原文標題：《EP28：鏈上安全知多少：普通人如何構(gòu)建加密資產(chǎn)防火墻》

原文來源：Mint Ventures

· 主持人：Alex，Mint Ventures 研究合伙人

· 嘉賓：周亞金，區(qū)塊鏈安全公司 BlockSec CEO

· 錄制時間：2025.3.28

聲明：本期播客我們所討論的內(nèi)容不代表各位嘉賓所在機構(gòu)的觀點，并且所提到的項目也不構(gòu)成任何投資建議。

大家好，歡迎來到由 Mint Ventures 發(fā)起的 WEB3 Mint To Be。在這里，我們持續(xù)追問和深度思考，在 WEB3 世界里澄清事實、探清現(xiàn)實、尋找共識。為大家厘清熱點背后的邏輯，提供穿透事件本身的洞察，引入多元的思考角度。

BlockSec 的服務范疇和目標客戶

Alex：本期節(jié)目我們來談一個與各位都息息相關(guān)的話題，就是加密世界的安全。在我們遭遇真正的風險之前，往往都以為自己不會成為新聞里安全事件的受害者。如何為自己的資產(chǎn)構(gòu)建一個防火墻，讓自己在安全的環(huán)境下投資，是我們開始加密旅程之前的必修課題。

本期播客我們邀請到了區(qū)塊鏈安全公司 BlockSec 的周亞金，跟我們聊一聊加密安全這個話題。請周老師跟我們打個招呼吧。

周亞金：大家好，我是周亞金，目前在 BlockSec 做 CEO，同時我也是浙江大學從事網(wǎng)絡空間安全的研究人員，非常高興認識大家。

Alex：好的，咱們進入今天的正題。我相信蠻多的聽眾可能對區(qū)塊鏈的安全公司、安全服務并沒有那么了解。請周老師先給我們介紹一下 BlockSec，你們提供的服務內(nèi)容大概是哪些，什么樣的人、什么樣的機構(gòu)會成為你們的客戶。

周亞金：好的，BlockSec 是一家 Web3 安全公司，我們成立于 2021 年，由我和吳老師共同創(chuàng)立。談到 Web3 的安全，大家可能第一想到的就是安全審計。其實 BlockSec 的業(yè)務范圍不僅僅是安全審計，我們還提供一系列其他的安全產(chǎn)品和服務。具體來講，服務可以分為三大板塊。

第一個板塊我們稱之為針對鏈上協(xié)議的安全。鏈上協(xié)議就是我們講部署在區(qū)塊鏈上進行一些 DeFi 或者是 NFT，或者其他活動的一些智能合約。這些合約的安全性應該如何保障呢？BlockSec 就提供了安全的審計服務和安全的監(jiān)控的產(chǎn)品。

第二塊我們比較關(guān)注的是資產(chǎn)的安全。所謂資產(chǎn)的安全就是用戶手頭所擁有的資產(chǎn)，比方說這些資產(chǎn)是在自己的合約錢包里面，或者投資在一些鏈上的協(xié)議里面，怎么去保證這些用戶資產(chǎn)的安全性，也是我們 BlockSec 的服務范疇之一。

第三塊是合規(guī)跟監(jiān)管。我們發(fā)現(xiàn)越來越多的傳統(tǒng)的金融機構(gòu)進入到 Crypto 行業(yè)里面。包括我們最近能看到新聞，美國的這些傳統(tǒng)銀行在鏈上發(fā)一些穩(wěn)定幣資產(chǎn)，包括 Crypto 進入到跨境支付的行業(yè)里面。那實際上這些傳統(tǒng)金融機構(gòu)進入到這個行業(yè)里面之后，給監(jiān)管帶來一個難題，監(jiān)管機構(gòu)不知道怎么去監(jiān)管，這些機構(gòu)又不知道怎么符合合規(guī)。所以我們也有在幫助監(jiān)管機構(gòu)去監(jiān)管進入到 Crypto 行業(yè)里面的這些玩家，或者說去幫助進入 Crypto 行業(yè)里面的這些傳統(tǒng)機構(gòu)進行合規(guī)。這是我們業(yè)務的三個范圍。

我們的客戶覆蓋的范圍比較廣。大家能想到的是在鏈上做去中心化金融或者說其他的一些服務的項目方，比方說在鏈上提供 Lending 的平臺，提供去中心化交易的平臺，這些項目方是我們的客戶。我們可以幫助他們在智能合約部署上鏈之前，做一些安全的審計，通過安全的視角 review 他們開發(fā)的智能合約是不是有安全的漏洞。如果有安全的漏洞，需要及時修復。同時當他們的協(xié)議部署到鏈上去之后，我們也會有一個 7×24 小時的監(jiān)控平臺去監(jiān)控他們協(xié)議的安全風險。如果發(fā)生任何安全風險，我們的平臺可以及時通知到協(xié)議，并且能自動化阻斷風險和攻擊。

所以在鏈上部署智能合約的這些開發(fā)者和項目方，是我們一類的典型客戶。第二類的典型客戶就是擁有資產(chǎn)的人，可能是一些高凈值的客戶，他們擁有一些資產(chǎn)在合約錢包里面，或者說這些高凈值的客戶會去投資鏈上的一些協(xié)議。我們的服務和產(chǎn)品可以幫助他們更好地去監(jiān)控他們所投資的那些協(xié)議的安全性。就像硬幣的正面和反面一樣，從協(xié)議項目方的角度來說，我們可以幫助他們提高協(xié)議的安全性。

從投資他們協(xié)議的高凈值客戶的角度，我們可以幫助他們監(jiān)控他所投資的協(xié)議的安全性。一旦他投資的協(xié)議有安全風險，比如說被攻擊，他需要第一時間能撤回他的資金。第三類客戶就是我剛才講的監(jiān)管和合規(guī)，這一類客戶主要是一些監(jiān)管機構(gòu)，比方說香港的證監(jiān)會其實也是我們的客戶，還有海外的一些執(zhí)法機構(gòu)，需要去調(diào)查涉及到數(shù)字貨幣犯罪的時候，他們需要使用我們的工具和平臺，方便去做一些證據(jù)的提取、資金的追溯等調(diào)查活動。這個基本上是我們整體的業(yè)務以及我們客戶的范圍。

