区块链:米林有约丨专访慢雾科技安全团队：2020年区块链技术有以下大方向

前言

2020年初，随着整个行业认知和规模的不断升级，以及疫情、Fcoin等各类黑天鹅事件频出的影响，区块链技术的更新迭代由此受到了更严峻的挑战，安全领域也同样面临考验。

之前提到，虽然2019年行业安全意识整体有所提高，DApp、智能合约等原先存在的溢出、重放、随机数等基础型攻击方式整体减少，但这也使黑客们的攻击方式趋于多样化。

2020年的技术方向有何变化？更应注意哪些领域的安全防范措施？发展迅猛的DeFi如何解决安全性和隐私性问题？本期米林有约邀请到了慢雾科技的安全团队，一起来解答以上这些问题。

文/星阳

出品/米林财经&慢雾团队

01关于慢雾科技

慢雾科技是一家专注区块链生态安全的公司，由一支拥有十多年一线网络安全攻防实战的团队创建，团队成员曾打造了拥有世界级影响力的安全工程。

自2018年1月成立至今，致力于成为全球领先且专注于区块链生态的安全公司，慢雾科技已经为全球多家领先的数字货币交易所、钱包、底层公链、智能合约等项目做了安全审计及防御部署。

慢雾科技在行业内曾独立发现并公布多起通用高风险的安全漏洞，得到业界的广泛关注与认可。

知情人士：美国或将达成一项关于稳定币的全面框架协议:金色财经报道，美国众议院金融服务委员会的多数民主党人反对一项法案，该法案将指示监管机构为数字资产从证券过渡到商品提供明确的路径，以及美国加密货币监管的其他重大变化。民主党领袖、众议员Maxine Waters表示，该法案对加密行业过于友好，他们对共和党人决定推进一项大规模市场结构法案以改写美国的投资者保护法案感到失望。由于民主党以微弱优势控制参议院，民主党的反对使市场法案在本届国会成为法律的道路变得复杂。如果党内大多数成员反对，拜登不太可能将一项法案签署为法律。

不过，Waters和众议院金融服务委员会主席Patrick McHenry乐观地认为，稳定币法案或是可行的，正在进行的最后一刻谈判可能会就稳定币立法与市场法案达成更多协议，并将在周四进行委员会投票。[2023/7/27 16:01:01]

目前慢雾科技已为全球50多家交易所提供了安全审计与安全顾问服务，例如火币、OKEx、币安、BigONE等。

同时也为100多款软件、硬件钱包提供了安全服务，包括MYKEY、imToken、imKey等，此外，慢雾已经累计审计了30几条公链和600多份智能合约，例如唯链、本体、PlatON，以及稳定币TrueSD、HUSD、OKUSD等，慢雾在区块链安全方面有着非常丰富的经验。

国内首家区块链+WEB3创投联盟成立:金色财经报道，上海金融信息行业协会、上海金融数据港、清华大学全球私募股权研究院、InnoSpace、泰和泰律师事务所等机构宣布共同发起成立了国内首家区块链+WEB3创投联盟，将在行业指导、孵化与创投服务、科创风险股权投资、行业咨询、创业空间、法律等方面，为投资者和创业者提供一个一站式、全方位区块链+WEB3创业服务、合作共赢的平台，打造一个安全高效的区块链+WEB3生态圈，促进形成完整的区块链与WEB3产业链和成熟健康的市场。该联盟发起方之一上海金融数据港还宣布将启动金融数据港科技创新中心，中心将设有展示中心、培训中心、孵化加速器和大企业创新中心。（新浪香港）[2023/7/8 22:25:28]

02如何判断平台的安全性

问：对于一个平台或者公链的安全审核会从哪些维度评估？用户如何判断一个平台的安全性？

答：我们在审计交易所时，会从服务端安全配置、身份鉴别管理、认证与授权管理、业务逻辑、私钥管理系统、热钱包架构等方面进行安全审计，确保平台各个方面都是安全的。

公链审计的话，主要关注的是P2P通信、RPC调用、密码学组件、共识机制、资产交易等关键模块。

QuickSwap：DWF Labs正为QuickSwap平台及其他平台上QUICK交易对做市:7月5日消息，QuickSwap 在社交媒体上发文宣布，DWF Labs已经开始在QuickSwap上进行交易，同时将为不同交易平台上的QUICK交易对增加流动性。[2023/7/5 22:19:41]

