12月15日,Web3.0CloudDaySingapore2022活動于新加坡順利舉辦。第三場圓桌論壇,由AI與加密藝術家Ting擔任主持,五位嘉賓針對「Web3安全」主題發表了自己的看法,分別是:AlibabaCloudIntelligence新加坡地區解決方案架構師總監YangKan、Beosin執行總監TommyDeng、Cobo國際副總裁JundeYu、NumenCyber市場總監JoannaZhang、Safeheron業務拓展主管JagFoo。以下是圓桌對話實錄整理:
Ting:眾所周知,區塊鏈是基于去中心化等思想基礎促進交易快捷可信發生的行業。但是,2022年是充滿戲劇性事件的一年,Web3行業內安全問題頻出。在阿里云和Odaily伙伴們的幫助下,今天這場圓桌聚集了眾多安全行業內的實踐者,我們講一起進一步探討「如何讓Web3行業不同參與者更為安全」。首先,先請各位嘉賓簡單進行一下自我介紹。TommyDeng:Beosin是一家區塊鏈安全公司,目前在新加坡、香港、迪拜、日本、韓國等地均有分布。我們與阿里云合作了很長時間,進行其生態內Web3項目的安全審計。今年我們在推出了區塊鏈安全預警服務EagleEye,以確保上線項目的運行安全。同時我們也在擴展其他機構業務,因為我們注意到僅僅保證智能合約的安全是不夠的,還有很多機構面臨像FTX這樣的內部合規風險,所以我們推出了KYT的反洗錢服務。JundeYu:Cobo是一家全球領先的數字資產托管和區塊鏈技術提供商,總部位于新加坡。作為一家以科技驅動為核心的創新公司,Cobo專注于構建可擴展的基礎設施,推動Web3.0領域的發展,我們有一系列的解決方案——集中托管、分散托管或自我托管等等,目前已經與500多家企業達成合作。JoannaZhang:NumenCyber是一家總部位于新加坡的Web3安全及網絡威脅檢測和響應的解決方案提供商。NumenCyberLabs由來自全球的頂級安全專家組成,技術團隊發現過很多知名Web3生態及項目、微軟、谷歌、蘋果產品的高危漏洞,并提供業界領先的Web3安全解決方案,可滿足各種Web3應用場景的網絡安全需求。NumenCyber通過對智能合約、公鏈、錢包、交易平臺安全審計,鏈上合約威脅檢測和響應,Web3安全態勢感知、數字貨幣追蹤和Web3威脅情報等服務和產品增強Web3項目在整個開發周期各個階段的安全能力,保障項目方和用戶的數字資產安全。JagFoo:Safeheron是基于MPC和TEE技術的數字資產安全自托管服務提供商,用戶可以完全控制自己的私鑰,通過MPC和私鑰分片管理也可以有效防止單點故障。Safeheron由一支擁有超十年網絡攻防、密碼學實戰經驗的團隊創建。自2019年以來,核心團隊便一直奮戰在數字資產安全存管的科研攻防一線。YangKan:過去5年,我一直在阿里云工作,幫助企業遷移到云端。今天,我們在web3原生業務方面有很多機會,幫助眾多企業從web2轉移到web3。對這些企業而言,在他們遷移到web3時,安全性成為一個重要的考量指標,這也是我們可以發力的方向。Ting:2022年個人和加密項目資產被盜事件頻繁發生,能否請各位嘉賓介紹一下最常見的方式是什么?JoannaZhang:針對個人的攻擊方式有很多種,比如網絡釣魚或私鑰盜竊,這些是攻擊個人的最常見的方式。還有很多項目被攻擊,是因為他們的代碼或項目存在漏洞,這也是智能合約最典型的弱點。因此,我們也建議項目開發者完善代碼開發,做好智能合約審計,可以有效降低風險并避免遭遇攻擊。