难篡改,最后加上资金与业务两大全链路风控系统,可以99.99%挡住风险和攻击。请问这是怎么实现的,其中提到的MPC+TEE也请详细介绍一下吧?

 慢雾安全团队 :是的,我们在前不久上线了加密资产安全解决方案,这是慢雾在区块链生态数年一线安全攻防实践积累下,推出的第一个针对加密资产安全的解决方案。

其中给出了线上热资产安全解决方案,这类资产由于放置在线上服务器中,被黑客攻击的可能性大大增加,同时,线上的热资产本身的场景需要适应多种链及Token种类,能兼容所有区块链及Token种类的通用多签方案是最好的方式,而目前最成熟的解决方案是 MPC(安全多方计算)。

MPC主要针对一组计算的参与者,每个参与者拥有自己的数据,并且不信任其它参与者和任何第三方,在这种前提下,如何对各自私密的数据计算出一个目标结果的过程。

MPC是一种计算协议,数据持有方可以各自使用自己的数据进行训练,最终通过协议汇总结果。而TEE提供安全性更高的执行空间,给可信软件执行,其安全性比操作系统(OS)更强,机能性比安全元件(secure element)更多。

 08 是否应该寻求中心化世界的帮助?

白话区块链:在去中心化的环境下,您认为这样的安全事故发生后谁应该承担责任?是否应该寻求中心化世界的帮助?

 慢雾安全团队 :黑客作为造成DeFi安全事件的罪魁祸首,毫无疑问是造成用户资产受损的主体。

以PolyNetwork为例,事件发生第一时间,我们就开始研究分析,追踪被盗资产的流向,联合各方面的力量,目前黑客已经归还了4.27亿美元,剩下的相信也很快会全部归还,这是一个好的结局。

另外,可以看到中心化、去中心化平台都有非常惨重的被黑案例,都有很多被黑经历,无论是中心化还是去中心化,我们都希望区块链是往安全的方向去进化。

 库神Jessica :到目前为止黑客已经基本归还全部被盗资金,这也是多方努力的结果,随着DeFi规模不断发展,加密资产被盗和黑客攻击在所难免,事故发生后应该协同多方力量尽快寻找原因,尽快找到被盗资产去向并弥补损失,必要时寻求中心化平台帮助可是无可厚非的事情。

 09 DeFi未来的发展

白话区块链:随着类似事件越来越多,这不仅让已经参与进来的团队和投资者感到担忧,同时也使DeFi与传统金融的结合越来越难,很多人因为风险望而却步,您怎么看待DeFi在接下来的发展?

 慢雾安全团队 :DeFi作为一个突然爆红的当红炸子鸡,肯定还是有很多风险和未知的事情。

在早期,一个新事物出现一定是会有风险的,但是我们也不能说是因为有攻击发生就去否定这样的方向,任何事都是有两面性,风险与机会是并存的,DeFi也带来了很多便利性。

整个行业或者DeFi方向肯定是会越来越完善。

 库神Jessica :短期来看,DeFi安全事件频发会对投资者产生一定的“劝退”作用,但长期来看,在DeFi 高额收益的激励下,这类安全事件对DeFi赛道的用户参与率影响有限。

另外,去中心化领域的监管缺失在这次事件中暴露无遗,未来DeFi赛道引入第三方监管以及DeFi保险项目也是未来的必然趋势。

DeFi很有可能成为金融系统的新基石,会有成长的阵痛,但我们有足够的理由相信去中心化金融的未来是光明和繁荣的。