cover of episode 【币圈出现暴跌行情】大佬神鱼对于2025接下来行情走势的预判:同时分析近期为什么加密数字货币圈子出事频发,各种事件一个接着一个发生

【币圈出现暴跌行情】大佬神鱼对于2025接下来行情走势的预判:同时分析近期为什么加密数字货币圈子出事频发,各种事件一个接着一个发生

2025/2/28
logo of podcast 【区块链干货财经官方频道】币圈投资:看这个频道就够了

【区块链干货财经官方频道】币圈投资:看这个频道就够了

AI Chapters Transcript
Chapters
This chapter explores the challenges of cryptocurrency security in the context of large-scale attacks. It discusses the limitations of existing tools and proposes a solution involving a decentralized, end-to-end security system with multiple layers of verification and risk control.
  • Existing security measures are insufficient against sophisticated attacks.
  • A multi-layered, decentralized security system is proposed.
  • The system involves multiple third-party verifications and risk controls.
  • AI capabilities are integrated for enhanced security.

Shownotes Transcript

然后呢所以在这个过程中呢我自己其实是说 OK 我们先做了一些内部的小工具做了一些 demo 那第一个我们先做了一个域名访问的白名单就保证我网页打开了网站

是 OK 的不是被篡改的然后呢三炮能防住一些典型的钓鱼攻击尤其是像输送网址网页乱跳转之类的这些事情然后其次呢我们做了一款交易解析的一个插件可以在移动端去运行甚至扫那个有些硬件钱包跟插件之间或者跟 save 之间是通过 RU 码重新传输的我们就去调验这个 RU 码传的东西是不是真的

有没有被篡改然后再去 verify 硬件钱包上的解析的内容所以做了一些小查鉴但三跑感觉用下来就是太散了整个端到端的流程没有完全的串起来并且用起来步骤太多所以这次事件发生之后我们也在继续的反思其实

很核心一点是说我们现在行业已经非常的大了然后数万亿美金那势必会引起这种高规格的黑客团队的攻击但在这个过程中其实像我们的团队同学也提到其实是说你得横向和纵向都得挖得非常非常的深但是因为行业的确发展特别快迭代又特别特别的快所以导致大家为了做业务的时候往往会忽略这一系列的欠债的风险

所以在这个过程中 Cobo 我们目前的想法或者我们在做的是说我们希望是说因为 Cobo 一直是 manage 各种格式的私钥硬件软件链上的私钥然后在这个过程中积累了一系列的风险管理的能力有一些风控的引起所以我们希望的是说

OK 那像 SWIFT 这种典型的场景我们可以做托管方我们来拿一把 K 在拿一把 K 的情况之下我们有一套完全独立的软硬件环境加上我们的这一系列风控引擎来解析然后同时在这个过程中引入我们定制化的

这一系列的审核的方案加上自动化的 AI 的解析再加上人工的审核然后再给它加上一些什么黑白名单甚至高级的一些合约参数控制的一些东西这其实我们在 DeFi 的过程中这些技术战案一路都用过来的东西只是没有完全的给它串起来产品化然后通过这样的

分权的形式就是让一些可以不是一个团队完整去拿是一些外部第三方独立外部第三方去拿然后让这个事情可能能够端到端的闭环起来才可以可控所以这是目前我们的想法并且我们的确是在跟链上 DeFi 操作的过程中是这么

因为的确像 EOA 特别容易一时傻逼被钓鱼那么千亿到多千又面临着类似百比特的问题我们有特别长的链路有各种各样的风险所以

我们目前的思考和解决方案是说我们引入一个独立第三方然后独立第三方引入他的完全独立的技术战和软硬件一体的解决方案包括风控引擎甚至加了一些 AI 能力来去完成一个闭环吧从交易的发起解析风控审核到配合签名这一套过程然后试图去规避这个 level 的国家 level 的黑客的这种非常耐心长期的渗透攻击的一个方式吧 OK

好呀谢谢沈渝对你刚才也提到了就是这个 EOA 这个钓鱼的问题对我们也知道这个去年可能你有一部分资产可能这个不小心被钓鱼了就当时的情况你能回忆一下吗就是具体是一个什么情况以及这个钱最后也是北朝鲜的这个所谓的黑客调走的吗

