2022年11月24日20:00,EOS網絡基金會最新一期非正式柚談欄目開播,本期活動圍繞「安全必修課:暢聊技術、審計及信任問題」話題展開。
隨著FTX資本帝國的崩塌,加密行業人人自危:不僅Cex陷入信任危機泥沼,後續FTX發生的一系列戲劇黑客攻擊事件也讓安全話題再次成為社區焦點。面對危機:我們應該如何挽回/減少損失?這場危機會是錢包的巨大發展契機嗎?為什麼通過安全審計的項目還是會被攻擊?我們應該建立哪些安全意識?
面對這一系列問題,今晚我們非常有幸的邀請到了MarsBit聯合創始人、Mclouds CEO 商思林作為活動主持人,同時邀請四位重磅嘉賓,他們分別是:BuilderDAO核心貢獻者陳劍Jason、推特KOL 加密猴哥、Dante Network Founder Jason以及Armors商務總監Suky,一起圍繞「安全」話題展開深度討論。
本文為本次AMA活動的精彩內容回顧,內容有所編輯。
自我介紹環節
大家好,我是商思林。作為本場活動的主持人,我首先自我介紹一下:
我是MarsBit聯合創始人商思林,MarsBit(前火星財經)除了媒體業務,還涉足一些NFT交易平台啊,就是錢火星財經之外呢啊,我們還有呃,MC的交易平台Element、挖礦業務以及一些投資業務(共識實驗室)。另外,我們也是SBF最早期的天使投資人之一,國內應該只有兩家吧,但是我們退的也比較早,差不多20多倍回報的時候我們就退了,待會兒有合適的時間點我也可以跟大家做一點分享。
接下來,讓我們歡迎各位嘉賓和大家做一個自我介紹。
陳劍Jason:
大家好,我是陳劍,來自BuildDAO。 BuildDAO今年3月份成立的一個Web3人才和項目研究組織吧,目前整個社區有5000多人,我們也是一個以硬核內容輸出為驅動的社區組織,目前產出了80+篇研報以及180+期課程。另外我們主要的業務是在做孵化,現在有12個產品,其中3個已經拿到了融資,包括我們現在也是已經完成了兩輪的融資。
我個人之前是從事了幾年安全的工作,在一些互聯網負責風控相關的事情,另外BuildDAO在安全上也投入了很多資源,我們也孵化了一款安全類的產品,很高興與大家分享,謝謝。
加密猴哥:
大家好,我是猴哥,2013年因為一些偶然的機會,我接觸到了比特幣進入區塊鏈行業,目前我主要是在推特上分享一些內容,大部分是以腦圖的形式去做一些分享,另外我也是一名持續的從業者和創業者,謝謝大家。
Jason:
大家好,我是Dante Network的創始人Jason,我們項目專注於跨鏈以及多鏈之間的互操作性方面,大家也都知道跨鏈賽道一直都是這個行業的熱門,也出了很多安全事件,所以所處這個賽道我們對安全和審計也一直抱有敬畏之心,今天也很高興能跟大家一起聊一聊安全話題。
Suky:
大家好,我是來自Armors安全機構的Suki,最簡單來說,Armors是做審計的,成立於2017年,是行業內最早成立的專業的一個區塊鏈安全機構之一,也是ETH、Polygon、 Solana等公鏈的審計合作夥伴,已經合作了超過2000家的這個區塊鏈項目。我們提供的服務包括安全審計、滲透測試、跨鏈遷移等在內的全方位安全服務,總共挽回了超過32000個BTC,謝謝大家。
問答分享環節
問題一:
第一個問題我們來聊聊最近的熱點話題:FTX暴雷不僅使得大批用戶資產受損,更引發了對Cex的信任危機,我們還可以信任Cex嗎?
面對FTX破產清算,受害者還能採取哪些措施挽回/減少損失?
