這是白話區塊鏈的第1410期原創
嘉賓 | 慢霧安全團隊&庫神錢包商務總監
Jessica
出品|白話區塊鏈(ID:hellobtc)
據統計,僅僅是在2021年上半年,整個區塊鏈生態就發生了78起較大的安全事件,其中涉及DeFi安全50起左右。日益增長的安全漏洞事件對於行業用戶來說,無疑是一種巨大的威脅,為什麼會頻繁出現這樣的事情,現在有做什麼來改進呢?
上週五我們邀請了慢霧安全團隊和庫神錢包商務總監Jessica來我們分享相關內容。以下為內容提要:
DeFi安全中的常見類型有:精度計算錯誤問題、權限過大風險、經濟模型缺陷問題、兼容性問題、預言機操控風險、獎勵分配缺陷問題、滑點控制缺陷問題等等。 DeFi安全總是出現最底層的原因還是智能合約。 ——慢霧安全團隊區塊鏈行業核心問題就是安全。在保管加密資產方面,建議用戶“冷熱搭配”,經常使用的小資金放在有實力的大交易平台或者熱錢包,大資金一定存放在硬件冷錢包保管才能確保安全。短期來看,DeFi安全事件頻發會對投資者產生一定的“勸退”作用,但長期來看,在DeFi 高額收益的激勵下,這類安全事件對DeFi賽道的用戶參與率影響有限。 ——庫神錢包Jessica
01 慢霧&庫神
白話區塊鏈:歡迎慢霧安全團隊和庫神商務總監Jessica做客白話大咖說,先和大家打個招呼吧?
慢霧安全團隊 :大家好,我們是慢霧安全團隊。慢霧(SlowMist)是一家區塊鏈安全公司,成立於2018 年1 月,已經服務了全球許多頭部或知名的項目,我們做了很多DeFi 方面的安全審計,這也是我們今天要聊的話題。
庫神Jessica :大家好,我是庫神錢包Jessica。很開心和慢霧團隊一起做客白話大咖說。庫神於2016年11月成立,是一家專注於提供區塊鏈資產安全存儲解決方案的科技公司。
庫神錢包是全球知名高端的冷錢包品牌,擁有行業內最多高淨值用戶。產品遠銷日本、韓國、美國、新加坡、俄羅斯等多個國家和地區,在全球高端硬件冷錢包領域市場份額佔有重要地位。
02 DeFi安全常見類型
白話區塊鏈:8月10日當天,Poly Network遭到了成立以來最嚴重的攻擊,也是歷史上最大的去中心化金融安全漏洞,如此巨額的資產損失,引起了圈內人的關注。
之前慢霧團隊分析認為,攻擊者是通過精心構造的數據修改了以太坊跨鏈合約中keeper為攻擊者指定的地址,並非由於keeper私鑰洩漏導致。這屬於DeFi中的哪種類型呢,也請給大家詳細介紹一下DeFi安全常見類型有哪些呢?
慢霧安全團隊 :Poly Network這屬於任意調用問題:合約存在任意外部調用接口,導致特權函數被調用。
DeFi安全中的常見類型有:精度計算錯誤問題、權限過大風險、經濟模型缺陷問題、兼容性問題、預言機操控風險、獎勵分配缺陷問題、滑點控制缺陷問題等等。
03 錢包可以在哪些方面幫到用戶?
白話區塊鏈:在去年年末的時候,就和吳總有做過一場“黑天鵝事件”相關的AMA,很高興這一次又可以深入聊一聊。在DeFi安全方面,庫神作為一家專注於提供加密資產安全存儲解決方案的公司,主打硬件錢包。
那麼在安全方面,庫神近來有什麼重要佈局嗎?類似於這次的攻擊類型,您認為錢包可以在哪些方面幫到用戶?
