區塊鏈:米林有約丨專訪慢霧科技安全團隊：2020年區塊鏈技術有以下大方向_BTC區塊鏈工程專業學什么

前言

2020年初，隨著整個行業認知和規模的不斷升級，以及疫情、Fcoin等各類黑天鵝事件頻出的影響，區塊鏈技術的更新迭代由此受到了更嚴峻的挑戰，安全領域也同樣面臨考驗。

之前提到，雖然2019年行業安全意識整體有所提高，DApp、智能合約等原先存在的溢出、重放、隨機數等基礎型攻擊方式整體減少，但這也使黑客們的攻擊方式趨于多樣化。

2020年的技術方向有何變化？更應注意哪些領域的安全防范措施？發展迅猛的DeFi如何解決安全性和隱私性問題？本期米林有約邀請到了慢霧科技的安全團隊，一起來解答以上這些問題。

文/星陽

出品/米林財經&慢霧團隊

01關于慢霧科技

慢霧科技是一家專注區塊鏈生態安全的公司，由一支擁有十多年一線網絡安全攻防實戰的團隊創建，團隊成員曾打造了擁有世界級影響力的安全工程。

自2018年1月成立至今，致力于成為全球領先且專注于區塊鏈生態的安全公司，慢霧科技已經為全球多家領先的數字貨幣交易所、錢包、底層公鏈、智能合約等項目做了安全審計及防御部署。

慢霧科技在行業內曾獨立發現并公布多起通用高風險的安全漏洞，得到業界的廣泛關注與認可。

美SEC主席Gary Gensler將于今年9月兩次赴國會作證:8月31日消息，福克斯商業新聞記者Eleanor Terrett在社交平臺上表示，美國證券交易委員會(SEC)主席Gary Gensler準備于今年9月兩次赴國會作證，一次是 9月12日在美國參議院銀行委員會，隨后是9月27日在美國眾議院金融服務委員會。

在這些預定的聽著會之前，美國議員們（尤其是共和黨人）對Gensler提出了一系列批評和指控。眾議院金融服務委員會高級成員Patrick McHenry批評Gensler對數字資產監管的方法過于激進，特別是考慮到缺乏明確的加密貨幣指導方針，表明哪些數字資產屬于SEC的管轄范圍。McHenry和其他人對SEC監管方式的本質表示擔憂，他們認為SEC的監管方式優先于執法，而不是明確的指導方針規定。[2023/8/31 13:09:01]

目前慢霧科技已為全球50多家交易所提供了安全審計與安全顧問服務，例如火幣、OKEx、幣安、BigONE等。

同時也為100多款軟件、硬件錢包提供了安全服務，包括MYKEY、imToken、imKey等，此外，慢霧已經累計審計了30幾條公鏈和600多份智能合約，例如唯鏈、本體、PlatON，以及穩定幣TrueSD、HUSD、OKUSD等，慢霧在區塊鏈安全方面有著非常豐富的經驗。

CryptoPunk#7641以186ETH的價格成交:金色財經報道，數據顯示，CryptoPunk#7641以186ETH的價格成交。[2023/7/24 15:54:40]

02如何判斷平臺的安全性

問：對于一個平臺或者公鏈的安全審核會從哪些維度評估？用戶如何判斷一個平臺的安全性？

答：我們在審計交易所時，會從服務端安全配置、身份鑒別管理、認證與授權管理、業務邏輯、私鑰管理系統、熱錢包架構等方面進行安全審計，確保平臺各個方面都是安全的。

公鏈審計的話，主要關注的是P2P通信、RPC調用、密碼學組件、共識機制、資產交易等關鍵模塊。

從用戶角度看，盡量選擇國際知名的交易所是一個比較通用的原則，同時，也可以看這個交易所有沒有請第三方安全公司做過安全審計，這樣可以從側面看出這個交易所對安全的重視程度。

03慢霧的優勢

Binance.US上的BTC出現近720美元溢價:金色財經報道，截止發稿，Binance.US上的BTC現報價28293.78美元，Binance上的BTC暫報27573.25美元，出現約720美元溢價。對此，Cinneamhain Ventures合伙人Adam Cochran在社交媒體上稱，目前傳言是做市商退出導致Binance US上的BTC/USD價格出現溢價。我的預計是，Binance在CFTC結算中被迫退出美國市場，并連續進行BUSD->BTC->USDT的轉換，我認為這種跨實體重新分配資金推動了BTC/USD價格的上升。這解釋了美元的溢價、BTC的大量拋售、Binance自己的大量BTC移動以及現在Binance.US上BTC/USD價格的嚴重偏離。

