圓桌：Web3時代如何保障資產安全 ？| Web3.0 Cloud Day_區塊鏈:EOSADD

12月15日，Web3.0CloudDaySingapore2022活動于新加坡順利舉辦。

第三場圓桌論壇，由AI與加密藝術家Ting擔任主持，五位嘉賓針對「Web3安全」主題發表了自己的看法，分別是：AlibabaCloudIntelligence新加坡地區解決方案架構師總監YangKan、Beosin執行總監TommyDeng、Cobo國際副總裁JundeYu、NumenCyber市場總監JoannaZhang、Safeheron業務拓展主管JagFoo。

以下是圓桌對話實錄整理：

Ting：眾所周知，區塊鏈是基于去中心化等思想基礎促進交易快捷可信發生的行業。但是，?2022年是充滿戲劇性事件的一年，Web3行業內安全問題頻出。在阿里云和?Odaily?伙伴們的幫助下，今天這場圓桌聚集了眾多安全行業內的實踐者，我們講一起進一步探討「如何讓Web3行業不同參與者更為安全」。首先，先請各位嘉賓簡單進行一下自我介紹。

TommyDeng：Beosin是一家區塊鏈安全公司，目前在新加坡、香港、迪拜、日本、韓國等地均有分布。我們與阿里云合作了很長時間，進行其生態內Web3項目的安全審計。今年我們在推出了區塊鏈安全預警服務EagleEye，以確保上線項目的運行安全。同時我們也在擴展其他機構業務，因為我們注意到僅僅保證智能合約的安全是不夠的，還有很多機構面臨像FTX這樣的內部合規風險，所以我們推出了?KYT的反洗錢服務。

WBF瓦特合約2020春季新品發布會“云上之約”圓桌論壇開啟:4月24日15:50，由WBF交易所主辦的“瓦特合約|2020春季線上發布會”正在直播，WBF交易所合約事業部CEO Ethan Cheng、金色財經CEO安鑫鑫、紐約DUSD創始人趙勝、幣世界CEO譚晨輝、合約帝聯合創始人小叮當、幣信FOF投資總監呼彥杉、幣印礦池聯合創始人朱砝出席發布會“云上之約”圓桌論壇，共同見證WBF的里程碑時刻。并對數字資產衍生品的現狀與趨勢做出了分析與點評。大咖們現場連線，觀點層層碰撞，針對交易、產品、團隊、理念等各個環節進行了深入的探討。[2020/4/24]

JundeYu：Cobo是一家全球領先的數字資產托管和區塊鏈技術提供商，總部位于新加坡。作為一家以科技驅動為核心的創新公司，Cobo專注于構建可擴展的基礎設施，推動Web3.0領域的發展，我們有一系列的解決方案——集中托管、分散托管或自我托管等等，目前已經與500多家企業達成合作。

JoannaZhang：NumenCyber是一家總部位于新加坡的Web3安全及網絡威脅檢測和響應的解決方案提供商。NumenCyberLabs?由來自全球的頂級安全專家組成，技術團隊發現過很多知名Web3生態及項目、微軟、谷歌、蘋果產品的高危漏洞，并提供業界領先的Web3安全解決方案，可滿足各種Web3應用場景的網絡安全需求。NumenCyber通過對智能合約、公鏈、錢包、交易平臺安全審計，鏈上合約威脅檢測和響應，Web3安全態勢感知、數字貨幣追蹤和Web3威脅情報等服務和產品增強Web3項目在整個開發周期各個階段的安全能力，保障項目方和用戶的數字資產安全。

動態 | 日本金融廳舉辦常規全球數字貨幣圓桌會議:據消息，日本金融廳（JFSA）舉辦了首次國際數字貨幣圓桌會議。該活動的標題是“關于加密資產監督監督的圓桌會議 -發展和未來的挑戰”。該機構稱，“圓桌會議匯集了相關的金融監管機構和國際組織，提供了一個分享經驗和討論加密資產問題的有用機會，這有助于加強國際合作。”同時該機構澄清說：“本次圓桌會議的目的不是就任何新的法律法規達成協議，而是分享有關各監管機構和監管框架所面臨挑戰的信息，以及在國際上的合作和工作。”[2018/10/23]

JagFoo：Safeheron是基于MPC和TEE技術的數字資產安全自托管服務提供商，用戶可以完全控制自己的私鑰，通過MPC和私鑰分片管理也可以有效防止單點故障。Safeheron由一支擁有超十年網絡攻防、密碼學實戰經驗的團隊創建。自2019年以來，核心團隊便一直奮戰在數字資產安全存管的科研攻防一線。

