在這座「黑暗森林」中,我們該如何保護自己?如何識別潛在威脅並應對這些複雜的安全挑戰?
作者: Punkcan,Liz,Tony
排版: Cikey
封面: Photo by Markus Spiske on Unsplash
在區塊鏈技術蓬勃發展的同時,Web3 的安全問題也日益突出。各類駭客攻擊手段和詐騙方式不斷翻新,個人用戶和專案方都面臨資產被竊和資訊外洩的風險。那麼,在這座「黑暗森林」中,我們該如何保護自己?如何識別潛在威脅並應對這些複雜的安全挑戰?
今天,我們邀請了來自區塊鏈安全公司「慢霧科技」的兩位來賓—— Liz 和 Tony,與 KeyMap 共同探討 Web3 安全問題及其應對之道。本次分享內容涵蓋了從安全法則、資產保護到常見詐騙案例分析等多個方面,為您提供最實用的「生存手冊」。
最近 DEXX 被偷的事件很火,本期我們邀請到慢霧科技的兩位來賓跟我們分享一下在區塊鏈黑暗森林中的生存法則,我們先請兩位來賓做一個簡單地自我介紹。
Tony:大家好,我叫 Tony 主要負責的是審計商務,以及香港地區客戶的聯繫。
Liz:大家好,我是 Liz。我簡單介紹一下慢霧,慢霧是一家業界領先的區塊鏈安全公司,擁有豐富的鏈上和鏈下安全經驗,並在威脅情報領域深耕多年,建構了堅實的威脅情報合作網絡。我們的核心服務包括安全審計和反洗錢追蹤溯源兩大業務,同時希望與產業優質夥伴和社區攜手,共同建立安全聯防體系。非常感謝 KeyMap 的邀請,今天和大家一起探討 Web3 的安全性問題。謝謝!
區塊鏈領域的黑暗森林是指什麼?主要安全挑戰是什麼?該如何避免這些潛在的風險?
Liz:
這個「黑暗森林」概念源自小說《三體》,其中提到宇宙如同一座黑暗森林。我們將區塊鏈比喻為黑暗森林,是因為隨著科技不斷發展,安全問題也日益嚴峻,安全事件層出不窮。
主要的安全挑戰包括以下幾點:一是駭客團夥,其犯案方式和洗幣手段已相當成熟;二是各種詐騙項目的出現。此外,Web3 專案如果有安全漏洞,容易被駭客利用甚至攻擊。
對於個人用戶來說,可能面臨私鑰或帳戶被盜、遭遇釣魚攻擊,甚至參與的專案跑路等風險,造成資產損失。同時,由於區塊鏈的去中心化和匿名性特點,一旦發生安全性問題,其後果往往比傳統網路更嚴重。
那麼,我們該如何避免這些潛在的風險呢?
這裡先引用下慢霧出品的《區塊鏈黑暗森林自救手冊》來回答。在區塊鏈的「黑暗森林」中,有兩大關鍵安全法則需要牢記:
零信任原則:始終保持懷疑。
持續驗證原則:不斷進行驗證,將安全驗證培養成一種能力和習慣。
透過實踐這兩大法則,可以在區塊鏈的複雜環境中有效降低風險。
參與 Web3 時,如何有效的保護加密資產安全?
Tony:
可以,我來分享一下。尤其是在參與 Web3 專案時,鏈上和鏈下的安全措施有所不同。我會從兩個角度來說明。
第一個角度是從資產使用情境和比例分配的角度出發。假設你有 1000 元,我建議不要將所有資產放在鏈上、單一錢包或某個交易所。更合理的做法是:
1. 50%-60% 的重要資產放在冷錢包或其他你認為安全的地方;
2. 剩餘的小部分資金用於操作 Web3 項目,例如質押、DeFi、跨鏈橋、擼羊毛或測試網等活動。
對於高風險的鏈上操作,例如投資新專案或嘗試測試網,我建議使用非常少的部分資產。這樣有助於降低整體風險,並在很大程度上保護你的資產安全。很多人容易覺得自己的錢包一定沒問題,不會被他人發現或竊取,但事實上,這種自信反而容易導致資產流失。建立資產分配意識,是保障鏈上安全的關鍵。
第二個角度是提高個人的安全意識。我希望大家多關注近期的安全事件,包括專案被駭的手段、個人遭遇釣魚攻擊或資料外洩的常見方式。例如:
1. 許多受害者在下載錢包時,會因為假網站而中招。這些假網站通常透過購買廣告流量,佔據搜尋結果的前幾名,誘導用戶下載偽造的錢包。
2. 假錢包可能竊取用戶的私鑰訊息,或監聽剪貼簿內容,從而獲取敏感資料。
因此,在下載錢包或工具時,一定要透過官方管道獲取,不要隨意點擊搜尋引擎的前幾名結果,因為搜尋排名是可以買到的。這類假冒軟體或網站可能會將你的私鑰上傳到他們的伺服器,甚至監聽你的剪貼板,竊取敏感資訊。因此,識別正確的下載路徑至關重要。
此外,我建議大家多關注 Twitter 上的一些媒體帳號,以及像慢霧這樣的安全公司帳號。當你了解到一個新項目時,可以看看是否有其他可靠的 Twitter 用戶正在追蹤這個項目。這是一種有效判斷專案真實性的方法。要注意的是,藍標、黃標或高粉絲數不一定可靠,有些可能是偽造的。觀察你相識的人是否關注了這個項目,是判斷項目可信度的一個強而有力依據。
提高個人資產安全意識和合理分配財產是非常重要的。這看似簡單的習慣,卻能顯著降低風險。
怎麼保護私鑰?洩漏的原因有哪些?
