mt logoMyToken
Market cap:
0%
FGI:
0%
Cryptocurrencies:--
Exchanges --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

圆桌:Web3时代如何保障资产安全 ?| Web3.0 Cloud Day

Collect
Share

圆桌:Web3时代如何保障资产安全 ?| Web3.0 Cloud Day

12 月 15 日,Web3.0 Cloud Day Singapore 2022 活动于新加坡顺利举办。

第三场圆桌论坛,由 AI 与加密艺术家 Ting 担任主持,五位嘉宾针对「Web3 安全」主题发表了自己的看法,分别是:Alibaba Cloud Intelligence 新加坡地区解决方案架构师总监 Yang Kan、Beosin 执行总监 Tommy Deng、Cobo 国际副总裁 Junde Yu、Numen Cyber 市场总监 Joanna Zhang、Safeheron 业务拓展主管 Jag Foo。

以下是圆桌对话实录整理:

Ting:众所周知,区块链是基于去中心化等思想基础促进交易快捷可信发生的行业。但是, 2022 年是充满戏剧性事件的一年,Web3 行业内安全问题频出。在 阿里云(Alibaba Cloud)和 Odaily 伙伴们的帮助下, 今天这场圆桌聚集了众多安全行业内的实践者,我们讲一起进一步探讨「如何让Web3行业不同参与者更为安全」。首先,先请各位嘉宾简单进行一下自我介绍。

Tommy Deng: Beosin 是一家区块链安全公司,目前 在新加坡、 香港 、迪拜、日本、韩国等地均有分布 。我们与阿里云(Alibaba Cloud)合作了很长时间,进行 其生态内Web3项目的安全 审计。今年我们在推出了区块链安全 预警 服务 EagleEye ,以确保 上线项目 运行 安全。 同时 我们 在扩展 其他机构业务 ,因为我们注意到仅仅保证智能合约的安全是不够的,还有很多机构 面临 像 FTX 这样的内部 合规 风险,所以我们 推出了 KYT(Know Your Transaction)的反洗钱服务

Junde Yu: Cobo 是一家全球领先的数字资产托管和区块链技术提供商,总部位于新加坡。作为一家以科技驱动为核心的创新公司,Cobo 专注于构建可扩展的基础设施,推动 Web 3.0 领域的发展,我们有一系列的解决方案——集中托管、分散托管或自我托管等等,目前已经与 500 多家企业达成合作。

Joanna Zhang: Numen Cyber 是一家总部位于新加坡的 Web3 安全及网络威胁检测和响应的解决方案提供商。Numen Cyber Labs 由来自全球的顶级安全专家组成,技术团队发现过很多知名 Web3 生态 (Aptos, Sui, EoS, Ripple, Tron 等) 及项目、微软、谷歌、苹果产品的高危漏洞,并提供业界领先的 Web3 安全解决方案,可满足各种 Web3 应用场景的网络安全需求。 Numen Cyber 通过对智能合约、公链、钱包、交易平台安全审计,链上合约威胁检测和响应,Web3安全态势感知、数字货币追踪和Web3威胁情报等服务和产品增强Web3项目在整个开发周期各个阶段的安全能力,保障项目方和用户的数字资产安全。

Jag Foo: Safeheron 是基于 MPC (安全多方计算)和 TEE (可信计算)技术的数字资产安全自托管服务提供商,用户可以完全控制自己的私钥,通过 MPC 和私钥分片管理也可以有效防止单点故障。Safeheron 由一支拥有超十年网络攻防、密码学实战经验的团队创建。 自 2019 年以来,核心团队便一直奋战在数字资产安全存管的科研攻防一线。

Yang Kan: 过去 5 年,我一直在阿里云(Alibaba Cloud)工作,帮助企业迁移到云端。今天,我们在 web3 原生业务方面有很多机会,帮助众多企业从 web2 转移到 web3。对这些企业而言,在他们迁移到 web3 时,安全性成为一个重要的考量指标,这也是我们可以发力的方向。

Ting: 2022 年个人和加密项目资产被盗事件频繁发生,能否请各位嘉宾介绍一下最常见的方式是什么?

Joanna Zhang: 针对个人的攻击方式有很多种,比如网络钓鱼或私钥盗窃,这些是攻击个人的最常见的方式。还有很多项目被攻击,是因为他们的代码或项目存在漏洞,这也是智能合约最典型的弱点。因此,我们也建议项目开发者完善代码开发,做好智能合约审计,可以有效降低风险并避免遭遇攻击。

Jag Foo: 纵览资产被盗的过往历史,你会发现私钥泄露是一个重要因素。2022 年,超过 10 亿美元的加密资产被黑客盗取,主要方式就是窃取私钥。为什么会造成这样的情况?主要原因是大多数机构管理私钥的方式是由单人掌握;一旦私钥丢失极易造成单点故障,失去对资产的控制。当然,即便你的资产都存放在中心化机构,不存在私钥丢失的情况,你也可能失去资产,比如 FTX 破产。

Tommy Deng: 我们每季度、每年都会发布一份安全报告。根据我们的统计, 截至目前为止 2022 年区块链上有 37 亿美元的加密资产遭遇黑客攻击或被盗,其中 40% 是智能合约有漏洞, 40% 是由于私钥泄露; 从项目分类来看 , 70% 的资产被盗与 DeFi 以及跨链桥有关。

Junde Yu: 一些被盗案例,主要是公司内部某个人犯错,可能是主观作恶,也可能是因为疏忽错误点击了钓鱼链接。

Ting: 针对这些加密风险因素,各位嘉宾能否分别给个人和项目提供一些安全建议,保护他们的资产安全?

