鏈上安全知多少：一般人如何建構加密資產防火牆

原文標題：《EP28：鏈上安全知多少：普通人如何建構加密資產防火牆》

原文來源：Mint Ventures

· 主持人：Alex，Mint Ventures 研究合夥人

·亞金區塊 105.30 月 3854p.

聲明：本集播客我們所討論的內容不代表各位嘉賓所在機構的觀點，並且所提到的項目也不構成任何投資建議。

大家好，歡迎來到 Mint Ventures 發起的 WEB3 Mint To Be。在這裡，我們持續追問與深入思考，在 WEB3 世界澄清事實、探清現實、尋找共識。為大家釐清熱點背後的邏輯，提供穿透事件本身的洞察，引入多元的思考角度。

BlockSec 的服務範疇與目標客戶

Alex：本期節目我們來談一個與各位息息相關的話題，就是加密世界的安全。在我們遭遇真正的風險之前，我們往往都以為自己不會成為新聞裡安全事件的受害者。如何為自己的資產建立一個防火牆，讓自己在安全的環境下投資，是我們開始加密旅程之前的必修課題。

本期播客我們邀請到了區塊鏈安全公司 BlockSec 的周亞金，跟我們聊一聊加密安全這個話題。請週老師跟我們打個招呼吧。

週亞金：大家好，我是周亞金，目前在 BlockSec 做 CEO，同時我也是浙江大學從事網路空間安全的研究人員，非常高興認識大家。

Alex：好的，咱們進入今天的正題。我相信蠻多的聽眾可能對區塊鏈的安全公司、安全服務並沒有那麼了解。請週老師先跟我們介紹一下 BlockSec，你們提供的服務內容大概是哪些，什麼樣的人、什麼樣的機構會成為你們的客戶。

週亞金：好的，BlockSec 是一家 Web3 安全公司，我們成立於 2021 年，由我和吳老師共同創立。談到 Web3 的安全，大家可能第一想到的就是安全審計。其實 BlockSec 的業務範圍不僅僅是安全審計，我們還提供一系列其他的安全產品和服務。具體來講，服務可以分為三大板塊。

第一個板塊我們稱為針對鏈上協定的安全性。 鏈上協議就是我們講部署在區塊鏈上進行一些 DeFi 或 NFT，或是其他活動的一些智能合約。這些合約的安全性該如何保障呢？ BlockSec 就提供了安全的稽核服務和安全的監控的產品。

第二塊我們比較關注的是資產的安全。 所謂資產的安全就是用戶手邊所擁有的資產，比方說這些資產是在自己的合約錢包裡面，或者投資在一些鏈上的協議裡面，怎麼去保證這些用戶資產的安全性，也是我們 BlockSec 的服務範疇之一。

第三塊是合規跟監理。 我們發現越來越多的傳統的金融機構進入到 Crypto 產業裡面。包括我們最近能看到新聞，美國的這些傳統銀行在鏈上發一些穩定幣資產，包括 Crypto 進入到跨境支付的行業裡面。那實際上這些傳統金融機構進入到這個行業裡面之後，為監管帶來一個難題，監管機構不知道怎麼去監管，這些機構又不知道怎麼符合合規。所以我們也有在幫助監管機構去監管進入到 Crypto 產業裡面的這些玩家，或是說去幫助進入 Crypto 產業裡面的這些傳統機構進行合規。這是我們業務的三個範圍。

我們的客戶涵蓋的範圍比較廣。大家能想到的是在鏈上做去中心化金融或說其他的一些服務的項目方，比方說在鏈上提供 Lending 的平台，提供去中心化交易的平台，這些項目方是我們的客戶。我們可以幫助他們在智能合約部署上鍊之前，做一些安全的審計，透過安全的視角 review 他們開發的智能合約是不是有安全的漏洞。如果有安全的漏洞，需要及時修復。同時當他們的協定部署到鏈上去之後，我們也會有一個 7×24 小時的監控平台來監控他們協議的安全風險。如果發生任何安全風險，我們的平台可以及時通知到協議，並且能自動化阻斷風險和攻擊。

所以在鏈上部署智能合約的這些開發者和專案方，是我們一類的典型客戶。第二類的典型客戶就是擁有資產的人，可能是一些高淨值的客戶，他們擁有一些資產在合約錢包裡面，或者說這些高淨值的客戶會去投資鏈上的一些協議。我們的服務和產品可以幫助他們更好地監控他們所投資的那些協議的安全性。就像硬幣的正面和反面一樣，從協議項目方的角度來說，我們可以幫助他們提高協議的安全性。

從投資他們協議的高淨值客戶的角度，我們可以幫助他們監控他所投資的協議的安全性。一旦他投資的協議有安全風險，比如說被攻擊，他需要第一時間能撤回他的資金。第三類客戶就是我剛才講的監管和合規，這一類客戶主要是一些監管機構，比方說香港的證監會其實也是我們的客戶，還有海外的一些執法機構，需要去調查涉及到數位貨幣犯罪的時候，他們需要使用我們的工具和平台，方便去做一些證據的提取、資金的追溯等調查活動。這個基本上是我們整體的業務以及我們客戶的範圍。

