時間:2022年5月28日
嘉賓:Steven???-------InsurAce保險協議
??????Amo?????------OneKey?硬件錢包
??????Johnson??-------InitiateCapital火鳳資本
??????大橙子???-------零X干貨鋪發起人
Alex:大家好,我是今天的主持人Alex,今天Space主題很簡單,就是關于加密世界的安全問題。最近偷盜頻發,所以想借這次Space和大家探討一下這個問題。歡迎幾位嘉賓,下面請各位嘉賓做一個自我介紹。
Steven:大家好,我來自InsurAce,一個Defi保險協議。簡單介紹一下,我們項目最早是建立在以太坊,目前我們已經部署到了四條鏈,是一個去中心化的多鏈保險平臺。我們現在為很多用戶提供鏈上保險服務,形式上跟別的保險不太一樣,我們這個保險是一攬子的保險方式。怎么理解呢?原先在其它的Defi協議買保險是單獨一個產品,每次購買都要付費一次,我們這邊的保險方式可以想像成淘寶一樣的電商購物平臺,有一個購物車,可以買智能合約的漏洞保險,可以買錢包的保險,也可以買穩定幣,只要加入購物車一次性支付就可以保證多個資產安全。
Johnson:我是Johnson,大家可以叫我Superlee,我來自火鳳資本,英文叫做InitiateCapital,我們是在去年年初成立的。我們包括創始人的背景都是原來Web2的世界里做VC投資,主要是關注文化娛樂的賽道,投了很多游戲、潮玩、文化資源、動漫影視的公司,早在前幾年開始接觸Web3,去年成立了火鳳。火鳳現在主要也是關注Web3的投資機會,投了一些項目,包括Stepn,MaskNetwork、RSS3等等,關注的還是偏應用的會多一點,比如NFT、SocialFI相關的項目會多一些。我們自己也是從Web2到Web3的團隊,包括我個人,所以其實比較關注加密世界的安全這個話題。其實做投資的話,我們內部經常講,做任何投資首先不能只看回報,要保證投出去的錢安全,先不要虧錢,這是一個大前提,在不虧錢的情況下才想怎么能夠賺錢。我覺得不虧錢就會涉及到安全的問題,這是一個很重要的話題,所以今天很高興有機會參與這個討論,和大家一起學習和交流。
Amo:大家好,我是OneKey硬件錢包的Amo,大家是不是多多少少都聽說過OneKey?這里先做一個正式的介紹,OneKey是目前中國大陸硬件錢包銷售增長率第一的錢包,我們的團隊90%以上都是深耕加密貨幣多年的專業工程師,都是很厲害的工程師。我們的優勢在于支持多鏈、完全開源,Leisure也是半開源的狀態。我們有專業的客服團隊為大家解決各種鏈上的問題,所以對新手小白還是非常友好的。不管大家是參與Defi還是囤幣,有硬件錢包才能比較好地保證我們資產的安全。今天很高興能夠參加Space,和大家討論資產安全的問題,這個很重要。
Alex:第四位嘉賓有點遲到,我們就先開始吧。非常感謝嘉賓們的自我介紹,X2Y2作為一個交易平臺也是非常關注我們在加密世界安全性的建設,并且經常想著怎樣給我們的用戶灌輸安全意識,這也是舉辦這次Space的原因。首先想提出的一個問題就錢包的安全。我們都知道在加密世界,錢包是使用頻率最高的應用,如何去保證錢包的安全,相信大家都會比較感興趣。Amo肯定比較專業,你們是做硬件錢包的,你們覺得對硬件錢包而言,有什么注意的點是作為一個硬件錢包的項目方需要教導你們的客戶,或者是向他們傳達的呢?
Amo:我們可以先進入一個場景,就是進行Defi的時候需要鏈上頻繁操作,會有各種交互、簽名、確認等等,鏈上交互的第一個風險就是電腦可能會被黑、被遠程控制,收到定向攻擊郵件,熟人作案給你發個鏈接,點開電腦就中病。如果用的是熱錢包,私鑰是保存在手機或者電腦的緩存里的,這個時候就會很容易被竊取,黑客竊取到了以后就可以控制資產,瞬間就把資產轉移掉,所以熱錢包的風險還是挺大的。我們硬件錢包的助記詞就是一個不觸網的狀態,使用公鑰與外界交互,簡單來說就是將公鑰和私鑰分開,然后我們在鏈上操作的時候連接硬件錢包,讀取的是公鑰,然后我們進行轉帳、簽名、授權是需要硬件錢包上的物理安全確認,確認之后才能完成交互,所以就是隔離私鑰不觸網,物理按鍵,還會在屏幕上顯示交易的信息,所以可以比較有效地保護助記詞。
觀點:加密資本市場基本回到2014年之前,初創公司不再有機會與銀行合作:金色財經報道,The Block 新聞總編Frank Chaparro發推稱,加密友好銀行Signature Bank被關閉,加密資本市場基本回到 2014 年之前,任何新成立的公司都沒有機會與銀行建立關系。在許多方面,加密貨幣已經成為正式的無銀行業務。[2023/3/13 12:59:46]
Alex:?剛才提到有一個物理按鍵,那個物理按鍵是需要指紋,就是生物解鎖的方式進行最后的確認嗎?比如我要進行一筆轉帳,或者BAYC轉給另外一個人,我要賣給他,最后確認的時候是需要按下這個按鍵才能最后成功是嗎?