YangKan：過去5年，我一直在阿里云工作，幫助企業遷移到云端。今天，我們在web3原生業務方面有很多機會，幫助眾多企業從web2轉移到web3。對這些企業而言，在他們遷移到web3時，安全性成為一個重要的考量指標，這也是我們可以發力的方向。

百人圓桌 工信部五所相里朋：更看好DAG共識機制 DAG是區塊鏈3.0典型技術:在金色財經百人圓桌EOS系列問題上，對于“更看好哪一種共識機制？給DPoS機制打多少分（滿分10分）”的問題，工信部五所相里朋表示：從技術上，更看好DAG共識機制。DAG（有向無環圖）作為區塊鏈3.0時代的典型技術之一，采用異步通訊機制在提高擴展性、縮短確認時間、降低支付費用方面優勢明顯，更適合推廣到萬物互聯。且傳統區塊鏈確認次數只能計算交易有效性的“概率”，不具備最終有效性；DAG具有最終確定性，并不可推翻。但需注意的是，網絡安全性、一致性問題都不確定，主鏈一直在分叉。網絡未對節點交易信息的正確性充分驗證，存在偽造或篡改的可能，錯誤數據有一定幾率構成主鏈。DPoS機制可打6分。[2018/6/20]

Ting：?2022?年個人和加密項目資產被盜事件頻繁發生，能否請各位嘉賓介紹一下最常見的方式是什么?

JoannaZhang：針對個人的攻擊方式有很多種，比如網絡釣魚或私鑰盜竊，這些是攻擊個人的最常見的方式。還有很多項目被攻擊，是因為他們的代碼或項目存在漏洞，這也是智能合約最典型的弱點。因此，我們也建議項目開發者完善代碼開發，做好智能合約審計，可以有效降低風險并避免遭遇攻擊。

百人圓桌 ICONIZ標準資本趙晨：從業者們不應過度神話“區塊鏈”:在金色財經百人圓桌EOS系列問題上，對于“最近，與EOS相關的系列消息好壞參半，有人力挺、有diss，您對此持有何種看法”的問題，ICONIZ標準資本趙晨指出：討論關于力挺或者diss EOS的大前提是要討論多中心化，而非是否100%完美，以及能不能100%實現，這個的大前提本來就是在用標準化的準繩衡量一個非標的世界，因此出發點本身就有問題。不同的共識機制就像是不同的刀：菜刀是切菜用的，瑞士軍刀功能繁雜，日本武士刀刀身鋒利，各有優勢。但是現在用單一世界觀衡量一個區塊鏈項目是不是值得存在的說法是極端且不負責任的。如果區塊鏈的概念本身是“多中心化”，不代表一種多元價值觀的存在，那么基于一個單一價值觀的多中心化又怎么能是多中心化。從業者們不要太神話“區塊鏈”一詞，廣義上而言，區塊鏈無非就是一個鏈狀數據庫而已，沒有什么真偽。ICONIZ標準資本是一家全周期區塊鏈投資機構，旗下包括一級市場投資、項目孵化。曾投資并孵化ContentBox, Project PAI, QASH, THETA等項目。[2018/6/20]

JagFoo：縱覽資產被盜的過往歷史，你會發現私鑰泄露是一個重要因素。2022年，超過10億美元的加密資產被黑客盜取，主要方式就是竊取私鑰。為什么會造成這樣的情況？主要原因是大多數機構管理私鑰的方式是由單人掌握；一旦私鑰丟失極易造成單點故障，失去對資產的控制。當然，即便你的資產都存放在中心化機構，不存在私鑰丟失的情況，你也可能失去資產，比如FTX破產。

金色財經現場報道 圓桌環節嘉賓關于區塊鏈3.0時代的發展方向是什么的觀點:金色財經現場報道，今日在紐約舉行的2018區塊鏈無國界峰會上金色財經合伙人佟揚主持了圓桌環節，討論了有關區塊鏈3.0時代的發展方向。對此，Certik聯合創始人哥大助理教授顧榮輝表示，區塊鏈1.0是存儲數據的區塊鏈，區塊鏈2.0存儲的是可以操作數據的程序，而區塊鏈3.0意味著可以在區塊鏈之上繼續加載區塊鏈，是終極的區塊鏈。星云鏈聯合創始人鐘馥百表示，區塊鏈3.0偏重區塊鏈技術的落地，區塊鏈3.0面臨經濟模型和技術方面的挑戰。區塊鏈3.0可以在經濟模型上激勵更多的人，提供門檻更低的開發平臺。IOST聯合創始人及CEO鐘家鳴表示，比特幣仍然是最適應區塊鏈的，區塊鏈3.0包含目前區塊鏈還不包括的一些功能。 Hydro Protocol聯合創始人王博聞表示，以太坊區塊鏈的效率低下，需要解決TPS問題，下一代的區塊鏈技術需要解決是否能使TPS以指數增長的問題。[2018/5/13]

