整理 小玲兒
出品 耳朵財經
4月22日,《耳朵財經》邀請零時科技CEO鄧永凱在耳朵財經區塊鏈長征社群進行分享,原文如下:
大家下午好,我是零時科技鄧永凱。很高興在今天下午能跟大家分享一些關於區塊鏈安全知識。
我先簡單介紹一下我們深圳零時科技有限公司,簡稱零時科技,它是一家專注區塊鏈生態應用安全的實戰創新型網絡安全企業。我們的業務覆蓋區塊鏈生態基礎設施的各個方面,比如對交易平臺、錢包、鏈安全、智能合約等安全審計,還包括數字貨幣的追蹤溯源以及反洗錢的業務。歡迎有興趣的用戶來與我們溝通交流。
零時科技的介紹
我們今天的主題是關於數字貨幣的安全,我們手裡的數字貨幣應怎麼保存?怎麼投資才能讓我們的數字貨幣更安全,而不遭受損失?
可能大家對區塊鏈安全都有所瞭解,而且安全在區塊鏈世界的需求很強烈。每一天或每一時刻幾乎都在發生安全攻擊或黑客盜幣事件。
近期區塊鏈安全事件分析
最近兩個月發生的區塊鏈安全事件,大大小小加起來共有30多起。我們每個月都會跟蹤區塊鏈的安全事件,主要包括一些交易所、錢包、Defi項目、個人錢包、數字貨幣欺詐等。目前安全事件頻發的原因,大部分在於安全防護不到位以及用戶自身的安全意識不高。
交易所安全方面,例如最近很火的Fcoin跑路事件,還有OKex和幣安遭受DDOS攻擊事件。交易所經常被攻擊,而且意大利的交易所在二月份還因為熱錢包被黑客攻擊而損失了大量的數字貨幣。錢包方面,大部分是項目方的錢包或交易所的熱錢包以及個人用戶錢包的私鑰被盜,從而導致損失大量數字資產。
最近的一個熱點無非是Defi安全,包括上週日發生的Lendf.Me借貸平臺被黑損失了近2500萬美金。這次盜幣事件的主要原因在於合約的安全,就是ERC777這個合約的設計缺陷,這個黑客利用重入漏洞以滾雪球的方式將借貸平臺的數字貨幣洗劫一空。
另一問題是由於個人的安全意識不足,包括因一些第三方託管平臺導致用戶個人的錢包私鑰被盜而遭受損失。比如一個多月前,著名的巨鯨賬戶“zhoufujian”,他的錢包損失了1547個BTC和近6萬個BCH,損失金額巨大。
在網絡世界裡,基本上每天每時每刻都在發生著各種各樣的惡意攻擊,包括攻擊個人錢包、交易平臺以及合約等。因此,用戶保護自己的資產安全面臨著很多問題和挑戰。
幣被盜的情況
下面分享第一個問題,我們把幣放在交易所是否安全或如果我們把幣放在交易所會在什麼情況下被盜?
其實在幣圈,大部分用戶都把幣存在交易所,那怎樣才能保證資產安全而不被盜走?這時就需考慮交易所的一些安全措施及相關情況。
如果用戶把數字資產放在交易所,建議大家儘量選擇知名交易所,比如火幣,OKex等比較強勢的交易所。有背書能力或是遭受小的攻擊,交易所也能承受。
資產放交易所後,建議大家開啟兩步驗證,比如Google auth或者2fa兩步驗證,開啟異常登錄提醒,當然前提是我們把幣存在的第三方交易所有這種功能,如果它沒有,建議大家不要存放。
個人賬戶也存在被黑客攻擊的情況,我們已經收到很多用戶私鑰被盜而損失數字貨幣的情況。比如在社交網絡裡的互聯網信息洩露,還包括個人被釣魚攻擊,在上網時遭受水坑攻擊,還有電腦PC、手機等中木馬病毒等行為都會導致錢包被黑。
如果將數字貨幣存在交易所,主要取決於交易所是否足夠安全。比如交易所被黑客攻擊或是交易所因為內部虧空等原因跑路,用戶資產也會受到相應的損失。而且在沒有監管和透明標準規範的情況下,用戶只能靠自己,第三方平臺並不能保證你的幣絕對安全。
交易所可做的防護措施
