Deep Dive
Shownotes Transcript
大家好,欢迎来到由 Mean Ventures 发起的播客栏目 Web3Mean2B 在这里我们通过持续追问和深度思考在 Web3 世界里面澄清事实,理清现实,寻找共识为各位理清热点背后的逻辑提供穿透世界本身的洞察,引入多元的思考角度我是 Mean Ventures Alex 本期节目我们来谈一个与各位都息相关的话题就是加密世界的安全
在我们遭遇了真正的风险之前我们往往都以为自己不会成为新闻里安全时间的受害者那么如何为自己的资产构建一个防火墙让自己在安全的环境下投资是我们开始加密旅程之前的一个必修课题所以本期播客我们邀请到了区块链安全公司 BlockSec 的嘉宾周老师来跟我们聊一聊加密安全这个话题那么请我们的周老师跟我们打个招呼吧
大家好,我是周晓晶,我来自 BlockSec,目前在 BlockSec 做 CEO,同时我也是浙江大学从事网络空间安全的研究人员,非常高兴认识大家。
好的好的好那咱们就进入今天的正题啊我相信蛮多的听众可能就是对于区块链的安全公司安全服务这个并没有那么的了解啊那么请周老师先给我们介绍一下就 blockstack 然后你们提供的服务内容大概是哪些然后什么样的人什么样的机构会成为你们的客户
好的 Blogsac 是一家 web3 的安全公司我们是成立于 2021 年由我和吴老师我们一起共同创立谈到 web3 的安全大家可能第一想到的就是安全审计其实 Blogsac 所从事的业务范围其实不仅仅是安全的审计我们还包括提供一系列的其他的安全产品跟服务
那么具体来讲其实我们提供的服务可以分为三大板块第一个板块我们称之为对于链上协议的安全链上协议是一个什么意思链上协议就是我们讲部署在区块链上进行一些 DeFi 或者是 NFT 或者是其他的一些活动的这么一些智能合约那么对于这些智能合约的安全性应该如何保障
BlockSec 是提供了安全的审计服务和安全的监控的产品那么第二块我们其实比较关注的是资产安全所谓资产的安全就是用户手头所拥有的资产比方说这些资产是在自己的合约钱包里面或者说这些资产是投资在一些链上的协议里面那么怎么去保证这些用户资产的安全性这也是我们的
这个 BlockSight 所这个服务所开挥的范围之一那么第三块呢其实是这个福威根监管
那么这是什么意思呢就是我们也发现其实越来越多的传统的金融机构进入到这个 crypto 这个行业里面就包括我们最近能看到新闻请美国的这些银行传统的银行在链上去发一些 5 亿亿资产那包括这个 crypto 怎么进入到这个说我们称之为叫跨境支付的这些行业里面那么实际上这些传统金融机构进入到这个行业里面去支购呢之后呢其实给
怎么去监管带来一个难题监管机构不知道怎么去监管然后这些机构又不知道怎么去符合合规所以我们其实也有在帮助监管机构去监管进入到 crypto 行业里面的这些玩家或者说去帮助进入到 crypto 行业里面这些传统的机构来进行合规所以这个是我们基本上业务的三个范围
那么其实我们的这个客户覆盖的整体的范围还相对比较广那比方说我们对于这个链上协议的安全那哪些人会成为我们的这个客户呢这个大家能想到的其实就是说在链上去做去中心化的这个金融或者说其他的一些服务的这种
项目方打比方说你在链上提供这个 nanding 的平台提供借贷的平台提供这个去中心化的这个交易的平台那么这些项目方是我们的这个客户那我们为他们能提供什么服务呢那我们可以帮助他们在这个智能合约部署上链之前我们可以去做一些这个安全的审计我们去通过我们安全的视角来去
review 他们开发的智能合约是不是有安全的漏洞如果有安全的漏洞需要及时修复
那同时呢当他们的这个协议部署到链上去之后呢那我们也会有一个这个 7×24 小时的监控平台来去监控他们协议的一些安全风险如果发生任何的安全风险那我们的平台可以及时的通知到协议并且能自动化的去这个阻断这样的一个风险和攻击所以这个链上的协议就在链上部署智能合约的这些开发者和项目方是我们一类的典型客户
那么对于第二个点客户呢就是拥有资产拥有资产的人对吧拥有资产的人是哪些人呢可能是一些高净值的客户他们拥有一些资产在这个合约钱包里面或者说这些高净值的客户他会去投资链上的一些协议那我们的服务和产品呢可以帮助他们更好的去监控他们所投资的那些协议的安全性
对吧这就是像硬币的一正正面和反面一样那从协议项目方角度来说我们可以帮助他们提高他们协议的安全性那么从投资他们协议的高净值客户的角度呢我们也可以帮助他们去这个监控他所投资协议这个协议的安全性对吧一旦他所投资的协议有安全风险比如说被攻击那他需要第一时间的能撤回他的资金那么第三类客户呢就是我刚才讲的就是监管人合规那
这一类的客户主要是一些监管机构比方说香港的证监会其实也是我们一些客户那么还有一些执法机构海外的一些执法机构他需要去调查涉及到数字货币犯罪的时候他需要使用我们的工具和平台非常方便的去做一些证据的提取资金的追溯等等这些调查的活动
所以这个基本上是我们整体的业务以及我们客户的范围
嗯,明白明白,刚刚我们其实那个周老师也谈到了就安全的这些公司他们可能客户的一个类型啊然后可能就是怎么样去他们是有各种各样什么样的需求啊大概一个行业的情况那么第二个问题呢就是可能跟个人投资者会关系度比较高一点啊尤其是我们这边的听众蛮多是刚刚开始进入 web3 去学习跟去尝试新投资的一些人就如果您身边有一个朋友他刚刚进入加密投资领域
然后他知道您这边是做加密安全服务的他让你给他提三个关于加密安全的建议那么只有三个他可能更多他也记不住那你觉得可能你会给他提的建议是哪三个
OK OK 对我觉得这个问题也非常好其实我平时也经常会接到这个身边的朋友这个向我就是问一些安全的建议然后他们想去进入到这个行业里面但是呢又听说对吧进入到这个行业里面好像很大一部分人都会遇到一些风险就是我们曾经有个