Amo:這是一個很好的問題,實際上不用生物指紋什么的,它和小狐貍插件是一樣的,插件點擊硬件錢包以后會彈出一個是否確認的按鍵,這個時候需要輸入錢包的PIN碼,有了這個PIN碼之后再去確認,才能完成交易。
Alex:那個PIN碼相當于一個額外的給到用戶,有點像Google的安全碼是嗎?
Amo:PIN碼其實是錢包的一個解鎖的密碼,根據屏幕的時間、位置不同,然后這個PIN碼是解鎖,比如按了十次都是錯的,這個時候數據會自動抹除,錢包回到一個初始狀態。
Alex:那里面的錢怎么辦?
Amo:還是要手抄備份助記詞,把助記詞導進去或者像小狐貍這種都是可以恢復資產的,所以備份還是很有必要的,只是在Defi的時候可以起到一個比較好的保護作用,私鑰是不觸網的狀態。
Alex:明白,主要目的還是保護私鑰不成為一個可觸及的地方,就是達到一個沒有網絡的狀態。
Amo:對,因為熱錢包的話助記詞就是在電腦里面,如果真的中或者點開一個什么文件,非常有可能被泄露,所以硬件錢包還是很有必要用一下的。
Alex:好的,感謝Amo的講解,順便問一下Steven,你有用過硬件錢包嗎?你用起來觀感如何?
Steven:是這樣,我一直想買OneKey,剛開始買不到,后來就忘記了,再后來就不需要買了。
Alex:這是一個悲傷的故事。
Steven:雖然我沒有用OneKey,但我還是會買的,一般我自己的做法是做一些帳戶隔離。比如我會注冊三個錢包或者四個錢包,你的每個錢包的屬性或者用處可能不太一樣,比如我買NFT的放在一個錢包里面,我跟Defi交互的話可能會用一個錢包。因為在鏈上操作的話風險其實是很大的,包括你的很多資產,比如放在交易平臺上面。其實現在交易所基本上不太可能會被盜,被盜的話交易所也會賠付,所以最大的風險還是鏈上交互的風險。我覺得大部分用戶能夠做得比較少,前一段時間余老師發了一篇文章,就是講加密貨幣黑暗森林自救手冊,那篇文章我看了兩三遍,我覺得整個大部分用戶或者從業的用戶可能都不一定看得懂,即使能夠看得懂也不一定執行得了。就像創建錢包、識別插件、助記詞這些,用戶都可能做得很好。事前還可以做,比如通過硬件錢包可以把你的風險繼續下降一個層次。
還有一種方式就是像我們這種保險協議也可以購買一下,因為鏈上從Defi出來到現在,基本上不用說每天,幾乎每周都會發生被盜或者跑路事件。這些問題和風險,其實在線上的話能夠做的是有限的,而且大部分用戶對這種風險識別的能力其實是不夠的。Defi這種其實每個協議也不像互聯網一樣,每個Defi獨立運營,因為Defi相互的交互組合性和調用行為特別多。有的時候你的一個錢包參與了A-Defi,可能B-Defi被盜之后也會影響到A-Defi。我覺得大部分用戶踏入這個圈層,應該更多地建立起一些保險意識。現在疫情,我們大家都關在家里,前一段時間一直在說要有底線思維,參與區塊鏈這個領域也要有一個底線思維。比如大部分閑置資產必須是放在硬錢包里面,可能在鏈上交互的話,把該做的提前做好,比如買一份保險,不管是你的資產多或者少,其實保險都有一個很必要的操作。因為不管多少,你的資產多的話保費湊得相對多一點,資產少的話保費湊得相對少一點。
美國立法者就個人在監管機構和加密行業之間雙向轉換角色問題致函金融監管機構:金色財經報道,美國立法者對金融監管機構和加密行業之間的旋轉門表示擔憂(旋轉門指個人在公共部門和私人部門之間雙向轉換角色、穿梭交叉為利益集團牟利的機制),五位美國立法者已致函七家金融監管機構,詢問他們為防止其機構與加密行業之間的旋轉門而采取的措施。監管機構被要求在11月7日之前答復。[2022/10/30 11:57:40]
Alex:我問一下,比如要買Insurance的話是動態的嗎?我有一個BAYC,付的保費可能跟我只有一個Azuki付的保費不一樣嗎?