Liz:
我們每天都會收到許多受害者提交的被盜表單。在表單中,我們會問他們一個問題:你的私鑰是如何被存放的?
許多洩漏案例的原因都與保密不當有關。例如,有些用戶會將自己的私鑰或助記詞交給親友保管,但結果卻被親友盜走。這種情況雖然少見,但確實存在。
還有一種常見情況是用戶透過網路儲存或傳輸私鑰或助記詞。雖然他們知道不能將私鑰直接告訴別人,但可能會透過微信收藏、拍照、截圖或雲端備忘錄等方式保存。這些方法看似便捷,但一旦這些平台的帳號被駭客攻破,私鑰或助記詞就會暴露,非常危險。
此外,複製和貼上私鑰也是一大隱憂。有些使用者以為只是複製一下,不會有問題,但有些剪貼簿工具和輸入法會將剪貼記錄上傳到雲端,導致私鑰暴露在不安全的環境中。同時,木馬軟體也能在使用者複製私鑰或助記詞時竊取剪貼簿資訊。因此,我們強烈不建議複製私鑰。表面上看,這個行為似乎沒什麼風險,但其實非常危險。
剛剛也提到了釣魚攻擊。在許多資產受損的案例中,駭客會誘導使用者在虛假的網站或 APP 上輸入錢包助記詞。例如,他們可能偽裝成正規錢包頁面,欺騙用戶輸入助記詞,這同樣會導致資產被盜。
盡量不要透過連網裝置儲存或傳輸私鑰/助記詞。可以將其抄寫在紙上,然後妥善保存到如保險箱等安全的地方。
如何辨別一個錢包安不安全,該如何選擇錢包?
Tony:
現在錢包的種類和相關項目越來越多。如果要判斷一個錢包是否安全,對於小白用戶或剛入行的用戶來說確實有一定難度。不過,可以從以下幾個方面來考慮:
1. 多重簽名支持
多重簽名的意思是,執行某個交易需要多個使用者授權。這樣的設計可以顯著增加交易的安全性,並降低被駭客攻擊的風險。這是額外的安全措施,也能反映出專案方是否有更深入的考慮使用者資產的安全性。
2. 程式碼是否開源
考察錢包是否公開了其原始碼。如果專案方願意開源,通常能讓使用者更有信心。在這種情況下,你也可以查看代碼是否通過了審計公司的審核。審計公司會將審計報告公開,有程式碼能力的使用者可以透過審計報告進一步了解該錢包是否安全,例如是否有過度中心化的權限,或傳輸管道是否有洩漏風險。
3. 審計支持
如果錢包專案經過了權威審計機構的驗證,這也是一個重要的加分項。審計報告能幫助用戶進一步了解錢包的安全性以及其代碼中是否有漏洞或隱患。
4. 備份和復原功能
雖然備份和復原功能並不能直接判斷錢包的安全性,但它能反映專案方是否用心。例如,是否有完善的備份機制可以讓使用者輕鬆恢復數據,是否提供了全面的文件和支援等。
5. 安全互動設計
看看錢包在前端是否提供了安全相關的互動設計,例如:
1. 釣魚偵測:幫助使用者辨識惡意網站或應用程式。
2. 預執行機制:模擬交易的實際效果,提示使用者交易完成後可能的結果。
3. 地址白名單:提供使用者與地址互動的額外驗證提醒。
透過這些綜合考量,可以更好地判斷一個錢包項目是否重視用戶資產的安全性,以及是否在用心運作。
一般用戶在不看代碼的情況下,如何規避資產被竊的風險?