开玩笑的说法就是如果你进入到 crypto 圈子里面之后你没有被钓鱼没有被这个这个这个诈骗过好像你就不会成为这个领域里面支撑的玩家当然虽然是个开玩笑但是确实你也能发现这个行业里面其实充满了很多的这个风险那我觉得如果要提三个建议的话那我觉得第一个建议肯定是
每个人都会能想到的就是关于这个私钥不破的一个建议就是在 crypto 领域里面你的这个资金的怎么能证明你拥有这个资金其实就是因为这个你你所拥有的私钥而来证明代表你所对这个账户拥有所有权利
而私钥又是一个什么东西私钥就是一串数字对吧就是一个这也是跟你的个人身份没有任何绑定的就是一串数字所以你怎么保护好这一串数字而这串数字一旦丢失你其实是没有办法再把它
这个找回来你一旦丢失或者说一旦泄露那别人就可以拥有你就可以和你一样拥有你自己资金的控制权这个跟我们现实世界的这个非常不一样对吧在现实世界里面比方说你的这个银行账户你可以要求银行暂时冻结你的账户你的银行的资金这个你说你银行密码泄露了你可以打电话给银行说我现在要冻结我的这个账户对吧别人没有办法来通过这个办法来取钱
但是在 crypto 世界里面如果你的私钥泄露那么拥有你私钥的人他就可以无限制的从你的账户里面将你的资金转走这个就是跟
传统不太一样的地方所以也带来了风险就是你怎么能比较好的保护到你自己的私钥通常来讲保护私钥其实有几种方法来讲我们有一年钱包用合约钱包用手机的 APP 来去保护私钥每一种方法其实都有它自己的优缺点通过我自己的经验以及我们身边的一些安全朋友的
整体冲下来的经验基本的原则就是需要的数据词然后把它记下来放到保险箱里面无论这个保险箱是你自己家的保险箱还是银行的保险箱把它存好平时不要动基本上也用不到然后用一个你相对比较可信的设备无论是硬件钱包也好还是手机也好去
这个存储号里的这个私钥然后这个手机呢一定是个专用的手机专用的设备就是不要去从事任何其他的操作活动只是用来去管理你自己的这个数字资产我觉得这个是怎么去保管好你自己的私钥的一方面的建议那我觉得第二个建议呢就是在链上交易的时候一定要有安全和风险的意识其实本质上你只要记住一句话天上不会掉线饼
那么就能避免掉非常非常多的这个链上交易的时候遇到的安全风险那么我们呢发现就是在链上交易的时候用户面临的安全风险是其实飞行的风险非常非常大
很多很多包括我们所熟知的加密圈的很多的 KOL 和 OG 其实都曾遇到过钓鱼的攻击并且损失了很多的资金那么怎么去避免这些攻击呢就像我刚才讲的不要相信天上掉馅饼如果说一个莫名的网站要求你去连接钱包去
去这个获得所谓的空头获得所谓的奖励那么这个时候呢你可能得要打个问号对吧为什么这么好的事情会落到自己的头上来我觉得
这个时候是需要比较小心也就是说在链上交易的时候一定要有安全的意识第三个建议就是你需要稍微了解一点加密资产基本知识这里面的基本知识指的是什么指的就是在加密资产里面我们通常有授权这么一个概念这个是跟
传统金融有点不太一样的地方那么授权这个概念是什么意思呢就是说你比方说你拥有某一类的数字资产比如说 USDT 或 USDC 那么在通过这个链上的签名你可以将你的这个资产授权给一个合约或授权给其他的用户来使用并且这样的授权它只需要通过你的钱包签署你看不懂的一堆奇奇怪怪的东西就能实现所以如果
你在签署这个签名钱包签名的时候呢你因为这个不太明白或者说被这个欺骗然后签署了这么一个授权的交易那别人就完全是可以啊
动用你自己所有的数字产所以说是虽然你稍微要对授权这件事情需要有一些基本的了解这样的话你在签署钱包签名的时候才不会误签名这样的交易所以我就总结起来其实基本上建议就是第一个怎么保护你自己的私钥给了一些可操作的方法第二个就是说进行链上交易的时候需要能时刻小心就是要有一点安全意识不要被钓鱼
第三个其实你要对 Crypt 的授权机制有基本的了解这样的话不会误签名一些授权的交易
明白了我之前还听过一个说法就包括我身边其实蛮多就是高净值的朋友他们也是行业里面的 OG 跟老鸟按理来说可能就刚刚您提到这些安全因素他们多少都是有一点但是还是频繁至少每年我都会听到身边有一些大户被盗行业里有一个说法就是如果说一个专业的黑客他盯上你了知道你的钱包也是有钱的
它动用了可动用的所有资源往往是很难逃过的就这样的说法你觉得有道理吗是不是真的是这样的对我觉得你这个问题有说好非常非常好因为其实安全就是特别是涉及到 crypto 安全它的对抗其实本质上它是一个不平衡的对抗
什么意思呢就是如果你的这个钱包里面拥有足够多的资产你就非常容易成为别人定向攻击的目标而一旦你成为别人定向攻击的目标之后别人会动用非常非常多的资源
无论是社工的资源技术的资源还是什么样的资源来设计就根据你自己的就根据这个可能目标的日常的行为的模式生活的模式生活的习惯等等等等来设计针对于你的这种
这个攻击的方法手法所以在这种情况底下你是比较难啊防御的啊不能说百分之百不可以只是说你防御的难度非常高因为别人对抗你的可能是耽误了非常多的资源而你只有你自己对吧所以它是一个非常不对称的对抗那么在这种情况底下怎么办呢怎么办呢那我觉得基本上的原则第一个就是说啊我们中国人一句话叫这个财不落腹对吧就是说你你不需要
把你自己所拥有的资产公开出来你要避免把你自己个人的线下的身份和链上资产的身份这个关系你不需要把它泄露出来我觉得这个是第一点第二点就是即使你是一个高竞职的用户然后你的关系可能已经被别人泄露出来了那么你尽可能的需要做好资产的隔离这是什么意思就是说你平时日常操作的资产你是专用的钱包你里面可能最多就是 12 块钱
别人可能 target 你也就是最多就只能把你 3 块钱骗走而你其他的大量的资产你应该把它放在一个平时基本上不需要动用的钱包里面而如果你需要去动用这项资产的时候你需要找安全专家然后帮你一起来 review 一套比较好的这种操作的流程和规范这样避免了非常大的风险