Steven:因為你所有的是NFT,NFT保險和錢包保險,現在這兩個產品我們還在研發。因為這里有些問題,比如錢包保險需要用戶證明資金損失是不是合法的,這個錢包是不是你的。現在通過技術手段或者通過調查手段,可能中間還是有些漏洞的。我們覺得未來通過一些證明用戶的身份信息,包括鏈上社會信用的交叉節點進行改進,然后我們風控,比如我跟X2Y2合作,中間可能探討一些風控模型和精算,然后定一個價格出來用戶直接買。今天買的NFT大概是需要保證整個的價值是多少,有可能是動態的,有可能是靜態的,這是不一定的。
現在保險賣的最好的有幾種:第一是智能合約漏洞,這個是比較常見的,第二是穩定幣脫錨保險,前一段時間UST這件事我們也賠付了,只要脫錨我們就給你賠付,一比一置換。很多用戶損失以后通過我們這里也會得到一個補償,其實這是對用戶的一個保護,就是你在參與進來,對Terror如果有足夠認知,這種明顯帶有旁氏模型的項目其實是有風險的,那么就應該把自己的風險進行轉移,比如通過保險的方式或者通過其它的方式。
大部分用戶主要是風險意識不夠,我們現在為大部分用戶保的就是智能合約漏洞,資產管理平臺被盜,這種被盜的風險也是挺大的,如果你的資產足夠大,或者也不用足夠大,都可以去保。因為現在元宇宙和NFT一直都是比較出圈的類型,所以我們一直在研發NFT保險和錢包保險,這些也是我們未來的重點。
Alex:明白,也就是說你們目前的保險更多的還是針對資產可能出現的問題,但對NFT和錢包,比如錢包本身的硬件或者軟件的問題還沒有考慮到你們的賠付范圍以內是嗎?
Steven:保險上架與否,跟傳統保險一樣也有風控和精算,再就是一個保險價格。因為用戶也要算賠率,比如你買一個猴子,可能現在是值兩百個以太,如果對這個價格波動風險沒有進行有效的定價,定得低了的話風險就轉移到平臺上來了,那這個保險事業就不可持續了,如果定得高的話,大部分用戶又不愿意去買,中間需要探討出來一個切實可行的方式,既讓它能夠面向市場,大部分用戶不用付多少成本保護得了自己的資產,又能讓產品有利潤可持續發展。
Alex:非常感謝,我覺得蠻有新意的,期待你們推出關于NFT的保險,我們可以進行深度的合作。我們的用戶很多,今天還有一個客戶搜索了我們的網站,他其實進的不是我們的網站,而是進到一個釣魚網站,Google搜索X2Y2,因為那個網站是從Google購買的廣告,不小心進入那個釣魚網站,NFT就被偷了,很神奇,我就覺得還有這種操作?
Steven:這種問題其實非常常見,我們團隊內部定期也會給你發一個釣魚鏈接郵件,看你到底填沒填,我們內部一直在測試自己。
Alex:測試的結果有很多人會點嗎?還是不會管?
Steven:剛開始有標題,你也不知道為什么,團隊之間可能也要回復,所以點得就比較多,后來大家的識別率就會降下來。因為我們是做保險的,一定要把風險意識提高,就像硬件錢包跟鏈上進行風險隔離一樣,我們其實也是一樣的。風險分內部和外部,團隊內部一定要和外部的風險進行隔離,內部風險需要自己想辦法通過機制解決。
Human Protocol將Proof-of-HUMANity功能插入加密貨幣錢包:反機器人系統hCaptcha的主干“Human Protocol”推出了一種工具,可讓開發人員將其“Proof-of-HUMANity”功能插入加密貨幣錢包。這可以將 hCaptcha 工具引入到 Google Chrome、Firefox、Opera 和 Brave 等網絡瀏覽器的第三方錢包插件設計中。此外,Human Protocol Labs 還發布了HUMAN 錢包。(Coindesk)[2021/6/15 23:36:50]
Alex:非常感謝Steven,再問一下Johnson,你有用過什么硬件錢包嗎?或者關于硬件錢包和熱錢包你有沒有聽說過的特別神奇的騙局?