TommyDeng：我們每季度、每年都會發布一份安全報告。根據我們的統計，截至目前為止?2022年區塊鏈上有37億美元的加密資產遭遇黑客攻擊或被盜，其中40%是智能合約有漏洞，?40%是由于私鑰泄露；從項目分類來看，?70%的資產被盜與DeFi以及跨鏈橋有關。

JundeYu：一些被盜案例，主要是公司內部某個人犯錯，可能是主觀作惡，也可能是因為疏忽錯誤點擊了釣魚鏈接。

Ting：針對這些加密風險因素，各位嘉賓能否分別給個人和項目提供一些安全建議，保護他們的資產安全？

YangKan：在Web2時代，我們會在多個層面進行安全管理，比如每個項目上線前我們都會做滲透測試，對安全性進行評估。現在進入Web3時代，這套法則依然適用。我們建議項目做好智能合約審計，關注業務邏輯和操作。web3安全是一個非常專業的領域，牽扯的因素很多，但從本質上來說與web2時代沒有什么不同。

TommyDeng：首先，確保私鑰安全。當你注冊鏈上錢包時，不要對私鑰截圖或復制到剪貼板；不要在手機安裝任何可疑的移動應用程序，因為它們有權限訪問你的相冊和剪貼板。其次，多樣化資產配置，將你的資產儲存在多個鏈上，同時在中心化和非中心化平臺分別配置。

對于項目方來說，在上線合約之前需要做一下智能合約審計。其次是做好內部合規和管理，有一些加密盜竊案例顯示，聯合創始人或員工可能會竊取私鑰并跑路。因此作為老板要正確管理團隊，確保不讓某一個人掌握所有的私鑰。

JundeYu：大多數加密盜竊案都與內部人員有關。在內部風險管控的基礎上，需要引入多方權限去避免資產流失對于多方共管的MPC錢包。即便有人犯錯，仍然需要更多的人簽名，才能提取資產。MPC自托管比較合適已經有完善的安全防備設施和安全管理系統的機構，當然也可以考慮把數字資產托管給行業服務商。MPC和中心化托管都是Cobo針對不同客戶需求提供的資產存儲管理方案。

JoannaZhang：對于個人來說，首先要提高自己的安全意識，比如開戶以及交易時，選擇安全的有資質的加密平臺，可以有效降低風險。這些平臺會做監管審計，保護你的賬戶；他們也有政府許可證，這將幫助你避免危險的項目。

對于項目方來說，需要做好合約代碼審計以及增強整體服務安全性。另外，即便是經過安全審計的項目，也不能掉以輕心，一些攻擊通常會在項目啟動后發生。所以鏈上安全檢測與防御也非常重要。

JagFoo：不要把所有的雞蛋放在一個籃子里，這樣即便某些方面受到黑客攻擊，你的資產可能也不會丟失。重要的是，機構需要有一個能緩解單點故障的風險和多層次的安全策略；更關鍵的是，要有一種安全文化：從不信任，永遠驗證。

Ting：CeFi平臺，比如CEX和中心化加密借貸機構，應該如何同時實現安全性、合規性以及透明度？

JundeYu：首先，公布自己的錢包地址，這將激發透明度；其次是邀請第三方審計來審查你的系統；最后是要有更嚴格的KYC。

Cobo目前也正在開發一些產品，中心化機構可以考慮使用我們的MPC協管解決方案，并把其中一把私鑰分片交給信任的第三方，這樣可以較大程度避免內部作惡，從而給proof-of-reserves帶來更多的信息透明度，增加投資者對CEX機構的信心。

YangKan：中心化平臺面對眾多的交易者，他們可能行為各異，你需要從源頭做好KYC，從而確保平臺的合規性。更關鍵的是，建議風控防護體系，當用戶行為觸發警報時要及時響應。遇到問題，也要及時發布公告告知用戶。

JagFoo：通過FTX事件，我們可以學到很多教訓，比如沒有完善的風控，沒有適當的職責分離……大家可以看一下這些不良行為，作為反例。

JoannaZhang：首先，滿足本地的合規要求是非常重要的；CeFi公司還應該獲得項目的相關認證；要有一個好的安全團隊來做審計或安全保護，不管是技術安全還是內部法規。你也可以與安全公司合作，減少你的安全弱點。

TommyDeng：中心化平臺在未來可能會變得非常受限制。地方政府開始介入，對它的監管也越來越多，我們也幫助很多國家的監管機構做了反洗錢的合規工作。因此，中心化平臺要遵守當地的法規，保證他們將來不會惹上法律的麻煩。

Tags：區塊鏈WEBWEB3EOS銀行區塊鏈ALFweb3Projectweb3.0幣圈EOSADD

以太坊交易所