对就是当时的背景是 Aiglian 发空头然后呢我当时三炮当时的身体状态不是那么的理想然后有点分心然后三炮就点错了一个链接有一个链接是有问题的然后呢但是的问题是说到了硬件钱包侧其实是

并且我们是对于域名和 DNS 解析是有封控的三胞那一套东西刚好被那个那套方案被 bypass 了它刚好

三炮被我们那套封控没命中然后 Bypass 之后呢我三炮有点分心所以我也没有那么仔细的检查然后到了硬件钱包册呢因为硬件钱包册是一个然后我按完的那一下我就觉得三炮好像有点问题我立马去练上它也发现不对然后就后面的故事了最后追下来三炮也是同样的背景吧

所以这个事情发生之后我们就去解决硬件钱包盲签的问题然后在这个过程中 11 的过程中我们也拉着就去年国庆的时候我们拉着 1K 拉着拉着 Trader 一直在开会才发现这个问题不是那么好的解决然后因为 EUA 容易被钓鱼尤其大鹅很容易被针对和投毒我们就转向去用 Safe 用多签在多签的过程中我发现这个问题 STARM 号更严重因为基本上每一笔都是盲签

然后我们就不得不去做了很多小的工具去试图 fake 这些问题但是 SAMPOW 最终还是需要

有一个闭环的解决方案需要我们的硬件钱包软硬一体化去往前募帮因为硬件的 UI 的确是一个最后检查的一点然后还需要引入一些独立第三方它在这个过程中能防止因为人类三炮会傻逼三炮状态会不对的时候去来进行拦截报警和处理所以这也是我们为什么在这一块开始迭代和试图把它产品化的一些原因理解对谢谢

对我觉得今天关于这个安全的已经讲的很多了但是这个最后其实我还有两个小问题想问一下沈渝一个就是其实去年就是其实你最早提出这个没有山寨记的这样的一个问题然后其实大家就吵得很厉害有些人包括很多很知名的人士就批评说一定有山寨记有的人可能也就认可了然后去年 12 月的时候山寨记确实特别短的

那个时候可能你自己也觉得山寨季来了说山寨季已经开始了结果没过多久好像这个山寨季好像又如你最早所说的这个山寨季确实是一个在这个周期是一个几乎没有存在的现象对当然我们也不是做预测了就是这个对于短期的预测之前不知道忘记谁说的只有上帝知道了对但是就是是不是现在你仍然或者说有没有一些新的思考觉得这个周期

是不是这个山寨季几乎是不可能了因为可能主要就是在比特币或者是在 mecoin 这两个极端的循环

我目前的感觉是因为过去两三年除了一些小的情绪层面的一些热点以外其实整个行业还是缺乏一个像 21、20 年非常清晰的像 Define 那种的落地的应用和真实有需求的长久其实本质问题我觉得是在这里然后呢因为没有这个内生的驱动力

导致不会有新的真正有价值的应用资产沉淀下来另一方面的是的确这一次呢这个周期里面大量的玩家其实是留在了传统的美股策是吧他们通过配置 ETF 通过 Robinhood 那边在进行交易他

它不是真正意义上它拥有 Crypto 的资产所以很多钱其实没有流到场内也没有出现大家特别想期待的这种所谓的一出效应从比特以太开始往其他币上溢所以这两个因素一叠加 SAM 号可能有山寨机也是很短期的这种情绪驱动的数周的这种也没有这种普遍是爆发的这个局面我目前几乎是还是维持之前的一个判断然后我

今年的一个观点或者说一个对市场三胞的预期可能我的最大的一个比较

我觉得市场的发展的一个比较好的一个状况可能是会在今年的下半年 3.5 可能在 6 到 10 月份然后这个美国的这些国家储备层面的事情逐步的更加清晰化和通过之后呢整个行业或者市场可能会流入比较多的新增资金但现在现阶段吧或者中短期我们