關於加密安全的三點建議

Alex：明白，剛剛週老師談到了客戶類型，他們有什麼樣的需求，以及一個大概的行業情況。那麼第二個問題可能跟個人投資者會關聯度比較高一點，尤其是我們的聽眾蠻多是剛開始進入 Web3 去學習跟嘗試投資的人。

如果您身邊有一個朋友，他剛剛進入加密投資領域，他知道您是做加密安全服務的，請您給他提三個關於加密安全的建議，您會給他提的建議是哪三個？

週亞金：這個問題非常好。我身邊的朋友也常問我一些安全建議，他們也想進入這個行業，但又聽說好像很多人都會遇到一些風險。我們曾經有個開玩笑的說法：如果你進入 Crypto 圈子之後，沒有被釣魚，也沒有被詐騙，你就不會成為這個領域裡面資深的玩家。當然這是個開玩笑，但確實你也能發現這個行業裡面有許多風險。

如果要提三個建議的話，第一個建議肯定是每個人都會想到的，就是關於私鑰保護。 在 Crypto 領域裡面，怎麼來證明你擁有這個資金，其實就是用你所擁有的私鑰來證明你對這個帳戶的所有權。私鑰就是一串數字，這也是跟你的個人身分沒有任何綁定的。這串數字一旦遺失或洩露，別人就可以和你一樣擁有你自己資金的控制權。這個跟我們現實世界非常不一樣。在現實世界裡，你的銀行密碼洩漏了，你可以打電話給銀行要求凍結帳戶，別人沒有辦法來提款。但在 Crypto 世界裡，如果你的私鑰洩露，那麼擁有你私鑰的人就可以無限制地從你的帳戶裡將你的資金轉走。

通常來講保護私鑰有幾種方法，例如我們有硬體錢包，用合約錢包或用手機的 APP 來保護私鑰。每一種方法其實都有它自己的優缺點。透過我自己的經驗以及我們身邊的一些安全朋友的整體經驗，基本的原則就是私鑰的助記詞，把它記下來放到保險箱裡面，無論這個保險箱是你自己家的還是銀行的，把它存好，平時不要動，基本上你也用不到。然後用一個你相對比較可信的設備，無論是硬體錢包還是手機，去儲存好你的私鑰。這支手機一定是專用的設備，不要去從事任何其他的操作活動，只是用來管理你自己的數位資產。這是第一個建議。

第二個建議是在鏈上交易的時候一定要有安全和風險的意識。 本質上你只要記住一句話：天上不會掉餡餅。我們發現在鏈上交易的時候，用戶面臨的釣魚的風險非常大。包括我們所熟知的加密圈的許多的 KOL 和 OG 都曾經遇到過釣魚攻擊，並且損失了很多資金。如果說一個莫名的網站要求你連接錢包去獲得所謂的空投獎勵，這個時候是需要比較小心地，一定要有註意安全的意識。

第三個建議是你需要稍微了解一點加密資產基本知識。 基本知識指的是加密資產裡面，我們通常有授權這麼一個概念。這個是跟傳統金融不太一樣的地方。比方說你擁有一類的數位資產，USDT 或 USDC，透過鏈上的簽名，你可以將資產授權給一個合約或其他用戶來使用，並且這樣的授權只需要透過你的錢包簽署你看不懂的一堆奇奇怪怪的東西就能實現。

所以在簽署錢包簽名的時候，你因為不太明白或說被欺騙，簽署了授權的交易，那別人就可以動用你所有的數位資產。所以你稍微要對授權這件事有一些基本的了解，在簽署錢包簽名的時候才不會誤簽名這樣的交易。總結起來，基本上建議就是：第一個是保護好你自己的私鑰，給了一些可操作的方法；第二個是在進行鏈上交易的時候需要時刻小心，要有安全意識不要被釣魚；第三個是要對 Crypto 的授權機制有基本的了解，這樣的話不會誤簽名一些授權的交易。

Alex：我身邊其實有蠻多高淨值的朋友，他們也是行業裡面的 OG 或者說老手，按理來說您提到的這些安全意識，他們多少都是有一點的，但是每年我都會聽到身邊有一些大戶被盜。

行業裡有一個說法，說如果一個專業的黑客盯上你了，他知道你的錢包是有錢的，如果他動用了可動用的所有資源，你往往是很難逃過的。這樣的說法您覺得有道理嗎？真的是這樣嗎？

週亞金：你這個問題非常好。其實安全問題，特別是涉及 Crypto 安全，本質上是一個不平衡的對抗。如果你的錢包裡面擁有足夠的資產，你就非常容易成為別人定向攻擊的目標。而一旦你成為別人定向攻擊的目標之後，別人會動用非常多的資源，無論是社工的資源、技術的資源或其他資源，根據目標的日常行為模式、生活的習慣等來設計針對你的攻擊方法。在這種情況底下，不能說百分之百，但你防禦的難度是非常高的，因為別人對抗你動用了非常多的資源，而你只有你自己。所以它是一個非常不對稱的對抗。