Johnson:我自己可能體驗過一些,但不太多,因為對用戶來講,如果資產量比較大的話,穩妥的方式是找一個硬件錢包,如果平時只是一些小額的,或者進出比較頻繁的話,那么這方面的需求就不是特別明顯。因為我們自己是做投資的,也跟一些做錢包尤其是硬件錢包的團隊交流過,總體上覺得尤其是在國內華語地區,大家對硬件錢包的認識或者是使用率相比歐美地區是相對低的,尤其是國內做硬件錢包的團隊,他們大部分的用戶和銷路還是在歐美地區為主,國內由于各方面的原因,大家的意識也不是很強,信息也不是特別通暢,所以大家對硬件錢包或者錢包的安全認知還是比較低的。
長遠來講,肯定是需要大家多多提高安全意識,需要有些人不管是行業的團隊還是媒體,或者是X2Y2這樣的重要平臺,大家多去做一些宣傳和科普,這是很重要的。關于安全我也聽說過,之前也有一個做硬件錢包的,哪個錢包我就不說了,反正就是一個錢包,用戶去買,很不幸的是去了拼多多,上去買了硬件錢包,回來以后把自己的加密貨幣存進去,然后就被盜了。很奇怪,然后就去找這個團隊。
Alex:定點投放的騙局。
Johnson:是的,核心在于他買的這個渠道不對,他去了拼多多,這個平臺上賣給他的賣家顯然不是官方,不是硬件錢包官方的店,是某個個人,然后賣給他的硬件錢包理論上應該是加密的,但其實是動了手腳的,就是把里面的私鑰之類的東西改了。那個用戶拿到手的時候覺得沒有問題,但這里是有陷阱的,他把資產轉進去以后很快就被轉走了,因為他是買了一個陷阱。后來找到那個團隊,團隊一看就知道這是一個陷阱,因為買的渠道不對,所以就被騙了。這是一個很大的教訓,即便是買硬件錢包也要選擇官方的途徑、官方的渠道,這也是很重要的一個點。
Alex:我自己是有準備購買過另外一款錢包,但我朋友跟我說反正沒有什么資產,你還是別買了。那個時候是猴子幣,大家湊錢集中在一個人手上充猴子幣,當時就有很大的需求。大家看到一個人帳戶上有十多個猴子幣,那個時候應該是有超過四十個以太坊的價值,反正就是很貴,大家都很緊張,就問他要不要去買硬件錢包。
Johnson:是的。
Alex:所以還是有場景的問題,現在很多人沒有應用場景,所以沒有這個需求。
Johnson:我也看到在一些社區的用戶慢慢地有了這樣的意識,比如買了猴子幣或者BAYC之后就會比較小心,會把NFT放到硬件錢包,盡量不要去接觸網絡,因為的確是這種騙局會層出不窮地出來,如果稍不留心,把這個東西放在一個錢包,這個錢包去交互一些東西的話就有可能會被盜。
Alex:確實,我看到第四位嘉賓也上來了,大橙子。
大橙子:今天的主題是加密世界的安全,我覺得今天參加這場Space的應該沒有人比我在這上面虧得多,我在上面損失了六萬個BNB。
Alex:可以和大家順便分享一下,為什么會因為這個。
大橙子:BNB是我這輩子最成功的投資,剛開始IEU的時候我就參與了,當時是叫做ICU,我十萬人民幣買了十一萬個,當時的成本是九毛人民幣。因為我這個人幣特別拿得住,所以當時就一直拿著,然后就把這個事情忘了,放在交易所里面。2018年4月的時候,當時幣安也是沒有怎么完全起來,2018年3月的時候,他們的工作人員打電話給我說帳戶有異常,因為我當時幣安帳戶里只有十一萬個BNB,什么都沒有,他們說你的BNB都被賣成另一個幣,就是現在對抄成一個小幣。黑客就是先買那個小幣,因為他們沒有我帳號的提幣權限,只有交易權限,所以就對抄出去了。
彭博社:印度加密禁令將提供3到6個月過渡期:一位自稱印度財政部高級官員的匿名消息人士稱,在世界第二人口大國,加密資產的使用將很快被完全禁止。消息人士在向彭博社發表講話時表示,禁止使用所有形式加密貨幣的新法律預計將很快在議會中通過,也將禁止通過外匯與加密貨幣進行交易。該消息人士還稱,預計在新法律生效后,加密貨幣持有人將有3到6個月的過渡期完成平倉。(彭博社)[2021/2/12 19:37:05]
后來就查什么原因,我不知道,如果是幣圈的老人,你們有沒有印象,一款軟件叫做搜搜BTC,幣圈新人肯定不知道,老人知道。搜搜BTC現在是叫做AICoin,前身叫做搜搜BTC,是同一個團隊。當時搜搜BTC綁定幣安的API,也不分幾個月不用默認會沉默關掉或者怎么樣,因為太早了,API那個東西我也對它的安全沒有什么概念,開的時候就是有交易權限的。當時好像也不分什么只讀交易之類的,開了就是有的。然后當時搜搜BTC綁定這個API,我上去看資金情況各方面會比較方便,我就綁定了,至少綁定了一年多,我甚至把這個事情都給忘了。后來2018年4月的時候,他們突然打電話給我說帳戶被對抄掉了,最終損失大概是六萬個BNB,當時我帳戶上有十一萬個BNB,也和何毅搞了老半天,最后賠了我九十個BTC。六萬個BNB當時是值一百二十個BTC,現在是不得了,就是BTC本位的話,幣安賠了我三十個BTC。這是我吃的最大一次虧,當時BNB也還好,不是很值錢,如果放到現在的話,那就不得了了。
Alex:我聽下來好像是因為你給一個軟件開了API的權限,就是你當時已經忘記設置這個權限,導致他們一直可以交易是嗎?