Liz:
一般用戶可能看不懂程式碼,也不熟悉簽章機制,那麼這種情況該怎麼避免風險?
首先要避免點擊不明鏈接,也不要下載有疑慮的軟體。如果非要下載或訪問,可以使用舊手機進行風險操作,並與常用設備和錢包隔離。
這樣,即便因為不了解而操作失誤,導致中招,也不會造成特別嚴重的損失,至少不會讓全部資產一夜蒸發。
關於防釣魚工具,市面上確實有一些不錯的選擇,例如 wallet guard 和 Scam Sniffer。不過要注意,防釣魚插件並不能完全識別所有釣魚網站,尤其是一些新的釣魚站點,可能沒有及時被添加到插件的地址庫中。所以,這些工具只能作為輔助手段。
接下來是如何判斷錢包簽名是否有風險,以及簽名後會發生什麼事。首先,在選擇錢包時,要優先考慮專注於用戶互動安全的錢包。注意以下幾點:
1. 所見即所簽機制:好的錢包會對合約呼叫進行詳細解析,幫助用戶了解交易構造的內容,進而降低釣魚風險。
2. 預執行機制:透過模擬交易執行,展示廣播後的效果,有助於使用者預判交易結果。例如,這種機制可以有效應對代理合約(proxy contract)的潛在風險,看到簽名後會發生的資產變動細節。
核心問題還是如何找到正確的官網。我們一開始就提到要多方驗證。如果你在一個地方看到了某個網址,不能單憑一個結果就判斷其真實性。可以透過多個管道驗證,這裡順便來講如何找到官方管道,特別是對新手用戶的建議。
許多用戶習慣了 Web2 的環境,可能直接在瀏覽器中搜索,然後點擊排名靠前的鏈接,以為是官網。也有用戶在 Twitter 上搜尋項目方帳號,透過追蹤人數、註冊時間、藍標或金標來判斷真實性。但這些帳號可能是買來的高仿帳號,我們在慢霧的公眾號文章中揭露過類似黑灰產現象。
要解決這個問題,可以從以下幾個方法開始:
1. 透過查看共同好友是否關注某項目,作為輔助參考。
2. 在 Twitter 上先關註一些產業內的安全公司帳號。你的朋友可能會不小心注意假帳號,但保全公司關注的帳號一般比較可靠。
3. 確認官方 Twitter 帳號後,請查看其簡介中掛載的官網連結。不過,即使帳號是真的,也不能完全放鬆警戒。駭客可能會黑掉官方帳號,將連結替換為釣魚網站。
進一步驗證官網鏈接,可以透過權威平台,例如 DeFi Llama 和 CoinMarketCap。這些平台通常會列出項目的官方網站。將這些來源的連結與 Twitter 上的連結對比,能有效降低進入釣魚網站的風險。
這個方法並不難,只是稍微麻煩一些。但養成驗證的習慣非常重要。找到官網後,可以儲存為書籤,下次造訪時直接使用白名單。
驗證官網只是第一步,最重要的是保持警惕,培養良好的操作習慣。
Web3 有哪些常見的或說入門者需要注意的騙局呢?
