近日,來自慢霧出品餘弦老師編寫的《區塊鏈黑暗森林自救手冊》迅速走紅,僅 Web3Caff 發布的該條推特已超 600 人次轉推,超 13 萬次曝光。這篇安全手冊如此備受歡迎的原因也很簡單,即每個人都深知「安全」的重要性。本期,我們有幸邀請到慢霧科技做客 Web3Caff ,話不多說直接進入主題。
Q:首先,非常感謝慢霧科技參與 Web3Caff 首期「開放式採訪」欄目。簡單介紹一下自己,Web3Caff 是一家致力於 Web3.0 領域研究的深度垂直媒體平台,歡迎大家同我們以全球視野探索 Web3.0 產業發展趨勢及新經濟動態。首先請您簡單介紹一下慢霧科技以及您的團隊?
Hello,大家好,我們是慢霧安全團隊,很高興能來 Web3Caff 做客。慢霧科技 (SlowMist) 是一家專注區塊鏈生態安全的公司,成立於 2018 年 1 月,由一支擁有十多年一線網絡安全攻防實戰的團隊創建,已經服務了全球許多頭部或知名的項目,客戶分佈在十幾個主要國家與地區。
Q:作為區塊鏈生態的安全守護者,你們認為當前的區塊鏈項目出現的安全性攻擊事件所造成的資金損失一般最終歸類於哪些核心因素呢?比如代碼漏洞,或者是人為管理不當,亦或者是底層基礎設施問題?…
我們從區塊鏈作惡方式來看,主要有幾個方面:釣魚攻擊、木馬攻擊、算力攻擊、智能合約攻擊、基礎設施攻擊、供應鏈攻擊及內部作案。我們拿常見的智能合約攻擊來說,存在以下攻擊方式:閃電貸攻擊、合約漏洞、兼容性或架構問題,現在還出現了新的手法:前端惡意攻擊以及針對開發人員釣魚,再通過開發人員獲取到私鑰,偷取用戶資金;以及人性的安全,如項目方跑路或內部人員作案。
Q:回到 C 端用戶,作為使用加密資產的普通用戶,在你們受理的案件中或是相關輿情分析中,用戶被盜的原因一般都有哪些?我們應該如何更好的守護手中的加密資產,以防止被釣魚?以此您可以再講一下黑客的一些主要盜幣手法。
按我們接觸的受害者信息來說,原因最多的就是私鑰/助記詞洩露和被釣魚,比如私鑰/助記詞保存不當,洩露了導致資損;或是訪問假官網,下載假 App、授權漏洞等,比如說有用戶不知情的情況下授權了惡意合約,還有就是殺豬盤詐騙。因此人作為安全體系最薄弱的環節,應時刻保持懷疑之心,首先,認准官方網站,不要點擊除官方外的鏈接,必要時可通過官方驗證通道核實;其次,做好錢包備份並妥善保管好私鑰助記詞;最後就是要時刻記住,天下沒有免費的午餐。這里安利大家去看我們剛發布的區塊鏈黑暗森林自救手冊,掌握你的加密貨幣安全。
Q:和傳統領域相比,我們的理解區塊鏈生態更像是黑暗森林,因為它存在難以追溯的屬性,因為這本是區塊鏈匿名的主要特性。你們在執行案件追查的時候,是如何進行溯源背後黑暗力量的?
凡有入侵、必留痕跡。拿我們深度參與的 PolyNetwork 事件來說,事件發生第一時間,我們團隊保持高度關注,分析攻擊過程與追踪資金流向並行。單從資金追踪來說,一方面是藉助社區合作夥伴等的一些特殊情報力量,另一方面就是藉助我們自己的反洗錢追踪系統 MistTrack 了。MistTrack 積累了 2 億多個地址標籤,能夠識別全球主流交易平台的各類錢包地址,包含 1k+地址實體、100K+個威脅情報數據和 90M+個惡意地址,為我們的追踪溯源提供了全面的情報數據支撐。目前 MistTrack 也是準備上線的狀態,大家可以期待一下,這是一個適合每個人的加密貨幣追踪和合規平台。
Q:你們在處理被黑案件的過程中經常會遇到哪些難題?你們是如何解決的?
難題倒還好,許多人被盜幣來諮詢我們,但是被盜信息自己都不太清楚,然後具體在對接時,有些人甚至出現刻意隱瞞關鍵信息導致浪費時間或耽誤了絕佳時機的情況。這個就需要用我們大量的經驗來引導受害者梳理案件了。
Q:我們換一個角色,現在的區塊鏈項目方應該從哪些角度守護平台和用戶的安全?您可以從架構、測試網、智能合約等方面談一談,如果出現被黑事件,如何及時止損以及守護案發現場?