明白明白这个建议确实非常非常重要 OK 那就是您从事这个安全行业这个以来就是能不能给我们分享三个从业以来最深刻印象最深刻的三个安全事件那可以是您自己这边亲自经历的也可以是比方身边的朋友或者是你的一些见闻明白明白对我觉得这里面我觉得可以给大家分享一下
就是我们实际上都亲自参与处理过的影响比较深的安全事件第一个例子其实是在 2023 年的时候我记得应该是 2 月十几号然后链上有一个协议叫压嘴咒协议被攻击它其实是一个借贷加上其他的一些
功能的这么一个平台当然它这个协议有一个安全的漏洞然后呢黑客通过利用安全的漏洞大概是窃取了将近 9 个 millionUSD 的这么一个资产那这个事情为什么我印象比较深刻的那是因为这个黑客在去攻击鸭嘴社协议的时候他犯了一个错误
就是说他去攻击智能合约的时候他需要自己去开发一个智能合约智能合约你就可以把它理解成一个可以自己运作的这么一串代码
然后黑客去攻击鸭嘴社智能合约的时候他部署了自己攻击的合约然后这个攻击的合约就完成了整个攻击的过程但是它这个攻击合约里面本身也有漏洞对吧也就是这个智能合约也是人开发出来的攻击者他也是人他也是开发者而我们都知道其他人都会犯错误所以他再去写这个
攻击智能合约的时候就犯了个错误然后它这个合约里面就有一个可以被利用的漏洞那么这个漏洞可以用来做什么呢就是可以将存储在攻击合约里面的那些资金因为这些资金是其实都是从攻击压轨兽协议里面所获得的资金那么它因为有这个漏洞所以存在攻击合约里面的资金同样可以被
提取出来只要你能找到利用这个漏洞的方法而当时我们在去因为我们作为一家安全公司其实是时刻在 follow 这链上的攻击事件并且我们自己是有一套攻击检测的引擎对于链上所发生时刻在发生的这种临日的攻击我们其实是第一时间都能感知到的
很巧的就是压轨设备攻击的时候我们已经第一时间检测到了检测到之后我们就会去独立分析安全事情里面它攻击的原因到底是什么漏洞到底在哪同时我们也会联系项目方去帮助他去告诉他怎么应该打补丁怎么去处置我们在这个过程当中我们就发现了这么一个漏洞然后我们就告诉项目方说是可以利用这个漏洞将攻击
攻击者合约里面大概是 2.4 个 million USD 的这么一个资产其实可以把它给支取出来的然后我们就跟项目方一起我们开发了一串弹然后将攻击资金就 9.5 个 million 里面的 2.4 个 million 我们把它从攻击者合约里面将它支取出来所以这也是整个的区块链安全历史上第一次我们称之为叫 hacking 叫 hackback
就是说利用他的漏洞然后将他窃取的资金再把它给提取出来还给项目方这个其实也是一个特别有意思的对抗的事情这就是我印象还是蛮深刻的那在这个事情当中您跟亚对收益协议双方之前是合作关系的还是说是经过这个事件才交流对 我们之前其实是没有任何的
合作关系啊就是因为有了这个事件之后其实我可以延伸讲一下整个的安全事件处理的流程就是因为我们自己内部有一套这个安全攻击的引擎当有安全事件发生了之后我们的引擎会第一时间报警然后呢我们内部有一个应急响应的小组那我们应急响应的小组就会一起分析首先我们看一下这个被攻击的协议是哪一家的对吧然后这个协议呃是知道这个协议是哪一家之后呢我们就会
通过各种方式无论是这个链上 Twitter 还是各种方式我们就会尝试联系这个协议项目方那么在亚洲社这个 case 里面呢我们其实之前没有谈联系方式那我们就通过 Twitter 的方式联系到了这个项目方然后联系到项目方之后呢那我们会协助他去分析整个被攻击的原因因为很多时候协议项目方被攻击他也很他也不知道我为什么被攻击的反正就是我协议里面的钱不见了但是原因我太搞不清楚了
这时候就需要安全公司一起来协助他进行分析分析完了之后其实这个时候就涉及到协议怎么修复如果你发现我原因搞清楚那我得要修复这个漏洞我打补电怎么打打完了之后是不是安全那也得去安全公司来像我们在安全公司来一起协助他然后
然后被盗的资金追踪资金跑哪去了能不能通过一些方式把它追回来也需要安全公司的这个用所以我们会在整个的应急想案流程里面一直跟项目方一起来去处理它的这些事件然后具体到这个 case 的实际上我们之前在这个 case 之前我们也跟这个项目没有联系但是比较幸运的就是在处置的过程当中我们及时联系到它并且能把其中的一部分资金把它追回来
其实更多的 case 是我们发现了公司但是联系不上项目或者说项目方他也很多时候你也不知道他在哪可能他或者在睡觉或者什么也对你很 OK 这是第一个第一个案例对这是第一个案例对然后第二个案例其实就也比较有意思这也是 2023 年的时候发生的一件事情这个其实第二个案例其实更多的咱们中文的听众可能
会更熟悉一点是因为这个案例涉及到一个项目叫 PyroSpace 这个 PyroSpace 是一个什么项目它其实可以去质押无聊员的那个 NFT 因为我知道很多的中文的 OG 它其实都是无聊员 NFT 的持有者
所以这个项目它其实是可以将这些 NFT 质押大概的原理质押然后把它抵押出来之后会借出其他的资产出来但是这个协议它其实有一个安全的漏洞安全的漏洞在 2013 年应该也是 3 月份的时候然后就被攻击了我记得我比较清楚记得时间应该就是北京的时间应该是在上午或者是中午这么一个时间段
那然后我们的系统第一时间预警了之后呢同样的就得启动刚才讲的流程我们得联系项目方呀得去分析原因啊但是呢我们发现我们系统所报出来的这个第一笔的这个公递就是这个公递交易啊在链上被 revert 了这个是什么意思呢就是在链上被 revert 的意思就是说这个公递者他在公递的时候啊他的 gas 费就是手续费给的不足所以导致这笔公递交易在上链的时候呢
没上成功但是呢他攻击的这个交易所有的这个行为和 trace 已经在链上已经暴露了那我们系统同样也能检测到这种我们称之为叫 reverse 的交易但是就是失败了但是又上链了交易并且呢我们判断出来这是一笔攻击交易这就是我们引擎的能力就我们能判断这是笔攻击交易然后判断出来之后呢那我们就想了一个办法说