Yang Kan: 在 Web2 时代,我们会在多个层面进行安全管理,比如每个项目上线前我们都会做渗透测试, 对安全性进行评估。现在进入 Web3 时代,这套法则依然适用。我们建议项目做好智能合约审计,关注 业务逻辑和操作。 web3 安全 是一个非常专业的领域,牵扯的因素很多,但从本质上来说与 web2 时代没有什么不同。

Tommy Deng: 首先,确保私钥安全。当你注册链上 钱包 时,不要对私钥截图或复制到剪贴板;不要 在手机 安装任何可疑的移动应用程序,因为它们有 权限访问你的相册和 剪贴板。其次,多样化 资产配置 ,将你的资产储存在多个链上, 同时 在中心化 (交易所)和 非中心化 (钱包、DeFi) 平台 分别配置

对于项目 来说,在 上线合约 之前需要做一下智能合约审计。其次是做好内部合规和管理 有一些加密盗窃案例显示,联合创始人或员工可能会窃取私钥 并跑路 。因此作为老板要正确管理团队,确保不让 一个人掌握所有的私钥。

Junde Yu: 大多数加密盗窃案都与内部人员有关。在内部风险管控的基础上,需要引入多方权限去避免资产流失对于多方共管的 MPC 钱包。即便有人犯错,仍然需要更多的人签名,才能提取资产。MPC 自托管比较合适已经有完善的安全防备设施和安全管理系统的机构,当然也可以考虑把数字资产托管给行业服务商。MPC 和中心化托管都是 Cobo 针对不同客户需求提供的资产存储管理方案。

Joanna Zhang: 对于个人来说,首先要提高自己的安全意识,比如开户以及交易时,选择安全的有资质的加密平台,可以有效降低风险。这些平台会做监管审计,保护你的账户;他们也有政府许可证,这将帮助你避免危险的项目。

对于项目方来说,需要做好合约代码审计以及增强整体服务安全性。另外,即便是经过安全审计的项目,也不能掉以轻心,一些攻击通常会在项目启动后发生。所以链上安全检测与防御也非常重要。

Jag Foo: 不要把所有的鸡蛋放在一个篮子里,这样即便某些方面受到黑客攻击,你的资产可能也不会丢失。重要的是,机构需要有一个能缓解单点故障的风险和多层次的安全策略;更关键的是,要有一种安全文化:从不信任,永远验证。

Ting: CeFi 平台,比如 CEX 和中心化加密借贷机构,应该如何同时实现安全性、合规性以及透明度?

Junde Yu: 首先,公布自己的钱包地址,这将激发透明度;其次是邀请第三方审计来审查你的系统;最后是要有更严格的 KYC。

Cobo 目前也正在开发一些产品,中心化机构可以考虑使用我们的 MPC 协管解决方案,并把其中一把私钥分片交给信任的第三方(如 fund admin、律师所、审计公司、监管方等来保管),这样可以较大程度避免内部作恶,从而给 proof-of-reserves 带来更多的信息透明度,增加投资者对 CEX 机构的信心。

Yang Kan: 中心化平台面对众多的交易者,他们可能行为各异,你需要从源头做好 KYC,从而确保平台的合规性。更关键的是,建议风控防护体系,当用户行为触发警报时要及时响应。遇到问题,也要及时发布公告告知用户。

Jag Foo: 通过 FTX 事件,我们可以学到很多教训,比如没有完善的风控,没有适当的职责分离……大家可以看一下这些不良行为,作为反例。

Joanna Zhang: 首先,满足本地的合规要求是非常重要的;CeFi 公司还应该获得项目的相关认证;要有一个好的安全团队来做审计或安全保护,不管是技术安全还是内部法规。你也可以与安全公司合作,减少你的安全弱点。

Tommy Deng: 中心化平台在未来可能会变得非常受限制。地方政府开始介入,对它的监管也越来越多,我们也帮助很多 国家的监管机构 做了反洗钱的 合规 工作。因此,中心化平台要遵守当地的法规,保证他们将来不会惹上法律的麻烦。

Disclaimer: The copyright of this article belongs to the original author and does not represent MyToken(www.mytokencap.com)Opinions and positions; please contact us if you have questions about content