还是就是应用叙事前面层面中短期可能也解决不了然后场内资金层面场外资金层面好像也没有那么的疯狂的流入的状态所以我更多的期待是放在了下半年理解但你不会觉得说这个所谓的牛市已经结束了或者说已经要开始这个牛转熊的阶段了吗

我不好在今天判断这个事情那可能最终是看美国那边的国家储备能不能在今年有一些结果如果没有结果三跑可能结束了但是在此时此刻我们觉得可能通过的概率还是比较大的但这个也说不好然后呢所以更多的期待放在下半年了理解理解

最后我再问你一个问题其实神鱼也是老韭菜了这么多年了当然我是大概 17 年加入的 B 圈的历史上被盗的简直不要太多各种惊险的从你自己当然这次 bybit 的金额是创下了历史记录但好在的是它本身也足够赚钱所以它也能够全额赔付就在你的历史记忆里包括很早你记忆中最深刻的几次被盗或者觉得最

就是最值得分享的一些你有那几个吗

我觉得其实就是攻防一直是在升级的就最早那些攻击手段都非常的原始但是我们从业者也好一定要意识到我们面对的是国家来我的力量它不是普通的黑客他们是有组织甚至十多岁就在那里密集的训练运用各种领队运用攻击核设施的一些方式和方法在对我们的企业做内部的渗透然后做一些人性层面上的挑战这一点我觉得

大家一定要有清晰的意识就我们面临的是这样的对手方然后呢我们在这个过程中散炮人就会有松懈人性就有一些这种问题最终呢我们必须要采用非常能够扛住这种手段和方式的方法那么在互联网的历史上我们我们科博可能是是华人背景里面最早开始采用零信任模型的这一套呃

安全的方法论的公司我们为什么采用这一套方法论的公司因为只有这一套方法论的确经过验证是能够扛住这个来物力量的渗透所以我们很早大概在 1819 年就在内部开始推领信任改造我们所有的内部服务对所有的员工电脑手机上面都装各种各样的东西然后呢所以我们意识到这一点之后一定要采用这一套解决方案然后让我们的

各种各样的系统都是最小心任的同时呢对最核心的资产那对亏博来讲就是私钥那一定要引入一个思维就是分层分权和分散分层是什么意思呢就是我们一定把钱包拆很散我之前个人分享我有四钱包理论是尊个人的但在机构上呢其实你至少要有热温冷三层的钱包架构并且每层的架构可能有自己的特点然后之前可能还有黑白名单然后一堆的 work flow

和流程去包括时间的延迟我们很多时候往往是为了效率尤其这个行业发展特别快我们为了效率去妥协安全去牺牲安全但往往是这种强制性的食言是吧然后会让你的安全场口降得非常的低尤其像这种冷钱包和温钱包这个来波的所以这个层面我们一定是要分层然后每一层要设置不同的安全风险

在这套审计的制度流程去规避这些系统性的风险像这种冷钱包最好是物理层面它保证绝对的安全然后同时第二是要分权因为行业也发展这么多年 player 也越来越多最早可能我们没有解决方案我们只能信任我们的团队内部来做三炮一些东西但现在内部的员工尤其我们 Quibble 又比较流行远程内部的员工也出现过是

被朝鲜渗透过来的甚至海戴组织内部拿到了高权限的这种来过的员工所以我们也不能完全的相信内部的这一套流程所以这个层面一定要分权就是我们要引入外部独立第三方去控制

控制一些可以去 verify 去验证这个也非常非常关键现在有非常多的像托管的公司像安全的公司像保险的公司他们是可以拿不同 level 的可以像有的是热钱包的可以有的是温钱包的可以有的是冷钱包的可以他们作为一个外部独立的第三方有自己的安全解决方案然后去做一些风险管理和控制包括一系列的人审这种就会指数级的增加这个攻击的成本和门槛

然后最后其实是分散我们可能三炮这些软硬件室被这些人得分散在全球这一点我们可能会不会做得比较好了因为大家基本上都是比较散的状态所以从这个维度来讲首先我们一定要用一个最小的信任的系统用 Zeltrust 这套风险设计理念去设计我们整套的内部的体系和架构然后再加上这种分层分权分散的这种核心的资产的管理方式

