对话 | 交易所和公链们真的安全吗?

小玲儿 2020-04-23 17:26

整理 小玲儿

出品 耳朵财经

4月22日,《耳朵财经》在区块链长征社群完成了第三期区块链长征线上版活动,本次线上活动邀请到了Dfund管理合伙人杨林苑、零时科技CEO邓永凯、泰肯星球创始人斑马三位嘉宾与耳朵财经记者小玲儿共同进行了《交易所和公链们真的安全吗?》的圆桌对话。

以下是对话内容:

问题1:近日,黑客攻击Lendf.Me盗走价值约2500万美元的加密资产,但后来又归还,请问各位嘉宾如何看待此事件?

杨林苑:这个Lendf.Me被黑客攻击事件,我们觉得过程和结果可以说是悲欣交集。

喜的是资产追回挽回了损失,悲的是去中心化Defi还是得靠中心化的公安介入追讨和保护被盗资产。别闹,只要你还有肉身和法币账户,那就抓你没商量,冻你不解释。

Defi从2019年以来的发展可谓是暗流涌动,锁定价值屡创新高。广义的Defi的确可开展更多无需许可的金融服务,节省很多摩擦成本,可以覆盖传统金融没有覆盖的领域,但理想很丰满,现实很骨感。它眼下最大的困境是流量,因为使用门槛高、利率机制复杂,Defi无法大规模吸引新增用户,更多的还是存量厮杀。

​而Cefi的界面对用户更友好,对更多现实场景的问题更具可操作性,故获得了快速蓬勃发展。但Cefi从长期看面临业务边际的问题,它到底是扮猪吃老虎还是天外飞仙?这两者并非完全是竞争关系,它们一定会在未来某个临界点出现合作和混合机制,去中心化还需循序渐进。

邓永凯:杨总的分享很精彩,那我从技术和安全角度简单分析一下此次事件。

本次事件发生当日,我们就对攻击事件进行了复盘和分析。当晚,这个黑客返还了少量的数字货币,而且还给项目方留言:Better Future。第二天,项目方联合社区,包括安全机构以及警方对这次事件展开彻底调查。

最后警方联合交易平台获取到了攻击者的IP地址,但是具体IP地址,属于谁,还需要进一步溯源验证。但总而言之,这次攻击事件有惊也有喜,让很多人认识到了区块链安全的重要性,以及区块链安全事件导致的危害力度,也让很多安全从业者第一次见到1.7亿人民币被盗又返还的历史事件。但其实在黑客攻击事件中,类似这种盗走资产还返还的攻击事件,几乎少有,当然这背后也有很多团队做出了很大贡献。

斑马:感谢杨总和邓总的精彩分享。简单说一下我的一些看法。

我觉得跟资产强相关的行业,特别是资产透明化的新兴行业,被盗是必然事件,归还是偶然事件,涉及到资产安全,永远没人敢说100%。

这次被盗又归还,其实很奇葩。我看了各种跟踪报道,包括刚才邓总说的黑客的IP地址泄露了,可能是怕受到法律的制裁,所以才归还资产。这在区块链行业里也纯属偶然事件,是很幸运的。

从行业发展来看,每一次的被盗事件能促进整个行业的发展,只有经历过历史检验的行业才能茁壮成长。资产被盗再归还对这个项目来说,短期也是好事,因为在资金上没有太大损失。但从长期来看,如果这个项目没有在安全进行全面升级,它则可能会失去用户的信任。

至少在目前现阶段我个人还是倾向于Cefi。说句实在话,作为投资者,万一发生安全事故,至少能找到项目方维权,有钱的还能赔得起,可以挽回一些损失。


问题2:除了公链,Upbit、币安等交易所也都被黑客攻击过,甚至Mt.Gox交易所因被盗而倒闭。如此,交易所也不安全,但投资者可以采取哪些措施以避免交易所被盗而带来的损失?