从用户角度看，尽量选择国际知名的交易所是一个比较通用的原则，同时，也可以看这个交易所有没有请第三方安全公司做过安全审计，这样可以从侧面看出这个交易所对安全的重视程度。

03慢雾的优势

问：和其他安全领域的公司相比，慢雾有什么优势？

答：慢雾是国内最早专门做区块链生态的安全公司，同时我们的服务范围包括交易所、钱包、公链、联盟链、智能合约、矿池等等，几乎所有区块链生态里的项目类型我们都能提供针对性的安全服务。

这主要是因为，我们团队成员拥有十几年的网络安全攻防经验，以及深厚的区块链漏洞挖掘能力，目前我们已经独家发现并命名了多个区块链漏洞。

例如：以太坊黑人节漏洞、USDT假充值漏洞、以太坊代币假充值漏洞、瑞波币(XRP)“假充值”漏洞、EOSDApp充值“假通知”漏洞、EOS假充值(hard_fail状态攻击)、门罗币(XMR)锁定转账攻击等等。

某鲸鱼地址转回约57万枚DYDX并将约22万枚存入Bybit:金色财经报道，据Lookonchain监测显示，某鲸鱼地址转回570,266枚DYDX（价值约126万美元），并将225,833枚DYDX（价值约50.1万美元）存入Bybit。每次该鲸鱼地址取回DYDX时，都会向交易所存入进行出售。[2023/5/17 15:07:35]

此外，我们同时服务了世界前三大交易所、世界顶级去中心化钱包、世界知名公链及稳定币，我们服务的客户数量已超过700家，是行业里遥遥领先的。

04FCoin需要改进的地方

问：Fcoin张健前几天在公告中提出，技术问题造成了1000万美金的损失，在慢雾看来，Fcoin在资产安全和透明上有哪些需要改进的地方？

答：慢雾专注于区块链生态安全，从我们安全服务的50几家交易所来看，我们深刻觉得运营交易所是一个知识覆盖面很广、技术难度也比较大的事情，需要各方面人力、物力、财力的投入，才能保障交易所安全、稳定的运营。

目前交易所行业内值得推崇的做法是资产透明和100%保证金，公开交易所的冷热钱包地址，让公众能查看钱包的交易记录，提升用户对交易所的信任感。

问：谈到交易所的安全，去中心化交易所是否就比中心化交易所安全呢？对于去中心化交易所的安全评估维度会有什么侧重点吗？

SEC主席：新规将令加密货币经纪商的监管指令执行力得到完美提升:金色财经报道，美国证券交易委员会（SEC）主席Gary Gensler表示，对股票交易规则的修改，将有助于促进竞争，提升交易透明度；基于订单流的付费会在交易过程中带来冲突，无法平衡经纪商与投资者的利益；新规将令加密货币经纪商的监管指令执行力得到完美提升；SEC服务的对象是美国全体公众；SEC的每一项提议中都包含了对经济状况的透彻分析；所谓的“零佣金”并不代表真的是零交易成本。[2023/3/4 12:42:00]

答：去中心化交易所主要的特点是资产在用户的钱包地址中，资产转移由用户的私钥签名控制，平台本身不会托管或者无法挪用用户资产，对用户的使用门槛更高。

在安全审计方面，会重点关注去中心化交易所的智能合约是否存在安全漏洞，在身份认证、权限管理、拒绝服务漏洞等方面会特别关注，Web安全方面就和中心化交易所一样。

2019交易所攻击事件

05如何规避攻击

问：交易所被黑客攻击已经是家常便饭，慢雾曾经发现其中一个重要的攻击手法为APT(AdvancedPersistentThreat：高级持续性威胁)，可否简单描述一下这个攻击手段？区块链的攻击主要有哪些类型，慢雾有没有做一些分析和统计，需要哪些方面去规避攻击？

答：APT攻击是一种高级攻击手法，攻击方往往是团队作战，并且会持续很长时间的盯着一个目标。

APT攻击在传统互联网安全攻防中是比较多出现的，近两年由于数字货币生态的逐渐发现，越来越多的交易所、钱包遭遇APT攻击，这在攻防对抗实力上是不对等的，交易所可以借助职业的第三方安全团队来针对性提升平台对抗APT攻击的水平。