那我们能不能模拟这个攻击交易的行为对吧虽然他他没上面但是呢他的这个意图已经暴露那我们能不能自动化的去生成一个跟他一样的这样的攻击交易但是呢这个攻击是要打个引号但是呢我们要将交易里面获利的地址把它替换成我们的地址那么通过这种方式我们不就可以将
当前已经处于危险的这个协议里面的资金将它拯救出来放到我们自己的安全帐户里对吧然后我们再联系项目方将资金返还给他这就类似于说一个人的这个就是这个坏人的这个刀已经快砍下去了但是呢不知道因为什么原因对吧他第一次尝试没有成功那我们是不是也可以尝试用同样的方法
然后将资金把它提前支取出来这样功利者如果第二次在尝试功利的时候协议里面他已经没有资金了所以他的功利就会失败
我们有了这个想法之后实际上我们内部有一套系统所以我们就很快能自动化去做这样的事情然后我们就自动化的生成了刚才讲的代引号的公积的这么一个交易把它发上链将 Pairspace 协议里面的 500 万美金的资产支取出来然后自己出来之后然后我们通过联系项目方将资金返还给项目方这个其实也是一个
非常有就是历史上这个金额最高的我们称之为叫 rescue 就是要拯救链上资金的这么一次行动就是为什么这个在中文圈其实大家感知比较多是因为就是我讲中文有很多的这 KY 和 OG 他其实都持有了这个无聊源 NFT 如果没有这次拯救的话那他们的这个资产可能就都被洗劫一空了所以
这个也是我印象比较深刻的一次安全事件但是这个安全事件之后实际上也引发了我们很多的思考因为这里面有很多安全道德和伦理上的一些问题比方说我们观察到一笔公币之后我们虽然将这个协议里面资金支取出来
但是你本质上仍然是一笔公级的交易只是你模拟了公立的行为你仍然是一笔公立的交易只不过你是将资金你是出于好意各的 intention 把资金积蓄出来再返回项目方但这本质上它仍然是一次对吧如果你严格来讲 technically 来讲它仍然是一次公立的行为它这里面涉及到的合规和安全伦理的问题怎么解决我觉得这是
第一个就是当时经过这次事件之后的我们的第一个思考但是呢我们当时的自己的思考是说那在简单的理解就是在
那就是说在面临着这样这个安全伦理思考的时候当时我们自己的想法是说当你看到一个坏人用刀去刺向一个好人的时候这个时候你应不应该出手阻止还是说任由他发展我觉得我们选择的是说对吧我们出手阻止虽然这里面有些道德伦理就安全伦理的这些问题在里面那经过这次事件之后呢所以我们也深刻的意识到说
链上的安全它不能通过我们刚才讲其实我们讲了两次这个 hacking back 就是把它黑回去的这种方式来整理资金通过这些事件之后我们就发现说链上的安全它不能通过这种比较 hacking 的方式来去增强安全那应该怎么做
应该要让项目方第一时间知道他所项目面临的安全风险对吧第一时间他得知道他的项目被攻击然后呢他可以去配置一些 automatic action 的策略就自动化运行的策略当这些安全事件发生的时候那我们的系统告诉他
他应该可以自动的去 pause 他的协议对吧那这样的话攻击不就不会成功了吗然后既这个阻止了攻击拯救了用户的资金又没有任何这个安全能力上的这些风险所以这个是我们经过这这两次事件之后
就是我们开发了后面这个 Falcon 这个攻击监控以及阻弹这个产品整个的一个思路对这是我印象当中就是第二个比较大的这个安全事件这个安全事件我好像刚才
当时还注意到过你刚刚讲这个保护性的攻击我想问一个细节就是当您在这边的这个系统就监测到这个攻击发生刚刚你说这个 revert 的攻击发生之后你们肯定需要一个内部讨论跟决策嘛就刚刚你说要不要去做这个保护性的这个攻击就是从发现这个事件到做完决策到决定去保护这个资金当中隔了多少时间
非常快我们从第一时间知道到最后完成这件事情大概也就是几分钟的时间就是我们知道这个事情因为我们就对说白了就是因为我们对这套安全处理流程公司已经形成一个非常完善流程一旦知道这个安全事情之后我马上就会进行讨论和决策决策完了之后因为我们已经有一些自动化的工具所以很快的就能把这个事情给做了
嗯明白明白 OK 这是第二个案例对这是第二个案例那第三个案例我觉得就是大家应该最近都关注了 bybit 这个安全事件把 bybit 在 2 月份的时候
然后这个 15 亿美金的资产被盗那这个攻击呢也是迄今为止应该是安全圈里面损失最大的单比的这个安全事件而且它的这个损失跟我们跟我之前面讲的两个安全事件有非常大的不同前面两个安全事件都是由合约漏洞造成的但第三个安全事件就是 Bybit 这样的安全事件它其实跟这个智能合约的漏洞没有任何的关系它完全是一个
我们称之为信任链条过长,就是在一个这么大资金体量又有这么长的信任链条一个体系里面,攻击者通过社工的攻击找到了最薄弱的那个环节,然后完成了攻击。它是怎么一回事呢?就是 Buybit 它使用了合约钱包,就叫 Safe 的,它是一个智能合约的钱包来去管理它,让它支撑。
那么这个 SAFE 这样的钱包它是一个什么它是一个多签钱包多签钱包你就可以把它理解成说一把锁把需要三个人同时开锁这把锁才能打开才能把里面的资金给取走那这个锁是谁制造的呢这个锁是一个叫 SAFE 这么一个提供这么一个合约钱包的项目方来去做的
那么你会发现在这个体系里面那实际上信任链条非常长它包含哪些人呢包含首先是这个 Safe 钱包的开发者 Safe 钱包的运营运营这个 Safe 协议的这些人以及我使用 Safe 钱包的时候我还通过一个 URL 界面通过浏览器里面 URL 界面来去使用然后 Safe 钱包的操作者那操作者是谁呢就是 Bybit 的就是我们讲说拥有三个钥匙的