關(guān)于加密安全的三點建議

Alex：明白，剛剛周老師談到了客戶類型，他們有什么樣的需求，以及一個大概的行業(yè)情況。那么第二個問題可能跟個人投資者會關(guān)聯(lián)度比較高一點，尤其是我們的聽眾蠻多是剛剛開始進入 Web3 去學習跟嘗試投資的人。

如果您身邊有一個朋友，他剛剛進入加密投資領(lǐng)域，他知道您是做加密安全服務的，請您給他提三個關(guān)于加密安全的建議，您會給他提的建議是哪三個？

周亞金：這個問題非常好。我身邊的朋友也經(jīng)常問我一些安全建議，他們也想進入這個行業(yè)，但是又聽說好像很多人都會遇到一些風險。我們曾經(jīng)有個開玩笑的說法：如果你進入 Crypto 圈子之后，沒有被釣魚，也沒有被詐騙，你就不會成為這個領(lǐng)域里面資深的玩家。當然這是個開玩笑，但確實你也能發(fā)現(xiàn)這個行業(yè)里面存在很多風險。

如果要提三個建議的話，第一個建議肯定是每個人都會想到的，就是關(guān)于私鑰保護。在 Crypto 領(lǐng)域里面，怎么來證明你擁有這個資金，其實就是用你所擁有的私鑰來證明你對這個賬戶的所有權(quán)。私鑰就是一串數(shù)字，這也是跟你的個人身份沒有任何綁定的。這串數(shù)字一旦丟失或泄露，別人就可以和你一樣擁有你自己資金的控制權(quán)。這個跟我們現(xiàn)實世界非常不一樣。在現(xiàn)實世界里，你的銀行密碼泄露了，你可以打電話給銀行要求凍結(jié)賬戶，別人沒有辦法來取錢。但是在 Crypto 世界里，如果你的私鑰泄露，那么擁有你私鑰的人就可以無限制地從你的賬戶里將你的資金轉(zhuǎn)走。

通常來講保護私鑰有幾種方法，比如我們有硬件錢包，用合約錢包或者用手機的 APP 來保護私鑰。每一種方法其實都有它自己的優(yōu)缺點。通過我自己的經(jīng)驗以及我們身邊的一些安全朋友的整體經(jīng)驗，基本的原則就是私鑰的助記詞，把它記下來放到保險箱里面，無論這個保險箱是你自己家的還是銀行的，把它存好，平時不要動，基本上你也用不到。然后用一個你相對比較可信的設備，無論是硬件錢包還是手機，去存儲好你的私鑰。這個手機一定是個專用的設備，不要去從事任何其他的操作活動，只是用來管理你自己的數(shù)字資產(chǎn)。這是第一個建議。

第二個建議是在鏈上交易的時候一定要有安全和風險的意識。本質(zhì)上你只要記住一句話：天上不會掉餡餅。我們發(fā)現(xiàn)在鏈上交易的時候，用戶面臨的釣魚的風險非常大。包括我們所熟知的加密圈的很多的 KOL 和 OG 都曾遇到過釣魚攻擊，并且損失了很多資金。如果說一個莫名的網(wǎng)站要求你連接錢包去獲得所謂的空投獎勵，這個時候是需要比較小心地，一定要有注意安全的意識。

第三個建議是你需要稍微了解一點加密資產(chǎn)基本知識。基本知識指的是在加密資產(chǎn)里面，我們通常有授權(quán)這么一個概念。這個是跟傳統(tǒng)金融不太一樣的地方。比方說你擁有一類的數(shù)字資產(chǎn)，USDT 或 USDC，通過鏈上的簽名，你可以將資產(chǎn)授權(quán)給一個合約或其他用戶來使用，并且這樣的授權(quán)只需要通過你的錢包簽署你看不懂的一堆奇奇怪怪的東西就能實現(xiàn)。

所以在簽署錢包簽名的時候，你因為不太明白或者說被欺騙，簽署了授權(quán)的交易，那別人就可以動用你所有的數(shù)字資產(chǎn)。所以你稍微要對授權(quán)這件事有一些基本的了解，在簽署錢包簽名的時候才不會誤簽名這樣的交易。總結(jié)起來，基本上建議就是：第一個是保護好你自己的私鑰，給了一些可操作的方法；第二個是在進行鏈上交易的時候需要時刻小心，要有安全意識不要被釣魚；第三個是要對 Crypto 的授權(quán)機制有基本的了解，這樣的話不會誤簽名一些授權(quán)的交易。

Alex：我身邊其實有蠻多高凈值的朋友，他們也是行業(yè)里面的 OG 或者說老手，按理來說您提到的這些安全意識，他們多少都是有一點的，但是每年我都會聽到身邊有一些大戶被盜。

行業(yè)里有一個說法，說如果一個專業(yè)的黑客盯上你了，他知道你的錢包是有錢的，如果他動用了可動用的所有資源，你往往是很難逃過的。這樣的說法您覺得有道理嗎？真的是這樣嗎？

周亞金：你這個問題非常好。其實安全問題，特別是涉及到 Crypto 安全，本質(zhì)上是一個不平衡的對抗。如果你的錢包里面擁有足夠多的資產(chǎn)，你就非常容易成為別人定向攻擊的目標。而一旦你成為別人定向攻擊的目標之后，別人會動用非常多的資源，無論是社工的資源、技術(shù)的資源還是其他資源，根據(jù)目標的日常行為模式、生活的習慣等來設計針對你的攻擊方法。在這種情況底下，不能說百分之百，但你防御的難度是非常高的，因為別人對抗你動用了非常多的資源，而你只有你自己。所以它是一個非常不對稱的對抗。

