普通人如何构建加密资产防火墙 实战指南

《EP28：深入解析链上安全：普通人如何构建加密资产防火墙》

在数字资产日益普及的今天，加密安全已成为每个人在Web3世界中不可忽视的重要课题。Mint Ventures发起的WEB3 Mint To Be播客，致力于深入探讨Web3领域的热点问题，为听众提供清晰的洞察和实用的建议。本期节目，我们邀请到区块链安全公司BlockSec的CEO周亚金，与大家共同探讨加密安全的重要性，以及普通人如何有效保护自己的数字资产。

BlockSec的服务范畴和目标客户

Alex：本期节目，我们将聚焦于一个与每个人息息相关的话题——加密世界的安全。在遭遇真正的风险之前，许多人往往认为自己不会成为新闻中安全事件的受害者。如何为自己的资产构建一个坚实的防火墙，确保在安全的环境下投资，是我们开始加密旅程前必须掌握的技能。今天，我们邀请到了BlockSec的CEO周亚金，与我们分享关于加密安全的见解。周老师，欢迎您！

周亚金：大家好，我是周亚金，目前担任BlockSec的CEO，同时也是浙江大学网络空间安全的研究人员。非常高兴能与大家交流。

Alex：好的，让我们进入正题。许多听众可能对区块链安全公司和安全服务了解不多。周老师，请您先介绍一下BlockSec，以及我们提供的服务内容，哪些类型的人或机构会成为我们的客户？

周亚金：BlockSec是一家专注于Web3安全的公司，成立于2021年，由我和吴老师共同创立。在Web3安全领域，大家可能首先想到的是安全审计。实际上，BlockSec的业务范围远不止于此，我们还提供一系列其他的安全产品和服务。具体来说，我们的服务可以分为三大板块。

第一个板块是针对链上协议的安全。链上协议指的是部署在区块链上进行DeFi、NFT等活动的智能合约。这些合约的安全性如何保障？BlockSec提供安全的审计服务和监控产品。第二块我们关注的是资产的安全。即用户如何保证自己合约钱包中的资产，或投资于链上协议的资产安全。第三块是合规与监管。随着越来越多的传统金融机构进入Crypto行业，监管机构面临着如何监管这些新玩家的难题。BlockSec也提供帮助这些机构进行合规的服务。

我们的客户覆盖范围广泛。包括在链上提供Lending、去中心化交易等服务的项目方，以及拥有大量资产的高净值客户。我们的服务和产品可以帮助他们在智能合约部署前进行安全审计，并在部署后进行7×24小时的监控，及时通知并阻断安全风险。此外，我们还服务于监管机构，帮助他们监管Crypto行业的玩家，或进行合规操作。

关于加密安全的三点建议

Alex：周老师详细介绍了BlockSec的业务范围和客户类型。接下来，我们想听听您对刚刚进入Web3领域的朋友的建议。如果您身边有朋友刚进入加密投资领域，您会给他们哪三点关于加密安全的建议？

周亚金：这是一个很好的问题。我身边的朋友也经常向我咨询安全建议。进入Crypto领域，风险无处不在。我们曾开玩笑说：如果你进入Crypto圈后，没有遇到过钓鱼或诈骗，那你就不算真正融入这个领域。当然，这只是玩笑话，但确实反映了Crypto行业的高风险性。以下是我给的建议：

第一个建议是私钥保护。在Crypto领域，私钥是证明你拥有资金的关键。私钥是一串数字，与你的个人身份无关。一旦丢失或泄露，他人就能控制你的账户。保护私钥的方法有多种，如硬件钱包、合约钱包或手机APP。我个人建议将私钥的助记词保存在保险箱中，并使用一个专用的设备存储私钥，避免进行其他操作，以降低风险。

第二个建议是在链上交易时保持安全和风险意识。记住：天上不会掉馅饼。链上交易时，用户面临巨大的钓鱼风险。即使是许多KOL和OG也曾遭遇钓鱼攻击，损失惨重。因此，对于任何要求连接钱包以获取空投奖励的陌生网站，都要保持警惕。