这个 bybit 的员工对吧或者说他们的这个用于资金操作权限的人然后呢他操作这个 save 钱包他要通过什么他通过他的电脑对吧他也要通过他电脑的浏览器或者说通过他的这个硬件钱包所以你会发现整个的这里面涉及到的方方面面特别的多任何一方只要出问题我们讲安全它其实是就安全攻防的时候特别难的点在于什么呢
防御的时候你得要让你的系统不能出现任何的短板因为你系统安全的水位是取决于你系统里面最短的那个板那个在哪而攻击它只需要找到你系统里面最短的那个板就可以它不需要攻破你系统里面做得很好的地方它只需要找到你系统里面最薄的那个点在哪然后通过那个点就可以发起攻击然后完成整个攻击的过程
那么在 Bybit 的 case 里面它整个的攻击的流程是什么样子呢?但他可能发现首先这是一个定向的攻击因为他发现 Bybit 政府钱包就是智能合约的钱包里面因为非常多的资产已经成为一个攻击的目标对吧?既然他成为这个攻击的目标之后他就在想那我怎么能完成这次攻击呢?他选定的目标是政府钱包的开发人员
因为我们刚才讲就是最后无论谁去操作都要通过 Safe 所提供的这么一个 UI 界面就是它的网站来去操作你的资产那如果我能通过社工的方式或者说通过其他方式来去攻破了开发者的电脑让开发者部署一个恶意的代码在 Safe 的网站上面
然后任何的人就去 save 的网站上去操作他的这个钱包的时候你看到的那个操作的行为跟实际面上发生的操作的行为它是不一致的对吧但是正常的用户他并他并不了解啊对吧比方正常用户我到银行的这个 APP 里面操作的时候那我在银行 APP 里面看到转账 100 块钱那实际上他转出 900 块钱但是我并不知道呀因为我在这个 APP 里面看到就是转账 100 块钱那如果你通过
攻破这个 APP 的开发者或者说攻破 Safe 钱包的开发者使得操作人员在钱包里面看到的操作界面跟实际发生性的不一致那我就可以完成整个攻击的过程那它实际上也是通过这种方式来完成的那它又是怎么去能把这个开发者权限给拿到了而通过一些社工的攻击最后完成了整个的攻击的过程
那在这个里面呢其实我们讲就是即使在 Safe 的开发者被供货然后我看到的规则那实际上我们其实还有其他的机会啊比方说如果你钱包在签名的时候能告诉你你签的这个交易是什么和我在这个网站上看到的这个
交易是不是一致的实际上也是有机会的对吧我不知道就是大家以前使用那个招商银行其实以前有一个很多银行有那个优顿优顿的时候就是如果大家有这个经验操作你就会发现你在优顿上按那个按钮的时候就它会有个显示屏它告诉你说你现在转账 500 块钱你是确认还是不确认你可以在那个优顿的设备上进行确认它实际上解决就是这个问题因为因为我的 APP 被攻击了对吧 APP 告诉你你转了 100 块钱
但是优论上最后你去确认的时候告诉你转了 500 块钱那你就发现不一致了所以呢在具体到这个 8B 的 case 里面如果你签名的钱包里面能有这样比较好的这种提醒能力实际上也是能阻止这样的攻击的但是比较遗憾的就是在这个 case 里面实际上这个钱包也没有做得特别的好然后就是签名的那个硬件钱包也没有做得特别好
Safe 的 UI 被公布了之后然后就签署了这么一笔恶意的圣敌的交易然后公司就接管了钱包就赚得了 15 亿美金所以这个其实还是印象比较深刻一件事情我觉得这个事情给我们带来的一个启示是什么就是安全特别是涉及到大
资金体量的安全一定要做什么一定要做 cross verification 要做交叉验证就是你不能相信单一的这个提供商或单点告诉你的信息因为资金体量太大了对吧你不能只依赖于单一体量因为你只要依赖于这个单点
或者单个供应商或者说单个界面告诉你的信息只要这个被 compromise 系统明显就没有了所以你一定要做 cross verification 你必须要有一个第三方通过第三方的视角来帮你去 verify 你看到的东西是不是真的然后在这样的情况底下我就可以进一步的降低到它的风险
明白刚刚就是您提到的这个案例当中就有一个词叫社工攻击我想可能不一定所有的听众都能理解这个概念含义就您能解释明白对这个社工攻击它其实全称叫社会工程学攻击它其实利用的不是一些技术手段它是利用你的比如说你的工作习惯人际交往关系你所承担的工作职责针对于你所设计的一套
这些公立的手法这个我可以举一个我自己亲身经历的社工公立的案例大家可能比较容易理解然后说我作为这个 Blogs.co 可能经常会收到一些信息收到什么信息两类信息比较为多第一类就是一些比如说邀请参与一些 podcast 或者说邀请参与一些会议或者说一些采访的一些邀请这是比较容易理解的第二类就是一些
投资的一些投资机构他会跟你联系说有一些投资的机会那么在我亲身的经历里面呢那我就遇到一个这个给我们发这个通过邮件通过我们通过这个公司的邮箱给你发邮件说他是某一个这个投资机构的人
希望这个跟你商量一些投资的机会然后呢你去观察他的这个邮箱和域名然后你也你也去我们其实安全的 sense 其实还是比较强有的时候就做一些背调然后就看一下他的这个公司的网站以及他的这整个公司投资的一些啊投资的 portfolio 和
这些投资人的一些信息我做了背调之后我觉得这个还是一个这个挺像模像样的一个机构虽然这个机构我从来没听说过那没问题那就跟他去在开店上约了一个会议
但是这个时候你会发现第一个奇怪的现象就发生了在开令上约会议的时候他没有提供任何的会议链接告诉你就是他像我们在任令上一般约会的时候比如他自动连接了 room 或连接了 google meet 或连接了其他的会议软件但是在这个时候你去不会议的时候他没有提供任何的会议链接给你然后他只是约了一个时间然后到那个时间你不是需要去跟他开会的吗你发现他还没有
发这个会议链接给你然后你就发邮件给他说我们已经开会了把你的会议链接发给我然后他马上就给你发一个这个会议链接给你然后你打开这个链接点击这个链接之后你会发现很奇怪他要求你下载一个软件他要求你下载一个软件但是如果这个时候
