【專訪】安全審計，造就區塊鏈的“堅不可摧”_OSMO

分享時間：2020-07-0221:00

分享主題：區塊鏈安全的保駕護航者

微信社群：羊駝區塊鏈VIP學習群

分享嘉賓：啟富，慢霧科技合伙人兼產品負責人

主持人：君君，管交所BGOEX品牌官

主持人｜君君

嘉賓｜啟富

編寫｜大圣

區塊鏈目前發展比較快，但區塊鏈安全問題也是不容忽視，請您談談區塊鏈的安全現狀？

我們知道目前區塊鏈生態是處于蓬勃發展期，尤其是在數字資產領域發展得如火如荼。

關于區塊鏈的安全問題，從2017年的牛市一直到現在，安全攻防對抗都十分激烈。

因為在區塊鏈展現出蓬勃生命力的同時，其發展過程中暴露出的關于安全以及隱私方面的問題，呈現出持續增長的趨勢。從我們建立區塊鏈被黑檔案庫的網站中可以看到，截止到目前，在區塊鏈上發生的安全事件累計損失超過120億美金，僅僅6月份被黑事件就高達十幾起。

Osmosis提議從社區池中分配最高80萬枚OSMO，以匹配Kava Rise獎勵:金色財經報道，Osmosis社區發起了一項新提案，建議從Osmosis社區池中分配最多800,000枚OSMO，以匹配Kava Rise獎勵，在匹配三個月的Kava Rise分配后，多簽DAO中剩余的任何OSMO將返回到社區池。由于激勵措施分層，這可能需要三個月以上的時間。

該提案旨在引導USDT流動性進入Cosmos，并將Osmosis打造成原生USDT流動性的領先交易場所，社區投票將于2023年8月30日結束。[2023/8/26 10:03:26]

關于安全事件，歸根結底都是由于操作的不規范，以及對區塊鏈底層技術安全審計的缺失。

SlowMistHacked區塊鏈被黑檔案庫：https://hacked.slowmist.io/

在今年的兩會上，區塊鏈上升為國家發展戰略之一，區塊鏈技術的發展也得到國家層面的重視，通過區塊鏈將政務信息優化和改革也成為了重中之重，在這過程中是如何做到保障數據的安全和隱私的保護的？具體可能出現哪些實際應用呢？

Circle聯創：新一波比特幣ETF可能會獲得批準:金色財經報道，Circle聯合創始人兼首席執行官Jeremy Allaire在世界經濟論壇上接受采訪時表示，隨著監管機構過去的擔憂得到解決，新一波比特幣現貨ETF將會獲得批準。[2023/6/27 22:03:05]

區塊鏈技術的不可篡改性和去中心化以及分布式等特點，非常契合政務當中的信息公開，政府職能扁平化以及社會信任建設等需求。

區塊鏈的可信賬本為多方提供彼此信任，同時數據的流轉，可溯功能，都適用于數據的可信、共享、共治、共同的維護，以及增強信任的應用場景。

對于您本人也是全棧開發者，具有5年安全產品研發運營經驗，在區塊鏈安全方向有深厚的技術功底，對于慢霧產品負責人這個角色介紹下區塊鏈安全和傳統互聯網之前的區別？

區塊鏈安全和互聯網安全，他們的相同性是都有網站、App以及后臺系統等。比起傳統的互聯網的安全攻防，區塊鏈生態有自己的特性，例如區塊鏈一般都伴隨著數字資產，換句話說區塊鏈都帶有金融屬性，數字資產都在鏈上流通。所以區塊鏈領域，無論是錢包還是交易所都與資產安全相關。

穩定幣發行商CNHC Group完成1000萬美元A+輪融資:金色財經報道，穩定幣發行商 CNHC Group 完成 1000 萬美元A+輪融資。KuCoin Ventures領投，其他投資者包括 Circle 和 IDG Capital。據CNHC聯合創始人 Joy Cham稱，它目前在以太坊和 Conflux 區塊鏈上發行，其總供應量約為 1500 萬個代幣（價值約 200 萬美元）。Tether 的 CNHT目前總供應量約為 2000 萬個代幣。[2023/3/15 13:06:01]

