整理 小玲儿

出品 耳朵财经

4月22日,《耳朵财经》邀请零时科技CEO邓永凯在耳朵财经区块链长征社群进行分享,原文如下:

大家下午好,我是零时科技邓永凯。很高兴在今天下午能跟大家分享一些关于区块链安全知识。

我先简单介绍一下我们深圳零时科技有限公司,简称零时科技,它是一家专注区块链生态应用安全的实战创新型网络安全企业。我们的业务覆盖区块链生态基础设施的各个方面,比如对交易平台、钱包、链安全、智能合约等安全审计,还包括数字货币的追踪溯源以及反洗钱的业务。欢迎有兴趣的用户来与我们沟通交流。

零时科技的介绍

我们今天的主题是关于数字货币的安全,我们手里的数字货币应怎么保存?怎么投资才能让我们的数字货币更安全,而不遭受损失?

可能大家对区块链安全都有所了解,而且安全在区块链世界的需求很强烈。每一天或每一时刻几乎都在发生安全攻击或黑客盗币事件。

近期区块链安全事件分析

最近两个月发生的区块链安全事件,大大小小加起来共有30多起。我们每个月都会跟踪区块链的安全事件,主要包括一些交易所、钱包、Defi项目、个人钱包、数字货币欺诈等。目前安全事件频发的原因,大部分在于安全防护不到位以及用户自身的安全意识不高。

交易所安全方面,例如最近很火的Fcoin跑路事件,还有OKex和币安遭受DDOS攻击事件。交易所经常被攻击,而且意大利的交易所在二月份还因为热钱包被黑客攻击而损失了大量的数字货币。钱包方面,大部分是项目方的钱包或交易所的热钱包以及个人用户钱包的私钥被盗,从而导致损失大量数字资产。

最近的一个热点无非是Defi安全,包括上周日发生的Lendf.Me借贷平台被黑损失了近2500万美金。这次盗币事件的主要原因在于合约的安全,就是ERC777这个合约的设计缺陷,这个黑客利用重入漏洞以滚雪球的方式将借贷平台的数字货币洗劫一空。

另一问题是由于个人的安全意识不足,包括因一些第三方托管平台导致用户个人的钱包私钥被盗而遭受损失。比如一个多月前,著名的巨鲸账户“zhoufujian”,他的钱包损失了1547个BTC和近6万个BCH,损失金额巨大。

在网络世界里,基本上每天每时每刻都在发生着各种各样的恶意攻击,包括攻击个人钱包、交易平台以及合约等。因此,用户保护自己的资产安全面临着很多问题和挑战。

币被盗的情况

下面分享第一个问题,我们把币放在交易所是否安全或如果我们把币放在交易所会在什么情况下被盗?

其实在币圈,大部分用户都把币存在交易所,那怎样才能保证资产安全而不被盗走?这时就需考虑交易所的一些安全措施及相关情况。

如果用户把数字资产放在交易所,建议大家尽量选择知名交易所,比如火币,OKex等比较强势的交易所。有背书能力或是遭受小的攻击,交易所也能承受。

资产放交易所后,建议大家开启两步验证,比如Google auth或者2fa两步验证,开启异常登录提醒,当然前提是我们把币存在的第三方交易所有这种功能,如果它没有,建议大家不要存放。

个人账户也存在被黑客攻击的情况,我们已经收到很多用户私钥被盗而损失数字货币的情况。比如在社交网络里的互联网信息泄露,还包括个人被钓鱼攻击,在上网时遭受水坑攻击,还有电脑PC、手机等中木马病毒等行为都会导致钱包被黑。

如果将数字货币存在交易所,主要取决于交易所是否足够安全。比如交易所被黑客攻击或是交易所因为内部亏空等原因跑路,用户资产也会受到相应的损失。而且在没有监管和透明标准规范的情况下,用户只能靠自己,第三方平台并不能保证你的币绝对安全。

交易所可做的防护措施

既然有很多用户将币都放在交易所,那从企业责任的角度来说,该如何加强防护以让交易所更安全,让用户的资产更有保障?其实,安全是一个动态的过程,在任何场景下都没有绝对安全,也从来不存在一家机构或交易所说它100%安全。