杨林苑:安全是底线,对交易所的运营和技术实力都是挑战。投资者事后能采取措施其实并不多,更多的是事前的预防以规避风险,有三个选择:

1、放在冷钱包,安全系数最高。但这有两个前提,一是你的资产规模在100个比特币以上;二是你至少在一年内不会交易,这适合大户和长期囤币党。如果你只有几个比特币或是散户,而且需经常交易,就不必这样。

2、大部分的安全事故是交易所主观作恶,挪用用户资产和监守自盗。所以建议大家选择透明度相对高的交易所和平台,比如Renrenbit100%保证金,杜绝平台主观作恶。

3、选择综合实力强的平台,比如Binance, Huobi, OKex等,即使出了问题,它们也有能力赔付。

邓永凯:其实投资者本身并不能左右一个交易所是否会发生被盗事件。对于投资者,能将投出去的钱赚回来,保证不亏本,能在最佳的时间离场,便是最好的结局。

投资是一个老生常谈的话题,例如经常都会被问哪个项目好,哪个币好,币圈的项目投资风险高,但不一定有高回报,经常见到一夜暴富,也有一夜暴负。

如果你投资一些不知名的小项目,例如小交易所,那得慎重,投资需要关注团队的背景、项目质量、市场活动以及后期规划。如果你是一个技术流,也可关注项目方资产动态和链上的资产交易的异常情况,数据不会说谎,及时止损。

用户也可以通过我们的监控平台对项目方的核心钱包资产动态进行监控。我们通过人工智能等技术对风险进行识别预警,并在第一时间通知你。它的资产动态情况,你能看到,然后及时止损。例如出现异常交易、大额提现,还有每日的净值流入流出的异常情况,如此,便能做到先知,找准时机及时离场,避免不必要的损失。

投资是自己的事,没有一直赚钱的项目,自然也没有一直亏钱的项目。最重要的是,只要你不是凭运气赚的钱,到最后凭实力输掉了就好。

斑马:杨总和邓总都说得很好,我再补充一点。如果是交易所被盗,个人在交易所账户里面的资产肯定不能幸免。倾巢之下,岂有完卵。避免交易所被盗应该是交易所要考虑的,我们投资者能做的是:尽量让自己的损失降到最低——不要把鸡蛋放在一个篮子里。

如何不把鸡蛋放在一个篮子里呢?除了刚才杨总提到的几个方面,我再补充一些细节:一个合格的投资者应该有两个钱包加一个账户。两个钱包是一个冷钱包和一个热钱包,一个账户就是国际知名的交易所账户。

如果论资产保管的安全性,冷钱包的安全级别最高,其次是热钱包,最次的是中心化的交易所账户。单论资产撮合效率,无疑是交易所最高。

资产配置属于中长期的,可以放冷钱包,如果短期需频繁交易可放交易所。热钱包可用于交易所与冷钱包的过渡,例如平时给人转账,如此,可提前将损失降到最低。


问题3:众所周知,区块链存在着一个不可能三角的问题,即扩展性,安全性以及去中心化。那么三位嘉宾认为这三点该如何均衡,安全性的占比应该多大为好?目前做的最均衡的又是哪条公链?

杨林苑:这个不可能三角是区块链中老生常谈的问题。首先,安全是命根子,没有安全都是白扯。公链如果出了问题是不可逆的,它没有重启键。实际上,大部分区块链项目都还没有到这个阶段,所以问题还没有暴露出来。

扩展性是能不能做大的关键。大家都知道,目前公链并没有产生大规模的应用。其实,相当比例的区块链项目还在荒无人烟处修高速公路,去中心化对大部分区块链还属于空中楼阁。整个区块链行业经历了去伪存真的阶段,眼下最需要思考的是能解决什么问题?

目前公链相对均衡的是BTC,共识广泛,网络健壮,安全性最高,但扩展性存在瓶颈,有很多团队以不同的方向在探索解决这个瓶颈。

邓永凯:区块链不可能三角是指区块链的去中心化、安全性以及可扩展性,这三者不能同时满足,在三者中只能选其二。

我们从不可能三角的来源探索一下,会发现这是一个不严谨的说法。并不是所有的区块链都没办法做到这三点,也不是真的去掉其中一个就能让其他两方面做得更好。

比特币的安全性是最好的,但它在性能的表现上不佳,而且它也不一定是名副其实的去中心化,比如它的矿机生产和算力基本上都处于垄断状态。

以太坊在安全性方面仅次于比特币。目前攻击以太坊的代价仅次于比特币,而且性能也比比特币稍好,它还可以使用显卡挖矿,算力垄断也不是那么严重。

最后EOS的性能最高,它在去中心化上做了很大的牺牲。相对于攻击比特币成千上万的节点,攻击EOS节点的成本相对较低。

目前肯定也有很多项目做得很好,也可能它已经顾及了这个三角情况,只是现在还在磨练中。区块链未来发展的路还很长,我们也期待未来有更好的项目和技术出现。

当然,我个人认为安全是第一位的。毕竟整个区块链生态应用、公链或数字资产跟我们的钱袋子息息相关。所以安全性是最重要的一个方向。

斑马:我认为这个不可能三角都是区块链的基本要素,而且它们都是刚需,缺一个就不叫区块链了。如果硬要说哪个占比应该大点,这需结合具体产品具体分析了。

我们泰肯星球是一个游戏DAPP项目,轻资产重体验,从长期发展上看,扩展性该是第一位的,安全性和去中心化稍微次之。那如果是Defi项目重资产的,它的安全性级别应该是最高的,不同的产品不同的行业对这个不可能三角的取舍应该也不一样。