第三个建议是了解加密资产的基本知识。例如，授权机制。在Crypto中，授权是一个重要概念。例如，你拥有一类数字资产如USDT或USDC，可以通过链上签名将资产授权给合约或其他用户使用。如果不了解授权机制，可能会签署错误的交易，导致资产被他人动用。因此，对授权机制有基本了解非常重要。

总结起来，我的建议是：保护好私钥，保持链上交易的安全意识，了解Crypto的授权机制。

高净值用户的安全挑战

Alex：我身边确实有高净值的朋友，他们都是行业内的OG或老手，但每年仍会听到他们遭遇被盗的消息。行业里有一种说法：如果专业的黑客盯上你，知道你的钱包有钱，他们动用所有资源，你很难逃脱。您认为这种说法有道理吗？

周亚金：你提出的问题非常好。安全问题，尤其是Crypto安全，本质上是不平衡的对抗。如果你的钱包里拥有大量资产，你很容易成为黑客的攻击目标。一旦成为目标，黑客会动用大量资源，包括社工、技术等，根据你的日常行为模式和生活习惯设计攻击方案。在这种对抗中，防御难度极高。因此，高净值用户应尽量低调，避免暴露资产信息，并做好资产隔离，将大量资产存放在不常用的钱包中，并寻求安全专家的帮助。

印象最深刻的三个安全事件

Alex：您的建议非常重要。能否分享三个您印象最深刻的安全事件？

周亚金：当然可以。以下是我们亲自参与处理且印象深刻的安全事件：

第一个例子是2023年2月发生的鸭嘴兽协议被攻击事件。黑客通过协议漏洞窃取了近9百万美元的资产。黑客在攻击时犯了一个错误，他在部署攻击合约时，合约中存在一个可利用的漏洞，导致部分攻击资金被提取出来。我们第一时间检测到该事件，并与项目方合作，利用黑客的漏洞将部分资金追回。这是区块链安全史上第一次“hack back”事件，即利用漏洞将攻击资金追回。

第二个例子是2023年发生的ParaSpace协议被攻击事件。我们的系统第一时间预警，并联系项目方分析原因。攻击者在攻击时，手续费不足导致交易失败，但攻击行为和trace已暴露在链上。我们模拟攻击交易行为，自动化生成攻击交易，将协议中的500万美元资金转移至安全账户，并联系项目方返还资金。这次行动是历史上金额最高的“rescue”行动，即拯救链上资金。但这次行动也引发了我们对安全道德和伦理的思考。

第三个例子是Bybit安全事件。黑客通过社工攻击，攻破了SAFE钱包的开发者电脑，部署了恶意代码，导致用户资金被盗。这次事件损失高达15亿美元，是迄今为止安全圈中损失最大的单笔事件。黑客通过攻破SAFE钱包的开发者电脑，修改了用户在钱包中看到的操作界面，导致用户签署了恶意的升级交易，从而接管了钱包并转移资金。这次事件给我们带来的启示是，涉及大额资金的一定要做交叉验证，不能依赖单一信息源，以降低风险。

亲历社工攻击

Alex：您提到的社工攻击，可能不是所有听众都能理解。能否解释一下？

周亚金：社工攻击全称是社会工程学攻击，它利用的不是技术手段，而是你的工作习惯、人际交往关系、工作职责等，针对你设计的一套攻击手法。我有一个亲身经历的社工攻击案例。我作为BlockSec的CEO，经常收到一些邀请，如参与播客、会议、采访等，以及一些投资机构的联系。我曾收到一封自称是投资机构的邮件，希望商谈投资机会。我们公司安全意识较强，对邮件和域名进行了观察和背调，发现这是一个看似真实的机构，尽管我从未听说过。我们约了会议，但他没有提供会议链接，只是约了时间。会议前，他要求下载一个软件，利用我焦急的心理，我毫无犹豫地下载了含有恶意成分的视频会议软件，导致我的私钥被盗。