在這種情況底下，我覺得基本的原則，第一個是我們中國人有句話叫財不露富，就是說你不要把自己擁有的資產(chǎn)公開出來，要避免把自己個人的線下身份和鏈上資產(chǎn)的身份關(guān)系泄露出來。第二點是即使你是一個高凈值的用戶，可能已經(jīng)被別人泄露了，那么你需要盡可能地做好資產(chǎn)的隔離。就是說你平時日常操作的資產(chǎn)，專用的錢包里面可能最多就是 10 萬塊錢，別人定向到你，最多就只能把這 10 萬塊錢騙走。而你其他的大量資產(chǎn)應該放在一個平時基本上不需要動用的錢包里面。如果你需要動用這些資產(chǎn)，你要找安全專家?guī)湍阋黄?review 一套比較好的操作的流程和規(guī)范，這樣能規(guī)避掉非常大的風險。

印象最深的三個安全事件

Alex：明白，這個建議確實非常重要。您能不能給我們分享一下從業(yè)以來印象最深刻的三個安全事件？可以是您自己親自經(jīng)歷的，也可以是身邊的朋友或者您的一些見聞。

周亞金：我可以給大家分享一下我們實際上親自參與處理過且印象比較深的安全事件。第一個例子我記得是在 2023 年 2 月十幾號，鏈上有一個協(xié)議叫鴨嘴獸協(xié)議被攻擊了。它是一個借貸加上其他功能的平臺。這個協(xié)議有一個安全的漏洞，黑客通過這個漏洞，大概竊取了將近 9 個 million USD 的資產(chǎn)。這個事情之所以我印象比較深刻，是因為黑客在攻擊鴨嘴獸協(xié)議的時候犯了一個錯誤。他去攻擊智能合約的時候，需要自己去開發(fā)一個智能合約。智能合約可以理解成一個可以自己運作的一串代碼。黑客攻擊的時候，部署了自己的攻擊的合約，這個攻擊的合約就完成了整個攻擊的過程。

但是攻擊者也是人，我們都知道只要是人都會犯錯誤。他在寫攻擊智能合約的時候犯了錯誤，合約里面有一個可以被利用的漏洞。這個漏洞可以將存儲在攻擊合約里面的那些資金提取出來，也正是攻擊鴨嘴獸協(xié)議所獲得的資金。我們作為一家安全公司，其實時刻在 follow 鏈上的攻擊事件，并且我們有一套攻擊檢測的引擎，對鏈上時刻在發(fā)生的這種攻擊都能第一時間感知到。

很巧的是鴨嘴獸被攻擊的時候，我們已經(jīng)第一時間檢測到了。我們會獨立分析這個安全事件，比如他攻擊的原因到底是什么，漏洞在哪。同時我們也會聯(lián)系項目方去幫助他們，告訴他們怎么打補丁，怎么去處置。在這個過程當中，我們發(fā)現(xiàn)了黑客的漏洞，就告訴項目方可以利用這個漏洞。然后我們跟項目方一起開發(fā)了一串代碼，將攻擊資金也就是 9.5 個 million 里面的 2.4 個 million 從攻擊者合約里面提取出來。這也是整個區(qū)塊鏈安全歷史上第一次我們稱之為叫 hack back，就是說利用它的漏洞，將它竊取的資金再提取出來還給項目方。這是一個特別有意思的對抗的事情，我印象蠻深刻的。

Alex：你們跟鴨嘴獸之前是合作關(guān)系，還是說是經(jīng)過這個事件之后才開始交流？

周亞金：我們之前其實是沒有任何的合作關(guān)系，有了這個事件之后才聯(lián)系。我可以延伸講一下整個安全事件處理的流程。我們自己內(nèi)部有一套安全攻擊的引擎，當安全事件發(fā)生了之后，我們的引擎會第一時間報警，我們內(nèi)部有一個應急響應的小組會一起來分析。首先我們看一下被攻擊的協(xié)議是哪一家的，然后會通過各種方式，無論是鏈上 Twitter 還是其他方式，我們會嘗試聯(lián)系這個項目方。

在鴨嘴獸這個 case 里面，我們之前沒有他們的聯(lián)系方式。我們通過 Twitter 聯(lián)系到項目方，然后協(xié)助他去分析整個被攻擊的原因，因為很多時候項目方也不知道為什么被攻擊的，反正就是協(xié)議里的錢不見了，但是原因搞不清楚。這時候就需要安全公司一起來協(xié)助他進行分析。分析完了之后就涉及到協(xié)議怎么修復。

如果原因搞清楚，那就要修復這個漏洞，補丁怎么打，打完之后是不是安全，以及被盜的資金追蹤，也需要像我們這樣的安全公司來一起協(xié)助他。我們會在整個的應急響應流程里面一直跟項目方一起去處理。具體到這個 case，實際上之前我們跟這個項目沒有聯(lián)系，但是比較幸運的是在處置的過程當中，我們及時的聯(lián)系到他，并且能把其中的一部分資金追回來。其實更多的 case 是我們發(fā)現(xiàn)了攻擊，但是聯(lián)系不上項目方。

然后第二個案例也比較有意思，這也是 2023 年的時候發(fā)生的。咱們的中文聽眾可能會更熟悉一點，因為這個案例涉及到一個項目叫 ParaSpace。ParaSpace 是可以質(zhì)押無聊猿的 NFT，借其他的資產(chǎn)出來。我知道很多的中文 OG 其實都是無聊猿 NFT 的持有者。這個協(xié)議其實有一個安全的漏洞，在 2023 年應該也是 3 月份的時候被攻擊了。我清楚記得是北京時間上午或者中午這么一個時間段。我們的系統(tǒng)第一時間預警了之后，

首先我們聯(lián)系項目方，得去分析原因。但是我們發(fā)現(xiàn)我們系統(tǒng)所爆出來的第一筆攻擊交易在鏈上被 revert 了，revert 的意思就是說這個攻擊者在攻擊的時候，手續(xù)費不足，所以導致這筆攻擊交易在上鏈的時候沒上成功。但是他攻擊的交易行為和 trace 已經(jīng)在鏈上暴露了。我們的系統(tǒng)同樣也能檢測到這種我們稱之為叫 reverse 的交易，就是失敗了但是又上鏈了交易。這就是我們引擎的能力，能判斷這是一筆攻擊交易。