但這還不能解釋為什么其他交易所似乎也有點脫節，所以可能是附帶傷害。[2023/5/9 14:52:27]

問：和其他安全領域的公司相比，慢霧有什么優勢？

答：慢霧是國內最早專門做區塊鏈生態的安全公司，同時我們的服務范圍包括交易所、錢包、公鏈、聯盟鏈、智能合約、礦池等等，幾乎所有區塊鏈生態里的項目類型我們都能提供針對性的安全服務。

這主要是因為，我們團隊成員擁有十幾年的網絡安全攻防經驗，以及深厚的區塊鏈漏洞挖掘能力，目前我們已經獨家發現并命名了多個區塊鏈漏洞。

Lido現已集成OKX Web3錢包:4月21日消息，據官方消息，基于以太坊的最大的流動性質押協議Lido Finance現已集成OKXWeb3錢包，用戶可以連接OKX Web3錢包在Lido進行以太坊質押，此外，用戶也可以直接通過OKX Web3錢包的Discover板塊搜索并進入Lido進行ETH質押，并獲得獎勵。

據了解，OKX Web3錢包是最全面的異構多鏈錢包，已支持50+條公鏈，涵蓋錢包、DEX、賺幣、NFT市場、Dapp探索5大板塊。此外，OKX Web3錢包已上線MPC無私鑰錢包，用戶無需再管理私鑰或者助記詞，即可輕松探索Web3世界。[2023/4/21 14:17:48]

例如：以太坊黑人節漏洞、USDT假充值漏洞、以太坊代幣假充值漏洞、瑞波幣(XRP)“假充值”漏洞、EOSDApp充值“假通知”漏洞、EOS假充值(hard_fail狀態攻擊)、門羅幣(XMR)鎖定轉賬攻擊等等。

此外，我們同時服務了世界前三大交易所、世界頂級去中心化錢包、世界知名公鏈及穩定幣，我們服務的客戶數量已超過700家，是行業里遙遙領先的。

04FCoin需要改進的地方

問：Fcoin張健前幾天在公告中提出，技術問題造成了1000萬美金的損失，在慢霧看來，Fcoin在資產安全和透明上有哪些需要改進的地方？

淡馬錫：對加密和區塊鏈技術仍有信念，但會選擇“最高質量的項目”:金色財經報道，新加坡國有投資機構淡馬錫區塊鏈投資董事總經理 Pradyumna Agrawal 表示，盡管現在加密貨幣領域存在“很多噪音”，但淡馬錫對新興領域技術和機遇仍有“一定程度的信念”，在確保能夠“適應”與其投資相關的各種風險的情況下選擇專注于“最高質量的項目”，淡馬錫也將繼續在這些領域進行戰略投資，并認為對區塊鏈和人工智能解決方案的需求將繼續增長。（businesstimes ）[2022/11/1 12:06:33]

答：慢霧專注于區塊鏈生態安全，從我們安全服務的50幾家交易所來看，我們深刻覺得運營交易所是一個知識覆蓋面很廣、技術難度也比較大的事情，需要各方面人力、物力、財力的投入，才能保障交易所安全、穩定的運營。

目前交易所行業內值得推崇的做法是資產透明和100%保證金，公開交易所的冷熱錢包地址，讓公眾能查看錢包的交易記錄，提升用戶對交易所的信任感。

問：談到交易所的安全，去中心化交易所是否就比中心化交易所安全呢？對于去中心化交易所的安全評估維度會有什么側重點嗎？

答：去中心化交易所主要的特點是資產在用戶的錢包地址中，資產轉移由用戶的私鑰簽名控制，平臺本身不會托管或者無法挪用用戶資產，對用戶的使用門檻更高。

在安全審計方面，會重點關注去中心化交易所的智能合約是否存在安全漏洞，在身份認證、權限管理、拒絕服務漏洞等方面會特別關注，Web安全方面就和中心化交易所一樣。

2019交易所攻擊事件

05如何規避攻擊

問：交易所被黑客攻擊已經是家常便飯，慢霧曾經發現其中一個重要的攻擊手法為APT(AdvancedPersistentThreat：高級持續性威脅)，可否簡單描述一下這個攻擊手段？區塊鏈的攻擊主要有哪些類型，慢霧有沒有做一些分析和統計，需要哪些方面去規避攻擊？

