暴雷，攻擊，漏洞！拿什么來保護你，我的BTC？_USD:USD價格區塊鏈工程專業學什么

3月6日，比太錢包創始人，比特派錢包開發者文浩受邀參加了由巴比特主辦的《SheKnows：暴雷，攻擊，漏洞！拿什么來保護你，我的BTC？》線上AMA。并針對主持人在：1、宏觀行業的安全；2、錢包的安全；3、DeFi的安全；4、給用戶的建議，四個方面的問題進行了一一解答。

主持人：文浩總在行業內深耕多年，你覺得，現在的區塊鏈行業比以前更安全了嗎？

文浩：關于區塊鏈行業的安全，雖然看起來到今天仍然是此起彼伏的黑客事件、安全事故、盜幣案例，但相比起當年，其實是安全了很多個量級了，具體理由如下：1、硬件冷錢包技術和方案有了長足的發展，在比特幣時代的早期，能有個Armory兩臺電腦冷熱管理個幣就不錯了，而這類的方案其實很難用，所以還有一些交易所用電腦關機的方式來存儲大額幣，結果還曾出過電腦開機后被盜幣的案例，更多的交易所其實就都是熱錢包管幣。再后來，出現了類似比太這種冷錢包方案，一些交易所開始用比太來存儲大額幣。隨著硬件錢包技術的發展，Trezor、Ledger等優秀的硬件錢包方案也很好的幫助了行業內企業和個人安全的管理幣。再到今天，我們也通過BITHD能為企業提供很多幣種的多重簽名資產管理功能。總體來講，跟當年云服務器上直接存儲這交易所私鑰比起來，安全方面的進步經歷了好幾個階段，發展到今天當然要安全很多了。2、開始出現了越來越多的專業的安全團隊，比如說，在上一輪牛市前，幣圈其實壓根就沒有什么安全團隊，但這幾年越來越多專業的安全團隊和頂尖的安全人才開始入場，比如說國內的慢霧、派盾都很牛逼，國外牛逼的、逼格高大上也有很多，甚至像360這類的傳統安全巨頭也開始在區塊鏈領域里發力，所有這些都能讓行業更安全；3、幣圈企業更有錢了，更有錢其實也很重要，因為有錢了就能在安全方面投入更大的資源；

IMF總裁：跨機構合作對CBDC非常重要，將發布兩份關于CBDC的文件:6月20日消息，國際貨幣基金組織（IMF）總裁Kristalina Georgieva在拉巴特舉行的中央銀行數字貨幣（CBDC）高層政策圓桌會議上表示，跨機構合作對于實現CBDC收益和支付系統互操作性非常重要，IMF的任務是幫助確保包括CBDC在內的數字貨幣促進國內和國際經濟和金融穩定。[2023/6/20 21:48:42]

總之，今天的區塊鏈安全狀況跟當年比起來，其實水平是提高了非常多的，如果告訴你，當年Mtgox法胖會在以太筆記本電腦里存著幾十萬個比特幣的私鑰，你敢信嗎？雖然行業更安全了，但其實行業所面臨的安全復雜度則高了很多倍，比如說智能合約安全、多鏈資產的管理等等的，都給今天的行業安全帶來了更多的挑戰，所有這些都需要行業內的大家一起努力。

主持人：下面的訪談，我們將結合具體的安全事件進行討論。

黑客利用IOTA官方錢包應用Trinity的漏洞竊取資金，隨后官方宣布關閉整個網絡。文浩總，怎么看待「Trinity錢包被盜導致主網關停」這件事？

文浩：關于Trinity錢包被盜，我個人沒有做過深入分析，因為我們不太關注JavaScript核心的錢包，不過呢，看了慢霧的相關分析報告，非常專業，其實應該是MoonPay模塊的問題，MoonPay是一個第三方交易模塊，用來幫助海外用戶買賣幣的第三方服務，除了Trinity其實還有一些其它的錢包在用Moonpay。攻擊者是利用了MoonPay的CloudflareAPIkey完成了一系列劫持攻擊，注入了惡意的JavaScript代碼，詳細的報告大家可以去找下慢霧的文章。其實這就是過去這些年我們一直強調的“JavaScript錢包的安全天花板其實非常低”的原因。

濟南：引導機關事業單位、國企員工等使用數字人民幣發放部分工資、補貼、津貼:金色財經報道，近日，濟南市政府印發了《濟南市數字人民幣試點工作實施方案》。力爭2023年末個人數字人民幣錢包達到400萬個、對公數字人民幣錢包達到5萬個，數字人民幣總交易額突破40億元。《實施方案》圍繞試點場景建設提出相關舉措。代發工資場景，引導機關事業單位、駐濟金融機構、國有企業員工開立數字人民幣個人錢包，使用數字人民幣發放部分工資、補貼、津貼，并逐步擴大至不同規模、不同層級群體。[2023/6/9 21:26:47]