陳劍Jason :
首先第一個問題,是否還可以繼續信任Cex?我覺得沒必要用信任這個詞去看待黑盒組織,我們應該永遠保持認為它是有風險的,不被信任的。 Cex本來就不應該被信任,我們只是應該去討論它可信程度高或者低的問題。
對於挽回損失這個問題,因為我的資產不在FTX裡面,所以說我不屬於受害者。我認為,所有這些有潛在爆雷風險的項目,當你聽到風聲的時候,對於絕大多數的普通的用戶來說,這時候撤退是一種最安全的措施,不要抱有僥倖心理,暴雷一旦發生,那就是踩踏事件,就在比誰最先能跑出去,我們所有人都完全沒有必要去用信任這個詞對待黑盒組織。
另外,最近不也在說打折跑這個話題嘛,拋開營銷論點,我認為這要看大家的資金體量,如果你覺得它還有一線生存空間,且你的資產體量相對比較大的話,那我覺得你可以不用這樣,但如果你的資金本身不是很多,那可以先跑出來,割點肉落袋為安。
加密猴哥:
當然我們目前還是離不開Cex的,以後Cex與Dex也會是共存的狀態。現階段的市場發展與生態建設,比如優質項目的上線推動(如幣安的SAND、AXS、GMT等)破圈吸引流量,再比如市場營銷(幣安與C羅合作等),成體系的運營(人性化、便捷的服務),都是Cex主導的,DEX目前還是偏弱的。
儘管當前市場的交易主導還是Cex,但是未來Dex的發展肯定會逐步與Cex持平,隨著幣圈整體的用戶池越來越大,Dex的共識也會越來越大,未來甚至超越Cex也是時間的問題。
關於面對FTX破產清算,受害者還能採取哪些措施挽回損失這個問題,我覺去走法律途徑的希望還是挺複雜且渺茫的。受害者應該盡量調整心態,優先解決能解決的問題,並且提高場外賺錢能力,持續關注加密市場,畢竟我們還是處於加密行業的紅利期,機會多多,抱怨和後悔解決不了問題,只會增加焦慮,所大家及時調整心態很重要。
另外大家還是做好資產配置,比如一部分長期投資的數字資產就提到冷錢包裡,經常用的優先放在頭部交易所(比如幣安、OK、Coinbase等)。
問題二:
面對FTX暴雷,不少牽涉項目做出及時回應:有些項目積極亮出證明宣告用戶資產安全;而有些項目則聲稱出於安全考慮不會公開具體地址信息,如何看待這兩種應對態度?
a16z提出的使用零知識證明實現加密隱私和監管合規會是未來可行解決方案之一嗎?
Jason :
首先從大的維度來看,我覺得FTX事件是好事兒,回退幾年前,我們一向都認為交易所是食物鏈的頂層,讓交易所去公佈其資產應該是很難的事情,但現在,交易所競爭加劇,這種訴求變成了現實。所以我覺得去中心化重要,但是這種競爭機制更重要,合適的競爭機制才能保證一定的去中心化。
然後,現在很多交易所提出叫儲備金證明,但我覺得這個行為的意義大於行為本身,因為儲備金證明嚴格來說分為兩部分:一部分是默克爾哈希樹,它相當於一個用戶組織結構圖;第二部分是交易所會公佈地址,大家可以通過鏈上進行查詢。但是好幾家交易所的儲備金證明,要么只是給出默克爾哈希樹證明,但沒有包含總金額;要么就是公佈了交易所有多少資產,默克爾哈希樹與總資產這兩個無法對應。提一句OKex公佈的儲備金證明每一層都包含了金額。雖然對普通用戶而言,公佈儲備金證明雖然識別成本較高,但這件事總體而言是好事兒。
另外,有的交易所不願意公開相關信息,可能和安全關係不大,更多的是考慮市場的風險,因為這些數據能夠反映生產經營情況,甚至戰略意圖等。
關於零知識證明,我覺得這是非常好的技術,默克爾哈希樹證明其實也是某種意義上的零知識證明,未來零知識證明如果能做到更好的話,就可以暴露更少的信息,解決更多問題。但零知識證明也有其發展困境:一是效率不高,二是涉及到很多學術上的一些突破,可能還需要更多的行業中堅力量去去突破。