在這種情況底下，我覺得基本的原則，第一個是我們中國人有句話叫財不露富，就是說你不要把自己擁有的資產公開出來，要避免把自己個人的線下身份和鏈上資產的身份關係洩露出來。第二點是即使你是一個高淨值的用戶，可能已經被別人洩漏了，那麼你需要盡可能地做好資產的隔離。是說你平常日常操作的資產，專用的錢包裡面可能最多就是 10 萬塊錢，別人定向到你，最多就只能把這 10 萬塊錢騙走。而你其他的大量資產應該放在一個平常基本上不需要動用的錢包裡面。如果你需要動用這些資產，你要找安全專家幫你一起 review 一套比較好的操作的流程和規範，這樣能規避掉非常大的風險。

印象最深的三個安全事件

Alex：明白，這個建議確實非常重要。您能不能跟我們分享一下從業以來印象最深刻的三個安全事件？可以是您自己親自經歷的，也可以是身邊的朋友或您的一些見聞。

週亞金：我可以給大家分享一下我們實際上親自參與處理過且印像比較深的安全事件。第一個例子我記得是在 2023 年 2 月十幾號，鏈上有一個協議叫鴨嘴獸協議被攻擊了。它是一個借貸加上其他功能的平台。這個協議有一個安全的漏洞，駭客通過這個漏洞，大概竊取了將近 9 個 million USD 的資產。這個事情之所以我印像比較深刻，是因為駭客在攻擊鴨嘴獸協議的時候犯了一個錯誤。他去攻擊智能合約的時候，需要自己開發一個智能合約。智能合約可以理解成一個可以自己運作的一串程式碼。駭客攻擊的時候，部署了自己的攻擊的合約，這個攻擊的合約就完成了整個攻擊的過程。

但是攻擊者也是人，我們都知道只要是人都會犯錯。他在寫攻擊智能合約的時候犯了錯誤，合約裡面有一個可以被利用的漏洞。這個漏洞可以將儲存在攻擊合約裡面的那些資金提取出來，也正是攻擊鴨嘴獸協議所獲得的資金。我們作為一家安全公司，其實時刻在 follow 鏈上的攻擊事件，並且我們有一套攻擊檢測的引擎，對鏈上時刻在發生的這種攻擊都能第一時間感知到。

很巧的是鴨嘴獸被攻擊的時候，我們已經第一時間偵測到了。我們會獨立分析這個安全事件，例如他攻擊的原因到底是什麼，漏洞在哪裡。同時我們也會聯絡專案方去幫助他們，告訴他們怎麼打補丁，怎麼去處置。在這個過程當中，我們發現了駭客的漏洞，就告訴專案方可以利用這個漏洞。然後我們跟專案方一起開發了一串程式碼，將攻擊資金也就是 9.5 個 million 裡面的 2.4 個 million 從攻擊者合約裡面提取出來。這也是整個區塊鏈安全歷史上第一次我們稱之為叫 hack back，就是說利用它的漏洞，將它竊取的資金再提取出來還給專案方。這是一個特別有趣的對抗的事情，我印象蠻深刻的。

Alex：你們跟鴨嘴獸之前是合作關係，還是說是經過這事件之後才開始交流？

週亞金：我們之前其實是沒有任何的合作關係，有了這個事件之後才聯絡。我可以延伸講一下整個安全事件處理的流程。我們自己內部有一套安全攻擊的引擎，當安全事件發生了之後，我們的引擎會第一時間報警，我們內部有一個緊急應變的小組會一起來分析。首先我們來看看被攻擊的協定是哪一家的，然後會透過各種方式，無論是鏈上 Twitter 還是其他方式，我們會試著聯絡這個專案方。

在鴨嘴獸這個 case 裡面，我們之前沒有他們的聯絡方式。我們透過 Twitter 聯絡專案方，然後協助他去分析整個被攻擊的原因，因為很多時候專案方也不知道為什麼被攻擊的，反正就是協議裡的錢不見了，但是原因搞不清楚。這時候就需要保全公司一起來協助他進行分析。分析完了之後就牽涉到協議怎麼修復。

如果原因搞清楚，那就要修復這個漏洞，補丁怎麼打，打完之後是不是安全，以及被盜的資金追踪，也需要像我們這樣的安全公司來一起協助他。我們會在整個的緊急應變流程裡面一直跟專案方一起去處理。具體到這個 case，實際上之前我們跟這個項目沒有聯繫，但是比較幸運的是在處置的過程當中，我們及時的聯繫到他，並且能把其中的一部分資金追回來。其實更多的 case 是我們發現了攻擊，但聯絡不上項目方。

然後第二個案例也比較有意思，這也是 2023 年的時候發生的。咱們的中文聽眾可能會更熟悉一點，因為這個案例涉及到一個項目叫 ParaSpace。 ParaSpace 是可以質押無聊猿的 NFT，藉其他的資產出來。我知道很多的中文 OG 其實都是無聊猿 NFT 的持有者。這個協定其實有一個安全的漏洞，在 2023 年應該也是 3 月的時候被攻擊了。我清楚記得是北京時間上午或中午這麼一個時段。我們的系統第一時間預警了之後，

首先我們聯絡專案方，得去分析原因。但我們發現我們系統所爆出來的第一筆攻擊交易在鏈上被 revert 了，revert 的意思是說這個攻擊者在攻擊的時候，手續費不足，所以導致這筆攻擊交易在上鍊的時候沒上成功。但是他攻擊的交易行為和 trace 已經在鏈上暴露了。我們的系統同樣也能偵測到這種我們稱為叫 reverse 的交易，就是失敗了但是又上鍊了交易。這就是我們引擎的能力，能判斷這是一筆攻擊交易。