主持人：DeFi是目前最熱門的話題之一，相應的安全問題也浮出水面。

事件1：DeFi項目bZx遭受了兩次攻擊。事件發生后，DeFi保險平臺NexusMutual兌付了bZx事件中3.1萬美元的用戶索賠。

事件2：去中心化穩定幣交易平臺Curve出現異常交易，該筆交易使用價值8.9萬美元的USDC兌換了價值46.5萬美元的BUSD。部分DeFi業內人士猜測，此次攻擊或與DeFi協議iEarn提供的Zap智能合約有關。近期出現的DeFi安全事件，會不會引發用戶對DeFi的信任危機？

文浩：我覺得Defi的安全事件并不會導致Defi的信任危機，就像當年的DAO事件，其實也沒導致智能合約的邏輯危機一樣。因為這類的安全事件，本身還是因為要么是業務邏輯、要么是智能合約安全所導致的，所以，不能因為出事兒了就連Defi都不相信了，合約有漏洞，那就把合約改好就好了，邏輯有問題，那就把邏輯修復下，Defi本身的根基還是不變的。當然，由于區塊鏈和智能合約的復雜度，在這上面干活兒的安全風險相比起傳統的軟件開發要高很多倍，難度也大得多，因此，開發者們更要重視安全，與優秀的像慢霧這樣的安全團隊一起協作，努力搭建出更加安全可靠的Defi服務。就像交易所被盜并不意味著比特幣就不安全了一樣。安全事件能給我們敲響警鐘，但Defi本身的邏輯是不變的。

歐盟反壟斷負責人：已需要對元宇宙中的競爭進行審查:金色財經報道，歐盟反壟斷負責人Margrethe Vestager表示，可通過互聯網訪問的虛擬世界是下一個吸引監管審查的數字市場。Vestager在一次會議上稱，我們已經到了開始思考元宇宙中健康競爭是什么樣子的時候了，且我們已經開始了這項工作，過去三年里，全球對數字市場的監管審查一直在升級。（路透社）[2023/3/2 12:38:59]

主持人：比特派錢包有DeFi和CeFi的相關業務，DeFi和CeFi安全問題的區別是什么？目前DeFi項目存在什么樣的安全風險？這兩個問題文浩總怎么看？

文浩：關于Defi和Cefi在安全方面的區別，我這邊還是有一些發言權的，因為比特派在這兩塊都有相關的產品和服務。首先呢，比特派在以太坊及USDT的錢包功能方面非常完善，ETH生態的Defi入口我們都已經做的很完備了，你在比特派里可以很方便的使用各類的Defi應用。同時呢，我們自己其實還有自己的Cefi產品，比特派錢包內就有完善的中心化借貸服務。這兩者在安全方面的要求其實是有著本質的區別的。Defi的安全更重要的是智能合約的安全和業務邏輯的安全，你如果有一個智能合約代碼漏洞，那上面的資產可能就完蛋了。而像前面提到的bZx先后兩次遭受攻擊，則是邏輯上的缺陷被攻擊者利用然后進行的攻擊。而這里呢，FlashLoan閃電貸是個非常優秀的想法，也是Defi創造力的很好的例子，但邏輯上有漏洞，那就會有很高的風險。Cefi的安全則不用管這些，Cefi的安全更多的則類似于交易所安全，因為用戶是把幣存在Cefi平臺上的，你主要要擔心的是黑客盜幣。

美聯儲7月加息75個基點的概率為90.6%:7月13日消息，據CME“美聯儲觀察”：美聯儲到7月份加息75個基點的概率為90.6%，加息100個基點的概率為9.4%；到9月份累計加息75、100個基點的概率均為0%，累計加息125個基點的概率為63.4%，累計加息150個基點的概率為33.8%、加息175個基點的概率為2.8%。(金十)[2022/7/13 2:09:33]

對于Defi開發者來說，說實話真正做好是非常難的。我們雖然并未直接參與到具體的Defi項目之中，但比特派其實還是開發過也使用過不少智能合約的，在這個過程中，和慢霧、派盾等安全團隊也有過深入的合作，而其中說實話遇到的問題和所獲得的成長、收獲還是很多的，提醒各個Defi團隊，安全真不能掉以輕心。

位于發現頁的DeFi應用

主持人：好的，我們進入最后一個話題，關于用戶資產的安全

畢馬威發布的最新報告顯示，2017年以來，黑客至少盜竊了98億美元的加密貨幣。數字資產的安全變得愈發重要。普通用戶應該如何保護自己的數字資產呢？如果發現自己的數字資產被盜，應該馬上采取什么樣的行動？

文浩：首先，巨鯨用戶因為SIM卡攻擊丟幣相當于再次驗證了我們一直以來的一個觀點，那就是不要用Web錢包、JavaScript錢包等安全架構天花板低的錢包，而我們其實是在2014年就反復強調過這一點的。Trinity、巨鯨用戶這兩個例子其實只是又給這類的悲劇增加了相同的案例而已。