Suky:
FTX爆雷事件並不是一個偶發事件,而是一系列事件連鎖反應的結果。我們首先應該保持一個冷靜客觀的態度,對於他們出具的用戶資產安全證明仔細甄別和判斷,另外項目方和平台也需要解決信任危機,拿出態度和行動讓用戶重拾信任,比如公開儲儲備金證明等,
另外,零知識證明在解決加密的隱私和監管的合規方面也是一個比較好的解決方方案,它其實是一種加密創新,可以在不破壞保密性的情況下實現可以審計的安全性,零知識證明呢,就是讓證明者的一方去說服驗證者的一方相信這個聲明它是真實的,同時還不透露任何基礎數據。我們的目前也是正在積極的推進零知識證明在區塊鏈行業的廣泛應用吧,我們希望通過零知識證明來實現它在隱私安全和監管領域的核心價值和目標。
問題三:
也有人認為,FTX暴雷是去中心化錢包發展的一大契機:去中心化錢包的優勢是什麼?作為流量入口,未來錢包的發展趨勢將會是什麼才能夠進一步降低門檻將Web2用戶吸引至Web3?對於普通用戶而言,去中心化錢包有哪些安全使用規範?
陳劍Jason :
首先,信任在這個行業裡面是永遠不存在的,我們要時刻保持不信任,緊繃這一根弦。但不信任不一定代表我不使用,就像我開車,開車可能會出現交通事故,但這並不代表我開車。同樣在加密世界,要么我們信任Cex,要么我們信任自己掌控錢包。
對於普通人來說,錢包不外乎就是剛才提到的助記詞被盜,還有就是一些釣魚事件。助記詞方面需要注意的是,首先堅決不要觸網,第二個就是複制粘貼的時候不要全段的複制,或者最好就是直接手打上去,另一個比較有效的方式就是使用硬件錢包,正常交易用一個錢包,大額資產存儲在硬件錢包,這樣做一下區分和隔斷。
對於釣魚問題,我們之前也做了一個防釣魚的安全插件,他是可以直接去識別當前這個網頁對你MetaMask錢包所進行的潛在高危事件,並及時給予提示,目前已經有幾千下載量了。
對於下一代錢包趨勢,我認為有兩方面:降低門檻和保障安全。如果加密世界要做破圈,門檻我覺得是需要解決的;安全的問題方面,我記得之前V神在上個星期也說過,他更傾向於社交恢復,那麼其實從這個角度來說的話,我也是比較傾向於這一點的。
Jason:
首先講一講錢包問題,我倒不否認錢包確實是一個Web3入口,但去中心化錢包和中心化錢包之間,哪個更安全方面,我個人是覺得去中心化錢包對很多人而言未必是安全:首先雖然去中心化錢包號稱去中心化和開源,但是它依舊是中心化團隊開發的,而且普通用戶也很難判斷團隊是否開了後門,這是審計都很難暴露的問題;另外大家在錢包操作過程中,存在很多行為,比如負責私鑰地址,是有非常大的私鑰洩露風險,一旦你的資產足夠多被黑客盯上,就很容易被盜走。
所以,我覺得中心化錢包其實確實是有價值的,不同習慣的用戶有自己的選擇,而且多形式錢包並存才是好的,每種形式的錢包各有優劣,有競爭才會更加去中心化。
關於下一代錢包的趨勢,我覺得對普通用戶而言社交恢復相關可能會更友好一些,任意我們在Web2世界裡面可以通過編程實現的錢包邏輯,那在智能合約錢包裡面都可以通過編程去實現,當然他體驗不一定好,但它理論上都可以實現。但這類錢包還是有一些問題,用戶不用去了解私鑰,只需要賬號密碼社交恢復,但這個私鑰還是存在的,錢包開發方會用一些手段去託管私鑰,但具體手段用戶是不清楚的,所以大家謹慎的關注吧。
問題四:
聊起安全問題,就不得不提「審計」,對於很多用戶而言,是否通過審計是其篩選項目的重要標準之一,因此我想請各位嘉賓分享一下:
安全審計一般都會審計哪些內容?為什麼通過安全審計的項目還是會被攻擊?我們應該如何更理性的看待審計與安全之間的關係?除了審計之外,判斷項目是否安全的其他標準有哪些?
