EOS:慢雾余弦谈鲸交所：安全走在行业最前端

在刚刚结束的鲸交所见面会厦门站活动现场，特邀演讲嘉宾慢雾科技创始人余弦面对主持人和观众的“灵魂拷问”，以代码审计方、黑客的视角，用专业、有力、幽默的方式，给予了精彩的解答。

以下摘取了慢雾科技创始人余弦与鲸交所CEO俊晶在提问环节时的精彩言论，让我们换个视角来看鲸交所。

提问：鲸交所的代码在你们审计的500多个项目中处于怎样的水平？

余弦：我们合作的时候也很看重项目方的研发实力。在对鲸交所的审计过程中，会特别去看用户资产相关的管理，还有关于签名数据验证等。这些如果做不好，会直接危害到用户资产。还有风控方面，在代码审计上主要指数据或者资产，因为攻防是一个系统化的整体。

鲸交所的审计重点在合约。当时在审计的时候，其实考验还是很大的，单靠一些工具或者算法，比如像现在比较流行的形式化验证，是不够的，还要满足具体的业务场景需求，这是关键。

慢雾：近期出现新的流行恶意盗币软件Mystic Stealer，可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息，慢雾首席信息安全官@IM_23pds在社交媒体上发文表示，近期已出现新的加密货币盗窃软件Mystic Stealer，该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击，如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包，是目前最流行的恶意软件，请用户注意风险。[2023/6/20 21:49:05]

所以，我们特别在意整个合约的逻辑性，这也是鲸交所合约复杂之处。基本上，用户从授权、充值、提现，包括一些管理和操作，我们都会看，还有一些外部接口等。因为这些接口在合约上，合约在链上，有些工具可以直接标准化。如果这部分风控没有做好的话，我们审计中也会发现。

慢雾创始人余弦：助记词/私钥等敏感信息交给对安全不够负责任的钱包来守护简直就是讽刺:金色财经报道，慢雾创始人余弦在社交媒体上针对Atomic Wallet被盗事件称，又一个知名钱包出现严重被盗事件，助记词/私钥如此敏感的信息交给对安全不够负责任或安全等级不足够高的钱包来守护，简直就是讽刺。这里的信息不对称太严重了，连我都难以回答哪些钱包是持续安全的...

助记词/私钥就应该躲在加密芯片、离线环境或可信环境里，用多签/MPC去单点故障也行。

金色财经此前报道，根据ZachXBT统计的数据，Atomic Wallet链上被盗资金已经超过1400万美元，估计至少有2000万美元被盗。[2023/6/4 21:14:36]

我们审鲸交所合约花了很长时间，我们拿到审计文档，然后鲸交所团队过来我们这里密切交流，了解业务层的一些设计考虑，即使这样，我们还算是花了一个月的时间，这只是第一期上线前的审计。

动态 | 慢雾提醒：检测到 Upbit 交易所频繁出现代币转账情况:据慢雾情报消息，今日下午 12 点 06 分，巨鲸警报检测到 Upbit 交易所频繁出现代币转账情况，其中包含：342,000 个 ETH 从 Upbit 钱包转至未知钱包地址，11 亿个TRX、 863 万个 EOS、872 万个 XLM 等加密货币从 Upbit 钱包转至其他钱包地址，总计价值超 1 亿美元！

随后 Upbit 发出服务器检查公告。

慢雾提醒广大交易所、钱包以及个人注意资产安全、市场波动，注意避险！[2019/11/27]

现在鲸交所合约多签，我们是有一票否决权，如果我们发现更新后有安全问题，我们就会否定，不通过。

提问：鲸交所的合约在不断迭代更新，慢雾团队日常是如何监看合约变动的呢？

余弦：我们开发了EOS天眼这个产品，用来监测链上合约的变动，任何用户都可以到我们平台上，订阅你关注的合约，这个合约如果有更新，我们会自动发邮件给你提示。

声音 | 慢雾：Dapp、交易所等攻击事件造成损失已近41亿美金:慢雾数据显示Dapp、交易所等攻击事件造成的损失已达4098587697.68美金，半月增加近3亿美金。据2月28日报道，慢雾区上线“被黑档案库(SlowMist Hacked)”，目前各类攻击事件共造成约 3824082630.12 美金的损失。[2019/3/13]

提问：跨链进展如何？跨链后鲸交所还安全吗？

俊晶：已经全部开发完成！很快将有独家跨链资产首发鲸交所！

余弦：有我们在，当然安全了！

提问：曾有一个关于交易所安全的评分，其中安全最高的是Coinbase，大概80多分，第二名好像是币安40-50分。余弦怎么看这个评分？鲸交所自评有多少分？

余弦：这些评分基本都不靠谱的，考量的指标都比较简单。因为你真的要去评估交易所，如果没有和团队或内部核心开发紧密交流的话，都很难做出客观的评价。

动态 | 慢雾澄清：EOS 账户 crazycapital 并未攻击DApp:今日慢雾发消息称EOS 账户 crazycapital 疑似在同时攻击数个游戏 DApp，账户 EOS 余额飞速增长，游戏胜率惊人的高。 随后慢雾安全团队更新了动态，表示 crazycapital 的行为不是攻击而是大户账号疯狂玩 dice ，可以解除攻击预警。对此慢雾团队表示感谢各位配合应急，虽然此事属于乌龙事件但是这种突然的异常还是要保持警惕。[2018/12/6]

