区块链:安全事件频发，小白用户如何保护钱包安全？

10月13日，全球领先的区块链数据与技术服务提供商欧科云链在TwitterSpace上举办了一场主题为“安全事件频发，小白用户如何保护钱包安全？”的线上交流会，本次活动欧科云链首次对外公开了链上卫士产品线及目前在链上安全领域的布局。此外，本场活动还邀请到了三位深耕链上安全领域的嘉宾共同探讨近期层出不穷的跨链桥安全事件，普通用户该采取哪些策略、养成哪些习惯，来保障自身资产安全?

以下为本次TwitterSpace文字版回顾：

BNBChainBSC跨链桥遭黑客攻击，价值5.6亿美金200万枚BNB被凭空增发，对此安全事件的分析众多，但是都较为晦涩难懂，请审计师帮我们分析一下...

OKLink安全研究员Raymond：

这次BNBChainBSC跨链桥遭黑客攻击，是黑客利用了BNBSmartChain校验代码的一个漏洞。按照正常流程，在校验IAVL提交的数据过程中，会根据用户提供的证明路径，计算各层哈希值，但是校验代码少处理了一种情况，实际也就是少了三行代码，它没有处理一个节点左右都有字节点情况，黑客在正常数据里面，添加了个右节点，这个右节点由于前面说的代码漏洞，没有参与哈希计算，从而绕过了验证，BNBSmartChain的TokenHub按照数据请求，直接给黑客增发200w个BNB，黑客拿BNB去Venus抵押，借出了大量的稳定币，然后调用Stargate跨链桥，将资产转移到ETH，AVAX，Fantom等链，转价值近一个亿美金的链上资产。事后币安协调BNBSmartChain各个节点紧急停链，黑客被冻结在BNBSmartChain上的资产大概还有4.2个亿美金。后来，BNBSmartChain各个节点将黑客地址加入黑名单，禁用了0x65预编译合约的调用，并对链进行了重启。据最新消息，BNBSmartChain已对校验代码进行了修改，节点重新进行硬分叉重启，并重新开启了跨链功能。

Slope安全事件更新：6月24日的钱包版本向Sentry发送了私钥，无法证明根本原因在于Slope:8月17日消息，Slope今日公布了8月2日安全事件相关外部审计报告。报告称，分析表明，2022年6月24日发布的Slope钱包版本向Sentry的服务发送了私钥或助记词（报告所涉及的Sentry服务是指Slope团队私下部署的Sentry服务，并非Sentry官方提供的接口和服务）。但是，从对Slope钱包应用的调查到现在，无法明确证明事件的根本原因在于Slope钱包，于是慢雾安全团队开始在Slope服务器上进行分析取证，需要进一步的证据来解释这次事件的根本原因。

目前，通过对链下服务器和相关的后端服务的分析发现，未发现直接入侵外围服务器的漏洞点，未发现服务器入侵痕迹。在对服务器入侵痕迹分析中，未发现服务器入侵痕迹。但可疑IP（113.*.*.*,114.*.*.*,153.*.*.*）仍需排查，此外，未在客户端-服务器通信中发现DNS劫持的证据。在链上分析中，风险资本评估未发现大额可转移风险资金和潜在风险资金。截至本文发表时，被盗资金并未进一步转移。[2022/8/17 12:31:05]

Q2：以太坊的创始人V神此前也发推讨论了对多链未来的信念，但对跨链生态系统表示怀疑。各位大佬对跨链桥或者层出不穷的跨链桥安全事件有何看法？底层原因是什么呢？

2021年区块链生态被公开的区块链安全事件共 231起 全球损失超 98 亿美元:12月28日消息，据慢雾官方消息，据慢雾科技区块链被黑档案数据不完全统计，2021年区块链生态被公开的区块链安全事件共231起，损失超98亿美元。其中各生态DApp、DeFi等安全事件170起，交易所安全事件15起，公链安全事件8起，钱包安全事件3起，其他类型安全事件35起。[2021/12/28 8:10:06]

数据分析师Phyrex：

由于跨链桥本身并不是原生资产，用户在参与一些跨链桥项目时，需考虑项目方自身作恶的可能性。建议用户尽量不要使用非官方的跨链桥，针对不熟悉的项目不要贪图APY。送给广大用户DeFiSummer阶段常用的一句话“当你不知道项目收益从何处来时，你就是收益本身。”