Suky:
如何一個項目沒有經過審計,那麼它的代碼存在風險的概率是非常大的。一個好的區塊鏈項目必須是一個安全的項目,而智能合約的安全就等於是這個項目安全的基礎,審計是項目最基本的必要條件。
安全審計一般包括兩部分:
一個是智能合約的安全性和業務邏輯的安全性審計,這兩大方麵包括重入攻擊、函數調用、溢出風險,另外還有參數、算法、驗證等等,以及比較常見的像控制權限、代幣增發、惡意後門、邀請機制等。我們會模擬多種攻擊的場景,然後通過一個標準的審計流程來進行一個安全審查。
過去五年,Armors也對合作項目進行了統計,大概得出來的結果是,審計前有大概超過20%的智能合約都存在安全漏洞和隱患。如果合約沒有經過安全審計或者審計不全,就非常有安全隱患。
至於為什麼通過安全審計的項目還是會被攻擊的問題,如果是通過正規的安全機構全面審計的項目,一般黑客很難攻擊成功,之所以出現這個問題,一般有以下原因:
比如有的項目合約只審計了一部分;還有一些項目存在欺瞞行為,審計的代碼和部署的代碼不是同一套;還有一些項目迭代產生的新代碼沒有重新審計出現問題;還有一些項目方在智能合約裡引用一些代碼庫的開源代碼,但是這些代碼也會進行定期的版本升級和更新,那如果項目方沒有及時的同步更新,也會出現安全問題。
Armors不僅要審計這個代碼的安全性,同時也會對項目的這個業務邏輯的安全性以及升級接口進行重點審計,希望能全維度對項目進行保障,降低用戶資產受到損失的可能。
審計和安全其實就像房間和大門的這種關係,全面合規的審計就等於是給房間裝上了防盜門,但審計不是萬能的,大家在判斷項目安全時,除了看審計報告,還要看項目介紹白皮書、團隊背景、官網等,做一個綜合分析。
加密猴哥:
我來站在投資者的角度補充幾點:首先,觀察項目項目的基本信息、包括項目背景、區塊鏈合約架構分析、在審計詳情中通過風險分佈、風險審計詳情重點介紹合約審計過程中存在的相關風險,其中包括風險名稱、漏洞描述、風險等級、安全建議、修復狀態及審計結果等信息,通過以上幾點投資者大概就能對項目方的安全審計有一定的了解和掌控,基本可以了解到如何審閱項目。
其次,在這個行業裡幾乎每一個項目都能找出一些大大小小的漏洞,有嚴重漏洞,也有高風險漏洞,或者還有若干中等以及低級別的漏洞,安全團隊發現這些漏洞後會,提醒項目方,但也有可能會有沒有發現的隱藏漏洞,這個需要項目方自己要有一套完整的自我審查標準,及流程,但項目方更多是降低安全風險!