判斷出來之后，我們就想了一個辦法說，我們能不能模擬攻擊交易的行為，自動化生成一個跟它一樣的攻擊交易，但是這個攻擊是要打個引號的，我們要將交易里面獲利的地址替換成我們的地址。通過這種方式就可以將當前已經(jīng)處于危險的協(xié)議里面的資金拯救出來放到我們自己的安全賬戶里面，再聯(lián)系項目方將資金返還給他們。這就類似于說壞人的刀已經(jīng)快砍下去了，但是不知道什么原因第一次嘗試沒有成功。我們也可以嘗試用同樣的方法將資金提前支取出來，這樣攻擊者第二次嘗試攻擊的時候，協(xié)議里面沒有資金了，攻擊就會失敗。

我們有了這個想法之后，實際上我們內(nèi)部有一套系統(tǒng)，我們能很快就自動化去做這樣的事情，然后自動化生成了「攻擊」這么一個交易，把它發(fā)上鏈，將 ParaSpace 協(xié)議里面的這個 500 萬美金的資產(chǎn)支取出來，然后我們聯(lián)系項目方將資金返還給他們。這其實也非常有趣，是歷史上金額最高的我們稱之為叫 rescue，就是拯救鏈上資金的這么一次行動。如果沒有這次拯救的話，他們的資產(chǎn)可能就都被洗劫一空了。

但是這個安全事件之后，實際上也引發(fā)了我們很多的思考，因為這里面有很多安全道德和倫理上的一些問題。比方說我們觀察到一筆攻擊之后，雖然將這個協(xié)議里面的資金支取出來，但是這本質(zhì)上仍然是一筆攻擊的交易。模擬了攻擊者的行為，雖然是出于好意把資金支取出來再返還給項目方，但嚴格來講仍然是一次攻擊的行為。這里面涉及到合規(guī)和安全倫理的問題。

我們當時的思考是說，當你看到一個壞人用刀去刺向一個好人的時候，你應不應該出手阻止，還是說任由它發(fā)展。我覺得我們選擇的是出手阻止，雖然這里面有一些道德倫理、安全倫理的問題。經(jīng)過這次事件之后，我們也深刻意識到鏈上的安全不能通過我們剛才講的 hack back，也就是把它 hack 回去的這種方式來拯救資金。應該要讓項目方第一時間知道他所面臨的安全風險，他得知道項目被攻擊，然后他可以去配置一些自動化運行的策略。

當這些安全事件發(fā)生的時候，我們的系統(tǒng)告訴他，他應該可以自動 pause 協(xié)議，這樣的話攻擊就不會成功了。既阻止了攻擊，拯救了用戶的資金，又沒有任何安全倫理上的這些風險。這是我們經(jīng)過這兩次事件之后，開發(fā)了后面的 phalcon 攻擊監(jiān)控以及阻斷的產(chǎn)品的一整個思路。這是我印象當中第二個比較大的安全事件。

Alex：這個安全事件我好像當時還注意到過。您剛剛講到保護性的攻擊，我想問一個細節(jié)，就是您剛剛提到的 revert 攻擊發(fā)生之后，你們肯定需要一個內(nèi)部的討論跟決策，去看要不要做保護性的攻擊。從發(fā)現(xiàn)這個事件到做完決策決定去保護資金，當中隔了多少時間？

周亞金：非?？?，我們從第一時間知道到最后完成這件事情大概也就是幾分鐘的時間。因為公司已經(jīng)形成一個非常完善的安全處理流程，知道安全事情之后馬上就會進行討論和決策，決策完了之后因為已經(jīng)有一些自動化的工具，所以很快就能把事情給做了。

Alex：明白。

周亞金：第三個案例是大家應該最近都關(guān)注到的 Bybit 安全事件，二月份的時候有 15 億美金的資產(chǎn)被盜。這個攻擊也是迄今為止安全圈里損失最大的單筆的安全事件，而且它的損失跟我之前面講的兩個安全事件有非常大的不同。前面兩個安全事件都是由合約漏洞造成的，但 Bybit 的安全事件其實跟智能合約的漏洞沒有任何關(guān)系，我們稱之為信任鏈條過長。在一個這么大資金體量又有這么長信任鏈條的體系里面，攻擊者通過社工的攻擊找到了最薄弱的環(huán)節(jié)，然后完成了攻擊。具體來說就是，Bybit 使用了合約錢包叫 SAFE，它是一個智能合約的錢包來去管理它。

SAFE 是一個多簽錢包，你可以把它理解成一把鎖需要三個人同時開，這把鎖才能打開，才能把里面的資金給取走。這個鎖是一家提供這么一個合約錢包的項目方做的。你會發(fā)現(xiàn)在這個體系里面信任鏈條非常長，包含 SAFE 錢包的開發(fā)者、運營 SAFE 協(xié)議的這些人，以及使用 SAFE 錢包的時候要通過瀏覽器里面 UI 的界面，還有 SAFE 錢包的操作者，就是我們說擁有三個鑰匙的 Bybit 的員工，或者說有資金操作權(quán)限的人，他操作這個 SAFE 錢包得要通過電腦的瀏覽器或者說通過他的硬件錢包。你會發(fā)現(xiàn)這里面涉及到的方方面面特別多。

我們講安全，其實安全攻防的時候特別難的點在于，防御的時候你得要讓你的系統(tǒng)不能出現(xiàn)任何短板，因為系統(tǒng)安全的水位是取決于系統(tǒng)里面最短的那個板。攻擊者不需要攻破你系統(tǒng)里面做得很好的地方，他只需要找到你系統(tǒng)里面最薄弱的那個點在哪，然后通過那個點就可以發(fā)起攻擊，完成整個過程。在 Bybit 這個 case 里面它整個的攻擊的流程是這樣的，他可能發(fā)現(xiàn)首先這是一個定向攻擊，因為他發(fā)現(xiàn) Bybit SAFE 錢包，就是這個智能合約的錢包里面有非常非常多的資產(chǎn)，他選定的目標是這個 SAFE 錢包的開發(fā)人員，因為我們剛才講就最后無論誰去操作都要通過 SAFE 所提供的這么一個 UI 界面，就是它的網(wǎng)站來去操作你的資產(chǎn)。