對項目方來說,在項目上線之前進行全面深入的前後端及合約的安全審計是非常有必要的。然後,建議各項目方健全內部管理與技術機制,通過引入多簽機制、安全審計機制、零信任機制、等來加大資產保護的力度。
一旦出現被黑,第一時間止損,止損即把剩餘資產安全轉移,不讓損失變得更大。比如搶跑、聯繫鏈上凍結、聯繫中心化平台做必要風控。局面穩住後,想想如何不會出現二次、三次傷害。保護案發現場,我們在此提供幾個經驗:針對電腦、服務器這類聯網設備,一旦這些是事故主場,立即斷網,但不關機(電源供電持續)。除非你自己有能力,否則等待專業安全人員介入取證分析。盡量保存良好的案發現場。
Q:OK,感謝您的回答。我們下一階段進入到「開放式對話」的核心環節——即用戶提問,我們在 Web3Caff 華語 Twitter 進行開放式提問,目前收到了不少用戶的提問,現在我們精選幾條。首先第一個來自於 @Random_walker_1 提問:機會難得,正好有幾個問題想請教:1)從非技術人員角度如何預判可能的安全問題;2)導致安全問題的常見原因會是什麼(例如:不夠去中心化/代碼安全);3)web3 的安全問題是共性問題(例如 web2 的 DDoS 等)還是個性問題(例如只是某條 chain 的問題),這些問題由第三方廠商解決更合適還是各個項目自行解決
1)這裡不太清楚指的是哪方面的安全問題。就遵循兩大原則:1. 保持對一切的懷疑 2. 網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
2)除了技術性的,最常見的就是人性安全了,這個是不可控的。
3)web3 也需要服務器,網絡等基礎設施,所以傳統安全方面等問題也同樣會出現。問題比較多,舉一個例子吧,如 DDoS ,大家可以部署相關多抗 D 防禦設備如 Akamai 等解決。
Q:第二個用戶 @TaroCrypto:你們目前處理過最複雜的案件是什麼?
我們遇到過有些受害方故意隱瞞關鍵信息,導致錯過最佳時機的情況,這算是比較難搞的了。
Q:第三個用戶 @0XElla:對當下而言,跨鏈橋是否存在著天然的安全性問題?作為普通用戶,在使用跨鏈橋的時候需要注意什麼?還是盡量不要使用?
跨鏈的原理是打破鏈與鏈之間的信息孤島壁壘,提供了一種相互通信和兼容的方式來安全地在雙方進行互操作。跨鍊為用戶提供了交互的便利,鏈上交易需求也大大增加,跨鏈橋託管的用戶跨鏈資金規模也越來越大,安全風險也越來越大。
用戶使用時要注意,使用跨鏈橋時重要的是要了解你的資金是如何被保護起來的,可以從一些維度上去看跨鏈橋的風險水平,例如:項目合約是否開源?項目是否有多方安全審計?私鑰的管理方案是 MPC 多方計算?還是多節點多簽?還是由項目方統一保管私鑰?
Q:OK,非常慢霧科技參與本期「開放式對話」,最後可否分享一下你們當前取得了哪些引以為傲的成績,也讓所有的 Web3 用戶開心一下,因為正是你們包括所有的區塊鏈安全從業者才能讓這片黑暗森林得以守護,感謝你們付出的貢獻!今天的話題非常有趣,最後的最後,還想再提一個問題,您可以再講一下你們安全圈裡最有趣的一件事嗎?或者說您最想聊的一件事,因為今天的話題屬於較為嚴肅和嚴謹,我們也想听聽您的一些關於慢霧團隊或者安全領域一些 “其他聲音”。
這裡,就給在 Web3 世界的用戶提供一些建議吧:
首先,盡量參與經過專業安全公司審計的項目,看看該合約是否開源,想了解合約是否經過我們的審計,可以使用我們的合約審計查詢通道(https://www.slowmist.com/service-smart-contract-security-audit.html)。
其次,管理好自己的密鑰,不要點擊或下載來歷不明的鏈接、軟件,注意釣魚或授權的漏洞。最近 Discord 和 Telegram 的騙局都非常猖獗,一定不要輕信別人。
最後也是最重要的一點,保持對一切的懷疑之心。
免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。