Tony:
我們收到的案例比較多就是關於「Permit」連結的騙局。例如,一個騙子會透過郵件或其他方式發給你一個可以點擊的連結。他會問你是否直接勾選錢包地址進行授權。
需要注意的是,Permit 授權是顯示的是釣魚者錢包位址。
這種操作我們稱之為「Permit 騙局」。也就是說,騙子會直接透過「Permit」的預操作,在你不知情的情況下完成授權。一旦授權完成,騙子可以在收集到這些「Permit」權限,稍後自行轉移你的資產。
所以成功辨識並防範這些釣魚網站非常重要。這也是為什麼我們在歷史上對此花了很大的精力,希望大家能多加留意,提升辨識能力。
有時這些網站偽裝得非常真實,使用者會覺得點擊沒有問題。甚至類似的「Permit」騙局也可能出現在一些專案方的操作中。例如,當某些專案方公開測試網時,騙子會迅速插入假的測試網連結。這些騙子通常會把他們的假連結置頂在顯眼位置,盡量提高其可信度。
我們在 https://darkhandbook.io/記錄了更多案例類型,
Liz:
我們前段時間在公眾號上發布了一系列文章,披露了一些常見的騙局。這些騙局讓不少新用戶不小心就陷入其中。我舉幾個例子,像是假礦池騙局,這主要針對的是 Web3 的新用戶。
騙子會利用新用戶對加密貨幣市場的了解不足,以及對高收益的渴望。因為很多新入圈的人在圈外觀望時覺得這個領域似乎很容易賺錢。等他們進來後,看到一個高收益、似乎能輕鬆賺錢的途徑,就會放鬆警惕,覺得這樣的機會是真的。
騙子會透過一系列精心設計的步驟誘騙他們投入資金。例如,騙子可能會在 Telegram 上冒充一些知名交易所,建立一個群組。我們調查時看到,這類群組人數可能有多達 1/2 萬人。這和我們之前提到的假官網類似,現在還出現了假群組的狀況。
雖然群組顯示有上萬人,但實際在線的可能只有幾十個人,這是非常反常的現象。騙子會利用流動性挖礦和經濟誘因機制的假象,吸引用戶投入資金。用戶可能不了解資金如何被用來投資,但覺得騙子提供的流程看起來很專業、可信,於是將錢轉入了合約地址。
投資後,用戶可能確實收到了一些回饋,這時候就會覺得方法可行,開始加大投入,期望獲得更多收益。結果卻中了騙子的圈套,最後所有投入的資金都被捲走。一開始只是想賺點利息,最後連本金都沒了。
另一個常見的是「貔貅盤」騙局。用戶投入資金後,會發現幣價迅速上漲。這時可能會繼續追加投資,因為表面上看,套路和假礦池騙局類似。等到用戶想賣出時,卻發現根本賣不出去。
騙子是如何操縱這種騙局的呢?他們通常會先部署一個有陷阱的智慧合約,透過行銷和拉盤製造高利潤的誘餌,吸引用戶投錢。有些騙子甚至會將代幣送到交易所,或轉給其他錢包,製造出「很多人在參與」的假象。還有的騙子故意將代幣轉到一些 KOL 的地址,讓人以為 KOL 也在參與這個計畫。
當用戶購買了「貔貅幣」後,會看到幣價漲得很快。這時,用戶心裡可能會想:「等再漲一點,我再賣。」但實際上,騙子的合約設計了多種限制,防止用戶賣出代幣。例如,把買家地址加入黑名單,或是設定極高的賣出門檻。即使允許賣出,也會收取極高的稅,基本上沒有可能賣出。這就是「貔貅盤」騙局的操作方式。
被竊後,資產能追回來嗎?
Tony:
關於資金能不能追回來,這個問題是幾乎每個受害者在提交表單時都會問的。然而,這個問題其實我們回答起來也比較麻煩,因為每個情況都需要具體分析。因此,我們希望受害者在提交表單時,能夠提供更多詳細信息,方便我們更好地進行分析。
對於資金是否能夠追回,我們會提供大家免費的評估,也會提醒他們相關後續操作。如果資金流向了某個交易所,我們會告訴他們可以聯絡哪家交易所處理。大概是這樣的流程。
在 2024 年第三季度,我們協助了 16 位受害者在 16 個平台上凍結了總計約 3,400 萬美元的資金。同時,在這一季度,我們總共收到了大約 450 份表單,平均每天收到 6 到 7 份。從這個量可以看出,華人圈對我們的信任度非常高。也非常感謝大家對我們能力的認可與支持。
另外,慢霧提供了一個經過風險偵測的平台 https://misttrack.io/ 。這個平台是我們為大家提供的一項服務,任何人都可以註冊使用。例如,如果你有換匯需求,或作為專案方或交易所,希望查詢某個鏈上地址是否涉及 “黑色資金”,都可以透過我們的平台來了解。
我們會為每個位址產生一個危險評分(Risk Score),範圍是 1 到 100。分數越高,表示風險越高。如果某個地址的風險很高,建議不要與這些地址交互,也不要接受他們的資金或向他們打款。如果這些地址的資金流向交易所,很可能會被交易所凍結,甚至無法提取或套現。
慢霧也與不同的交易所建立了安全聯盟。這意味著我們的高風險地址資訊會同步到其他交易所。一旦這些地址的資金流入交易所,交易所會詢問相關資金的來源,並採取相應措施。
相較於傳統 Web2 的資訊安全, Web3 中的資訊安全工作是否更具挑戰性?