判斷出來之後，我們就想了一個辦法說，我們能不能模擬攻擊交易的行為，自動化產生一個跟它一樣的攻擊交易，但是這個攻擊是要打個引號的，我們要將交易裡面獲利的地址替換成我們的地址。透過這種方式就可以將目前已經處於危險的協議裡面的資金拯救出來放到我們自己的安全帳戶裡面，再聯繫專案方將資金返還給他們。這就類似說壞人的刀已經快砍下去了，但不知道什麼原因第一次嘗試沒有成功。我們也可以嘗試用同樣的方法將資金提前支取出來，這樣攻擊者第二次嘗試攻擊的時候，協議裡面沒有資金了，攻擊就會失敗。

我們有了這個想法之後，實際上我們內部有一套系統，我們能很快就自動化去做這樣的事情，然後自動化生成了“攻擊”這麼一個交易，把它發上鏈，將 ParaSpace 協議裡面的這個 500 萬美金的資產支取出來，然後我們還聯繫項目方將資金返給他們。這其實也非常有趣，是史上金額最高的我們稱之為叫 rescue，就是拯救鏈上資金的這麼一次行動。如果沒有這次拯救的話，他們的資產可能就都被洗劫一空了。

但這個安全事件之後，其實也引發了我們很多的思考，因為這裡面有很多安全道德和倫理上的一些問題。比方說我們觀察到一筆攻擊之後，雖然將這個協議裡面的資金支取出來，但這本質上仍然是一筆攻擊的交易。模擬了攻擊者的行為，雖然是出於好意把資金支取出來再返還給項目方，但嚴格來講仍然是一次攻擊的行為。這裡面牽涉到合規和安全倫理的問題。

我們當時的思考是說，當你看到一個壞人用刀去刺向一個好人的時候，你應不應該出手阻止，還是說任由它發展。我覺得我們選擇的是出手阻止，雖然這裡面有一些道德倫理、安全倫理的問題。經過這次事件之後，我們也深刻意識到鏈上的安全不能透過我們剛才講的 hack back，也就是把它 hack 回去的這種方式來拯救資金。應該要讓專案方第一時間知道他所面臨的安全風險，他得知道專案被攻擊，然後他可以去設定一些自動化運作的策略。

當這些安全事件發生的時候，我們的系統告訴他，他應該可以自動 pause 協議，這樣的話攻擊就不會成功了。既阻止了攻擊，拯救了用戶的資金，又沒有任何安全倫理上的這些風險。這是我們經過這兩次事件之後，開發了後面的 phalcon 攻擊監控以及阻斷的產品的一整個思路。這是我印象當中第二個比較大的安全事件。

Alex：這個安全事件我好像當時還注意到。您剛剛講到保護性的攻擊，我想問一個細節，就是你們剛剛提到的 revert 攻擊發生之後，你們肯定需要一個內部的討論跟決策，去看要不要做保護性的攻擊。從發現這個事件到做完決策決定去保護資金，當中隔了多少時間？

週亞金：非常快，我們從第一時間知道到最後完成這件事情大概也就是幾分鐘的時間。因為公司已經形成一個非常完善的安全處理流程，知道安全事情之後馬上就會進行討論和決策，決策完了之後因為已經有一些自動化的工具，所以很快就能把事情給做了。

Alex：明白。

週亞金：第三個案例是大家應該最近都關注到的 Bybit 安全事件，二月份的時候有 15 億美金的資產被盜。這個攻擊也是迄今為止安全圈裡損失最大的單筆的安全事件，而且它的損失跟我之前面講的兩個安全事件有非常大的不同。前面兩個安全事件都是由合約漏洞造成的，但 Bybit 的安全事件其實跟智能合約的漏洞沒有任何關係，我們稱之為信任鏈過長。在一個這麼大資金體量又有這麼長信任鏈條的體系裡面，攻擊者透過社工的攻擊找到了最薄弱的環節，然後完成了攻擊。具體來說就是，Bybit 使用了合約錢包叫 SAFE，它是一個智慧合約的錢包來去管理它。

SAFE 是一個多簽錢包，你可以把它理解成一把鎖需要三個人同時開，這把鎖才能打開，才能把裡面的資金給取走。這個鎖是一家提供這麼一個合約錢包的專案方做的。你會發現在這個體系裡面信任鏈條非常長，包含 SAFE 錢包的開發者、運營 SAFE 協議的這些人，以及使用 SAFE 錢包的時候要通過瀏覽器裡面 UI 的界面，還有 SAFE 錢包的操作者，就是我們說擁有三個鑰匙的 Bybit 的員工，或者說有資金操作 SAFE 的人，他操作這個鏈接這個軟件的錢包。你會發現這裡面牽扯到的方方面面特別多。