大橙子:對,因為那個API是有交易權限的,我個人比較懷疑的是他們內部的員工,但也沒有任何證據,后面因為“九四”之后大家都轉出去了,搜搜BTC的主體也沒了,后來我才知道是AICoin,但這個東西沒法查也沒法告,我也不知道是幣安技術有問題還是搜搜BTC技術有問題或者是哪個環節,反正肯定是API,這個是幣安查出來的,因為API才導致我被對抄走的。
Alex:就是因為API濫用,權限給的太多了,或者交互沒有做好導致過分竊取你的帳戶的使用權。
大橙子:我要告訴大家的一點是,如果交易API你是授權給外部用的話,一定要綁定IP。現在已經很成熟了,就是如果是交易API授權給哪個第三方,當然他們是只讀,綁定哪個第三方一定要綁定IP,就是只有這個IP的服務器才能調用交易API,這樣即使API被盜也是沒有關系的。如果交易API不綁定IP,給到第三方,你的帳戶就太危險太危險,而且這種事情后來也出了很多很多起,不單單是幣安,OK也有出過,幾個大戶也是這樣被盜的。
Alex:明白,就是把交易API授權給了某個程序,因為那個程序可以幫他更好地監測幣的走向,沒有想到反而被利用了。
大橙子:因為你不知道那個程序是怎么存你的API,甚至可能明文存在數據庫,他的數據庫被扒了,或者他內部員工作惡意作案然后離職,這種東西根本講不清楚的。
Alex:其實這個有點像熱錢包,也不能說是熱錢包,可能是涉及到交易所帳戶的安全權限問題。
大橙子:這個就是API管理問題,最核心的,現在我們有很多API會給外部用,有的時候找量化團隊也要交易API給量化團隊,用你的帳戶跑他的策略,最核心的是一定要綁定IP,這是很關鍵的。
Alex:我想問一下大橙子,因為你的資金量很大,但你是有交易需求的,所以沒有辦法用硬件錢包嗎?
大橙子:其實當時有硬件錢包,我聽周圍的人說了一些很可笑的問題,因為當時都不成熟,聽到這些問題導致我不敢用。當時也太早了,2017年到2018年的時候,我不太信任硬件錢包,我覺得放交易所比較安全。當時我對API沒有這方面的概念,就是這個東西可以對抄走的,當時我完全沒有這個概念。因為我知道他們沒有提幣權限,只有交易權限的話問題也不大,后來我才知道原來是可以對抄走的,至少可以對抄走一半的資金。
韋氏評級:加密貓團隊離開以太坊并不奇怪 因為以太坊還沒擴展:3月8日,韋氏評級發推稱,Cryptokitties(加密貓)背后的團隊將離開以太坊,并創建自己的區塊鏈。這并不奇怪,因為以太坊還沒有擴展。更快的區塊鏈意味著更少的驗證器,反之亦然。為什么不推出一個新的區塊鏈自己發行代幣。3月5日消息,加密貓CryptoKitties開發團隊Dapper Labs開發的公鏈平臺 Flow宣布推出交互式Web開發工具 Flow Playground。[2020/3/8]
Alex:就是用交易權限。
大橙子:但這個事情直到現在還有發生。
Alex:因為現在API這個技術還是不太完善的原因嗎?