OKLink安全研究员Raymond：

跨链桥实现整体业务逻辑复杂，信息传递链条很长，因此跨链桥在安全风险方面极易出现问题。对黑客而言，跨链桥规模巨大的TVL比普通协议更具吸引力。最常见的比如私钥安全问题、智能合约漏洞或者操作错误都可能导致跨链桥的大部分或全部资金损失。

库币安全事件涉事比特币地址已将比特币拆分到两个新的地址:据欧科云链OKLink数据显示，Kucoin安全事件中涉事的比特币地址于今日12时44分将1008枚BTC余额全部转出到两个新的比特币地址，两个地址分别收到807枚BTC和201枚BTC。

交易哈希：48898311016b2001e87a71478f625109e322e9282b72ac19bde17f049501eed4[2020/9/27]

建议用户在选择跨链桥时，安全应首先考虑。此外除关注用户体验、低滑点高效率外，安全性是评估跨链桥的重中之重。

OKLinkAuditPMUna：

目前就跨链桥来说，首先是跨链桥数量多，光以太坊上就有100个跨链桥配套设施，其次是跨链资产多，以BTC为例，你应该看到过很多和BTC相关的资产，如WBTC、anyBTC、VBTC等等，其实这些都是基于BTC生成的跨链资产。同时跨链渗透到各种各样的生态和DAPP中。目前光是以太坊生态中的桥锁仓量就达到了78亿美元，当然这也就吸引了黑客的注意。

安全公司：7月发生较典型安全事件超19起:据成都链安安全态势感知系统数据监测，7月发生较典型安全事件超19起。交易所发生1起安全事件。跑路/加密局发生2起安全事件。勒索软件/挖矿木马发生5起安全事件。暗网发生3起安全事件。其他发生8起安全事件。

从总体上看，7月区块链安全事件与6月持平。另外，所曝出的交易所漏洞较多。广大用户及交易所不可放松警惕。因为即使是一个微不足道的漏洞，也可能会造成巨大损失。因此，在日常工作中一定要保持良好的安全习惯。[2020/7/31]

所以用户在使用跨链桥产品时，一定要仔细甄别判断跨链桥的安全性。目前跨链桥主要有3种技术方案：锁定铸造/销毁类，资金池类和原子置换类。不同的技术方案，其安全设置也是各有不同，比如“锁定铸造/销毁”这一类的跨链桥通常来说如果在验证者去中心化分布、验证者被要求质押资产、作恶有罚没机制、资产由智能合约托管的情况下还是相对安全的。

数据派交易员链研社：

可以通过可靠的中心化平台进行资产跨链。在完成跨链后，需要注意相关DApp的授权，如无必要建议解除授权。

动态 | PeckShield发布2018年度区块链十大安全事件:01月25日，区块链安全公司PeckShield联合12家媒体评审伙伴，共同评选出2018年度十大区块链安全事件。其中包含，一些影响较为广泛且深远的安全事件，诸如：BEC美链智能合约安全漏洞、EOS“史诗级”安全漏洞、以太坊FOMO 3D阻塞攻击漏洞、BTC超发漏洞以及EOS DApp一系列随机数相关漏洞等均上榜。据PeckShield的统计数据显示，2018年区块链安全事故数量高达138起，造成的经济损失高达22.38亿美元。整体而言，PeckShield认为，现阶段的区块链生态安全现状是令人堪忧的，尤其是随着智能合约和 DApp 生态的崛起，开发者可能会携带大量未知的安全问题入场，给区块链生态带来较大的安全威胁和挑战。[2019/1/25]

