近日,来自慢雾出品余弦老师编写的《区块链黑暗森林自救手册》迅速走红,仅 Web3Caff 发布的该条推特已超 600 人次转推,超 13 万次曝光。这篇安全手册如此备受欢迎的原因也很简单,即每个人都深知「安全」的重要性。本期,我们有幸邀请到慢雾科技做客 Web3Caff ,话不多说直接进入主题。

Q:首先,非常感谢慢雾科技参与 Web3Caff 首期「开放式采访」栏目。简单介绍一下自己,Web3Caff 是一家致力于 Web3.0 领域研究的深度垂直媒体平台,欢迎大家同我们以全球视野探索 Web3.0 产业发展趋势及新经济动态。首先请您简单介绍一下慢雾科技以及您的团队?

Hello,大家好,我们是慢雾安全团队,很高兴能来 Web3Caff 做客。慢雾科技 (SlowMist) 是一家专注区块链生态安全的公司,成立于 2018 年 1 月,由一支拥有十多年一线网络安全攻防实战的团队创建,已经服务了全球许多头部或知名的项目,客户分布在十几个主要国家与地区。

Q:作为区块链生态的安全守护者,你们认为当前的区块链项目出现的安全性攻击事件所造成的资金损失一般最终归类于哪些核心因素呢?比如代码漏洞,或者是人为管理不当,亦或者是底层基础设施问题?…

我们从区块链作恶方式来看,主要有几个方面:钓鱼攻击、木马攻击、算力攻击、智能合约攻击、基础设施攻击、供应链攻击及内部作案。我们拿常见的智能合约攻击来说,存在以下攻击方式:闪电贷攻击、合约漏洞、兼容性或架构问题,现在还出现了新的手法:前端恶意攻击以及针对开发人员钓鱼,再通过开发人员获取到私钥,偷取用户资金;以及人性的安全,如项目方跑路或内部人员作案。

Q:回到 C 端用户,作为使用加密资产的普通用户,在你们受理的案件中或是相关舆情分析中,用户被盗的原因一般都有哪些?我们应该如何更好的守护手中的加密资产,以防止被钓鱼?以此您可以再讲一下黑客的一些主要盗币手法。

按我们接触的受害者信息来说,原因最多的就是私钥/助记词泄露和被钓鱼,比如私钥/助记词保存不当,泄露了导致资损;或是访问假官网,下载假 App、授权漏洞等,比如说有用户不知情的情况下授权了恶意合约,还有就是杀猪盘诈骗。因此人作为安全体系最薄弱的环节,应时刻保持怀疑之心,首先,认准官方网站,不要点击除官方外的链接,必要时可通过官方验证通道核实;其次,做好钱包备份并妥善保管好私钥助记词;最后就是要时刻记住,天下没有免费的午餐。这里安利大家去看我们刚发布的区块链黑暗森林自救手册,掌握你的加密货币安全。

Q:和传统领域相比,我们的理解区块链生态更像是黑暗森林,因为它存在难以追溯的属性,因为这本是区块链匿名的主要特性。你们在执行案件追查的时候,是如何进行溯源背后黑暗力量的?

凡有入侵、必留痕迹。拿我们深度参与的 PolyNetwork 事件来说,事件发生第一时间,我们团队保持高度关注,分析攻击过程与追踪资金流向并行。单从资金追踪来说,一方面是借助社区合作伙伴等的一些特殊情报力量,另一方面就是借助我们自己的反洗钱追踪系统 MistTrack 了。MistTrack 积累了 2 亿多个地址标签,能够识别全球主流交易平台的各类钱包地址,包含 1k+地址实体、100K+个威胁情报数据和 90M+个恶意地址,为我们的追踪溯源提供了全面的情报数据支撑。目前 MistTrack 也是准备上线的状态,大家可以期待一下,这是一个适合每个人的加密货币追踪和合规平台。

Q:你们在处理被黑案件的过程中经常会遇到哪些难题?你们是如何解决的?

难题倒还好,许多人被盗币来咨询我们,但是被盗信息自己都不太清楚,然后具体在对接时,有些人甚至出现刻意隐瞒关键信息导致浪费时间或耽误了绝佳时机的情况。这个就需要用我们大量的经验来引导受害者梳理案件了。

Q:我们换一个角色,现在的区块链项目方应该从哪些角度守护平台和用户的安全?您可以从架构、测试网、智能合约等方面谈一谈,如果出现被黑事件,如何及时止损以及守护案发现场?