Liz:
Web3 的核心問題主要是資訊安全和身分安全。當使用者追求對自己身分和資料的控制權時,也會面臨一些安全隱患。用戶可能因為點擊了錯誤的鏈接,或者不知道如何保證自己的網路安全,而成為騙局或詐騙的受害者。
從 B 端的角度來看,在 Web2 中,有些公司對違規行為可能不重視,但在 Web3 中,安全問題是不能忽視的。因為一個錯誤可能帶來的損失是非常巨大的,可能高達數百萬甚至幾千萬美元。更嚴重的是,這些資金的流失或被盜,可能直接導致整個組織不得不解散。
在 Web3 中,資訊安全的重點是程式碼、工程架構等層面,專注於盡量避免問題的發生。從這個方面來看,Web2 的安全性較多是發現問題後再去處理;而 Web3 的安全則要求一開始就盡量避免風險發生。否則,後果可能會非常嚴重,例如導致用戶資金受損,甚至讓專案因資金不足而無法繼續運作。這些後果相較於 Web2 的安全問題來說,顯得更加嚴峻。
在 Web2 的網路安全中,存在著 Honeypot 的策略,透過模擬漏洞吸引駭客攻擊。而在 Web3 中,例如一些 AI 專案或中心化交易所,仍然會在較依賴後端伺服器的場景中採用類似 Honeypot 的方法。它們可能用這種方式進行壓力測試或滲透測試。
但相較之下,在 Web3 專案中,這種情況要少一些,更多的安全設計還是圍繞著合約和互動邏輯。
能不能了解一下慢霧科技安全審查是什麼樣的流程?費用怎麼計算?
Tony:
具體的收費其實我們也不好完全透露。我們需要根據項目方提供的代碼量進行評估。例如,一個 Web3 專案可能涉及資產跨鍊或質押,即使是跨鏈橋,也可能有不同的功能需要審計。如果是公鏈項目,可能還有更多其他功能需要審計。因此,有時專案方會把代碼交給不同的保全公司進行交叉驗證,以確保審計的全面性。
當我們接觸到一個新的專案時,通常會先詢問專案方他們希望審計的特定程式碼量。如果程式碼是公開的,我們會直接進行評估;如果程式碼不公開,我們可能需要簽署保密協議,加入專案方 Github repo 當中,以便查看相關程式碼。
在查看程式碼時,我們會評估程式碼量、程式碼的複雜程度、不同元件之間的溝通情況以及業務邏輯的清晰度。基於這些因素,我們會得到具體的工作量評估,並決定大致的收費情況。
確定收費後,我們就會正式開始審計流程。在審計過程中,我們會識別程式碼中存在的問題,並同步回饋給專案方,建議他們進行相應的修復。
當專案方完成程式碼的更新後,我們會進行驗證,檢查漏洞是否已經被修復。如果確認漏洞已被修復,我們會在最終的審計報告中反映這一點,並說明專案方已經完整修復了相關問題。
最後,我們會與專案方溝通,完成審計流程,包括產生最終的報告。有時我們也會將報告發佈在網站上,供公眾查看。大致就是這樣一個流程。
安全審計這個行業已經飽和了嗎?
現在專案方的數量以及目前的市場價格對安全審計業務需求量有一定影響。在比特幣價格相對較好的情況下,專案方的數量只會越來越多,因此需要審計的業務需求也會增加。
當然,在熊市的時候,這類需求可能會減少,但行情好的時候,需求只會更旺盛。特別是隨著時間推移,賽道也會越來越多。所以我認為,這個產業整體來說會呈現持續成長的趨勢。
如果我要加入安全審計這個領域,需要掌握哪些知識和技能,前景如何?如何入行?