星球日报资深作者秦晓峰：

跨链项目寻求创新又各自为战，难免会留下一些代码的安全漏洞，已经导致了非常多安全事件的发生。

Q3:根据各位的经验，分享一下，平时我们应该采取哪些策略、养成哪些习惯，以便普通用户进一步提升交易安全？

数据分析师Phyrex：

可以配置三个钱包：

首先是“签名钱包”，钱包里不要存放资产只在一些需要签名授权的场景下使用。

其次是“交互钱包”，钱包里尽量只放一些gas费。交互过后，也及时解除授权。

最后是“资产钱包”，只存放资产使用。

另外也提醒大家，一定要管理好自己的设备，不要给其他人保管。

数据派交易员链研社：

针对大部分普通用户而言，选择大平台产品存储资产是最简单、也是最省心的。如果一定要自我保存，建议用户可从提升自身安全意识、不盲目相信项目方、断网式资产存储三个维度来避免账户被黑、提升自身交易安全。具体来说，用户需要监控钱包和合约的授权行为，和陌生网站的交互需要多加小心。另外，私钥的生成步骤和保存环境也要足够安全，尽量使用经过大量用户验证过的钱包应用。

OKLink安全研究员Raymond：

在提升链上交互安全方面，除以上嘉宾所说的使用大平台产品、取消不必要的资产授权外，我这边建议用户善用区块链工具来降低链上交互风险。比如通过OKLink多链浏览器，提前判断交互地址是否存在“负面地址标签”：如hack、phishing等，降低与黑灰地址交互带来的隐藏风险；通过链上卫士“风险代币扫描”工具，避免落入貔貅盘的圈套。

OKLinkAuditPMUna：

钱包安全是离用户最近的一环，对于普通用户来说，钱包安全主要分为防盗和防丢。在防盗层面，我们发现很多风险事件都是在授权那一步出现的，黑客通过设置一个钓鱼网站走用户的授权，再将用户资金转移。针对此类情况，卫士目前正在开发针对不同代币标准的授权检测接口，后面这个接口检测能力也会对外开放，不过这个这一点也从侧面说明授权动作是风险极高的，在钱包授权时候，一定要仔细阅读钱包的授权信息，如果没有宁可换一个钱包，如果是一个盲签信息，不要冒险，一旦私钥被盗所有资产都可能会丢失。而防丢层面遇到最多的就是“助记词丢失”，因此建议广大用户尽量用硬件钱包、保存好助记词，私钥、助记词尽可能通过web0的方式保存，不要通过网络传输。

星球日报资深作者秦晓峰：

大家普遍比较认同大型中心化平台在跨链时速度更快、更安全，即使出现安全漏洞平台也会承担这部分损失。这种跨链的原理是通过用户从A链将资产充入平台的A链充币地址，再从同一账号的B链地址提币至用户在B链的钱包地址，但这种做法也有限制：需要平台在B链提供该资产，且不容易参与跨链桥项目并获得额外收益。

Q4:OKLink链上卫士有什么重要布局吗？类似于这次的攻击类型，您认为可以在哪些方面帮到用户？

OKLinkAuditPMUna：

我们之所以选择启动链上卫士产品线，主因是虽然区块链的发明让「信任」这种宝贵的东西得以部分解决。但在区块链代码世界里，人们对区块链的理解会存在许多误区。这些误区导致了坏人轻易钻了空子，频繁将黑手伸进了人们的钱包，造成了大量的资金损失。近年来在被攻击的项目中，70%由第三方审计机构审计。然而，在剩下的30%未经审计的项目中，因攻击而遭受的损失占总损失额的60%以上。

而链上卫士审计团队致力于开发基于安全和数据的产品。我们的核心能力可以分为数据安全能力和代码安全能力。一方面，我们为商业客户提供服务。另一方面，寻求安全需求的客户和区块链初学者也可以享受帮助。我们坚持以用户需求为导向，打造低门槛、全面、有效的产品，扩大区块链用户的认知。

就好比我们刚开放的链上卫士产品：TokenScanner，支持对貔貅盘、交易税等30风险项检测。针对C端用户已开放风险扫描、安全评分、代币分类器3大功能，能够帮助用户快速洞察代币的风险程度；而针对B端用户开发的「API功能」，预计将于年底覆盖支持9条EVM链的风险代币检测能力，目前首期仅支持ETH/BSC两条公链，截至目前已检测超353万代币资产，其中通过风险扫描功能，确认约有10.6万个代币存在风险。

TwitterSpace回看链接：https://twitter.com/oukeyunlian/status/1580106713134297089

标签：区块链BNBBTCINK区块链专业学什么课程BNB未来会涨到多少闪电比特币LBTC为何不涨Pinkslip Finance

以太坊最新价格热门资讯