那如果我能通過社工的方式或者說通過其他方式去攻破開發(fā)者的電腦，讓開發(fā)者部署一個惡意的代碼在 SAFE 的網(wǎng)站上面，然后任何人去 SAFE 的網(wǎng)站上操作他的這個錢包的時候，看到的操作行為跟實際鏈上發(fā)生的操作行為是不一致的，但是正常的用戶并不了解。就比方正常用戶到銀行的 APP 里面操作的時候，在銀行 APP 里面看到轉(zhuǎn)賬 100 塊錢，實際上轉(zhuǎn)出 900 塊錢，但是我并不知道，因為我在這個 APP 里面看到的是轉(zhuǎn)賬 100 塊錢。那如果你通過攻破 APP 的開發(fā)者或者說攻破 SAFE 錢包的開發(fā)者，使得操作人員在錢包里面看到的操作界面跟實際發(fā)生的行為規(guī)則，就可以完成整個攻擊的過程。它實際上也是通過這種方式來完成的。

那它又是怎么能把這個開發(fā)者權(quán)限給拿到呢？是通過一些社工的攻擊，最后完成了整個的攻擊的過程。那在這個里面，即使在 SAFE 的開發(fā)者被攻破的時候，實際上我們還有其他的機會。比方說如果你錢包的簽名的時候，能告訴你簽的交易是什么，和在網(wǎng)站上看到的交易是不一致的，實際上也是有機會的。以前很多銀行有 U 盾，如果大家有經(jīng)驗，你會發(fā)現(xiàn)在 U 盾上按按鈕的時候會有個顯示屏，它告訴你現(xiàn)在在轉(zhuǎn)賬 500 塊錢，你是確認還是不確認，你可以在 U 盾的設備上進行確認。它實際上解決的就是這個問題，因為即使我的 APP 被攻擊了，APP 告訴你你轉(zhuǎn)了 100 塊錢，但是 U 盾在最后你去確認的時候告訴你轉(zhuǎn)了 500 塊錢，你就發(fā)現(xiàn)不一致了。

具體到這個 Bybit 的 case 里，如果你簽名的錢包里面能有這樣比較好的提醒能力，實際上也是能阻止這樣的攻擊的。但是比較遺憾的就是在這個 case 里面，簽名的硬件錢包也沒有做得特別好。SAFE 的 UI 被攻破了之后就簽署了這么一筆惡意的升級的交易，然后攻擊者接管了錢包就轉(zhuǎn)走了 15 億美金。所以這個是印象比較深刻的一件事。

這個事情給我們帶來的一個啟示是，涉及到大體量資金的一定要做交叉驗證。你不能相信單一的提供商或單點告訴你的信息。如果依賴于單個供應商或者單個界面告訴你的信息，只要這個被 compromise，系統(tǒng)鏈接就沒有了。所以一定要做交叉驗證，必須要有一個第三方通過第三方的視角幫你去 verify 看到的東西是不是真的。在這樣的情況下，可以進一步降低風險。

親歷社工攻擊

Alex：剛剛您提到的案例當中，有一個詞叫「社工攻擊」，可能不一定所有的聽眾都能理解這個概念的含義，您能不能解釋一下？

周亞金：社工攻擊全稱叫社會工程學攻擊，它利用的不是一些技術(shù)手段，而是你的工作習慣、人際交往關(guān)系、你所承擔的工作職責等，針對你所設計的一套攻擊手法。我可以舉一個我自己親身經(jīng)歷的社工攻擊的案例，大家就比較容易理解。我作為 BlockSeo 的 CEO，經(jīng)常會收到一些信息，主要有兩類，第一類是參與播客、會議、采訪的一些邀請。第二類是一些投資機構(gòu)，他會跟你聯(lián)系說有些投資的機會。我遇到過一個通過公司郵箱發(fā)郵件說自己是某一個投資機構(gòu)的人，希望來商量一些投資的機會。

我們安全的 sense 還是比較強，會觀察他的郵箱和域名，有時候會去做一些背調(diào)，看一下他公司的網(wǎng)站，以及投資的 profilio。做了背調(diào)之后，我發(fā)現(xiàn)這是一個挺像模像樣的機構(gòu)，雖然這個機構(gòu)我從來沒聽說過，就跟他在 Calendar 上約了一個會議。但是這個時候你會發(fā)現(xiàn)，第一個奇怪的現(xiàn)象就發(fā)生了，在 Calendar 上約會議的時候，他沒有提供任何的會議鏈接給你。

我們一般約會議，會連接 zoom、google meet 或其他的會議軟件。但是他沒有提供任何會議鏈接，只是約了一個時間。到了要開會的時間，你發(fā)郵件給他說我們已經(jīng)要開會了，把你的會議鏈接發(fā)給我。他馬上就給你發(fā)一個會議鏈接，你點擊這個鏈接之后會發(fā)現(xiàn)很奇怪，他要求你下載一個軟件。

如果這個時候你沒有經(jīng)驗，覺得馬上要開會了比較焦急，他就利用你焦急的心理不停通過郵件催促你，給你郵件轟炸。你急于想促成這個機會，可能就毫無猶豫地去安裝這個軟件，但其實它是一個含有惡意成分的視頻會議，會竊取你存在電腦里面的私鑰。這是我真實經(jīng)歷過的一個社工攻擊。所以你可以發(fā)現(xiàn)，攻擊者會針對我在公司的職位和我承擔的工作職責，利用我在開會之前比較焦急的那種心理去發(fā)起攻擊。

Alex：我看前兩天行業(yè)里面也有一個關(guān)注度不小的事件，就是某一個協(xié)議的創(chuàng)始人說自己在參加線下聚會的時候，手機離開自己大概就十幾分鐘，手機的錢包里面大概幾百萬資金就被盜了。假設這個攻擊是在他手機離開的時候發(fā)生的，這是不是也是屬于社工攻擊的一種？