我們講安全，其實安全攻防的時候特別難的點在於，防禦的時候你得要讓你的系統不能出現任何短板，因為系統安全的水位是取決於系統裡面最短的那個板。攻擊者不需要攻破你係統裡面做得很好的地方，他只需要找到你係統裡面最薄弱的那個點在哪，然後通過那個點就可以發動攻擊，完成整個過程。在 Bybit 這個 case 裡面它整個的攻擊的流程是這樣的，他可能發現首先這是一個定向攻擊，因為他發現 Bybit SAFE 錢包，就是這個智能合約的錢包裡面有非常非常多的資產，他選定的目標是這個 SAFE 錢包的開發人員，因為我們剛才講就最後無論誰去操作

那如果我能通過社工的方式或者說通過其他方式去攻破開發者的電腦，讓開發者部署一個惡意的代碼在 SAFE 的網站上面，然後任何人去 SAFE 的網站上操作他的這個錢包的時候，看到的操作行為跟實際鏈上發生的操作行為是不一致的，但是正常的用戶並不了解的。就比方正常用戶到銀行的 APP 裡面操作的時候，在銀行 APP 裡面看到轉賬 100 塊錢，實際上轉出 900 塊錢，但是我並不知道，因為我在這個 APP 裡面看到的是轉賬 100 塊錢。那如果你透過攻破 APP 的開發者或是說攻破 SAFE 錢包的開發者，使得操作人員在錢包裡面看到的操作介面跟實際發生的行為規則，就可以完成整個攻擊的過程。它實際上也是透過這種方式來完成的。

那它又是怎麼能把這個開發者權限給拿到呢？是透過一些社工的攻擊，最後完成了整個的攻擊的過程。那在這個裡面，即使在 SAFE 的開發者被攻破的時候，實際上我們還有其他的機會。比方說如果你錢包的簽名的時候，能告訴你簽的交易是什麼，和在網站上看到的交易是不一致的，實際上也是有機會的。以前很多銀行有 U 盾，如果大家有經驗，你會發現在 U 盾上按按鈕的時候會有個顯示屏，它告訴你現在在轉賬 500 塊錢，你是確認還是不確認，你可以在 U 盾的設備上進行確認。它實際上解決的就是這個問題，因為即使我的 APP 被攻擊了，APP 告訴你你轉了 100 塊錢，但是 U 盾在最後你去確認的時候告訴你轉了 500 塊錢，你就發現不一致了。

具體到這個 Bybit 的 case 裡，如果你簽的錢包裡面能有這樣比較好的提醒能力，其實也是能阻止這樣的攻擊的。但比較遺憾的就是在這個 case 裡面，簽名的硬體錢包也沒有做得特別好。 SAFE 的 UI 被攻破了之後就簽署了這麼一筆惡意的升級的交易，然後攻擊者接管了錢包就轉走了 15 億美金。所以這是印像比較深刻的一件事。

這個事情帶給我們的一個啟示是，涉及到大體量資金的一定要做交叉驗證。你不能相信單一的提供者或單點告訴你的資訊。如果依賴單一供應商或單一介面告訴你的訊息，只要這個被 compromise，系統連結就沒有了。所以一定要做交叉驗證，必須要有一個第三方透過第三方的視角來幫你 verify 看到的東西是不是真的。在這樣的情況下，可以進一步降低風險。

親歷社工攻擊

Alex：剛剛您提到的案例當中，有一個詞叫“社工攻擊”，可能不一定所有的聽眾都能理解這個概念的含義，您能不能解釋一下？

週亞金：社工攻擊全名叫做社會工程學攻擊，它利用的不是一些技術手段，而是你的工作習慣、人際交往關係、你所承擔的工作職責等，針對你所設計的一套攻擊手法。我可以舉一個我自己親身經歷的社工攻擊的案例，大家就比較容易理解。我身為 BlockSeo 的 CEO，常常會收到一些訊息，主要有兩類，第一類是參與播客、會議、訪談的一些邀請。第二類是一些投資機構，他會跟你聯絡說有些投資的機會。我遇過一個透過公司信箱寄email說自己是某一個投資機構的人，希望來商量一些投資的機會。

我們安全的 sense 還是比較強，會觀察他的郵箱和域名，有時候會去做一些背調，看看他公司的網站，以及投資的 profilio。做了背調之後，我發現這是一個挺像模像樣的機構，雖然這個機構我從來沒聽說過，就跟他在 Calendar 上約了一個會議。但這個時候你會發現，第一個奇怪的現象就發生了，在 Calendar 上約會議的時候，他沒有提供任何的會議連結給你。

我們一般約會議，會連接 zoom、google meet 或其他的會議軟體。但是他沒有提供任何會議鏈接，只是約了一個時間。到了要開會的時間，你寄email給他說我們已經要開會了，把你的會議連結寄給我。他馬上就給你發一個會議鏈接，你點擊這個鏈接之後會發現很奇怪，他要求你下載一個軟體。

如果這時候你沒有經驗，覺得馬上要開會了比較焦急，他就利用你焦急的心理不停透過郵件催促你，給你郵件轟炸。你急於想促成這個機會，可能就毫無猶豫地去安裝這個軟體，但其實它是一個含有惡意成分的視訊會議，會竊取你存在電腦裡面的私鑰。這是我真實經歷過的一個社工攻擊。所以你可以發現，攻擊者會針對我在公司的職位和我承擔的工作職責，利用我在開會之前比較焦急的那種心理去發動攻擊。