大橙子:技術沒有關系,就是你把API給別人,如果不綁定IP的話風險就是很大的,但現在還有很多人API給到外面是不綁定IP的。
Alex:必須綁定IP才能使用,其實這個騙局教訓還很嚴重,換算到現在的話其實是損失了很多,三百刀一個。
大橙子:是的,要是現在被偷一萬個,我要想不開了。
Alex:天臺見嗎。
大橙子:現在太多了。
Alex:我覺得也算是花錢買個教訓,而且相信你的資產肯定也不止這么多。我接著問大橙子,剛才你談到的其實是關于錢包的API授權的安全問題,你在交易的時候有遇到過那些合約的安全問題嗎?比如剛才你提到的可能對你的合約進行了限制,或者騙取合約的使用權限修改合約,會有這種情況嗎?
大橙子:我沒有碰到過,但我身邊的一個朋友,以前是幣安的,他的BAYC被盜了,人家Twitter上發了一個鏈接,跟他說這個網址用BAYC可以領取某個NFT,當時他就信了,點進去以后,那個網址就騙他授權,然后他授權以后那只BAYC就被盜了。那個應該是半年之前的事情,就是我的朋友。
Alex:我有一個朋友也是進了釣魚網站,點了一下授權,那個帳戶里面所有NFT都沒有了,基本上NFT都是跟這個授權有關系。
大橙子:我個人覺得硬件錢包和非硬件錢包有一個最大的區別,如果你的東西放在硬件錢包,要去點那個授權的話很麻煩,要把東西拿出來再去點,當時會有一段思考的時間,或者你會跟別人去說,人家會提醒你,但如果純粹是一個小狐貍,人家一發信息你馬上就可以點,思考的時間都來不及的話,點了授權就沒有了。我身邊有好幾個都是這樣,所以他們覺得用硬件錢包,并不是硬件錢包就多安全。當然,硬件錢包的確安全,但硬件錢包沒有那么容易讓你操作,這是真的。
Alex:交互的操作性可能沒有那么簡潔,但也變相地讓安全性提高了。
大橙子:是的。
Alex:就是對這種錢包而言,大橙子是有一些值得大家借鑒的血淚教訓,我也想問一下Steven,你們賠付有沒有遇到過這種用戶來找你們進行賠付,不小心點了一些合約,導致錢包里的幣都被轉走了,這種你們有遇到過嗎?
Steven:目前是沒有的,因為這可能跟大家對Defi的保險需求有關。傳統行業就說美國的整個金融資產,保險這個領域占到整個金融資產的差不多20%,但是Defi保險在整個Defi行業其實存在和占比都不是很高。我覺得這是大家的風險意識可能還不是很高,但恰恰是元宇宙的發展,Defi的發展,鏈上交互這些和鏈下買個股票不太一樣,完全就是在錢包里的所有東西都有可能陳列成資產。大家應該有這樣的意識,因為之前我們賠付了幾個,有資產平臺被盜的,但也賠的不多,就是賠了幾萬美金。
Alex:資產平臺被盜是什么意思?
Steven:就是海外的,具體的案例我還不太了解,就是類似于把錢放在資管平臺上面,然后被盜了,錢也不多。因為保費整體就能夠直接賠付,所以就給賠了。其實現在我們上架的保險還是很多,我們在海外的社區一直都做得特別好,所以海外的用戶是非常多的,大部分保險上架都是因為海外社區有這樣的用戶,比如今天你是一個ABCD的Defi項目方,要不要把這個保險產品合作上架,其實對他來講無所謂,但對他的用戶是有所謂的,倒逼很多社區用戶到我們這邊提需求給項目方,項目方就跟我們商討把這個保險上來,大概就是這樣的方式。我們的整個風控也會跟審計機構合作,所以風控做得比較好,賠付的話我們還是比較少的,最近穩定幣脫錨賠付的比較多。
Alex:穩定幣脫錨這個現象也比較少見。
Steven:這是一個特例,這種極端事件還是很難遇到的。
Alex:也就是說在你們這邊,像剛才提到的合約的問題去賠付還算是比較少的。
Steven:其實還是那個問題,大家對買保險的意識不夠,所以用戶買得不多的話我們就賠付得少,大家買得多的話賠付也就進而多起來了。風控也是在保險上架之前我們會評估智能合約安全,就是和審計機構合作,包括項目團隊背景,這些我們都會評估。我們也會擔心項目會有風險,所以上架一個項目的風險會多方面考量。
Alex:這樣看來的話,合約安全更多的還是在于我們自己對它的判斷,比如它跳出來說要不要你授權,你應不應該去點,其實取決于我們對網站的信任程度,我個人聽下來是這個感覺。
Steven:就是你在互聯網上跟各個Defi或者NFT交互,拿白名單,各個群里有的時候根本識別不出來,所以大家要有這個風險意識,這個鏈接到底能不能點,然后做一個客觀的評估,要不就提前買好保險,我們對整個錢包的資產去做一個保護,因為你能做的確實很有限。
Alex:我覺得其實講的非常有道理,個人聽下來,假設我真的有一千萬的話可能會給我的一千萬買個保險,這樣會睡得更踏實一點。
Steven:十萬也敢買,十萬也是錢。
Alex:這個問題轉給Johnson,你們從投資的角度而言有沒有看到一些項目,可能會去解決這樣的合約安全問題。剛才Steven是從事后賠付的角度幫助我們完善安全,有沒有項目方是準備在事前去做一些事情,或者是有沒有那種可以在事前幫助大家建立這樣的安全意識,并且阻止這樣的悲劇發生?