然後,像安全審計基於已有的工具,已有的經驗進行邏輯審查,掃除代碼缺陷,排查一些常規漏洞。但像一些defi協議難的並非代碼,而是複雜的金融業務邏輯,比如流程管控,外部組合嵌套,市場操縱、資金效應、不可抗拒因素、公關問題等等,超出安全公司的業務範疇。
接著,加密行業是很多不同的組合比如開源、非開源,很多項目給安全公司的審計也都只是部分模塊化展開,比如審計開源的部分,未開源的部分則不交到審計公司,那麼這就會存在問題的風險,因鏈下流程影響到鏈上執行, 比如因市場交易深度、流動性出問題,出了事,這個是安全審計公司把控不了的。
最後也有很多項目方,找安全審計的目的並不純,只是希望拿到一份所謂的「安全背書」,有這種心理的項目方,其項目的安全性就、穩定性就有很大問題了。項目方一定要有可持續發展的態度,提高安全意識、必須對用戶負責,對項目負責,這樣才有可能成功。
問題五:
安全是生態發展的重中之重,因此EOS網絡基金會也成立了Recover+工作組,利用DPoS共識機制幫助生態項目在發生安全危機事件時能夠及時妥善處理,護航用戶資產安全,另外EOS生態安全合約開發庫工作也在有序推進中。如何評價EOS網絡基金會推行的這些安全舉措?除此之外,我們還可以從哪些方面做出努力築牢生態安全防線?
EOS網絡基金會Cathy:
在現實生活中,如果發生了嚴重的事故,我們很清楚需要做什麼,比如撥打110、120等緊急服務電話等。但如果你的智能合約或DApp被人利用了呢?如果黑客正在實時竊取你的資產呢?在區塊鏈的世界裡,面對這種突發事故,很多項目方都無從下手解決。因此,我們認為項目方有必要知道該採取什麼措施,以便在緊急情況發生時可以游刃有餘的應對。
2022年2月1日,EOS網絡基金會贊助成立Audit+ 核心工作組,提出了各個方面的詳盡舉措,以進一步確保合約和代碼更可信和更安全,防止出現漏洞被黑客利用。
但我們知道, 無論開發人員在編寫智能合約時有多小心, 即使智能合約經過頂級安全公司的審計,也沒有代碼是完美無缺的,而且有些漏洞在被利用之前是不為人知的。
因此,Recover+ 核心工作組應運而生。 Recover+ 可以被視為Audit+ 的補充工作組,該工作組的主要工作內容是:在出現緊急安全情況時,為項目方提供解決問題的最佳實踐和處理程序。
Recover+工作組旨在為EOS創建一個危機管理框架。為了實現這一目標,該框架內容擬包括制定緊急合約、協議、指南(包括在緊急情況下採取的步驟)、常見問題解答以及在漏洞發生後應該立即聯繫誰尋求幫助和支持的建議。另外,Recover+ 提出的一些額外建議包括DAO 保險和潛在獎勵,以幫助EOS 各方更有效地應對丟失或被盜的資產。
關於安全合約開發庫方面,今年7月份的時候我們生態也在做一個類似於安全合約開發庫的東西,它會給大家提供一個開源合約模板,包括DeFi等,快的話可能明年三四月能夠與大家見面。這一系列東西推出之後,不太熟悉EOS的人就可以快速的幫助他們構建,這不僅能夠幫助避免很多安全問題,更可以拓展生態發展。
Recover+ : 當EOS發生安全緊急情況時,我們應該怎麼做?
在出現緊急安全情況時,Recover+工作組將為項目方提供解決問題的最佳實踐和處理程序。除了文檔和研究之外,Recover+工作組還將提供實際產品。
medium.com
EOS Recover+ 藍皮書發布
Recover+是一個工作組和社區倡議,旨在幫助EOS社區建立正式的黑客事件響應流程。在本篇藍皮書發布後,Recover+ 門戶網站也將正式啟動。精彩內容,一起來看一下吧!