因此區塊鏈企業一般都特別重視平臺的安全，尤其是數字資產的存儲安全，況且區塊鏈生態溯源比較分散，有一定的溯源難度。

除此之外，智能合約的攻防，底層公鏈的攻防等，都是對安全開發規范的挑戰。這也和互聯網安全一樣，需要遵循安全的最佳實踐。

安全方面都是互聯網重中之重，對于慢霧科技是區塊鏈頭部安全公司，介紹下目前在區塊鏈行業是怎么防護的？

慢霧已經是區塊鏈安全領域國際化頭部公司，主要是通過從“威脅發現”到“威脅防御”定制一體化的安全解決方案，服務了全球許多知名項目，包括交易所、錢包、公鏈，以及智能合約，例如DeFi的項目等。

Jump Trading是美SEC指控在TerraUSD脫鉤期間為其提供支持的“美國交易公司”:金色財經報道，據兩名知情人士透露，Jump Trading是美國證券交易委員會（SEC）指控在TerraUSD與美元脫鉤期間為其提供支持的交易公司。SEC周四對Terraform Labs和該公司首席執行官Do Kwon提起民事訴訟，指控他們在2021年5月利用一家“美國交易公司”支持TerraUSD的價格，誤導投資者。

SEC尚未對Jump提出任何指控，也沒有指控該公司存在不當行為。該公司為Luna和TerraUSD提供做市服務以獲得報酬，它通常能夠以低于當前市價的成本獲得Luna。在該交易公司于2021年5月介入幫助支撐TerraUSD后，它通常以40美分的價格獲得Luna代幣，即使它們在二級市場的交易價格超過90美元。SEC稱，Jump最終從這筆交易中獲利約12.8億美元。[2023/2/18 12:14:02]

如何做到從“威脅發現”到“威脅防御”呢？我們通過安全審計方式和漏洞賞金的方式，例如在產品上線之前找到絕大多數的安全的隱患，同時在產品上線之后，提供安全監測服務，持續進行產品迭代和審計。其中安全顧問服務，可以陪伴客戶一起去成長，在過程當中解決很多安全的后顧之憂。

外媒：名人、投資者和美國政客紛紛刪除與SBF關系密切的證據:11月16日消息，在業內人士分析FTX倒閉帶來的日益嚴重的后果之際，知名人士紛紛悄悄抹去與FTX前首席執行官Sam Bankman-Fried（SBF）一度關系密切的證據。如美國橄欖球巨星Tom Brady曾于在2021年與當時的妻子Gisele Bundchen購買了FTX的股權，他在推特上刪去了所有與FTX和SBF有關的證據。CFTC專員Caroline Pham刪除了其于今年4月宣誓就職后不久發布的一張與SBF的合影。對沖基金億萬富翁Bill Ackman刪除了其對SBF道歉推文的支持回復。

報道稱，從SBF“不義之財”中獲益的美國政客們也在止損，民主黨人Dick Durbin和Jesús “Chuy” García表示，他們將從SBF那里收到的2900美元捐給未公開的慈善機構。共和黨人David Schweikert 承諾放棄他與FTX相關的2900美元現金。（Blockworks）[2022/11/16 13:12:35]

對于慢霧這幾年不斷發展來說，遇到的最有挑戰性的是什么？

大家都知道區塊鏈行業發展特別快，不管是新的公鏈，還是新的應用，整個行業的技術和方向都在不斷地變化。

作為區塊鏈安全公司，首先需要及時地了解新的方向，率先進行研究。同時客戶服務的過程當中也要去應對黑天鵝的事件，并且通過捕獲漏洞情報的方式去對抗地下黑客。在新的技術迭代過程當中，我們需要去儲備自身的技術，且不斷地挖掘新漏洞。

這些困難對我們來說并不是特別的大，因為我們團隊的小伙伴在自驅力和學習能力方面都很優秀。同時團隊的氛圍也非常積極樂觀。

社群中有一些行業的創業者，他們非常想了解，對于區塊鏈未來發展，在安全領域方面，有哪些突破口？

按照我們現在的理解，區塊鏈技術在安全領域突破口，主要還是在隱私和去信任化這兩個版塊。

因為區塊鏈與其他技術相比，它的核心特點是在于自治和可信，同時也是區塊鏈的核心競爭優勢。通過去中心化保證信息不被篡改，所以我認為目前區塊鏈行業，安全隱私問題與高新技術相結合，有望成為安全領域的突破口。