周亞金：對，我覺得它屬于社工攻擊的一種，但它其實還不太屬于我們通常意義上的社工攻擊。因為在這個 case 里面，他的手機只是離開他一段時間，當然可能別人邀請他或者說接近他的目的主要就是為了拿他的手機，但是拿到手機之后怎么將手機解鎖，獲取里面的資金，其實還有非常強的一些技術(shù)支撐在里面。

與區(qū)塊鏈協(xié)議交互時的安全原則

Alex：明白。剛剛我們談了很多很有代表性的一些大的安全事件，那么回到我們普通人做區(qū)塊鏈協(xié)議交互的時候，就像您說的，您之前服務的很多項目都是 Defi 協(xié)議，我們很多人在鏈上去交互的時候很多也是 Defi 協(xié)議。

我們在跟這些 Defi 協(xié)議或是別的協(xié)議去交互的時候，有沒有一些需要遵守的安全原則？我相信大部分的普通用戶是沒有代碼閱讀能力的，甚至可能連去閱讀簽名的信息的能力都不太具備。在這種情況下，我們怎么樣去盡可能降低這種風險？

周亞金：我覺得普通用戶如果要去做鏈上交易，首先要做好項目方的一些背調(diào)，我覺得還是挺重要的。你去投資一個鏈上的項目，如果你是小資金體量本著去試一試的態(tài)度，那可能還好。但是如果你是非常嚴肅地說，我是一個投資者要投資鏈上協(xié)議，這時候因為你的資金體量相對比較大，你可能是需要對項目方進行比較好的盡調(diào)。這里面的盡調(diào)基本上要分為以下幾個層次。

第一個層次是說這個項目方的創(chuàng)始人是誰，是不是匿名，因為有一些鏈上的協(xié)議是匿名協(xié)議項目。你得知道這個協(xié)議的質(zhì)量，你得知道在外面拋頭露面的創(chuàng)始人是誰，他有沒有曾經(jīng) rug 過項目的歷史，這個非常重要。就是說你首先要對協(xié)議本身的組成和創(chuàng)始人身份做一些背調(diào)。

第二點你需要對這個項目方本身的技術(shù)能力去做一些背調(diào)。你可以看一下這個項目方是不是經(jīng)過了比較頭部的安全公司的審計。像剛才你講的可能很多用戶不懂技術(shù)、代碼，看不懂審計報告，但是你可以將審計報告拉下來，簡單 review 一些核心的關(guān)鍵點。比方說是哪幾家審計的，他們的風評怎么樣，這個報告里面有沒有一些核心觀念的安全漏洞。并不是說報告里面有發(fā)現(xiàn)核心安全漏洞就說明這個協(xié)議不安全，恰恰說明這個安全公司可能比較盡職，它找到了一些安全漏洞，會使得項目方的整體安全風險降低，要辯證看這件事情。有了對項目方的背調(diào)之后，基本上你在做交互時也要采用漸進式的方式，不要一次性大資金體量進去，這樣風險還是比較高的。

再一個是需要借助一些專業(yè)的安全工具，比方說一些攻擊監(jiān)控，一些工具和平臺。如果你的資金體量比較大，那你一定是需要時刻掌握你所投資的這些協(xié)議的安全風險。你可以通過一些平臺，比如通過我們的 phalcon 平臺去監(jiān)控你所投資協(xié)議的整體安全性。對于資金體量比較小的用戶，我覺得在做鏈上交易的時候，主要防范的還是釣魚的風險。畢竟協(xié)議被攻擊的概率相對來說沒有那么高，但是鏈上釣魚、授權(quán)等風險確實是普通的用戶在鏈上時，時刻都有可能會發(fā)生的。

防范這些風險還是說你不要太貪心，不會天上掉餡餅。你在交互的時候，盡量要去確認這是個官方的網(wǎng)站，而不是山寨網(wǎng)站。至于怎么確認它是個官方的網(wǎng)站，可能還是需要有一定的信息收集跟整理的能力。當然你也可以使用一些安全工具去識別釣魚網(wǎng)站。通過這樣的方式可以規(guī)避掉一些風險。

Alex：我注意到一個事件，前兩天幣安下了很多項目的代幣，說他們能夠提供的運營各方面都不達標，所以幣安把它下了。然后項目方就說可能因為各種各樣的問題，這個項目后續(xù)就不運營了，處在一個半廢棄的狀態(tài)。

那么假設這個用戶可能一兩年前使用過 DeFi 協(xié)議，這個協(xié)議目前項目方?jīng)]人管了，代碼的升級權(quán)限也不知道在誰那邊。像這種特定案例下，會不會因為他們的升級權(quán)限沒有得到妥善的管理，導致被黑客或者說是別有用心的人掌握了，導致你之前的授權(quán)沒有取消的話，錢包里的資金會被這些后續(xù)的影響所威脅到。

周亞金：是的，這個也是有可能的。特別是像你剛才講的，如果一個用戶把自己的資金授權(quán)給一些協(xié)議，而這些協(xié)議和智能合約后續(xù)可能都已經(jīng)沒有人維護了，那如果這個授權(quán)不取消，實際上就有可能有安全風險。關(guān)于這個問題的解決，就是我們一直建議普通用戶要比較好地 regular review 自己的授權(quán)。你可以將不使用的那些授權(quán)撤銷掉。

很多用戶可能不太了解自己已經(jīng)授權(quán)給哪些項目方了，我們做過一個工具叫授權(quán)診斷工具，你輸入一個地址，我們就能告訴你這個地址授權(quán)過給哪些協(xié)議。我們發(fā)現(xiàn)其實很多用戶授權(quán)給幾十個協(xié)議，很多協(xié)議現(xiàn)在都已經(jīng)不活躍了，而不活躍和沒有安全升級的這些協(xié)議就有可能會有安全漏洞。只要有安全漏洞存在，別人就可以通過你授權(quán)的協(xié)議的漏洞轉(zhuǎn)走你的資金，這其實也是一個蠻大的風險。

Alex：明白。關(guān)于交互的安全，我還有一個問題。過往的一些被攻擊的 DeFi 協(xié)議也好，別的協(xié)議也好，我們發(fā)現(xiàn)用 DEX 之類的相對來說被盜、被攻擊的數(shù)量不如像借貸或者質(zhì)押類的這么多。這個跟這兩類協(xié)議它本身的智能合約類型有關(guān)系嗎？還是有其他原因？