Johnson:我感覺好像比較少,因為整個安全比較復雜,有些是技術層面的原因,比如技術漏洞或者合約編寫的漏洞,這是從技術角度去想辦法規避;有些是大家的意識,就是需要通過意識的提升和教育。之前我們看到一些社群在轉漫物科技做的手冊,大家也都在傳播,其實這也是在做教育和普及的工作,就是從科普和意識給大家做一個提升,某種程度上會有很大的幫助。要是說產品的話,我們自己接觸這方面的團隊會比較少,好像沒有專門針對這種安全的。
Alex:我好像沒有看到專門針對合約,特別是交互之前會有一個特別多的審計,對合約的審計見了很多,但這種很少。
Johnson:因為合約是個死的東西,相對比較容易做出一個產品,如果是針對任何交互或者新的產品的漏洞,可能就很難是一個固定的產品,因為你的產品和市場不斷變化,可能很難做成一個產品。我再Echo一下前面大橙子講的,很有道理,你會發現很多騙局,不管是加密還是Web2的電信詐騙,很多時候的確就是因為當這個事情發生就沒有經過大腦思考,電信詐騙就像一些阿姨或者老年人接到一個電話就慌了,趕緊跑到銀行轉帳,沒有一個第三方站出來勸他一下,或者是讓他有時間去思考,才會發生這樣的安全問題。加密世界也是一樣,硬件錢包我挺認同的,其實是給你多一層思考,想一想這個事到底靠不靠譜,是不是他說的那么好。我自己的感覺是很多時候陷進去是因為你有一個Fomo的心態,包括很多時候我們去沖一些幣或者買NFT都是有一種FOMO的心態,當你有這個心態存在的時候,可能就套在山頂上。有的時候我們說寧愿錯過也不要FOMO,到了加密里面,某種程度上都挺普適的,就是當你有一個好的、很誘人的機會過來,別人上來給你一個很好的Offer,給了一個很優惠的價格,你先想一想這個事情真的有那么好嗎?你把它擱一擱,到朋友圈問一問,這個事有別人做嗎?你們怎么看這個事?然后再想要不要這個東西,不用那么急。
Alex:我覺得講的蠻有道理,很多時候被騙的心理都是那個時刻可能有一個神奇的力量在推動著我們,沒有看仔細,很快地就點了確認鍵,所以導致可能合約層面上的一些安全問題就出來了。各位嘉賓多多少少也有提到,我還沒有看清楚直接點了同意,導致對方轉走我NFT或者NFT的資產的權限,最終導致被騙了。除了以上這兩種,關于錢包的安全風險,關于合約的安全風險,最后還有一個Defi安全風險,我就直接拋給大橙子,你有遇到過項目方的安全風險嗎?
大橙子:之前我Defi的時候碰到過好幾次,尤其是出新礦的時候,我們自己會有一個小群,然后自己會去審計一下合約安全,但我覺得這個東西不可避免,要去沖這些小礦的話,懂合約代碼的要自己去審計一下才能避免,因為審計公司也不是完全靠譜,不是所有東西都能夠審計出來,這就是我的建議。
Alex:就是還是要自學代碼是嗎?
大橙子:因為你要懂得這些,真金白銀要放進去,除非是沖所有人都在沖的礦,那樣問題不大,真的碰到這種也就認命了,要是沖新礦的話怕被項目方搞一下,自己還是要去看一下合約代碼,否則不能去冒這個險。
Alex:明白,確實是這樣,最后再問OneKey,Amo其實主要是涉及到硬件錢包,就是關于錢包的安全,你們的用戶會有給你們反饋,就是他們有遇到一些比較刁鉆或者比較神奇的詐騙情況嗎?方不方便分享一下,相當于我們安全須知收尾的案例分享,有沒有什么比較有意思的案例?