庫神Jessica :近來庫神錢包還是以安全為主,不斷優化錢包功能,完善用戶服務。今年我們推出了最新款庫神冷錢包Pro3+, 此款錢包採用了CC EAL6+芯片,軍事化安全防護,徹底杜絕網絡黑客。
新增多種主流Token,支持BTC、ETH、XRP、BSV、TRX、LTC、FIL等以太坊,波場和EOS生態幣。此外,Pro3+支持隔離驗證地址,同費率費用更低,同費用速度更快。
DeFi從去年開始流行起來,但是資產安全問題也頻頻出現。庫神錢包作為區塊鏈資產的“保護神”,願意共同建設DeFi市場的安全壁壘,保護去中心化世界的安全,拒絕去中心化的胡作非為。
所以建議大家不要過多的追求高利,而忘了高利下的高風險,應該根據自身情況,把資產做個比例劃分,不動的資產放在冷錢包,收穫堅守成果。
事實上,庫神錢包也一直在做這件事,庫神運營馬上5年了, 截止目前從未出現過任何問題,在行業和使用過庫神錢包的用戶之間樹立了良好的信譽和口碑。
04 DeFi安全事故總是出現的底層原因
白話區塊鏈:Poly Network被攻擊是整個DeFi行業生態安全問題的一個縮影。據統計,2021年上半年,整個區塊鏈生態共發生78起較大的安全事件,涉及DeFi安全50起。相比傳統交易模式,兩位覺得DeFi安全事故總是出現的底層原因是什麼呢?
慢霧安全團隊 :最底層的原因還是智能合約吧。智能合約並不像傳統APP可以隨時下架,合約一旦部署,便是不可撤回的。合約可能一創建就包含著錯誤,而錯誤卻無法被修改,導致事故的發生。
庫神Jessica :區塊鏈上的智能合約是基於去信任(permissionless)來和用戶以及其他智能合約交互的,對於那些設計智能合約的人來說,很難考慮到未來有人可能與他們的合約進行交互的每一種方式。其他人可以構建一種智能合約,以一種原作者不希望看到的方式與合約進行交互。
白話區塊鏈:另外,在整個行業內黑客事件也層出不窮,他們的主要手法有哪些,目前市面上有採取什麼措施來防止或者應對DeFi 安全事故的發生呢?
慢霧安全團隊:手法還是很多的,有些手法經常出現,有些很少出現,我例舉幾個:Rug Pull、閃電貸、套利等等,可以檢查項目的流動性是如何鎖定的,是否有時間鎖,是否有多重簽名,用戶在參與DeFi前最好對項目做做調查,避免被騙。
另外一個就是項目方一定要有自己的安全的意識,上線前最好找業內專業的安全審計公司進行審計,至少可以把一些已知的攻擊手法盡量規避掉。
白話區塊鏈:DeFi因在諸如借貸、支付等金融科技領域,提供了獨具創新性的解決方案而備受讚譽,但突出的智能合約安全問題成為了DeFi行業的最大挑戰。
如果智能合約資產被盜或出現攻擊事件,如何讓投資者利益損失最小或無損?有哪些安全防護措施?
庫神Jessica :是的,如果智能合約資產被盜或出現攻擊事件,首先,早發現早退出,第一時間聯繫項目所在平台,usdt聯繫泰達公司。投資者做好安全防護措施,防範大於未然:
1.使用硬件錢包參與DeFi,私鑰助記詞不觸網,學習錢包安全管理;2.不盲目衝高apr的項目,選擇通過專業審計的項目;3.不用瀏覽器搜索DeFi網站,核對正確的智能合約地址;4.不挖二池,做好對沖策略。
05 判斷一個項目是否安全的指標
白話區塊鏈:很多項目在進行全面的外部安全審計、原創的編碼和測試網絡環境下的模擬測試等步驟後還會存在風險,項目審計意味著什麼,判斷一個項目是否安全的指標有哪些呢?
慢霧安全團隊:很多人會有這樣的一個誤區,覺得經過審計的項目就是永遠安全的,但是所有的DeFi協議都存在著變數,就算是一個小小的更新也會導致巨大的問題,而且我們審計的範圍是有限的。
安全具體是沒有一個指標的,我們首先關注的是智能合約裡在計算用戶收益時,會不會存在溢出等問題。其次,我們會關注項目方是否留有後門,是否盜取用戶資金。
安全,永遠都是任重而道遠的。
06 用戶在加密貨幣的保管方面需要注意什麼?
白話區塊鏈:DeFi的爆炸性增長使其複雜性呈現指數級別增長,因此加強DeFi風險管理是目前DeFi生態建設的重中之重。您認為目前用戶在加密貨幣的保管方面,平時操作需要注意什麼以防止類似事件導致的資金損失?