你没有经验的话因为你觉得马上要开会了嘛对吧你那个时候比较焦急他其实就利用了你的这个比较焦急的心理然后呢他不停的催促你你因为装好呀我马上就要开始了呀就是他催促你的过程他是通过这个邮件他不停的给你邮件轰炸然后他就你这个装好了没有啊我们要开始如果这个时候你没有一些 sense 你就或者说你急于想啊
储存这个机会你可能就毫无犹豫的去安装这个软件那这个软件其实是个它是一个含有恶意成分的这个视频会议它里面会去窃取你存在电脑里面的一些私钥所以这个就是我真实经历过的一个
社工的攻击所以对所以本质上你可以发现说这攻击者其实他针对于我在公司的职位我承担的工作职责以及他利用了你在开会之前就短时间内的心理上可能比较焦急的那种心理而来去发起这么一种攻击
嗯明白明白我看前两天就是行业里面也有一个关注度不小的一个事件吧就是某一个协议的创始人然后他说他自己在参加新亚聚会的时候手机离开自己大概就十几分钟
然后之后他的这种他的他的这个手机的这个钱包里面的大概几百万资金吧就被盗了那像这种的话是不是假设啊就是这个攻击是在他手机离身的时候发生是不是也是属于社工的一种是不是对我觉得这个他他属于社工的一种但他其实才呃
还不太属于我们通常意义上的社工因为在他离开就在这个 case 里面他的手机只是离开他一段的时间那么别人可能当然可能别人邀请他或者说接近他的目的主要就是为了拿他的手机对吧但是拿到手机之后怎么去将手机解锁获取里面的资金这个其实还有非常 strong 的这个后面的一些技术支撑在里面对嗯
明白明白 OK 好那刚刚我们这边谈了就是很多就是很有代表性的一些大的一些安全事件那么回到我们普通人去做这个区块链协议交互的时候就像我就像您说的您之前这边服务的很多的这个项目都是 DeFi 协议我们很多人在链上去交互的时候很多也是 DeFi 协议就我们在跟这些 DeFi 协议或者是别的协议去交互的时候有没有一些要遵守的
这个安全的原则然后大部分我相信这个普通的用户是没有代码阅读能力的甚至可能他连去阅读这个签名的信息的能力可能都不太具备就在这种情况下我们怎么样去尽可能的降低这种风险明白明白我觉得对于普通用户如果要去做链上交易的时候首先呢要做好这个
项目方的一些背调我觉得还是挺重要的其实本质上就是如果你去投资一个链上的项目如果你是小资金体量你可能就是本质去试一试的态度那我觉得可能还好如果你是非常严肃的就是我确实是一个投资者我就是投资链上协议在这个时候呢因为你的资金体量相对比较大那你可能是需要对项目方进行比较好的这个
那么这里面的进调呢可能啊我觉得基本上要分为以下几个层次第一个层次就是说这个项目方呃的创始人啊是不是是谁啊是不是匿名能有很有一些链上的协议他其实是匿名协议项目对吧那你得你得你得知道这个协议的这个制衡你也知道他在外面泡汤弄面的创始人是谁啊他有没有
曾经 RAG 过项目的历史这个也非常的重要对吧就是说你首先要对协议本身的组成和创始人的身份要做一些备调也就是第一点第二点呢你需要对这个项目方本身的技术能力去做一些备调那你怎么去备调呢
那你可以看一下这个项目方是不是经过了比较头部的安全公司的审计然后呢就像林华恩讲就是可能很多的用户他不懂技术他还看不懂单本可能他看不懂审计报告但是呢你可以将
审计报告这个拉下来之后你可以简单的去 review 一些核心的关键点比方说对吧里面有这个是几家审计的呀那么这几家审计公司的这个 reputation 怎么样啊然后这个报告里面有没有一些核心观念的这个安全漏洞啊并不是说报告里面有
发现核心安全漏洞对协议来讲就说明这个协议不安全恰恰说明这个安全公司可能比较尽责他找到了一些比较安静的安全漏洞那就会使得项目方的整体的安全风险降低这个要辩证看这件事情我觉得就是第二个需要去做备料的一些点我觉得
有了这个对项目方的背调之后基本上你在做交互的时候也要采用渐进式的方式就是不需要一次性打资金体量进去这样你的风险还是比较高的我觉得这些是你需要对项目方建议滴滴我觉得第二个点其实还是
需要借助于一些专业的安全工具吧比方说一些公级监控啊一些工具和平台如果你的资金体量比较大那你一定是需要对你所投资这些协议的安全风险时刻你要掌握然后你可以通过一些平台通过我们的 Falcon 平台来去监控你所投资协议的整体的这些安全性如果
对于这个资金体量比较小的用户那我是觉得
在做链上交易的时候其实主要防范的还是钓鱼的风险因为毕竟协议被攻击它相对来讲概率还没有那么高但是这个链上钓鱼授权等等的这些风险确实是普通的用户在链上交易的时候时刻都有可能会发生那么怎么去防范这些风险对吧我觉得还是说你可能
这个呃在呃就是就是还是说你你你你得不要太贪心嘛不会天上掉鲜明灯好吃砸到你头上然后你在交互的时候啊就是就是尽量要去能确认这是个官方的网站啊就是啊
不是这个三代的网站那怎么确认它这个官方的网站呢就是你可能还是需要有一定的这个信息的收集跟整理的能力当然你也可以使用一些这个安全的工具就是网站有一些安全的工具来去识别一些钓鱼网站呀识别一些钓鱼交易啊这样的方式来去规避掉风险吧
嗯明白就是我看这两天有一个事件我就注意到就是前两天那个币安下了很多项目的这个这个代币嘛他们就说他们这边能够提供的这个运营可能都不达标了所以币安把它下了然后这个项目方就说可能因为各种各样资金问题这个项目我们后续就不运营了处在一个半废弃的状态那么假设这个用户可能他可能一两年前比方说可能二三年
他使用过这个 DeFi 协议那么这个协议目前项目方面没人管了然后这个代码可能也是目前这个代码的升级权限我们也不知道在谁那边了那么像这种的特定案例下会不会因为比方说因为他们的这个升级权限没有得到核酸的管理导致被黑客或者说是比较用心的人掌握了导致你之前的授权没有取消的话会不会导致你的这个钱包里的资金被这些后续的影响所威胁到呢