既然有很多用戶將幣都放在交易所,那從企業責任的角度來說,該如何加強防護以讓交易所更安全,讓用戶的資產更有保障?其實,安全是一個動態的過程,在任何場景下都沒有絕對安全,也從來不存在一家機構或交易所說它100%安全。
安全的核心在於攻防對抗。所有的安全防禦都是為了增加黑客的攻擊成本。而且交易所面臨的風險是多種多樣的,不存在單點問題。
如發生傳統的網絡攻擊,有核心業務的安全問題,包括它的合約問題,而且最難以防的是內鬼作案以及高級APT攻擊。
目前,在交易所被盜被黑客攻擊的案例中,大部分都是由於高級的滲透測試,APP釣魚攻擊。黑客其實一直在盯著你這個機構,而且面對地下組織的黑客,大部分交易所無法防禦。比如黑客利用高級釣魚進行層層滲透,長期潛伏,經過一段時間之後,拿到你的私鑰,再盜走你交易所錢包裡的幣。在這個層面上,多數交易所是沒有防禦能力的。
交易所面臨的風險多種多樣,而且是多維度的。在這裡列幾點:交易所應該要做到的安全防護,比如你產品上線之前必須進行安全審計;在業務上新或者功能上線時,定期進行安全測試;生產環境,包括網絡都要有專業的安全防護體系,比如雲安全防護,有內部生產環境和辦公網中APT的攻擊預警,還有必須有風控體系。
安全風控系統是通過平臺的交易數據進行建模分析,而後自動識別異常和正常交易。如果發現異常交易,可及時預警並攔截以減少資金損失,或可以接入第三方AML系統,零時科技也有這種AML系統和數據接口。
在前兩天借貸平臺被盜事件中,如果合約裡有風控機制,有一鍵啟停功能,如果發現異常交易可以及時鎖定合約中的交易,以減少大額轉出的損失。
另外,交易所需有健全的錢包安全解決方案,比如常見的冷熱分離,分散多籤等;也可以在社區發佈這種漏洞賞金,發動社區白帽子進行漏洞挖掘;也可以在第一時間接入安全威脅情報。
零時科技有區塊鏈安全威脅情報中心,目前我們已經和耳朵財經合作,大家下載耳朵財經APP就可以在第一時間關注行業的最新安全情報。這些安全情報在某種程度上就可以提前阻斷一些新的漏洞和一些新型攻擊手法,提前預警可減少不必要的黑客攻擊損失。
幣丟了,能找回?
接下來的問題是:如果我的幣丟了,該怎麼辦?有沒有可能將丟失的幣找回來?
據數據調查顯示,目前越來越多人逐漸開始將數字貨幣從交易平臺提至自己的錢包中。這裡最核心的問題是,如果我們沒管理好自己的數字貨幣,它被盜、丟失或轉賬錯誤,那我們怎麼找回這些幣呢?我們經常收到用戶這樣的反饋,這裡我舉一個例子。
之前一個用戶反饋不記得助記詞,且把助記詞放到網盤裡了。有一天,他登錄imtoken錢包時,發現錢包中價值30萬的BTC沒了。然後我們根據他的情況瞭解詳細信息,最後發現他的網盤之前被別人登錄過,而且密碼也被改了。對方拷貝他網盤中的助記詞,然後恢復錢包,把數字貨幣轉走了。當時他還不知情,到後來才發現自己的數字貨幣已經沒了。
但結果是好的,他反饋情況後,我們通過追蹤他的錢包,發現黑客將數字貨幣轉很多次後,到了一個交易所裡,而且那個交易所的地址在外面的網絡上未被標記。通過我們系統獨特的手法對它進行分析,發現這個地址是coinegg交易所地址,而後我們聯繫coinegg,他們也證明了這個地址是他們的錢包地址,然後這個用戶就聯繫第三方資產鑑定機構以及監管機構通過交易所找回了自己的數字貨幣。
還有一個案例,用戶將他的10萬多個USDT打到一個錯誤地址,然後拿不回幣了。他找到我們,當時因為幣打錯地址後,這個地址沒有立即進行交易,我們把它放在我們的監控系統中,過了一週後,這個地址上的幣突然轉到了OKex交易所。我們提示他去聯繫OKex交易所,通過提交工單,最後追回這部分數字貨幣。