Alex：我看前兩天行業裡面也有一個關注度不小的事件，就是某一個協議的創始人說自己在參加線下聚會的時候，手機離開自己大概就十幾分鐘，手機的錢包裡面大概幾百萬資金就被盜了。假設這個攻擊是在他手機離開的時候發生的，這是不是也是屬於社工攻擊的一種？

週亞金：對，我覺得它屬於社工攻擊的一種，但它其實還不太屬於我們平常意義上的社工攻擊。因為在這個 case 裡面，他的手機只是離開他一段時間，當然可能別人邀請他或者說接近他的目的主要就是為了拿他的手機，但是拿到手機之後怎麼將手機解鎖，獲取裡面的資金，其實還有非常強的一些技術支撐在裡面。

與區塊鏈協議互動時的安全原則

Alex：明白。剛剛我們談了很多很有代表性的一些大的安全事件，那麼回到我們普通人做區塊鏈協議交互的時候，就像您說的，您之前服務的很多項目都是 Defi 協議，我們很多人在鏈上去交互的時候很多也是 Defi 協議。

我們在跟這些 Defi 協議或是別的協議去互動的時候，有沒有一些需要遵守的安全原則？我相信大部分的一般使用者是沒有程式碼閱讀能力的，甚至可能連去閱讀簽署的資訊的能力都不太具備。在這種情況下，我們怎麼樣去盡可能降低這種風險？

週亞金：我覺得一般使用者如果要去做鏈上交易，首先要做好專案方的一些背調，我覺得還是挺重要的。你去投資一個鏈上的項目，如果你是小資金體量本著去試一試的態度，那可能還好。但是如果你是非常嚴肅地說，我是一個投資者要投資鏈上協議，這時候因為你的資金體量相對比較大，你可能是需要對專案方進行比較好的盡調。這裡面的盡調基本上要分成以下幾個層次。

第一個層次是說這個專案方的創始人是誰，是不是匿名，因為有一些鏈上的協定是匿名協定專案。你得知道這個協議的質量，你得知道在外面拋頭露面的創始人是誰，他有沒有曾經 rug 過項目的歷史，這個非常重要。就是說你首先要對協議本身的組成和創始人身份做一些背調。

第二點你需要對這個專案方本身的技術能力去做一些背調。你可以看一下這個專案方是不是經過了比較頭部的安全公司的審計。像剛才你講的可能很多用戶不懂技術、程式碼，看不懂審計報告，但是你可以將審計報告拉下來，簡單 review 一些核心的關鍵點。比方說是哪幾家審計的，他們的風評怎麼樣，這個報告裡面有沒有一些核心觀念的安全漏洞。並不是說報告裡面有發現核心安全漏洞就說明這個協議不安全，正好說明這個安全公司可能比較盡職，它找到了一些安全漏洞，會使得專案方的整體安全風險降低，要辯證看這件事情。有了對專案方的背調之後，基本上你在做互動時也要採用漸進式的方式，不要一次性大資金體量進去，這樣風險還是比較高的。

再一個是需要藉助一些專業的安全工具，比方說一些攻擊監控，一些工具和平台。如果你的資金體量比較大，那你一定是需要時時掌握你所投資的這些協議的安全風險。你可以透過一些平台，像是透過我們的 phalcon 平台去監控你所投資協議的整體安全性。對於資金體量比較小的用戶，我覺得在做鏈上交易的時候，主要防範的還是釣魚的風險。畢竟協議被攻擊的機率相對來說沒有那麼高，但是鏈上釣魚、授權等風險確實是普通的用戶在鏈上時，時刻都有可能會發生的。

防範這些風險還是說你不要太貪心，不會天上掉餡餅。你在互動的時候，盡量要去確認這是官方的網站，而不是山寨網站。至於怎麼確認它是官方的網站，可能還是需要有一定的資訊收集跟整理的能力。當然你也可以使用一些安全工具去辨識釣魚網站。透過這樣的方式可以規避掉一些風險。

Alex：我注意到一個事件，前兩天幣安下了很多項目的代幣，說他們能夠提供的運營各方面都不達標，所以幣安把它下了。然後專案方就說可能因為各種各樣的問題，這個專案後續就不運作了，處在一個半廢棄的狀態。

那麼假設這個使用者可能一兩年前使用過 DeFi 協議，這個協議目前專案方沒人管了，程式碼的升級權限也不知道在誰那邊。像這種特定案例下，會不會因為他們的升級權限沒有得到妥善的管理，導致被黑客或者說是別有用心的人掌握了，導致你之前的授權沒有取消的話，錢包裡的資金會被這些後續的影響所威脅到。

週亞金：是的，這也是有可能的。特別是像你剛才講的，如果一個用戶把自己的資金授權給一些協議，而這些協議和智能合約後續可能都已經沒有人維護了，那如果這個授權不取消，實際上就有可能有安全風險。關於這個問題的解決，就是我們一直建議一般使用者要比較好地 regular review 自己的授權。你可以將不使用的那些授權撤銷掉。