Amo:就像剛才大家都說自己的資金沒有那么多,好像買一個錢包也沒有什么必要的這種心理,還是有很多私鑰可能就保存在電腦里面,或者是直接用熱錢包。前一段時間還有出現iCloud備份小狐貍的插件熱錢包的助記詞,是有一個人被盜取了,也是因為熱錢包存在手機里面,iCloud備份,然后緊急修復了。要是用硬件錢包的話肯定沒有熱錢包那么方便,熱錢包直接確認一下就好,硬件錢包需要物理確認調取按鍵。實際上就像你們之前說的合約風險,我們這邊建議要是頭礦的話還是要一礦一地址,硬件錢包的價格相當于一筆Gas費,所以還是劃算的,大家都有僥幸心理,但真的遇到問題的話就麻煩了。保險也是這樣一個概念,實際上還是事前防范會比較好。
Alex:我們可以找Steven買保險。
Amo:剛才說到惡意合約,之前我們是有做一個集成,曝光出哪些有惡意合約的網站,到時候我去找一找,盡量把已經公布的惡意合約集成進來,未來我們可能也會做到進入這個Defi的時候有一個提示,被很多人標注可能是有風險的功能,也是我們現在正在考慮開發的,希望安全領域能夠做得更好一點。
Alex:非常感謝Amo的分享,其實這是一個與時俱進的問題,之前我都沒有給我的錢包或者資產買保險的意識,今天聽了各位嘉賓的分享,我突然發現雖然我的錢也不多,但可以考慮去買一買,不知道有沒有觀眾對安全問題有什么想要問嘉賓的?如果有的話可以舉手。我這邊收到了一個社區的問題,現在既然騙術也在與時俱進,不知道對硬件錢包而言,技術會有一些更新和更迭嗎?或者是有什么比較先進的技術?可不可以分享一下?
Amo:實際上,主要的風險就是私鑰存在哪里,硬件錢包是存在安全芯片里面,這是可以保護的,另外就是剛才提到的一個較大的風險,那就是合約,現在迭代比較快的也是各種合約,可能不小心去授權就會被盜取資產,這是硬件錢包目前沒有辦法保護的,還是需要去看一看合約是什么,我們需要集成一下惡意合約,包括硬件錢包現在已經有部分比較惡意的簽名,我們是支持不讓簽署的,點擊進去以后就是一個比較惡意的狀態,簽名是簽不了的,有些用戶過來問為什么簽不了?我們提交到工程師那邊發現調取的其實是一個惡意簽名,然后我們也在不斷地想把這一塊更加完善一點。
Alex:如果大家沒有其它問題,今天的Space就先到這里,非常感謝三位嘉賓以及暫時開不了麥的Steven的到來,大家講解很多關于安全的實例,大橙子用自己的親身血淚教訓告訴大家一定要慎用API,要對API的使用進行限制,Johnson、Steven和Amo也是對安全問題,包括錢包和合約進行了梳理,再次感謝大家的參與。
Tags:ALEXLEXAPISTEMettalexMarvellex ClassicAll Coins Yield CapitalMONSTER價格
原標題:《Opinion|AsBitcoinBusts,What’stheFutureofWeb3?AndWhatEvenIsWeb3??》原作者:KaraSwisher,紐約時報 編譯:胡韜.
1900/1/1 0:00:00原標題:《WeneedtorethinkAirdropsnextcycle…》作者:cptn3mo,HashedResearch 編譯:餅干,鏈捕手 空投有助于項目將代幣分發給社區用戶.
1900/1/1 0:00:00作者:LiJun,Ontology在歷史上大部分時期,“技術”和生產力總是緊密相連,而“觀念”又是生產關系變革的驅動力,由此,通常人們會把生產力想象成技術進步,把生產關系聯系到群體思維模式.
1900/1/1 0:00:00鏈捕手消息,8BlocksCapital交易主管Danny發推表示,從2020年11月起與三箭資本簽訂協議,向該機構支付費用以使用他們的交易賬戶,目的是降低交易費率,同時約定可以隨時退出賬戶.
1900/1/1 0:00:00來源:Dmail 眾多資本和機構針對Web3,推出了自身的產品,其中,Web3郵箱Dmail創新推出資產內置功能和平臺屬性,有望成為Web3的領軍現象級應用.
1900/1/1 0:00:00鏈捕手消息,Optimism官方撰文反思OP空投中出現的高負載導致主網和遠程過程調用出現嚴重延遲等現象,并表示內部團隊正在與合作伙伴和基礎設施提供商密切合作.
1900/1/1 0:00:00