然后再配一系列的这种软硬件的安全模块然后内部的严格的访问控制 work flow 然后建立一套安全的生命周期的闭环的管理然后再加上可能我们有一些真的适中和适后的紧急响应和解决方案三跑才能在这种高风险然后不确定的这种攻击事件里面我们才能比较久的存活下来

我来提一个问题吧就是我个人的也是一个也不能叫困惑吧那就是想了解就是其实像 Coinbase 或者 Kraken 或者其他的那种合规交易所他们

实事求是的时候好像确实被盗的经历比较少不像离岸交易所那几乎就没有不被盗的对吧而且甚至有很多交易所都被盗了很多次这个是什么原因呢其实我其实不太懂就理论上如果他们可以用的架构那么离岸交易所是不是也可以用还是说因为离岸交易所他的什么资金量太大或者什么操作不太一样就不知道哪位安全的嘉宾可以回答我这个问题

我来补充一下吧我的直观感觉是他们可能在安全和效率层面上面更看重安全就像他一些体现一些这种可能他们卡的更严一些所以在安全上的投入也非常的重

就是你按照一所理论上它应该有很多钱才对对吧就是它在安全上面应该可以投入更多但是不管从早期的币安还是什么 coolcoin 包括这次 bybit 就感觉还真的是挺频繁的

对可能是因为增长的压力太大了然后得一直在迭代高频的迭代然后呢用户客诉呀什么的也比较大但在那种合规所我们可能普通用户的预期没有那么高我们提币也没有要求那么快是吧甚至大额他们那种的都给你 T 加 1 之类的 T 加 2 你甚至我见过 T 加 7 的你可能也能接受因为你的客群不太一样你可能你的客群是机构这种的并且

并且这两家可能历史都比较悠久吧他们三毛也不知道经历没经历过这些事情是吧所以应该内部有很多的这种攻防和经历吧所以这个基本是一个企业的成人例吧可以这么来理解

还有就神域你觉得就是面对朝鲜黑客的这种攻击会不会导致这个行业的创业难度变得非常高就导致普通人的这种普通创业者或者说想做点什么的这种安全方面的成本或者说他需要的投入变得非常高所以很大程度阻碍了这个行业的发展以及这个行业在面对这种朝鲜黑客的这种攻击究竟能不能扛住感觉现在大家也好像有一定的怀疑了

我觉得其实只要有大家在这上面有足够的利润空间是吧有投入那 SASWAR 的这些产品肯定是能够去试图去捕获这个这个这个行业的痛点和需求只是现在可能大家在安全的意识上面或者说在这个付费意愿上面没有那么多强我们也看到特别多的很不错的安全产品大家也就是赚个辛苦钱甚至都打不平靠着靠着 Founder 靠着什么来

来补贴嘛那这个层面其实是一个问题吧那我感觉随着这种工房的升级大家应该也逐渐的意识到这个问题安全是个很重要的事情在这上面的投入也会越来越重那么也给这些

像 Cobo 一样的这种专门专注于做安全 SaaS 的像周教授他们这样的公司给他们提供了一定的发展的空间和资金量在这个维度上面持续的去迭代这些工坊其实是有解决方案的在我的视野里面应该从安全的角度从架构层面是有行之有效可被验证的解决方案的只是大家可能因为参与方太多了像 Safe 这个案例它

它大概四到五个参与方上下游真的要把域交易弄完这些每个参与方之间它有协调协同起来又很慢然后硬件迭代又特别的慢所以最后导致了给朝鲜 KQ 流出了这样的时间窗口但是区块链行业就这样一旦问题被它暴露充分的讨论我们通过一两个周期的迭代是能够解决掉这些问题的所以最终的另外一个纬度是 Web2 也面临类似的问题可能只是

金额然后被攻击投入的资源没有这么大我们也看到像 Pathcase 这种外包为了保护密码安全其实推了很多年最终过去一两年也开始大规模的用起来了尤其在敏感的一些金融领域所以这些技术底层都是可以复用和成长的包括我们用的这些苹果的这些设备什么的他们一样都是在快速的在这种安全层面去做迭代的所以最终应该是有解决方案只是说可能我们需要多久的时间和多少的资金可能在这个过程中