分析師稱杜克能源公司正在研究應用于需求響應的比特幣挖礦:金色財經報道，杜克能源公司的監管策略分析師表示，這家美國第二大能源公司目前正在研究比特幣挖礦。首席分析師Justin Orkney表示，一項比特幣需求響應(DR)研究正在進行中，能源公司與杜克大學DR項目中的比特幣礦工合作。

在采訪中，奧克尼強調，杜克能源(紐約證券交易所代碼:DUK)的一些客戶是比特幣礦工。奧克尼向節目主持人解釋說:“我們的系統中確實有現有客戶。他們自愿加入我們的需求響應項目。其中包括基本同意在一年中的特定時段，即我們舉行活動的時候，減少使用。

除了杜克能源公司，報告顯示，埃克森美孚（紐約證券交易所代碼：XOM）、Equinor、La Geo和康菲石油等能源和天然氣巨頭也在能源行業探索比特幣挖礦解決方案。（news.bitcoin）[2022/7/5 1:50:55]

作為最早開發錢包的團隊之一，在過去六七年的時間里面，我們實在是看到了太多的被盜案例，而其中不少的丟幣都是反復發生的，也就是說，五年前有人怎么丟幣，現在仍然有人用相同的方式丟幣。

在這里，我可以給大家這么幾個錢包保護的意見：1、請使用有安全口碑的、架構合理的錢包方案，今天的這兩個例子里用的都是不合理的方案導致的悲劇。2、請一定要保管好助記詞，這里要說明一點，因為助記詞保管不當丟幣的實在是太多了。把助記詞存到網盤、郵箱，截圖存到相冊并且不知道都備份在哪些應用同步到了云相冊里的；聊天工具里隨便一個騙子就能騙的你把助記詞發給他的；助記詞壓根就沒抄，然后把錢包刪了手機扔了的；用草書抄助記詞，連自己都認不出來的的；總之，各類的奇奇怪怪的因為助記詞丟幣的實在是太多了。3、日常的幣存在熱錢包里，大額的幣存在開源的硬件冷錢包里，如果需要更高的安全級別請用加密賬戶；4、多人共管的幣使用硬件冷錢包+多重簽名共同管理，這類的丟幣案例也很多，不能大意；

BitHD護盾&刀鋒支持BTC、ETH、USDT、BCH、LTC、EOS及全系ERC20token的多簽功能

如果發現數字貨幣資產被盜，那首先應該盡可能的聯系行業內相關的企業，看看能不能幫你獲取更多、更完整的相關信息，然后再去報警。當然，所有這些你都得指望盜你幣的人是個笨賊，留下了足夠多的蛛絲馬跡，否則找回還是很困難的。

另外，像慢霧也有AML風控系統，并且慢霧也和包括比特派在內的錢包和交易所進行這相關風控合作，因此，也應第一時間報告給慢霧和比特派，大家可以一起看看能不能攔住相關資產的交易、兌換。

主持人：最后一個問題，針對當前區塊鏈的安全環境，請嘉賓提出自己的建議。

文浩：當前區塊鏈的安全環境方面：我個人覺得還是需要行業內的企業共同努力，雖然我之前提到過的相比起當年行業安全水平提高了非常多，但說實話離真正好的安全水平還是相差很多的，我這里可以舉幾個例子：比如說，一年前，如果你們企業想管理五千萬美金的USDT，你們該怎么辦？如果我告訴你，在當時沒有任何好辦法，能拿一個硬件錢包讓一個人自己來管理就已經很不錯了，你敢信嗎？直到今天，仍然只有BITHD上能做原生的硬件錢包USDT多重簽名，這其實就是行業內安全水平還有很多不足的地方，你們想想看，那個管理你們企業五千萬USDT的人跑路了咋辦？再比如說，現在有不少廠商宣傳第三方托管服務，其安全性你也得打上個大大的問號。從當年的Bitgo開始，再到這一兩年全球越來越多的第三方托管，大家宣傳起來都是一副“托管在我們這里的，你就放心吧”的勁頭。但問題是，如果你做一個交易所，請永遠記住，請只用那些第三方托管服務來作為熱錢包使用，永遠別拿他們來當冷錢包，這類的錯誤方案所導致的悲劇實在是太多了。Bitgo的方案就先后坑過兩家企業，一個是Bitfinex被盜了12萬個比特幣，另一個是Upbit，也是被盜了巨量資產，當然丟了之后Bitgo是不會管的，其實也沒法管。其它的第三方托管服務也曾有過各種被盜幣的案例。這道理其實很簡單，你自己用個托管服務的apikey調用著就把幣給發了，那黑客黑了你的交易所之后，用同樣的apikey不一樣能把幣給發送到黑客自己的地址了嗎？所以，哪怕你做了再多的安全防護，請只把第三方托管服務用于熱錢包方案中，別存大額。

總之呢，行業的安全相比起當年有了非常多、全方位的進步，但仍有很多不足之處，大家仍有很多可做的事情讓整個行業更安全！

Tags：USD區塊鏈USDTUSD幣USD價格區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢USDT幣USDT價格

DYDX