是的,这个也是有可能的,特别是像您刚才讲,如果一个用户他授权过把自己的资金授权给一些协议,而这些协议和智能会后续可能都已经没有人维护了,那如果你这个授权不取消,实际上就有可能有安全风险,那我们怎么去解决这个问题呢?就是我们一直建议普通的用户,他要比较好的能去日常的 regular review 自己的授权,你
你可以将可能已经不使用的那些授权你就其实要把它 revoke 掉很多用户可能他不太了解就是自己我已经授权给哪些项目方的我们自己其实以前作为工具叫授权诊断工具你输入一个地址我们就能告诉你你这个地址授权过给哪些协议我们能发现说其实很多用户授权给几十个协议有很多的协议现在都已经不
不活跃了而不活跃和没有安全升级这些协议就有可能会有安全这个漏洞只要有安全漏洞存在那别人就可以通过你授权的这个协议的漏洞来去这个转走你资金这个其实也是一个蛮大的风险所以其实用户还是要经常的
你来去 review 一下自己到底授权过哪些协议要及时的去撤销你已经不太用的这些协议的授权 OK 明白然后关于交互的安全我还有一个问题我发现过往的一些被攻击的 DeFi 协议也好别的协议也好我们发现就是 Dex 之类的
相对来说它被盗被攻击的这个数量不如像借贷或者说什么质押之类这么多就这个跟这两类协议它本身的智能合约类型有关系吗还是因为什么对你说很对首先就是我们只能说相对来讲就是 DAX 的安全风险会比其他的借贷要的发明以及一些金融衍生的那些
协议要来的安全风险低一些那为什么呢因为首先就是 DAX 它的整体的协议它其实比较简单呢就是在链上的 DAX 里面的协议就是 XY.UT 这种横顶层当然因为说 V3 稍有不一样基本的核心就是横顶层的公式所以在去实现这个协议的时候呢已经有一个
首先它协议简单其实它已经有一个非常好的参考样例就是 Uniswap 很多的这种 DAX 都是从 Uniswap fork 出来的所以你只需要简单的去做一些自己的修改就能部署一个链上的 DAX 所以它整体的安全的风险头寸它会比较低一点但是对于 Nandy 也好 Yellow Farmy 也好
或者说其他的这种杠杆借贷的也好就是就是或者是带玩其实还有一些更复杂功能的这些协议它本身的这个
协议的设计就比较复杂比方说我们去做一个借贷平台借贷平台原理上好像听上去就把我放一个资产 A 进去借出资产 B 我只要控制好它的整个资产的健康度就 OK 了但是比方说你要支持的抵押物的资产的种类
那 DL 的资产它的价格波动然后你如果要支持这个杠杆你怎么能时刻保持用户即使能还掉你的钱然后它的整个健康度还在就要本身整体的协议的复杂程度就会比较高所以就是导致这些
这些协议被攻击的这个概率更大我觉得这是第一个原因第二个原因是因为 DAX 本身它是这个不存钱的是啥意思呢当然 DAX 里面的那些钱都是流动性的提供者就是你提供流动性钱放在里面而你真正的使用 DAX 的人你只要索尔回一下就把你放了投资 A 进去你马上投资 B 就回来了所以你的资产并没有在这个 DAX 的这个破里面
即使这个 DEX 的破费功率它损失的也不是你就大部分用户它不会损失它损失的是提供有动性的那些人我觉得这也是
而在 Landing 平台和其他的平台不一样你的资产是实实在在放在里面而且你是超额底或者说你如果是一些其他的更复杂的协议就是会它本身就会有很留存很多很多用户的资产在里面所以这样呢就是它被攻击之后受损了这个用户的群体也会相当于比较大我觉得这是
第二个可能原因然后我们也发现过去在历史上这个 DEX 其实也不是没有被攻击过也有被攻击过那被攻击的原因其实都比较简单就是
它这个 DEX 在实现的时候首先因为 DEX 的风险场口其实在于授权就是别人因为你要 swap 的时候你需要将你自己的代币授权给这个 DEX 的这个路由合约路由合约里面呢如果有一虽然路由合约不存钱但如果路由合约里面有一些任意咨询的动作那就有可能会将所有授权给这个 DEX 的
这个用户的资金给卷走我们发现 DAX 就是有漏洞造成比较大损失的主要都是这种类型但这种类型它相对来讲它比较容易发现你只要是一个比较合格的审计师实际上是比较容易能发现这样的
所以就在刚刚您说的这个授权的漏洞这个案例里面如果说作为一个审计公司发现这个 DEX 它是有任意执行这样的权限的一般都会去给他建议就是说这是不合理的或者说是在报告披露的时候会去提醒大家这个事情对这一定是个漏洞一定是不合理的就是如果安全公司负责任安全公司审计他一定是要让这个 DEX 开放他必须要把这个给修复它这就是一个非常 credical 的漏洞
嗯嗯嗯明白明白 OK 刚刚我们聊了很多就是在安全攻防上包括包括个人资产安全上面的一些具体的一些问题啊然后我们今天最后一个问题来聊一聊就是区块链安全行业的一个一个情况吧就是区块链安全行业就像您说的 23 年 22 年的时候就是因为低败很多嘛
客户量非常非常的大那么到二五年今年为止目前安全行业的一个行业规模水平大概是一个什么样的级别然后它的发展现状包括它的利润水平大概是怎么样对因为我觉得这也是确实一个很好的问题就是因为我们在区块链安全行业里面首先你得要时刻能知道这个行业目前的阶段在哪然后你的天花板在哪你才能更好地去发展自己的这个
这个公司那目前其实没有一个公认的整个区块链安全行业的这么一个 market cap 到底是有多大但是网上就是有一些报道或者他们根据自己的测算就是他们觉得区块链安全的整体的行业的规模一年大概是在三个 billionUSD 左右三十亿美金左右那么这个规模呢其实相比于传统这个
网安的产业它的规模其实是相对比较小的那我在 2024 年整个传统的这个网安它的一个规模应该是在 1000 亿美金左右 1000 美金对 30 亿美金其实它的整个的差距还是比较大的我觉得这个也是跟整个行业发展的现状是有关系的因为
区块链安全它本质上是服务区块链行业的这么一个安全的产品和服务区块链行业它整体其实现在还处于比较早期之前发展的比较好时间段是在 DeFi Summer 的时候有一些创新的技能那么在最近一两年 比方说 2025 年的时候