俊晶：打分不太合适，还是请慢雾来评价。对于安全，我认为，一方面是成本投入，一方面是意识。交易所从上之下都要重视。鲸交所与慢雾有过非常深度和密切的交流。

余弦：我们评价，就不按照分数来了，按照对抗的级别来，可以分为国家级、省级、县级、村级等，很遗憾，没有一家能挡住国家级的。鲸交所至少在省级。

俊晶：关于“国家级”，再补充一句：如果是国家需要，我们捐给国家！不过，大家的资产鲸交所无法触碰，用户自己掌控资产权限，所以用户资产是无法捐出去的啊！

余弦：慢雾也一样！

提问：今天现场很多都是鲸东，他们都很关心团队的情况。慢雾团队和鲸交所团队有着较长时间合作，应该说是最紧密的伙伴了，因为要去同步审计他们的合约情况。从你的角度来评价，鲸交所是怎样的一个团队？

余弦：我们拜访过鲸交所，之前主要在上海，现在在杭州，对团队感觉战斗力非常强，能力非常强，战略战术的打法很清晰。去鲸交所去看下就能感受到“996”了！

提问：你们审计后一般都会给项目方一个证书进行评价。给鲸交所审计完，你们证书上给的评价是什么？

余弦：那肯定是优秀了！

提问：鲸交所是基于EOS开发的，假如有一条新的公链出来，超越了EOS，你们会怎么做？

俊晶：EOS是当时我们的最优选择，EOS交易免费和TPS高，我们在以太坊根本没法用。我认为，目前的公链中，都不足以支持WEB3.0。

鲸交所从设计之初到现在，我们都保留了迁移的能力。如果有更好的公链，我们会考虑的。我们目前已经有多链资产，不会局限在一个链上。我们的原则是，选择最合适的链，做去中心化的交易所。

提问：关于去中心化交易所的定义，有不同的说法。有的去中心化交易所不碰用户资产，也不通过合约托管。相比现在鲸交所目前的形态来说，哪个更好？

俊晶：从交易所的业务来看，不托管用户资产的这种去中心化交易所，在以太坊上就有的——以德。但以德最终还是小水洼里面的DEX。为什么？

交易所到底是为了去中心化而去中心化？还是一门运营的生意？刚你提到的这种DEX，合约其实很容易，直接部署在EOS上，目前国内外都有。

但交易所是强运营的事情，无法单纯的应用去中心化的技术来实现平台的高速运转和成长。再有，用户使用EOS需要处理CPU、RAM等，这些与用户间的摩擦，是无法让用户留存的。

我们举例鲸矿池，鲸矿池你投入后什么都不用管。其实，在EOS中投票权是随着时间有衰减的，如果是你个人，就需要自己去处理这些来实现利益最大化，而目前我们是平台来做的。一种是放在那不用管的躺赚，一种是需要自己处理操作，你会选择哪个？

这只是DEX的一个细节，还有很多。用户体验好，才能让DEX流行起来。我们选择这种模式，也与愿景有关。

余弦：两个团队互相交流很多，我们审计除了合约外，还有非合约层的代码，包括业务层、风控等。比较惊讶地是，鲸交所对安全的细节很在意。“在意”分为两种，一种是不懂，一种是很懂，知道敬畏，鲸交所属于后者。

合约多签是鲸交所第一个做的，每个版本都需要我们审计的，很少有项目这样做。当然，同时也能看出他们996挺疯狂的。后来我跟他们说，你们也不用不好意思找我们，因为我们是7*24小时的。

在安全方面，鲸交所做的很多，很确定的是，用户的资产绝对是在你们自己这里的。鲸交所官方是没法作恶的，内部出问题也没法作恶，好几个角色在把关。比如说私钥，有人可能担心用鲸交所App私钥在本地保存的，是否能提取出来？这些我们有验证，他们做了很多密码学的加密，破解很难。

还有离线保险箱，他们首创的，防止苹果企业证书掉签，很多安全上的做法，都走在行业最前面，会给同业或其他产品很多启发。慢雾内部有独立团队专门响应鲸交所。

回到提问，关于多少比例是去中心化的，这个意义不大，重要看两点：一是用户资产的权限一定要在你自己这里。二是误操作你的权限丢了怎么处理。这两点上，鲸交所是我们看到做的最好的。至于业务层的平衡，这是很好理解的。

提问：假设鲸交所CEO俊晶有一天要是跑路了，鲸交所的合约、用户资产是否会出问题?

余弦：大家都知道Google有句话：don'tbeevil，鲸交所已经做到了can'tbeevil。

结语

去中心化交易所一定是未来的趋势，而鲸交所已经走在了前列，正在迈向星辰大海，让我们拭目以待！

标签：EOS去中心化交易所中心化交易所DEXPIXEOS去中心化交易所英文单词去中心化交易所有哪些功能ODEX

AAVE热门资讯