很多使用者可能不太了解自己已經授權給哪些項目方了，我們做過一個工具叫授權診斷工具，你輸入一個地址，我們就能告訴你這個地址授權過給哪些協議。我們發現其實很多用戶授權給幾十個協議，很多協議現在都已經不活躍了，而不活躍和沒有安全升級的這些協議就有可能會有安全漏洞。只要有安全漏洞存在，別人就可以透過你授權的協議的漏洞轉走你的資金，這其實也是一個蠻大的風險。

Alex：明白。關於互動的安全，我還有一個問題。過往的一些被攻擊的 DeFi 協議也好，別的協議也好，我們發現用 DEX 之類的相對來說被盜、被攻擊的數量不如像借貸或質押類的這麼多。這個跟這兩類協議它本身的智能合約類型有關係嗎？還是有其他原因？

週亞金：你說得很對。相對來講，DEX 的安全風險會比其他的借貸、Yield farming 以及一些金融衍生的協議的安全風險低一些。因為首先 DEX 的整體協定比較簡單，在鏈上的 DEX 裡面的協定就是 xy=k 這種恆定乘積。當然 Uniswap V3 稍有不一樣，基本的核心就是恆定乘積公式。那麼首先它協定簡單，其次它已經有一個非常好的參考範例，就是 Uniswap，很多的 DEX 都是從 Uniswap 這個 fork 出來的，所以只需要簡單做一些修改就能部署一個鏈上的 DEX。它整體的安全風險的部位會比較低一點。

但對於 lending 也好，Yield Farming 也好，或者說其他的槓桿借貸，還有一些更複雜功能的協議，它本身的協議的設計就比較複雜。比方說我們去做一個借貸平台，原理上好像聽起來就是我放一個資產 A 進去，借出資產 B，我只要控制好它的整個資產的健康度就 OK 了。但是比方說你要支持的抵押物的資產的種類、資產的價格波動，然後你如果要支持槓桿，你怎麼能時刻保持用戶即使還掉你的錢，整個健康度還在。它本身協議的複雜程度就會比較高，所以導致這些協定被攻擊的機率更大。我覺得這是第一個原因。

第二個原因是 DEX 本身是不存錢的，當然 DEX 裡面的那些錢都是流動性的提供者，就是你提供流動性的錢放在裡面。而你真正去使用 DEX 的人，只要 swap 一下，放 token A 進去，馬上 token B 就回來了，所以你的資產並沒有在 DEX 的 Pool 裡面。即使 DEX 的 Pool 被攻擊，大部分用戶不會損失，損失的是那些提供流動性的人。而在 lending 平台和其他平台就不一樣了，你的資產是實實在放在裡面，而且你是超額抵押。你如果是一些其他的更複雜的協議，就是本身就會有留存很多用戶的資產在裡面，它被攻擊之後，受損的用戶的群體也會相當於比較大，我覺得這是第二個原因。

然後我們也發現過去在歷史上，DEX 其實也不是沒有被攻擊過。它被攻擊的原因都比較簡單，首先因為 DEX 的風險敞口其實在於授權，因為你要 swap 的時候，你需要將你自己的代幣授權給 DEX 的路由合約，雖然路由合約不存錢，但如果路由合約裡面有一些任意執行的漏洞，那就有可能會將所有授權給 DEX 的用戶的資金捲走。我們發現 DEX 有漏洞造成比較大損失的主要都是這種類型，但這種類型相對來講比較容易發現。只要是比較合格的審計師，其實都是比較容易發現的。

Alex：所以在剛剛您說的授權的漏洞這個案例裡面，如果一個審計公司發現 DEX 有任意執行這樣的權限，一般都會去給他建議說這是不合理的，或者在報告披露的時候會去提醒大家這個事情？

週亞金： 對，這一定是個漏洞，一定是不合理的。如果讓安全公司審計，它必須要把這個給修復掉，這是一個非常 critical 的漏洞。

區塊鏈安全產業的現況與潛力

Alex：OK，剛剛我們聊了很多在安全攻防上，以及如何保護個人資產安全的一些具體問題。讓我們來聊聊今天最後一個問題，關於區塊鏈安全產業的情況。

就像您說的，21、22 年的時候因為 DeFi 很多，區塊鏈安全產業的客戶量非常大。那麼到今年為止，目前安全產業的產業規模水準大概是一個什麼樣的級別，另外它的發展現狀、利潤水準大概是怎麼樣？

週亞金：這是一個很好的問題，因為我們在區塊鏈安全產業裡面，你得隨時知道這個產業目前的階段在哪，天花板在哪，才能更好地去發展公司。目前其實沒有一個公認的數據說整個區塊鏈安全產業的 market cap 到底是多少。但網路上有一些報導，或是他們根據自己的計算，他們覺得區塊鏈安全的整體產業規模，一年大概是在 30 億美金左右。這個規模其實相比於傳統網安的產業是相對比較小的。比如說在 2024 年，整個傳統的網安的規模應該是在 1,000 億美金左右。 1000 美金對比 30 億美金，其實差距還是比較大的。

我覺得這跟整個產業發展的現狀是有關係的，因為區塊鏈安全本質上是服務區塊鏈產業的一個安全的產品和服務，區塊鏈產業整體其實現在還處於比較早期。比方說之前發展得比較好的時間段是在 Defi Summer 的時候，有一些新的創新點進來。