这个 DeFi 的那个金融创新的热潮过了之后好像并没有一个特别好的更创新的一些东西进来所以导致整个的区块链产业的规模实际上在 2022 年应该是达到了 TVL 最高的时候我记得那个时候的整个的这个
区块链安全的 TVL 的水平就是在 2022 年的时候 TVL 的最高应该是 177 个 billion 就是 1000 多亿美金但今天我在参加这个节目之前我漏了眼的数据现在的整个 TVL 是 99 个 billion 也就是说你最高峰可能一半多一点点
所以就是导致说我们区块链这个行业其实它发展好像遇到了一个瓶颈就是我觉得能观察到一个现象但是我们与此同时我们也发现了这个行业新的潜力在哪里就是传统的金融机构在慢慢的进入这个产业里面那传统的金融机构进入了产业里面有哪些信号呢比方说
这个传统的银行在发链上发 50 币这也是而且是符合监管的那个传统的支付比如说 stript 这样的这个支付的厂商在支持这个 crypto 的支付一些是我跨境支付的然后再怎么通过这个 crypto 来解决传统的那些电就是跨境电商所面临到的那些支付的问题
所以我们会发现说虽然没有像 2122 年 DeFi Summer 所带来的创新引发了面向 TVL 的新高但是传统的金融机构和有真实场景需求的除了我们讲的取正化金融那一套之外有真实场景需求的商家在进入到这个行业里面而他们进入到这个行业里面之后会带来整个行业的合规化
而这个其实你一个行业你如果想发展的比较大你一定是要在监管的框架体系里面合规的发展那我觉得这个是我们能看到的最近一两年的机会所以总体来讲就是网安的区块链安全它整体的产业规模还比较小还处于早期但是随着传统金融机构的进入越来越的监管和合规化之后我觉得这里面所爆发的这个潜力还是比较大这是我们的一个
观察的一个呃自己的一个观察吧嗯好的好的那么就是啊我们在 21 年 22 年的时候我印象非常深刻啊那时候就感觉就是区块链的安全公司就是做审计智能合约审计就是感觉非常非常的赚钱就他们也有单子接不过来啊
甚至说能够安排你插队快点升级给你的优待一些比较知名的安全的公司那么发展到今天这个阶段就是您认为就比较头部的那些安全公司他们的护城河主要是来自于哪些要素我觉得可能有几个点第一个点还是在于说
这个品牌和信任因为就是安全就是安全特别是安全审计它其实是一个
是一个品牌对品牌认知要求非常强的这么一个服务 even 在就是您刚才讲说在之前对吧市场比较好的时候审计这个非常的火然后你可能都需要排很长的时间但实际上在今天头部的安全审计公司它仍然是这么一个情况就是并不是说一个项目方呃
来审计就马上就能有这个人力资源能去供给审计就是头部的有品牌效应的安全公司的其实他仍然是处于这么一个供不应求的状态所以我觉得一个互称和就是这个品牌跟信任你怎么建立
在区块链安全这个行业里面怎么去建立你自己比较好的品牌的形象以及你这个品牌背后所带来的信任无论这个信任是来自于用户的来自于羡慕风来自于这个其他的参与的各方这个是非常重要的我觉得这是第一点第二点其实还是需要这个安全的创新技术就是说
安全的创新技术就是指说那我们除了在解决这个区块链安全问题除了做安全审计之外那真的就没有其他的需要补充的这个安全的解决方案了因为安全的审计它只能解决的是项目你的智能合约部署在链上之前我帮你去做一次这个安全的 review 可是我真正的项目上线之后
项目方可能改参数还有可能做一些日常的这个 configuration 对吧他做一些日常的升级的时候因为排队或者成本考量因为他没有再去做审计对吧那就是有很多很多在智能合约部署了之后所各种原因所导致安全问题那么这样的安全问题你怎么解决对吧那我们不能我们都不能只依赖于安全审计这样的问题所以你得要有一些这个安全创新的技术
和产品能去解决这样的问题这个也是我觉得 BlockSight 跟其他的区块链安全公司非常不一样的地方我们除了有安全的审计服务到协议上线之前的智能合约安全之外我们还有能覆盖到智能合约上线之后的攻击的检控和阻断的平台这也是全球唯一一家区块链安全公司里面兼有智能审计
和攻击监控啊就是能覆盖整个智能和全生命周期的这么一家 webm3 公司也这也是非常重要一点就是你得要有安全创新的技术和成品能在这个市场里面这个帮助用户真正的解决问题我觉得这是第二点第三点其实还是说这个啊合规跟监管就是说这里面的这个啊护城河就是合规跟监管以及地缘政治的影响这是什么意思呢
就是因为这个区块链就是 crypto 这个行业它一定最后是会需要在合规跟监管这个平台底下
才能有可能就是才能获得这个大规模的发展机会而这个观点不是每个人都认同就是从我们在这个行业里面呃待了那么多年就是我们能看到你你这个行业一定要要发展一定是在阳光底下发展一定是在合规跟监管的体系底下你才能把传统的那些老钱你才把它吸引到这个行业里面来那么在这个情况底下你你你能提早的去
做好合规跟监管的产品跟服务因为你合规跟监管的产品服务是你需要对这个行业的监管政策合规要求你比较有比较深的理解然后呢你还能把它变成产品化然后呢所谓的这个地缘政治的影响就是有一些这个地区的在选择供应商的时候它其实是有一些地缘的考虑比方说
香港的监管企业可能比较倾向于选择非美国供应商的产品对吧那么你对监管政策合规了解比较深又有比较好的产品然后又能有一些地缘政治的护城河实际上这个也是我觉得这一块就是区块链安全公司本身的自己公司的一个护城河吧
了解了解好的今天咱们就聊区块链包括加密安全这个话题聊的还是维度还是挺多的从具体的一个安全事件包括可能对进入安全行业进入安全这个领域之后进入加密领域之后每个人需要注意的一些安全性的原则包括整个行业的一些发展规模我们都聊到那非常非常感谢周老师今天能够到我们这边节目来跟我们分享这些政治拙见
希望我們以後還能有機會可以再聊一聊跟國昌的東西謝謝好的謝謝 X