安全的核心在于攻防对抗。所有的安全防御都是为了增加黑客的攻击成本。而且交易所面临的风险是多种多样的,不存在单点问题。

如发生传统的网络攻击,有核心业务的安全问题,包括它的合约问题,而且最难以防的是内鬼作案以及高级APT攻击。

目前,在交易所被盗被黑客攻击的案例中,大部分都是由于高级的渗透测试,APP钓鱼攻击。黑客其实一直在盯着你这个机构,而且面对地下组织的黑客,大部分交易所无法防御。比如黑客利用高级钓鱼进行层层渗透,长期潜伏,经过一段时间之后,拿到你的私钥,再盗走你交易所钱包里的币。在这个层面上,多数交易所是没有防御能力的。

交易所面临的风险多种多样,而且是多维度的。在这里列几点:交易所应该要做到的安全防护,比如你产品上线之前必须进行安全审计;在业务上新或者功能上线时,定期进行安全测试;生产环境,包括网络都要有专业的安全防护体系,比如云安全防护,有内部生产环境和办公网中APT的攻击预警,还有必须有风控体系。

安全风控系统是通过平台的交易数据进行建模分析,而后自动识别异常和正常交易。如果发现异常交易,可及时预警并拦截以减少资金损失,或可以接入第三方AML系统,零时科技也有这种AML系统和数据接口。

在前两天借贷平台被盗事件中,如果合约里有风控机制,有一键启停功能,如果发现异常交易可以及时锁定合约中的交易,以减少大额转出的损失。

另外,交易所需有健全的钱包安全解决方案,比如常见的冷热分离,分散多签等;也可以在社区发布这种漏洞赏金,发动社区白帽子进行漏洞挖掘;也可以在第一时间接入安全威胁情报。

零时科技有区块链安全威胁情报中心,目前我们已经和耳朵财经合作,大家下载耳朵财经APP就可以在第一时间关注行业的最新安全情报。这些安全情报在某种程度上就可以提前阻断一些新的漏洞和一些新型攻击手法,提前预警可减少不必要的黑客攻击损失。

币丢了,能找回?

接下来的问题是:如果我的币丢了,该怎么办?有没有可能将丢失的币找回来?

据数据调查显示,目前越来越多人逐渐开始将数字货币从交易平台提至自己的钱包中。这里最核心的问题是,如果我们没管理好自己的数字货币,它被盗、丢失或转账错误,那我们怎么找回这些币呢?我们经常收到用户这样的反馈,这里我举一个例子。

之前一个用户反馈不记得助记词,且把助记词放到网盘里了。有一天,他登录imtoken钱包时,发现钱包中价值30万的BTC没了。然后我们根据他的情况了解详细信息,最后发现他的网盘之前被别人登录过,而且密码也被改了。对方拷贝他网盘中的助记词,然后恢复钱包,把数字货币转走了。当时他还不知情,到后来才发现自己的数字货币已经没了。

但结果是好的,他反馈情况后,我们通过追踪他的钱包,发现黑客将数字货币转很多次后,到了一个交易所里,而且那个交易所的地址在外面的网络上未被标记。通过我们系统独特的手法对它进行分析,发现这个地址是coinegg交易所地址,而后我们联系coinegg,他们也证明了这个地址是他们的钱包地址,然后这个用户就联系第三方资产鉴定机构以及监管机构通过交易所找回了自己的数字货币。

还有一个案例,用户将他的10万多个USDT打到一个错误地址,然后拿不回币了。他找到我们,当时因为币打错地址后,这个地址没有立即进行交易,我们把它放在我们的监控系统中,过了一周后,这个地址上的币突然转到了OKex交易所。我们提示他去联系OKex交易所,通过提交工单,最后追回这部分数字货币。

不管是平台账号被黑,还是助记词被盗、币转错地址或钱包密码忘了,在以上情况中,不是每一种情况都能追回数字货币,需看你通知我们丢币的时间以及当时的情况,而后在一定程度上可以避免损失。