三胞有些风险意识不齐然后我们曹快猛的这些这些开发者可能会 take 一些成本但是应该是能解决的

那如果对于创业者其实最近可能你也观察到那个 Infinity 那个项目其实他们一直在市场上口碑包括他的创始人口碑也非常好但是就是一个初创项目然后对就被到了 5000 万美金其实虽然整个社区很多人也在支持他们但是就是对于这种创业项目的安全上你作为一个这么多年的老人经历了这么多对吧有什么建议吗可以让这种创业者他们可以

怎么说就是更好地提高自己的这样的安全的这方面的一个意识我觉得就是说在创业的过程中你一定要就是刚才提到那个零信任的模型一定要实践好那个模型那是非常非常关键的只有在现在的环境之下只有这一套方法论和哲学是能够保护住大家的然后呢同时呢你

你不能依赖一些单点故障和一些单方的一些这种合约审计你应该就是我们基本的要求是你至少得有两到三家来审并且需要一些交叉的验证

是吧在这个过程中可能能够让一些方式和方法能够能够把一些问题报道出来同时呢上次金量也不要上的那么快然后我们可能早期通过一些内测呀公测呀慢慢的去上次金量把它也隔离隔离这样的话可能能够把风险相对的 manage 住吧同时呢也其实行业有非常多的也不是很贵的这种安全解决方案然后安全的监控风控的体系嘛大家其实应该用起来然后呢

就是能够很好的提高这个生存的概率但是在创业的过程中呢一方面其实是要这商业模型要拿用户但是方的

尤其是没有技术背景的方待一定要在这个安全和这个内部的领先人价格上面我觉得应该要花不少的注意力至少要把 30%的注意力花在这上面一旦从方待层面你不去强调这些内部的安全的文化这些制度然后你不定期的内部做这些安全的钓鱼做这个工坊的演练其实员工层面人性层面其实大家会懈怠然后你不知道黑暗森林里有一只眼睛就盯着你所以

所以所以资源注意力还是得放过来嗯是的是的我觉得这个行业其实做大的每一个几乎没有我感觉没有任何一家公司不管是老板个人还是公司都会遇到这种背道的经历但是好在就是只要这一次没有打垮的话每一个人都会呃不管是个人还是整个行业都会有一些进步吧对嗯

我这边没什么问题了 Alex 你看看大家会不会还有什么问题好像有位观众叫饺子可以提问一下对于神鱼而言的话其实一直在加密行业的话也是这个行业的一个指名证那么包括在最早的时候靠谱前包最早有可能带着大伙一块挖矿这些最早的时候我都有参与但是今年就是这个秘密行情下我发现其实神鱼对于秘密这块的话其实发言很少

包括今天有可能发了这个链接说白了这个 PVP 的话实际上只是提到其实我更关注的就有可能对于这个行业来讲目前好像上一波的 defi 之后呢行业好像是到了一个瓶颈那么我想问一下对于神鱼来看的话就是下一个的风口在哪对这个地方我也差一句吧就是神鱼你一直很喜欢玩各种新东西但好像这轮 mecoin 这么火没有见你有什么特别的参与是什么原因呢

身体实在是扛不住跟 00 后是没法比的另外一个因素其实是说我最近的注意力一直放在 AI 就是 AI 看起来应该是一个三平飞格然后它

它可能在未来的一些上面跟 Crypto 有一些可能颠覆式的结合可能会带来一个新的增量我们在一年多前都在线下的活动中喊 Crypto 可能或者 Blazion 最终的用户可能是 AI agent 或者是这些 AI 机器人不是人类这个我们一直跑着观点所以花了比较多的精力在学习使用 AI 上面然后 P

PVP 是真批不动然后呢我一般就是给大家送钱的所以所以也没有太多正反馈所以主要精力放在 AI 上面去了那你觉得现在这个 AI 因为之前也出现过一阵这个所谓的 AI agent 的风口对吧然后也跌得特别厉害我身边有不少朋友都炒 AI 炒破产的这个你觉得这个上面前面这一段 AI agent 有产生什么有吸引力的东西吗以及这个后面这个 AI 和 Crypto 有什么比