答：APT攻擊是一種高級攻擊手法，攻擊方往往是團隊作戰，并且會持續很長時間的盯著一個目標。

APT攻擊在傳統互聯網安全攻防中是比較多出現的，近兩年由于數字貨幣生態的逐漸發現，越來越多的交易所、錢包遭遇APT攻擊，這在攻防對抗實力上是不對等的，交易所可以借助職業的第三方安全團隊來針對性提升平臺對抗APT攻擊的水平。

區塊鏈生態中的攻擊類型有非常多，可以按照項目的類型來區分，慢霧開發了區塊鏈被黑檔案庫和慢霧BTI平臺，能夠對區塊鏈生態歷史上發生的各類攻擊進行分類整理和統計，同時通過圖表進行可視化的展示。

網址分別是https://hacked.slowmist.io/和https://bti.slowmist.com/

062020安全和技術的方向

問：在2020年，區塊鏈行業安全和技術領域應重點關注的是哪塊？

答：根據慢霧區塊鏈被黑檔案庫(hacked.slowmist.io)數據統計，區塊鏈世界至今被黑金額已近85億美金，其中交易所占了40多億，47%，這個比例是很可怕的，近一半的被黑都來自交易所。

而未被披露的更多，根據我們內部數據統計，已披露被黑事件占所有被黑事件的比率大概是1/3。在2020年交易所安全依然是重點關注的。

2020年，區塊鏈技術的發展有三個方向值得期待：

1.穩定幣的商業創新應用。如果Libra等項目進展順利的話，對加密世界也是個很大的推進。

2.Web3.0讓用戶掌握自己的數據，期待Web3.0亮眼的應用出現。

3.我們始終期待隱私應用在幾個關鍵方向的成熟：資金交易隱私及用戶數據隱私，其中一個很期待成熟落地的應用是安全多方計算(MPC)相關應用，這可以很通用且安全地解決需要多方角色進行的私鑰操作及數據授權等場景的安全可信問題。

07DeFi的安全隱私問題

問：慢霧如何看DeFi仍然會面臨的安全和隱私性問題？是否具備可執行的解決方案？

答：2019年DeFi應用發展迅猛，新形態的推出總會經歷一段混沌期，目前用戶更多會關注DeFi應用的功能和收益，未來在安全和隱私上，隨著Web3.0的發展也會帶來一定的升級。

在平臺安全方面，近期的bZx安全事件反應出一個風控機制缺失的問題，對Oracle的數據沒有進行相應的檢查，導致兌換價格被惡意操縱，給平臺帶來資產及品牌上的損失。

bZx已經遭受了兩次攻擊，不同的是本次的對象是ETH/sUSD交易對，但也許有人會有疑問，sUSD不是對標USD的穩定幣嗎？這都能被攻擊？攻擊手法具體是怎樣的？

在第一次攻擊中，攻擊者結合Flashloan和Compound中的貸款，對bZx實施攻擊，主要分成以下幾步：

1.從dYdX借了10000個ETH；

2.到Compound用5500ETH借了112個BTC準備拋售；

3.到bZx中用1300個ETH開5倍杠桿做空，換了51.345576個BTC，而這里換取的BTC是通過KyberNetwork來獲取價格的，然而KyberNetwork最終還是調用Uniswap來獲取價格，5倍杠桿開完后兌換回來的51個BTC實際上是拉高了UniSwap中BTC/ETH的價格，換取價格是1/109，但是實際上大盤的價格不會拉到這么多；

4.用從Compound借來的112個BTC來在UniSwap中賣掉，由于第三步中bZx中的5倍杠桿已經把價格拉高，所以這個時候出售ETH肯定是賺的，然后賣了6871個ETH；

5.歸還dYdX中的借貸。

第二次攻擊與之前稍有不同，但核心都在于控制預言機價格，并通過操縱預言機價格獲利。

兩次攻擊的主要原因還是因為Uniswap的價格的劇烈變化最終導致資產的損失，這本該是正常的市場行為，但是通過惡意操縱市場，攻擊者可通過多種方式壓低價格，使項目方造成損失。

針對這種通過操縱市場進行獲利的攻擊，慢霧安全團隊給出如下建議：

項目方在使用預言機獲取外部價格的時候，應設置保險機制，每一次在進行代幣兌換時，都應保存當前交易對的兌換價格，并與上一次保存的兌換價格進行對比，如果波動過大，應及時暫停交易。防止市場被惡意操縱，帶來損失。

Tags：區塊鏈ETHBTC區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢ETH錢包地址ETH挖礦app下載Etherael指什么寓意BTCs是不是黃了btc錢包官網btc短線交易

火幣交易所