Web3 世界,谁来为我的钱包安全负责?
Blockchain 行业从出现到现在,安全问题几乎围绕着每个人。虽然越来越多的人进入了这个领域,但安全问题并没有因此减少,越来越多的被盗事件随之出现。安全可以说是区块链行业需要从底层解决的一个巨大问题,没有安全保障巨大的2.0用户就不可能进入 Web3 来互操作。目前从个人到项目方,到资管方,每个人都想保障自己的资产安全,但安全服务却还没有跟上,或者说还没有满足大家的需求。
我们该如何保障自己的钱包安全?安全审计对项目团队的意义在哪里?安全赛道如何正确面对监管以及政策?本期我们邀请到三位深耕链上安全领域的嘉宾,一起聊聊如何在 Web3 保障安全!
本期嘉宾:链上观主理人 Haotian,Tech Expert at Beosin Ricky,LindyLabs 安全工程师 fyang1024。
Web3GO Labs 对此次 Space 漫谈进行了精简和提炼,以下是嘉宾核心的分享内容。
安全审计有必要意义
在安全意识还没那么强的时候,百分之八九十的合约是被黑客攻击的。经过数据层面统计,做了审计之后,有很多的项目就没有被攻击过了。这就是安全审计的意义,还是在为行业做贡献的,降低了项目方被攻击的概率。
但审计只是安全建设的一部分,后续的一系列配套服务也非常重要。项目上线之后的运行层面的安全监控和实施防护、预警这块,项目方也可以与安全团队做一个配合。(by Ricky)
安全审计不能一劳永逸
即使是经过多方审计过的代码,还是会出现被攻击的事件。因为审计公司跟项目方只是简单的短期关系。通常一个项目,审计看代码的复杂度只有几周,审计结束只能说明到审计结束为止没有找到什么 bug,但这不能证明它没有bug。(by fyang1024)
而且安全审计并不是一劳永逸的事,不管是工具扫描还是人工排查,都只是针对代码本身一些基础漏洞或是容易排查的漏洞。这是安全审计会被攻击的一点原因。
第二点,很多项目业务场景太复杂,有些合约一部分开源一部分非开源的,有些是中心化模块加非中心化模块,安全审查只能查其中一部分。DeFi 为了刻意追求金融属性可能还有很多复杂的经济机制设计融合在里边,也给代码的排查漏洞提升了很高的难度。
第三,很多市场层面也有一些攻击行为,比如说闪电带攻击或是利用价格不对等的 Oracle 攻击,本质上不算是安全范畴,这种攻击确实频繁,但不在安全审计的范围内。
第四,现在有很多正规军入场,这当中就存在了很多项目内控的问题,团队复杂了,项目管理过程当中就可能存在单点暴露的风险。
第五,由于私钥被盗,就有可能造成资产被盗,这就是用户自身以及硬件钱包的问题,也不属于安全审计的范围。
所以没有绝对安全的审计,也没有绝对安全的项目。审计不仅需要审计公司的努力,更多还是需要项目方在日常的安全,团队的建设,包括安全应急响应的防备上要做足功课。(by Haotian)
安全审计未来的新模式
现在的安全审计有一种新的模式,就是安全团队和项目方建立长期的合作关系。从项目方写第一行代码开始,安全团队就会加入其中,给代码做 review,边写边审计,代码和审计都是动态变化进行中的。审计团队占有项目方一定的股权,或者有一定的分成,以此实现长期关系。这样也能更早地避免安全隐患。这种模式已经有公司拉到了投资,在未来或许会成为固定模式。(by fyang1024)
钱包安全靠用户自身
交易所的爆雷从某个角度上讲是好事,可以让用户自身的认知得到被动地提高。首先用户需要自主学习安全知识,其次要去研究各个钱包,怎么生成,怎么提币。然后用户要考虑自己使用钱包的场景,用主流资产就去购置冷钱包,安全性强;做交互可以把资产分类,大部分资产尽量存在冷钱包,使用小部分资产生成新的热钱包再去交互,可以降低损失。
资产被盗一般没有解决方案,报警的作用很小,所以更多的还是前置,预防自己的资产被盗。如果大量资产被盗,从利益角度出发,可以去联系公安,找一些第三方机构来做深入的安全分析和资金追踪,还是有一定机会能够追回,大概可以追回 30% 左右。(by Ricky)
所以对于用户来说,保障钱包安全需要考虑资产配置问题。如果玩交易所,就不需要考虑安全问题。不玩交易所的话需要考虑冷热钱包,它们各自可能存在一些安全风险,所以要具备一定的安全认知。其次就是树立正确的安全意识,不用随便存放私钥,也不要随意签名,要预防空投和交互中的陷阱。对于小白来说千万不能侥幸,不能用传统互联网的思维来想区块链的安全问题。(by Haotian)
跨链桥安全靠技术和审计共同努力
大部分跨链桥都是中心化和去中心化混搭的产物。在这种过程当中就有为了追求极致的效率,减少验证节点数量,或通过一些相对中心化的手段来提高效率。但这样的话就会导致安全风险的可能性增加。要解决跨链桥的问题,还是得看未来 ZK 这方面的技术,看他们在跨链上有没有一些更好的解决方案。不解决业务复杂性的问题,跨链桥肯定还是黑客攻击的一个重灾区。(by Haotian)
出现比较复杂的攻击问题,作为安全团队,更多还是要在我们自身层面去反思,提升我们的专业程度,做更全面地审查。对于项目方的话,可以多采用一些更安全的方案,比如MPC 和智能合约钱包这种双重的运用方式来进行这个跨链消息的确认与传递。(by Ricky)
安全审计处于监管中立地位
安全审计目前还是处于中立地位的,和项目方是不是被监管没什么太大的关系。可能将来一些项目被监管了,政府会要求他选一些当地的审计公司做审计。整体来说安全技术还是相对中立的。(by Haotian)
未来的话监管趋势肯定是慢慢收紧的,要上牌照就必须符合持续性的风险评估。所以对于安全赛道来说,更多的就是在交易所或者钱包这块做业务,帮助他们去实时监控链上的出入金安全,以及交易所的存款提现的监管跟管控。(by Ricky)
结语
在钱包安全方面,其实更重要的还是预防,所以大家要提升自己的安全意识以及多去学习安全方面相关知识。在做交互的时候,多个热钱包去操作可能会更好的规避风险。同时要小心陷阱,天上没有掉馅饼的事,无缘无故发给你的链接一定要小心慎点。安全审计在项目中有着不可或缺的作用,虽然不可以百分百避免风险以及攻击,但是可以极大程度降低损失。我们也期待安全团队与项目方团队在未来有更深度的合作,更大程度确保代码的安全!
关于 Web3GO Labs
Web3GO Labs 是一个专注提升华人 Web3 创业能力的创新实验室,其主要核心是 Web3 创业孵化器。
联系我们:
公众号:Web3GO Labs
Twitter:https://twitter.com/Web3Go_
Telegram:https://t.me/elsayangbtc
Discord:https://discord.gg/6FMNqmjw4y