你觉得比较好的应用方向我觉得最底层核心还是 AI 自身的能力还没到那个阶段现在还是一些 demo 概念的一些东西然后我们能看到 AI 的发展速度特别快底层的算力模型的迭代我们是期待 AI 它能到了未来的一个状态它完全的有 AGM 然后 Crypto 的东西又有两点一点首先它对完全已经被数字化的东西非常的友好因为是链数据也开

公开透明所以一方面 AI 可能能改变跟 Quickbook 交互的或者给 Blockchain 交互的方式是吧然后这些复杂的合约就是反人性的这种安全操作我们 SAMUHO 应该能依赖一些可靠的

智能的 AI agent 来帮我们做一些辅助的决策我现在都喜欢开玩笑讲说我现在操作低翻那必须远程趴几个 AI agent 在给我看可能是真的人工智能可能是真的人工智能就是工程师可能还有一两个 AI agent 他在看着屏幕然后这样的形态

那再往前呢可能是说 AIA 政策它真的接入了魁北的网络我们设想的一个场景可能是 AIA 政策之间它要进行一些交互价值的交换数据的交换

然后他可能要进行一些合约合同的层面的东西甚至组成类似这种松散形式的公司和道他们可能会采用 Quipo 的智能合约平台进行一些价值层面的交换我在想三毛可能未来有一天可能是三年五年以后可能在 Quipo 上面或者 Blogging 上面可能会形成一个类似 Web App

社交网络的一个东西但是这个社交网络或者价值社交网络最终是给这一堆 AI agent 来用的那这个东西一旦涌现出来可能它带来的价值和补货的所以我们一直讲外吧的社交网络效应这个东西带来的这个资产的规模或者价值可能远大于现在我们看到的这种传统互联网的公司所以这个可能是一个

比现在这种万以来还高的一个东西我一直在想这个东西是什么我们能在这里面做点什么所以我比较乐观虽然可能过去两三年地区行业没有涌现出这种好的应用好的方向但是我对这个未来我觉得应该会出现然后还有几个 block 可能我们能解决所以我在期待那一天的到来 OK

好,那我们就回答问题吧还有一个这个是 Chair Song 就交给这位各位老师好我是一个做链上自动化交易的一个 trader 然后就是在这事件发生过后在我们业务不能停的情况下然后我们也在对自己的安全措施来做一些升级

那么我感觉最麻烦的部分还是在于说这个 save 钱包的这个盲签这个部分那么我们现在能做的就是就是我们这个 COBO 这边有些开源的权限控制模块然后我们把它挂到了

这个 Safe 上面那么就是在这个使用流程上面让这个大部分的交易请求都走了这个自动化了所以 Safe 钱包基本上只用来做一些这种代币的人工的转账使用那么就我想请问一下各位老师像这种相对来说偏简单一点的这种这种

这种请求那么有没有目前有没有什么工具可以去验证我们的这个签名内容呢其实刚才那个莫然后艾利克提到 Cobo 我们在下周即将发布就是我们把这套内部的工具给它产品化了一下发布了这套 Safe 的铁签工具然后本质是拿了一个 Safe 的 K 通过机器加上一些黑白名单包括一些风险控制的一些模板你可以自定义一些

这种常见的风险控制手段比如限制 token 限额限速限流白黑白名单这些东西再加上 AI agent 的一些能力然后呢再加上一些大额人选是吧我们可能能够把这套流程给它理清楚同时把风险给它管理住所以这套方案其实是再加上可能 Cobo 之前的 Aggos 链上的这种基于 ACL 的合约来过的参数来过的一个控制我感觉基本上目前真的我的这种大额

大额资金在链上冲浪和套利才能够睡得着觉这是我们在用的安全时间好的谢谢沈亿老板好那今天时间也差不多那感谢大家时间然后也希望大家继续关注几位这个默默的在行业里的奉献者包括这个这几个公司然后 Cobo 这一端我们下周也会出一款产品也希望大家到时候来试用谢谢拜拜