区块链生态中的攻击类型有非常多，可以按照项目的类型来区分，慢雾开发了区块链被黑档案库和慢雾BTI平台，能够对区块链生态历史上发生的各类攻击进行分类整理和统计，同时通过图表进行可视化的展示。

网址分别是https://hacked.slowmist.io/和https://bti.slowmist.com/

062020安全和技术的方向

问：在2020年，区块链行业安全和技术领域应重点关注的是哪块？

答：根据慢雾区块链被黑档案库(hacked.slowmist.io)数据统计，区块链世界至今被黑金额已近85亿美金，其中交易所占了40多亿，47%，这个比例是很可怕的，近一半的被黑都来自交易所。

而未被披露的更多，根据我们内部数据统计，已披露被黑事件占所有被黑事件的比率大概是1/3。在2020年交易所安全依然是重点关注的。

2020年，区块链技术的发展有三个方向值得期待：

1.稳定币的商业创新应用。如果Libra等项目进展顺利的话，对加密世界也是个很大的推进。

2.Web3.0让用户掌握自己的数据，期待Web3.0亮眼的应用出现。

3.我们始终期待隐私应用在几个关键方向的成熟：资金交易隐私及用户数据隐私，其中一个很期待成熟落地的应用是安全多方计算(MPC)相关应用，这可以很通用且安全地解决需要多方角色进行的私钥操作及数据授权等场景的安全可信问题。

07DeFi的安全隐私问题

问：慢雾如何看DeFi仍然会面临的安全和隐私性问题？是否具备可执行的解决方案？

答：2019年DeFi应用发展迅猛，新形态的推出总会经历一段混沌期，目前用户更多会关注DeFi应用的功能和收益，未来在安全和隐私上，随着Web3.0的发展也会带来一定的升级。

在平台安全方面，近期的bZx安全事件反应出一个风控机制缺失的问题，对Oracle的数据没有进行相应的检查，导致兑换价格被恶意操纵，给平台带来资产及品牌上的损失。

bZx已经遭受了两次攻击，不同的是本次的对象是ETH/sUSD交易对，但也许有人会有疑问，sUSD不是对标USD的稳定币吗？这都能被攻击？攻击手法具体是怎样的？

在第一次攻击中，攻击者结合Flashloan和Compound中的贷款，对bZx实施攻击，主要分成以下几步：

1.从dYdX借了10000个ETH；

2.到Compound用5500ETH借了112个BTC准备抛售；

3.到bZx中用1300个ETH开5倍杠杆做空，换了51.345576个BTC，而这里换取的BTC是通过KyberNetwork来获取价格的，然而KyberNetwork最终还是调用Uniswap来获取价格，5倍杠杆开完后兑换回来的51个BTC实际上是拉高了UniSwap中BTC/ETH的价格，换取价格是1/109，但是实际上大盘的价格不会拉到这么多；

4.用从Compound借来的112个BTC来在UniSwap中卖掉，由于第三步中bZx中的5倍杠杆已经把价格拉高，所以这个时候出售ETH肯定是赚的，然后卖了6871个ETH；

5.归还dYdX中的借贷。

第二次攻击与之前稍有不同，但核心都在于控制预言机价格，并通过操纵预言机价格获利。

两次攻击的主要原因还是因为Uniswap的价格的剧烈变化最终导致资产的损失，这本该是正常的市场行为，但是通过恶意操纵市场，攻击者可通过多种方式压低价格，使项目方造成损失。

针对这种通过操纵市场进行获利的攻击，慢雾安全团队给出如下建议：

项目方在使用预言机获取外部价格的时候，应设置保险机制，每一次在进行代币兑换时，都应保存当前交易对的兑换价格，并与上一次保存的兑换价格进行对比，如果波动过大，应及时暂停交易。防止市场被恶意操纵，带来损失。

标签：区块链ETHBTC区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势ETH钱包地址ETH挖矿app下载Etherael指什么寓意BTCs是不是黄了btc钱包官网btc短线交易

PEPE币热门资讯