至于哪条公链做的最均衡,那就屁股决定脑袋的事了。那从链游DAPP运行的数量上来看,EOS这条链在目前来说是当之无愧的。后期对于Cocos主链上运行链游DAPP,我还是蛮期待的,因为Cocos是主打的是区块链游戏领域。


问题4:DFund投过的项目有发生过安全问题吗?如果没有,那么如何做到安全防护?如果有,又是如何解决的?

杨林苑:这个肯定有,我们投的项目那么多,尤其交易所和交易升级又是我们投资的重点。我说两个大家可能都知道案例。

第一个是币安在2019年5月被攻击丢了7000个比特币,但他们的技术和资金实力比较强,所以迅速恢复了。而且币安自己兜底用Safu基金覆盖了损失,没有影响到用户的资金和安全。

另外一个案例是Bitfinex在2016年被盗12万个比特币,这在当时也是一个非常大的安全事件。他们为了应对这个危机发行了一个债权属性的Token给受影响的用户,后来这部分的Token在用户自愿的情况下转成了股权。这些股权给用户带来了很好的回报,它没有辜负大家对他的信任。

以上两个都算是业内被盗之后非常负责任且有效地化解危机的案例,可以说是教科书级的示范。


问题5:作为白帽子黑客,能为我们讲解下交易所和公链开发最应该注意的地方是什么?

邓永凯:首先给大家解释一下黑客和白帽子,很多人不知道这是一个角色还是两个人物角色。真正的职业黑客,应该称为地下的黑客组织,是那些经常发动攻击事件的人。站在对立面的白帽子是指我们这些专门从事安全攻防研究与对抗的技术团队,保护网络安全的极客。

交易所应该注意的地方有很多,它的安全不在一个单点上,而是多维度的。从安全攻防的角度来看,它的每一个点都很重要。交易所的安全像一个木桶,也就是木桶原理,它不可以有任何的短板,因为任何的一个短板都可以作为黑客的入口。

我简单介绍一下几个比较重要,而且常会被黑客利用的方面:

第一个是企业端入口端,包括企业员工的通讯录、邮箱,还有远程办公使用的VPN、运维和办公软件等等,这些都是容易被黑客利用的地方。

第二个是云服务端的一些入口,比如2月,IOTA的官方钱包被攻击损失200多万美元,这就是因为云端的API Key泄露而导致钱包被黑,所以云服务的入口也比较重要。比如云服务开启的第三方技术组件与服务,还有第三方的API接口与RPC,使用的服务器CDN,包括云waf等等,这些都是比较重要的环节。

第三个方面就是交易所的生产环境、测试环境和调试环境,包括我们的OTC业务,还有钱包的安全方案,这些也是比较重要的点。

最重要的是我们内部人员的安全意识和内鬼作案。这个其实在很多时候是防不胜防的。

公链其实最应该关注的地方,例如不可能三角问题。在不同的场景下,公链所针对的领域肯定有自己最重要的方向,比如应用安全、51%攻击等。这跟公链本身的设计有很大关系。

交易所、公链、钱包、合约等区块链的基础设施应该需注意的地方有很多,但在这里我们可能一时半会也解释不完,如果有感兴趣的朋友,我们可以私下沟通。


问题6:泰肯星球是基于EOS公链的开发的游戏DAPP,而EOS在2018年被360爆出“史诗级”漏洞,那么公链安全对DAPP开发的影响有多大?

斑马:EOS这条链从出生到现在稳定运行也快两年了,还差2个月。它在没出生的时候就一直被外界诟病,每次都雷声大雨点小,这两年也没出现毁灭性的问题,反而链上运行的DAPP也还不错,除了币价。公链就像是操作系统,需要不断优化,但公链安全对DAPP是基础,是能让给开发者进入这个领域,并在上面安心开发的基础。

开发者能进入公链开发,是属于0到1的过程,但公链的高TPS和可扩展性对DAPP是从1到10,甚至到100的质的飞跃。DAPP是否能诞生需看公链的安全性,能否做得好走得远,就是要公链上智能合约的可扩展性。


责任编辑:卿玲玲