周亞金：你說得很對。相對來講，DEX 的安全風險會比其他的借貸、Yield farming 以及一些金融衍生的協(xié)議的安全風險低一些。因為首先 DEX 的整體協(xié)議比較簡單，在鏈上的 DEX 里面的協(xié)議就是 xy=k 這種恒定乘積。當然 Uniswap V3 稍有不一樣，基本的核心就是恒定乘積公式。那么首先它協(xié)議簡單，其次它已經(jīng)有一個非常好的參考樣例，就是 Uniswap，很多的 DEX 都是從 Uniswap 這個 fork 出來的，所以只需要簡單做一些修改就能部署一個鏈上的 DEX。它整體的安全風險的頭寸會比較低一點。

但是對于 lending 也好，Yield Farming 也好，或者說其他的杠桿借貸，還有一些更復雜功能的協(xié)議，它本身的協(xié)議的設計就比較復雜。比方說我們?nèi)プ鲆粋€借貸平臺，原理上好像聽上去就是我放一個資產(chǎn) A 進去，借出資產(chǎn) B，我只要控制好它的整個資產(chǎn)的健康度就 OK 了。但是比方說你要支持的抵押物的資產(chǎn)的種類、資產(chǎn)的價格波動，然后你如果要支持杠桿，你怎么能時刻保持用戶即使還掉你的錢，整個健康度還在。它本身協(xié)議的復雜程度就會比較高，所以導致這些協(xié)議被攻擊的概率更大。我覺得這是第一個原因。

第二個原因是 DEX 本身是不存錢的，當然 DEX 里面的那些錢都是流動性的提供者，就是你提供流動性的錢放在里面。而你真正去使用 DEX 的人，只要 swap 一下，放 token A 進去，馬上 token B 就回來了，所以你的資產(chǎn)并沒有在 DEX 的 Pool 里面。即使 DEX 的 Pool 被攻擊，大部分用戶不會損失，損失的是提供流動性的那些人。而在 lending 平臺和其他平臺就不一樣了，你的資產(chǎn)是實實在在放在里面，而且你是超額抵押。你如果是一些其他的更復雜的協(xié)議，就是本身就會有留存很多用戶的資產(chǎn)在里面，它被攻擊之后，受損的用戶的群體也會相當于比較大，我覺得這是第二個原因。

然后我們也發(fā)現(xiàn)過去在歷史上，DEX 其實也不是沒有被攻擊過。它被攻擊的原因都比較簡單，首先因為 DEX 的風險敞口其實在于授權(quán)，因為你要 swap 的時候，你需要將你自己的代幣授權(quán)給 DEX 的路由合約，雖然路由合約不存錢，但如果路由合約里面有一些任意執(zhí)行的漏洞，那就有可能會將所有授權(quán)給 DEX 的用戶的資金卷走。我們發(fā)現(xiàn) DEX 有漏洞造成比較大損失的主要都是這種類型，但這種類型相對來講比較容易發(fā)現(xiàn)。只要是一個比較合格的審計師，實際上都是比較容易發(fā)現(xiàn)的。

Alex：所以在剛剛您說的授權(quán)的漏洞這個案例里面，如果一個審計公司發(fā)現(xiàn) DEX 有任意執(zhí)行這樣的權(quán)限，一般都會去給他建議說這是不合理的，或者在報告披露的時候會去提醒大家這個事情？

周亞金： 對，這一定是個漏洞，一定是不合理的。如果讓安全公司審計，它必須要把這個給修復掉，這是一個非常 critical 的漏洞。

區(qū)塊鏈安全行業(yè)的現(xiàn)狀和潛力

Alex：OK，剛剛我們聊了很多在安全攻防上，以及如何保護個人資產(chǎn)安全的一些具體問題。我們來聊今天最后一個問題，關(guān)于區(qū)塊鏈安全行業(yè)的情況。

就像您說的，21、22 年的時候因為 DeFi 很多，區(qū)塊鏈安全行業(yè)的客戶量非常大。那么到今年為止，目前安全行業(yè)的行業(yè)規(guī)模水平大概是一個什么樣的級別，另外它的發(fā)展現(xiàn)狀、利潤水平大概是怎么樣？

周亞金：這是一個很好的問題，因為我們在區(qū)塊鏈安全行業(yè)里面，你得時刻知道這個行業(yè)目前的階段在哪，天花板在哪，才能更好地去發(fā)展公司。目前其實沒有一個公認的數(shù)據(jù)說整個區(qū)塊鏈安全行業(yè)的 market cap 到底是多少。但是網(wǎng)上有一些報道，或者他們根據(jù)自己的測算，他們覺得區(qū)塊鏈安全的整體行業(yè)規(guī)模，一年大概是在 30 億美金左右。這個規(guī)模其實相比于傳統(tǒng)網(wǎng)安的產(chǎn)業(yè)是相對比較小的。比如說在 2024 年，整個傳統(tǒng)的網(wǎng)安的規(guī)模應該是在 1000 億美金左右。1000 美金對比 30 億美金，其實差距還是比較大的。

我覺得這跟整個行業(yè)發(fā)展的現(xiàn)狀是有關(guān)系的，因為區(qū)塊鏈安全本質(zhì)上是服務區(qū)塊鏈行業(yè)的一個安全的產(chǎn)品和服務，區(qū)塊鏈行業(yè)整體其實現(xiàn)在還處于比較早期。比方說之前發(fā)展得比較好的時間段是在 Defi Summer 的時候，有一些新的創(chuàng)新點進來。

最近一兩年，Defi Summer 的金融創(chuàng)新的熱潮過了之后，好像并沒有一個特別好的更創(chuàng)新的東西進來，導致整個區(qū)塊鏈產(chǎn)業(yè)的規(guī)模實際上在 2022 年應該是達到了 TVL 最高的時候。我記得那個時候的整個區(qū)塊鏈安全的 TVL 的最高水平應該是 177 個 Billion，就是 1000 多億美金。但今天我在參加這個節(jié)目之前看了一眼數(shù)據(jù)，現(xiàn)在的整個 TVL 是 99 個 Billion，也就是說離最高峰可能一半多一點點，導致說我們區(qū)塊鏈這個行業(yè)的發(fā)展好像遇到了一個瓶頸。