Liz:
我先說一下如何入門。首先,現在網路上有很多相關的學習資源是開源的。例如,在智慧合約審計這個領域,我們慢霧開源了一個智慧合約安全審計技能樹。這是我們慢霧智能合約安全審計工程師整理的技能集合。技能樹主要分為四個部分,從基礎到深入逐步展開,列出了各個階段需要掌握的專業技能,並且附上了相關學習連結。
https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor
如果大家有興趣,可以直接跟著這個技能樹一步一步學習。內容涵蓋了區塊鏈和智能合約的基礎知識、常見智能合約漏洞、最佳實踐以及安全標準等。這些內容既全面又對初學者非常友好,資源豐富,許多連結都可以直接點擊學習。
Tony:
這個技能樹是我們慢霧團隊的朋友們根據自身經驗,結合從基礎到高級的學習路徑編輯出來的,目的是幫助大家更有系統地掌握相關技能。
另外還有一個連結: https://hacked.slowmist.io/這是我們慢霧團隊從 2012 年到現在,記錄的各種大小事件,包括交易所、專案方或個人在被駭時的一些情況。這些記錄詳細說明了專案方因何原因被駭。我分享這個連結是因為,我覺得單單學習技能樹可能還不夠,大家還需要了解過去一年、兩年甚至三年內,哪些計畫被駭以及它們的原因。透過分析這些漏洞,可以更深入地理解安全問題,從而不斷打磨自己的技能。
Liz:
我補充一下,Tony 剛剛分享的這個連結幫助確實很大。打開連結後,大家會看到各種大大小小的安全事件。對於一些比較重大的攻擊事件,Web3 裡有個很好的學習環境,就是大家都會去關注這些事件,並且深入分析它們的原因。一些保全公司也會發布詳盡的報告,我覺得這是很好的學習機會。
慢霧的公眾號也會發布一些重大安全事件的分析。這些內容不僅適合新手學習,也能幫助業界的夥伴更深入了解 Web3 安全。
Tony:
一些專案方的小夥伴提到,他們讀過慢霧發佈的一些被黑事件分析,覺得內容寫得非常詳細。與其他分析相比,我們的報告從零到一清楚地描述了駭客是如何入侵的,以及使用了哪些技術。這些分析不僅幫助專案方防範類似攻擊,也為業界提供了有價值的學習素材。
Q&A
1. 網路憑證 SSL 的憑證是能夠判斷出是不是真正的網站?
網站證書其實不是完全可靠的方法。因為現在很多釣魚網站也會使用 HTTPS,或是採用與專案方官方連結非常相似的網域尾綴,讓你覺得看起來很正規。所以,網路證書只能作為驗證的一部分,不能完全依賴。還是應該像剛剛提到的,通過多方驗證,最終把可信的網站保存到書籤中會更安全。
而且 SSL 的複雜度也很高,像是有 EV、DV 等不同層級,還分全網域和子網域。這些理解起來可能比直接驗證更麻煩。
這些技術門檻對一般使用者來說會更高,尤其是對小白來說,採用交叉驗證這才是最有效的方式。
2. 簽章漏洞的問題是不是在 EVM 上比較常見?
大多數情況確實發生在 EVM 上,定期更換地址是一個好的習慣,尤其是如果你有多個地址分別用於高頻交易或購買迷因幣(Meme Coin)。高頻交易的地址和用於玩迷因幣的地址建議分開使用,甚至可以在不同的設備上操作。
但要注意的是,許多機器人產生的錢包可能是預先設定好的,不要直接將你在交易所(例如 Binance 或 KuCoin)產生的錢包私鑰導入這些機器人工具,以免私鑰儲存到其他地方。盡量減少此類操作,避免不必要的風險。
3. 現在安全審計行業的團隊規模一般有多大?
業界的安全審計團隊規模通常在 20 到 50 人之間。整體來說,這些團隊規模都不算太大,因為過於龐大的團隊會帶來高成本,而審計業務本身需要較高的專注度。
4. 慢霧的主要業務是否為審計?
除了審計以外,我們還有一項重要業務是 AML(反洗錢)。我們開發的 https://misttrack.io/ MistTrack 反洗錢追蹤系統可以用來幫助專案方或使用者驗證地址,判斷某個地址是否為「黑地址」。 MistTrack 反洗錢追蹤系統累積了 3 億多個地址標籤,其中風險地址的數量達到 9 千萬個。相較之下,我們的資料覆蓋範圍和標籤數量都具有較強的競爭力。
不同公司的數據覆蓋範圍會有差異。有些公司在亞太地區的數據更豐富,而有些公司則在歐美地區的覆蓋範圍更廣。
透過本次採訪,我們深入了解了 Web3 安全領域的關鍵挑戰和發展趨勢。慢霧團隊的專業分享不僅讓我們認識到智慧合約審計與反洗錢(AML)工作的重要性,也揭示了產業未來的發展潛力。透過技能樹、案例分析,以及多年來的經驗積累,慢霧為業界提供了更強大的安全保障,同時也為更多新入門者指明了方向。
安全問題雖然複雜,但透過不斷學習和實踐,每個人都可以為保護自身和產業生態貢獻一份心力。感謝兩位嘉賓的精彩分享,也感謝所有觀眾的熱情參與。期待未來有更多機會與大家探討產業中的新問題與新思路!
免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。