如果你将币放在imtoken被转走后,没有及时看到imtoken的消息通知。这时,你不知道自己全部的资产被转走或已被盗。如果你将钱包地址绑定我们的监控平台,我们会在第一时间通知你的钱包动态。我们之前监控到一种恶意洗钱操作,8个小时后,我们才能在区块链浏览器上看到这笔交易,而我们的监控却是在第一时间发现,并尽可能挽回你的损失。

如果资产被盗,我们可以对资产进行追踪,它到了某个交易平台,我们可以联系相关司法鉴定机构鉴定资产,配合安全机构通过技术手段找回。

当然不是每一种丢币、盗币都可以追回,需看你的币在什么情况丢了或被盗,且你得第一时间联系专业的安全团队获取更多的信息,以便进行追踪溯源,继而进行资产鉴定,我们可以提供技术辅导,而你也可以选择报警处理。

如果盗你币的人是个笨贼,留下了许多蛛丝马迹,这找回来的希望会更大。如果他是一个惯犯或手法娴熟,那能找回来的几率较小。这需具体情况具体分析,但我们绝对会用技术手段和数据帮助用户尽可能的减少或挽回损失。

如何保障我们的个人数字资产?

最后,个人用户到底该如何存储我们的数字货币才是最安全?

如果你是接触区块链不久的新用户或是持币量不大的用户,建议将资产托管在全球知名交易平台,并开启二次认证以及登录保护等措施。如果你对区块链有一定的认知,对数字货币市场相对了解,那去中心化钱包是一个较好的选择,但必须选择这种国际知名的钱包。

选择去中心化钱包存储数字货币时,同时离线备份自己的助记词,且尽可能多备份。使用物理介质存储,尽量不要触网。在保存助记词时,助记词一定得抄录正确。如果你的资金量比较大,对安全需求相对较高,可以选择知名的硬件钱包或是专业的资产托管机构。

助记词被盗的情况比较常见,所以如果是个人保存助记词,私钥和助记词不要截图,尽量不要触网。比如不把助记词发到网盘上、通过邮箱传输或是发到社交软件上,这都是非常危险的行为。

如果日常使用,可以将一部分币放在热钱包中,如果是大额数字货币则可以放在知名硬件冷钱包中,如果还需更高的安全级别,可以申请加密账户进行存储。

最后最重要的是大家得提高个人网络安全意识。比如你在社交网络上尽量不要留下一些个人真实用户信息。下载软件时,尽量从官方渠道下载。如果在邮件中遇到陌生的附件,千万不要随意点击。提高个人的上网安全可以在很大程度上保证自己的资产安全。

关于交易所的安全测试和防护指南,包括我们个人的网络安全意识指南,我们的官方公众号有一系列的文章,大家可以关注并了解。例如我们会从各个方向细致讲交易所到底都存在哪些安全问题;我们应该如何加强交易所的安全测试和安全加固;个人用户该从哪些方面提高自己的安全意识;有哪些地方容易中招导致被攻击被黑;从各个方面详细介绍以提高我们安全防护能力。

我们近期也会出版企业级区块链安全审计和防护书籍,以及针对用户如何提高个人网络安全意识的书籍,大家可以关注我们的官方消息,到时在市场上购买。

安全是一个动态的过程,也是个攻防对抗的过程,没有绝对的安全,也没有100%安全的项目和公司。随着业务的发展,也会引入新的安全问题。术业有专攻,无论是机构还是个人都需要提高自己的网络安全意识,加强网络安全防范。

如果发生数字货币丢失损失或是机构项目平台被攻击的情况,可以及时与我们联系,我们会尽可能的帮您减少或挽回经济损失。

私钥在手,资产我有。希望大家能够找到适合自己的方式掌管私钥,也希望所有的项目方和交易所少被黑客攻击。

今天的分享就到这里,非常感谢大家腾出宝贵的时间来一起交流区块链和数字货币的安全!


特别声明
免责声明: 本文不代表CoinVoice立场,且不构成投资建议,请谨慎对待。

来源:耳朵财经