但是與此同時，我們也發(fā)現(xiàn)了這個行業(yè)新的潛力，就是傳統(tǒng)的金融機構(gòu)在慢慢進入這個產(chǎn)業(yè)。傳統(tǒng)的金融機構(gòu)進入產(chǎn)業(yè)里面有一些信號，比方說傳統(tǒng)的銀行在鏈上發(fā)穩(wěn)定幣，而且是符合監(jiān)管的。傳統(tǒng)的支付比如說 Stripe 這樣的支付廠商在支持 Crypto 的支付。一些是跨境支付的通過 Crypto 來解決傳統(tǒng)的跨境電商所面臨到的支付問題。

所以我們會發(fā)現(xiàn)說雖然沒有像 21、22 年 DeFi Summer 所帶來的創(chuàng)新引發(fā)了 TVL 的新高，但是傳統(tǒng)的金融機構(gòu)和有真實場景需求的商家在進入這個行業(yè)，他們進來之后會帶來整個行業(yè)的合規(guī)化。一個行業(yè)如果想發(fā)展得比較大，一定是要在監(jiān)管的框架和體系里面合規(guī)地發(fā)展。我覺得這是我們能看到的最近一兩年的機會。所以總體來講區(qū)塊鏈安全整體的產(chǎn)業(yè)規(guī)模還比較小，還處于早期。但是隨著傳統(tǒng)金融機構(gòu)的進入，越來越多的監(jiān)管和合規(guī)化之后，我覺得這里面爆發(fā)的潛力還是比較大的，這是我自己的一個觀察。

頭部安全公司的護城河

Alex：好的。我印象非常深刻，在 21、22 年的時候，當時感覺區(qū)塊鏈的安全公司，尤其是做智能合約審計的都非常賺錢。甚至說一些比較知名的安全公司如果能讓你插隊安排快點審計都感覺是對你的優(yōu)待。您認為比較頭部的那些安全公司的護城河主要有哪些？

周亞金：我覺得可能有幾個點。第一個點在于說品牌和信任。特別是安全審計，它其實是對品牌認知要求非常強的一個服務。您剛才講到之前市場比較好的時候，審計非?；穑赡苄枰藕荛L的時間。實際上今天頭部的安全審計公司仍然是這么一個情況，并不是說一個項目方來審計，馬上就能有人力資源去供給。頭部的有品牌效應的安全公司仍然處于這么一個供不應求的狀態(tài)。所以我覺得一個護城河就是品牌跟信任，怎么在區(qū)塊鏈安全行業(yè)里面建立比較好的品牌形象，以及品牌背后所帶來的信任，無論信任是來自于用戶、項目方或其他的參與方，這個是非常重要的。

第二點是需要安全的創(chuàng)新技術(shù)。我們除了解決區(qū)塊鏈安全問題，除了做安全審計之外，真的沒有其他的需要補充的解決方案了嗎？安全的審計它只能解決項目的智能合約部署在鏈上之前，做一次安全的 review?？墒钦嬲椖可暇€之后，項目方可能改參數(shù)，它有可能做一些日常的 configuration，日常的升級因為排隊或者成本考量沒有再去做審計，那就是有很多在智能合約部署了之后因為各種原因?qū)е铝税踩珕栴}。我們不能只依賴于安全審計解決這樣的問題，得要有一些安全創(chuàng)新的技術(shù)和產(chǎn)品能去解決這樣的問題。這個也是我覺得 BlockSec 跟其他的區(qū)塊鏈安全工作非常不一樣的地方，我們除了有安全的審計服務到協(xié)議上線之前的智能合約安全之外，我們還有很能覆蓋到智能合約上線之后攻擊的監(jiān)控跟阻斷的平臺，這也是全球唯一一家區(qū)塊鏈安全公司里面，兼有智能審計和攻擊監(jiān)控，能覆蓋整個智能合約全生命周期的一家安全公司。這非常重要，就是你得要有安全創(chuàng)新的技術(shù)和產(chǎn)品能在這個市場里面幫助用戶真正解決問題。

第三點是合規(guī)、監(jiān)管，以及地緣政治的影響。Crypto 這個行業(yè)一定最后是會需要在合規(guī)跟監(jiān)管底下才能有可能獲得大規(guī)模的發(fā)展機會。這個觀點不是每個人都認同，只是我們在這個行業(yè)里面待了那么多年，我們能看到這個行業(yè)要發(fā)展一定是在陽光底下，一定是在合規(guī)跟監(jiān)管的體系底下，才能把傳統(tǒng)的那些老錢吸引到這個行業(yè)里面來。在這個情況底下，提早做好合規(guī)跟監(jiān)管的產(chǎn)品跟服務。合規(guī)跟監(jiān)管的產(chǎn)品服務需要你對這個行業(yè)的監(jiān)管政策、合規(guī)要求有比較深的理解，然后還能把它變成產(chǎn)品化。另外所謂的地緣政治的影響，就是有一些地區(qū)選擇供應商的時候，其實是有一些地緣的考慮。比方說香港的監(jiān)管機構(gòu)可能比較傾向于選擇非美國供應商的產(chǎn)品。那么當你對監(jiān)管政策合規(guī)了解比較深，又有比較好的產(chǎn)品，還能有一些地緣政治的影響，我覺得這是區(qū)塊鏈安全公司的護城河。

Alex：了解。今天咱們聊加密安全這個話題維度還是挺多的，從具體的一個安全事件，到每個人需要注意的一些安全性的原則，然后包括整個行業(yè)的發(fā)展規(guī)模等等我們都有聊到。非常感謝周亞金今天能夠到我們節(jié)目分享這些真知灼見，希望我們以后還能有別的機會再聊一聊更多相關(guān)的話題。

周亞金：謝謝 Alex。

原文鏈接

歡迎加入律動 BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方賬號：https://twitter.com/BlockBeatsAsia