这次攻击利用了我的职位和工作职责，以及我在开会前的焦急心理，成功实施了攻击。

与区块链协议交互时的安全原则

Alex：回到普通人如何与区块链协议交互的问题。我们很多人在链上交互时，也是DeFi协议的用户。在跟这些DeFi协议或其他协议交互时，有哪些需要遵守的安全原则？

周亚金：普通用户在进行链上交易时，首先要做好项目方的背调。如果你是高净值用户，投资链上协议时，需要对项目方进行充分的尽调。尽调包括了解项目方创始人身份、技术能力等。你可以查看项目方是否经过头部安全公司的审计，并简单review审计报告中的核心关键点。此外，进行交互时要采用渐进式的方式，不要一次性大资金进入，以降低风险。借助专业的安全工具，如攻击监控平台，时刻掌握所投资协议的安全风险。对于资金量较小的用户，主要防范钓鱼风险，不要贪心，不要轻信陌生网站，并使用安全工具识别钓鱼网站。

关于交互的安全，我注意到一个案例：币安下架了一些项目代币，称其运营不达标，项目方表示可能因各种问题停止运营，处于半废弃状态。如果用户之前使用过DeFi协议，而协议无人管理，代码升级权限不明确，可能会导致资金被黑客或别有用心的人掌握。因此，普通用户要定期review自己的授权，撤销不使用的授权，以降低风险。

关于交互的安全，我还有一个问题：为什么DEX被盗的数量不如借贷或质押类协议多？

周亚金：你说得很对。相对而言，DEX的安全风险比借贷、Yield farming等协议低。首先，DEX协议相对简单，核心是恒定乘积公式，且已有成熟的参考样例如Uniswap。其次，DEX不存钱，用户只需swap即可，资产不会长时间停留在DEX Pool中。即使DEX Pool被攻击，大部分用户不会损失，损失的是提供流动性的用户。而借贷平台等协议，资产是实实在在存放在协议中，且用户通常超额抵押，一旦被攻击，受损用户群体较大。历史上，DEX被攻击的原因多为授权漏洞，但这种类型相对容易发现。

区块链安全行业的现状和潜力

Alex：我们聊了很多安全攻防和如何保护个人资产安全的具体问题。最后一个问题，关于区块链安全行业的现状。21、22年时，DeFi的繁荣带动了区块链安全行业的快速发展。目前，这个行业规模如何？发展现状和利润水平如何？

周亚金：这是一个很好的问题。区块链安全行业目前处于早期阶段，整体市场规模约为30亿美元，与传统网安产业相比仍有较大差距。区块链安全行业的发展现状与区块链行业的发展密切相关。近年来，DeFi Summer的热潮过后，区块链产业规模有所下降，但传统金融机构正逐步进入该行业，带来合规化需求。合规和监管将成为区块链安全行业未来发展的关键。

头部安全公司的护城河

Alex：头部安全公司的护城河主要有哪些？

周亚金：头部安全公司的护城河主要体现在以下几个方面：品牌和信任、安全创新技术、合规、监管和地缘政治影响。品牌和信任是安全审计的关键，头部公司仍然处于供不应求的状态。安全创新技术是解决区块链安全问题的关键，BlockSec不仅提供智能合约审计服务，还提供攻击监控和阻断平台，覆盖智能合约全生命周期。合规、监管和地缘政治影响也是区块链安全公司的重要护城河，合规和监管将成为区块链安全行业未来发展的关键。

Alex：今天我们聊了加密安全的多维度话题，从具体的安全事件到个人需要注意的安全原则，再到整个行业的发展规模等。非常感谢周亚金今天带来的真知灼见。希望未来还有机会再聊更多相关话题。

周亚金：谢谢Alex。

原文链接 欢迎加入idea2003 BlockBeats官方社群：Telegram订阅群：http://www.idea2003.cn/theblockbeats Telegram交流群：http://www.idea2003.cn/BlockBeats_App Twitter官方账号：http://www.idea2003.cn/BlockBeatsAsia