最近一兩年，Defi Summer 的金融創新的熱潮過了之後，好像並沒有一個特別好的更創新的東西進來，導致整個區塊鏈產業的規模實際上在 2022 年應該是達到了 TVL 最高的時候。我記得那個時候的整個區塊鏈安全的 TVL 的最高水平應該是 177 個 Billion，就是 1000 多億美金。但今天我在參加這個節目之前看了一眼數據，現在的整個 TVL 是 99 個 Billion，也就是說離最高峰可能一半多一點點，導致說我們區塊鏈這個行業的發展好像遇到了一個瓶頸。

但同時，我們也發現了這個產業新的潛力，就是傳統的金融機構正在慢慢進入這個產業。傳統的金融機構進入產業裡面有一些訊號，比方說傳統的銀行在鏈上發穩定幣，而且是符合監管的。傳統的支付比如說 Stripe 這樣的支付廠商在支援 Crypto 的支付。有些是跨境支付的透過 Crypto 來解決傳統的跨境電商所面臨到的支付問題。

所以我們會發現說雖然沒有像 21、22 年 DeFi Summer 所帶來的創新引發了 TVL 的新高，但是傳統的金融機構和有真實場景需求的商家在進入這個行業，他們進來之後會帶來整個行業的合規化。一個行業如果想發展得比較大，一定是要在監管的框架和體系裡面合規地發展。我覺得這是我們能看到的最近一兩年的機會。所以整體來講區塊鏈安全整體的產業規模還比較小，還處於早期。但隨著傳統金融機構的進入，越來越多的監管和合規化之後，我覺得這裡面爆發的潛力還是比較大的，這是我自己的一個觀察。

頭部安全公司的護城河

Alex：好的。我印象非常深刻，在 21、22 年的時候，當時感覺區塊鏈的安全公司，尤其是做智慧合約審計的都非常賺錢。甚至說一些比較知名的安全公司如果能讓你插隊安排快點審計都感覺是對你的優待。您認為比較頭部的那些安全公司的護城河主要有哪些？

週亞金：我覺得可能有幾個點。 第一個點在於說品牌和信任。 特別是安全審計，它其實是對品牌認知要求非常強的一個服務。您剛才講到之前市場比較好的時候，審計非常火，可能需要排很長的時間。實際上今天頭部的安全審計公司仍然是這麼一個情況，並不是說一個專案方來審計，馬上就能有人力資源去供給。頭部的有品牌效應的安全公司仍然處於這麼一個供不應求的狀態。所以我覺得一個護城河就是品牌跟信任，怎麼在區塊鏈安全產業裡面建立比較好的品牌形象，以及品牌背後所帶來的信任，無論信任是來自於使用者、專案方或其他的參與者，這個是非常重要的。

第二點是需要安全的創新技術。 我們除了解決區塊鏈安全問題，除了做安全審計之外，真的沒有其他的需要補充的解決方案了嗎？安全的審計它只能解決專案的智慧合約部署在鏈上之前，先做一次安全的 review。但在真正專案上線之後，專案方可能改參數，它有可能做一些日常的 configuration，日常的升級因為排隊或成本考量沒有再去做審計，那就是有很多在智能合約部署了之後因為各種原因導致了安全問題。我們不能只依賴安全審計解決這樣的問題，得要有一些安全創新的技術和產品能去解決這樣的問題。這個也是我覺得 BlockSec 跟其他的區塊鏈安全工作非常不一樣的地方，我們除了有安全的審計服務到協議上線之前的智能合約安全之外，我們還有很能覆蓋到智能合約上線之後攻擊的監控跟阻斷的平台，這也是全球唯一一家區塊鏈安全公司裡面，兼有智能審計和攻擊，能覆蓋整個智能合約全能覆蓋整個智能合約全程的一家安全監控公司。這非常重要，就是你得要有安全創新的技術和產品能在這個市場裡面幫助使用者真正解決問題。

第三點是合規、監管，以及地緣政治的影響。 Crypto 這個產業一定最後是會需要在合規跟監管底下才能有可能獲得大規模的發展機會。這個觀點不是每個人都認同，只是我們在這個行業裡面待了那麼多年，我們能看到這個行業要發展一定是在陽光底下，一定是在合規跟監管的體系底下，才能把傳統的那些老錢吸引到這個行業裡面來。在這個情況底下，提早做好合規跟監管的產品跟服務。合規跟監管的產品服務需要你對這個行業的監管政策、合規要求有比較深的理解，然後還能把它變成產品化。另外所謂的地緣政治的影響，就是有一些地區選擇供應商的時候，其實是有一些地緣的考量。比方說香港的監管機構可能比較傾向選擇非美國供應商的產品。那麼當你對監管政策合規了解比較深，又有比較好的產品，還能有一些地緣政治的影響，我覺得這是區塊鏈安全公司的護城河。

Alex：了解。今天咱們聊加密安全這個話題維度還是挺多的，從具體的一個安全事件，到每個人需要注意的一些安全性的原則，然後包括整個行業的發展規模等等我們都有聊到。非常感謝週亞金今天能夠到我們節目分享這些真知灼見，希望我們以後還能有別的機會再聊更多相關的話題。

週亞金：謝謝 Alex。