对项目方来说,在项目上线之前进行全面深入的前后端及合约的安全审计是非常有必要的。然后,建议各项目方健全内部管理与技术机制,通过引入多签机制、安全审计机制、零信任机制、等来加大资产保护的力度。

一旦出现被黑,第一时间止损,止损即把剩余资产安全转移,不让损失变得更大。比如抢跑、联系链上冻结、联系中心化平台做必要风控。局面稳住后,想想如何不会出现二次、三次伤害。保护案发现场,我们在此提供几个经验:针对电脑、服务器这类联网设备,一旦这些是事故主场,立即断网,但不关机(电源供电持续)。除非你自己有能力,否则等待专业安全人员介入取证分析。尽量保存良好的案发现场。

Q:OK,感谢您的回答。我们下一阶段进入到「开放式对话」的核心环节——即用户提问,我们在 Web3Caff 华语 Twitter 进行开放式提问,目前收到了不少用户的提问,现在我们精选几条。首先第一个来自于 @Random_walker_1 提问:机会难得,正好有几个问题想请教:1)从非技术人员角度如何预判可能的安全问题;2)导致安全问题的常见原因会是什么(例如:不够去中心化/代码安全);3)web3 的安全问题是共性问题(例如 web2 的 DDoS 等)还是个性问题(例如只是某条 chain 的问题),这些问题由第三方厂商解决更合适还是各个项目自行解决

1)这里不太清楚指的是哪方面的安全问题。就遵循两大原则:1. 保持对一切的怀疑 2. 网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。

2)除了技术性的,最常见的就是人性安全了,这个是不可控的。

3)web3 也需要服务器,网络等基础设施,所以传统安全方面等问题也同样会出现。问题比较多,举一个例子吧,如 DDoS ,大家可以部署相关多抗 D 防御设备如 Akamai 等解决。

Q:第二个用户 @TaroCrypto :你们目前处理过最复杂的案件是什么?

我们遇到过有些受害方故意隐瞒关键信息,导致错过最佳时机的情况,这算是比较难搞的了。

Q:第三个用户 @0XElla:对当下而言,跨链桥是否存在着天然的安全性问题?作为普通用户,在使用跨链桥的时候需要注意什么?还是尽量不要使用?

跨链的原理是打破链与链之间的信息孤岛壁垒,提供了一种相互通信和兼容的方式来安全地在双方进行互操作。跨链为用户提供了交互的便利,链上交易需求也大大增加,跨链桥托管的用户跨链资金规模也越来越大,安全风险也越来越大。

用户使用时要注意,使用跨链桥时重要的是要了解你的资金是如何被保护起来的,可以从一些维度上去看跨链桥的风险水平,例如:项目合约是否开源?项目是否有多方安全审计?私钥的管理方案是 MPC 多方计算?还是多节点多签?还是由项目方统一保管私钥?

Q:OK,非常慢雾科技参与本期「开放式对话」,最后可否分享一下你们当前取得了哪些引以为傲的成绩,也让所有的 Web3 用户开心一下,因为正是你们包括所有的区块链安全从业者才能让这片黑暗森林得以守护,感谢你们付出的贡献!今天的话题非常有趣,最后的最后,还想再提一个问题,您可以再讲一下你们安全圈里最有趣的一件事吗?或者说您最想聊的一件事,因为今天的话题属于较为严肃和严谨,我们也想听听您的一些关于慢雾团队或者安全领域一些 “其他声音”。

这里,就给在 Web3 世界的用户提供一些建议吧:

首先,尽量参与经过专业安全公司审计的项目,看看该合约是否开源,想了解合约是否经过我们的审计,可以使用我们的合约审计查询通道(https://www.slowmist.com/service-smart-contract-security-audit.html)

其次,管理好自己的密钥,不要点击或下载来历不明的链接、软件,注意钓鱼或授权的漏洞。最近 Discord 和 Telegram 的骗局都非常猖獗,一定不要轻信别人。

最后也是最重要的一点,保持对一切的怀疑之心。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。本文内容仅用于信息分享,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。