互聯網安全競爭對手也多，對于像360這樣的安全公司，對于慢霧會不會有什么影響？

我們在區塊鏈安全領域摸爬滾打了很多年，從2018年1月份開始創立至今，已有兩年半的時間。我們團隊在區塊鏈安全領域發現了很多獨創的安全漏洞，從這點就可以很好地證明我們團隊在安全領域方面的核心競爭力。

服務案例方面，我們與頭部交易所合作，如火幣、幣安、OKEX，同時還有一些穩定幣類的項目，如TUSD、火幣的UDST、OKEX的USDT，包括很多底層公鏈項目，如OKChain,以及加密貨幣錢包，如imToken、MyKey等全球頂級客戶都有合作，這從側面證明我們的實力，以及我們的核心競爭力以及優勢。

我們不會過多的關注互聯網巨頭布局區塊鏈，是否會對我們帶來毀滅性的打擊。因為我們團隊充滿自信，同時我們應該穩而慢的發展，不斷地沉淀。我們慢霧的使命是：用“取之區塊鏈回歸區塊鏈”的方式為整個生態帶來安全感，希望能有更多優秀的團隊持續的打造屬于區塊鏈世界中安全領域的基礎設施。

對于小白用戶可能會有一個好奇的問題：交易所盜幣事件時有發生，錢包項目也有卷款跑路的，我的幣到底是放在交易所更安全還是放在錢包更安全，從安全性角度來講您對大家有什么建議？

這是一個很好的問題，首先我們需要先達成共識，因為沒有任何東西是絕對安全的。基于這共識，分兩種情況進行考慮。

第一種情況，如果你有非常多的數字資產，并且不需要頻繁的進行交易或轉賬，那你就有冷存儲的需求。可以通過硬件錢包作為冷錢包進行安全保管，同時通過物理保障措施將其收藏好。硬件錢包盡量選擇國內外知名硬件錢包品牌。

第二種情況，如果你有比較高的交易頻率，其中一部分數字資產需要經常存儲在交易所中，盡量選擇國際知名的一線交易所，因為出現交易所跑路的概率較小，以及盜幣有一定的賠付能力，例如幣安交易所之前7000多枚比特幣被盜，他們能夠補償用戶的損失。

同時在選擇一線交易所之后，要盡可能開啟安全措施，例如說登錄時二次認證，或者開啟谷歌認證，因為當你的賬號密碼通過別的途徑泄露后，黑客想要去登錄你的賬號，還必須獲取短信驗證碼或獲取谷歌二次認證碼。

也可以兩種方式結合使用，可以把頻繁交易的資產存儲在一線交易所，另一部分不需要頻繁交易的數字資產存儲在硬件錢包里。

最后一個安全建議，在選擇硬件錢包和錢包App或是交易所的時候，都盡量選擇一些跟安全審計公司合作的項目，或者自己有內部安全團隊的項目，這樣在遇到安全問題后，他們的響應能力和修復能力較強，更加有保障。

對于想要了解區塊鏈安全知識，需要必備哪些知識或者哪些書籍呢？

慢霧在2019年推出區塊鏈安全入門筆記的科普系列，系列有10篇文章，通過文章可以了解區塊安全領域的基礎知識，同時我們有知識分享交流群，有需要的朋友也可以加入我們的社區，同時我推薦大家可以閱讀《精通比特幣》和《圖解區塊鏈》。

重點再推薦一下我們的慢霧科普系列，系列中總結了幾十個關鍵詞，對每一個關鍵詞都有很詳細的解釋，以及詳細的漏洞原理介紹和修復方法介紹。

最后，您對羊駝社群的駝粉們還有什么想要分享的嗎？

如果大家對區塊鏈安全感興趣，可以關注慢霧科技的公眾號和慢霧科技的知識星球，我們有任何的安全動態，都會第一時間在公眾號和知識星球上發布，方便大家及時了解資訊。感謝大家的聆聽，謝謝主持人君君和主辦方。

??訪談過程嘉賓和主持人觀點不代表羊駝財經立場，數字貨幣市場具有高風險，投資需謹慎噢。

Tags：區塊鏈USDOSMOSMO有人靠區塊鏈4天就掙了30萬usdk幣怎么變成usdtOSMO幣

FTX