medium.com
陳劍Jason :
我們能看到很多公鏈,尤其是高性能公鏈,它其實在性能方面已經是一個和以太坊競爭的重要優勢,另外一個就是安全,很多公鏈都在朝這個方向去努力,這是一個大勢所趨。
Suky:
這兩天我也是對咱們這個工作組大概進行了一個了解,我覺得這是一個特別棒的一個舉措,因為對於EOS生態來說,這個舉措非常有必要,Recover+其實是一個網絡安全的門戶和針對緊急情況的一個快速響應計劃,他會通過漏洞賞金還、白帽獎勵這種方式來保護EOS生態DeFi項目和用戶,如果再發生惡意的黑客攻擊的時候,生態裡面的這些項目方還有利益相關人都會可以迅速採取行動,都參與進來,就是大家一起,然後各司其職、各盡其能解決問題,追回被盜資金。未來也歡迎EOS網絡基金會以及EOS生態與Armors聯繫建立更多深度合作。
問題六:
最後一個問題:行走加密世界暗黑森林,歡迎嘉賓們每人分享一條不容忽視的安全建議?
陳劍Jason :
在這個行業永遠不要對一個事物產生信任感,保持警惕,保持懷疑。
加密猴哥:
我們行走與危險的加密世界暗黑森林,白天趕路,晚上要休息。不要弄反了,熊市裡的項目99%的項目都不太好過,問題會被熊市放大,所以我建議大家多休息、定投BTC、ETH為主,等到牛市週期再去佈局熱點概念,熱點項目,牛市裡的項目本身產生的問題會低於熊市週期, 在對的周期,做對的事情,將軍趕路不追小兔。
Jason :
我覺得兩句話概況吧:第一句是「勿存僥倖」,無論你是做項目也好,還是說你是個人投資,要記住墨菲定律,如果一件事情有可能發生,它就一定會發生,不要覺得你好像是幸運的那一個。兒,就是說這個安全事件啊,各種東西不會到你頭上,這個東西一定要就是說自己不要存僥倖心理。
第二句是「慢即是快」,在熊市,這個行業你要走的快其實很容易,但是誰笑到最後,誰笑得最好,你要走得穩,你才有可能走得更遠。
Suky:
安全是一個不能夠忽視的話題,行走加密世界暗黑森林,我希望大家做到內外兼修,一方面學會理智客觀的分析投資、分辨項目優劣,做到不衝動、不盲目、不貪心;另一方面也要保護好自己,選擇好的交易平台,參與好的項目,置身安全的投資環境,並且保持交易謹慎,不要洩露關於私鑰、助記詞等的任何信息;最後資產最好是分佈式管理,不要把雞蛋放在同一個籃子。
感謝嘉賓的解答,精彩的時光總是這麼短暫,至此,本期非正式柚談(Talk With ENF)也進入尾聲。
感謝嘉賓的精彩發言,感謝在場各位的積極參與,也感謝合作媒體對本次活動的大力支持。
未來,EOS網絡基金會相關工作仍將繼續高速推進,期待在EOS網絡基金會的幫助下,EOS生態能夠開啟蓬勃發展的下一章。
相約下一場非正式柚談(Talk With ENF),我們不見不散。
關於非正式柚談(Talk With ENF)
非正式柚談(Talk With ENF)由EOS網絡基金會發起,旨在傾聽、溝通、連接海內外區塊鏈社區。 EOS網絡基金會將不定期邀請區塊鏈行業優質項目領袖人物暢聊加密領域熱點話題,分享加密技術發展趨勢,揭秘加密世界背後故事。另外,每期節目EOS網絡基金會都會為大家準備驚喜福利,積極參與直播問答即有機會贏取福利。
關於EOS網絡基金會
EOS網絡基金會是一個非營利性的組織,旨在傾聽社區聲音、傳達社區意願並扶持社區優質項目發展,成為EOS社區的信息共享橋樑,並為EOS生態提供資金、技術、運營、未來規劃、生態構建等關鍵基礎設施支持,進一步發揮EOS作為世界速度最快的治理型區塊鏈的全部潛力。