不管是平臺賬號被黑,還是助記詞被盜、幣轉錯地址或錢包密碼忘了,在以上情況中,不是每一種情況都能追回數字貨幣,需看你通知我們丟幣的時間以及當時的情況,而後在一定程度上可以避免損失。
如果你將幣放在imtoken被轉走後,沒有及時看到imtoken的消息通知。這時,你不知道自己全部的資產被轉走或已被盜。如果你將錢包地址綁定我們的監控平臺,我們會在第一時間通知你的錢包動態。我們之前監控到一種惡意洗錢操作,8個小時後,我們才能在區塊鏈瀏覽器上看到這筆交易,而我們的監控卻是在第一時間發現,並儘可能挽回你的損失。
如果資產被盜,我們可以對資產進行追蹤,它到了某個交易平臺,我們可以聯繫相關司法鑑定機構鑑定資產,配合安全機構通過技術手段找回。
當然不是每一種丟幣、盜幣都可以追回,需看你的幣在什麼情況丟了或被盜,且你得第一時間聯繫專業的安全團隊獲取更多的信息,以便進行追蹤溯源,繼而進行資產鑑定,我們可以提供技術輔導,而你也可以選擇報警處理。
如果盜你幣的人是個笨賊,留下了許多蛛絲馬跡,這找回來的希望會更大。如果他是一個慣犯或手法嫻熟,那能找回來的幾率較小。這需具體情況具體分析,但我們絕對會用技術手段和數據幫助用戶儘可能的減少或挽回損失。
如何保障我們的個人數字資產?
最後,個人用戶到底該如何存儲我們的數字貨幣才是最安全?
如果你是接觸區塊鏈不久的新用戶或是持幣量不大的用戶,建議將資產託管在全球知名交易平臺,並開啟二次認證以及登錄保護等措施。如果你對區塊鏈有一定的認知,對數字貨幣市場相對了解,那去中心化錢包是一個較好的選擇,但必須選擇這種國際知名的錢包。
選擇去中心化錢包存儲數字貨幣時,同時離線備份自己的助記詞,且儘可能多備份。使用物理介質存儲,儘量不要觸網。在保存助記詞時,助記詞一定得抄錄正確。如果你的資金量比較大,對安全需求相對較高,可以選擇知名的硬件錢包或是專業的資產託管機構。
助記詞被盜的情況比較常見,所以如果是個人保存助記詞,私鑰和助記詞不要截圖,儘量不要觸網。比如不把助記詞發到網盤上、通過郵箱傳輸或是發到社交軟件上,這都是非常危險的行為。
如果日常使用,可以將一部分幣放在熱錢包中,如果是大額數字貨幣則可以放在知名硬件冷錢包中,如果還需更高的安全級別,可以申請加密賬戶進行存儲。
最後最重要的是大家得提高個人網絡安全意識。比如你在社交網絡上儘量不要留下一些個人真實用戶信息。下載軟件時,儘量從官方渠道下載。如果在郵件中遇到陌生的附件,千萬不要隨意點擊。提高個人的上網安全可以在很大程度上保證自己的資產安全。
關於交易所的安全測試和防護指南,包括我們個人的網絡安全意識指南,我們的官方公眾號有一系列的文章,大家可以關注並瞭解。例如我們會從各個方向細緻講交易所到底都存在哪些安全問題;我們應該如何加強交易所的安全測試和安全加固;個人用戶該從哪些方面提高自己的安全意識;有哪些地方容易中招導致被攻擊被黑;從各個方面詳細介紹以提高我們安全防護能力。
我們近期也會出版企業級區塊鏈安全審計和防護書籍,以及針對用戶如何提高個人網絡安全意識的書籍,大家可以關注我們的官方消息,到時在市場上購買。
安全是一個動態的過程,也是個攻防對抗的過程,沒有絕對的安全,也沒有100%安全的項目和公司。隨著業務的發展,也會引入新的安全問題。術業有專攻,無論是機構還是個人都需要提高自己的網絡安全意識,加強網絡安全防範。
如果發生數字貨幣丟失損失或是機構項目平臺被攻擊的情況,可以及時與我們聯繫,我們會盡可能的幫您減少或挽回經濟損失。
私鑰在手,資產我有。希望大家能夠找到適合自己的方式掌管私鑰,也希望所有的項目方和交易所少被黑客攻擊。
今天的分享就到這裡,非常感謝大家騰出寶貴的時間來一起交流區塊鏈和數字貨幣的安全!