庫神Jessica :區塊鏈行業核心問題就是安全!在保管加密資產方面,建議用戶“冷熱搭配”,經常使用的小資金放在有實力的大交易平台或者熱錢包,大資金一定存放在硬件冷錢包保管才能確保安全。
選擇有實力的大品牌錢包產品,並且離線保存好私鑰和密碼,正確渠道下載app。一個錢包地址一個項目,結束參與及時取消授權。
07 MPC+TEE
白話區塊鏈:看到慢霧之前提到過,由於熱錢包還是單私鑰的,所以被黑是遲早的事,而MPC+TEE不僅可以去單點風險,還可以在關鍵策略上做好可信難篡改,最後加上資金與業務兩大全鏈路風控系統,可以99.99%擋住風險和攻擊。請問這是怎麼實現的,其中提到的MPC+TEE也請詳細介紹一下吧?
慢霧安全團隊:是的,我們在前不久上線了加密資產安全解決方案,這是慢霧在區塊鏈生態數年一線安全攻防實踐積累下,推出的第一個針對加密資產安全的解決方案。
其中給出了線上熱資產安全解決方案,這類資產由於放置在線上服務器中,被黑客攻擊的可能性大大增加,同時,線上的熱資產本身的場景需要適應多種鍊及Token種類,能兼容所有區塊鍊及Token種類的通用多簽方案是最好的方式,而目前最成熟的解決方案是MPC(安全多方計算)。
MPC主要針對一組計算的參與者,每個參與者擁有自己的數據,並且不信任其它參與者和任何第三方,在這種前提下,如何對各自私密的數據計算出一個目標結果的過程。
MPC是一種計算協議,數據持有方可以各自使用自己的數據進行訓練,最終通過協議匯總結果。而TEE提供安全性更高的執行空間,給可信軟件執行,其安全性比操作系統(OS)更強,機能性比安全元件(secure element)更多。
08 是否應該尋求中心化世界的幫助?
白話區塊鏈:在去中心化的環境下,您認為這樣的安全事故發生後誰應該承擔責任?是否應該尋求中心化世界的幫助?
慢霧安全團隊 :黑客作為造成DeFi安全事件的罪魁禍首,毫無疑問是造成用戶資產受損的主體。
以PolyNetwork為例,事件發生第一時間,我們就開始研究分析,追踪被盜資產的流向,聯合各方面的力量,目前黑客已經歸還了4.27億美元,剩下的相信也很快會全部歸還,這是一個好的結局。
另外,可以看到中心化、去中心化平台都有非常慘重的被黑案例,都有很多被黑經歷,無論是中心化還是去中心化,我們都希望區塊鍊是往安全的方向去進化。
庫神Jessica :到目前為止黑客已經基本歸還全部被盜資金,這也是多方努力的結果,隨著DeFi規模不斷發展,加密資產被盜和黑客攻擊在所難免,事故發生後應該協同多方力量盡快尋找原因,盡快找到被盜資產去向並彌補損失,必要時尋求中心化平台幫助可是無可厚非的事情。
09 DeFi未來的發展
白話區塊鏈:隨著類似事件越來越多,這不僅讓已經參與進來的團隊和投資者感到擔憂,同時也使DeFi與傳統金融的結合越來越難,很多人因為風險望而卻步,您怎麼看待DeFi在接下來的發展?
慢霧安全團隊 :DeFi作為一個突然爆紅的當紅炸子雞,肯定還是有很多風險和未知的事情。
在早期,一個新事物出現一定是會有風險的,但是我們也不能說是因為有攻擊發生就去否定這樣的方向,任何事都是有兩面性,風險與機會是並存的,DeFi也帶來了很多便利性。
整個行業或者DeFi方向肯定是會越來越完善。
庫神Jessica :短期來看,DeFi安全事件頻發會對投資者產生一定的“勸退”作用,但長期來看,在DeFi 高額收益的激勵下,這類安全事件對DeFi賽道的用戶參與率影響有限。
另外,去中心化領域的監管缺失在這次事件中暴露無遺,未來DeFi賽道引入第三方監管以及DeFi保險項目也是未來的必然趨勢。
DeFi很有可能成為金融系統的新基石,會有成長的陣痛,但我們有足夠的理由相信去中心化金融的未來是光明和繁榮的。