JagFoo:縱覽資產被盜的過往歷史,你會發現私鑰泄露是一個重要因素。2022年,超過10億美元的加密資產被黑客盜取,主要方式就是竊取私鑰。為什么會造成這樣的情況?主要原因是大多數機構管理私鑰的方式是由單人掌握;一旦私鑰丟失極易造成單點故障,失去對資產的控制。當然,即便你的資產都存放在中心化機構,不存在私鑰丟失的情況,你也可能失去資產,比如FTX破產。TommyDeng:我們每季度、每年都會發布一份安全報告。根據我們的統計,截至目前為止2022年區塊鏈上有37億美元的加密資產遭遇黑客攻擊或被盜,其中40%是智能合約有漏洞,40%是由于私鑰泄露;從項目分類來看,70%的資產被盜與DeFi以及跨鏈橋有關。JundeYu:一些被盜案例,主要是公司內部某個人犯錯,可能是主觀作惡,也可能是因為疏忽錯誤點擊了釣魚鏈接。Ting:針對這些加密風險因素,各位嘉賓能否分別給個人和項目提供一些安全建議,保護他們的資產安全?YangKan:在Web2時代,我們會在多個層面進行安全管理,比如每個項目上線前我們都會做滲透測試,對安全性進行評估。現在進入Web3時代,這套法則依然適用。我們建議項目做好智能合約審計,關注業務邏輯和操作。web3安全是一個非常專業的領域,牽扯的因素很多,但從本質上來說與web2時代沒有什么不同。TommyDeng:首先,確保私鑰安全。當你注冊鏈上錢包時,不要對私鑰截圖或復制到剪貼板;不要在手機安裝任何可疑的移動應用程序,因為它們有權限訪問你的相冊和剪貼板。其次,多樣化資產配置,將你的資產儲存在多個鏈上,同時在中心化和非中心化平臺分別配置。對于項目方來說,在上線合約之前需要做一下智能合約審計。其次是做好內部合規和管理,有一些加密盜竊案例顯示,聯合創始人或員工可能會竊取私鑰并跑路。因此作為老板要正確管理團隊,確保不讓某一個人掌握所有的私鑰。JundeYu:大多數加密盜竊案都與內部人員有關。在內部風險管控的基礎上,需要引入多方權限去避免資產流失對于多方共管的MPC錢包。即便有人犯錯,仍然需要更多的人簽名,才能提取資產。MPC自托管比較合適已經有完善的安全防備設施和安全管理系統的機構,當然也可以考慮把數字資產托管給行業服務商。MPC和中心化托管都是Cobo針對不同客戶需求提供的資產存儲管理方案。JoannaZhang:對于個人來說,首先要提高自己的安全意識,比如開戶以及交易時,選擇安全的有資質的加密平臺,可以有效降低風險。這些平臺會做監管審計,保護你的賬戶;他們也有政府許可證,這將幫助你避免危險的項目。對于項目方來說,需要做好合約代碼審計以及增強整體服務安全性。另外,即便是經過安全審計的項目,也不能掉以輕心,一些攻擊通常會在項目啟動后發生。所以鏈上安全檢測與防御也非常重要。JagFoo:不要把所有的雞蛋放在一個籃子里,這樣即便某些方面受到黑客攻擊,你的資產可能也不會丟失。重要的是,機構需要有一個能緩解單點故障的風險和多層次的安全策略;更關鍵的是,要有一種安全文化:從不信任,永遠驗證。Ting:CeFi平臺,比如CEX和中心化加密借貸機構,應該如何同時實現安全性、合規性以及透明度?JundeYu:首先,公布自己的錢包地址,這將激發透明度;其次是邀請第三方審計來審查你的系統;最后是要有更嚴格的KYC。Cobo目前也正在開發一些產品,中心化機構可以考慮使用我們的MPC協管解決方案,并把其中一把私鑰分片交給信任的第三方,這樣可以較大程度避免內部作惡,從而給proof-of-reserves帶來更多的信息透明度,增加投資者對CEX機構的信心。YangKan:中心化平臺面對眾多的交易者,他們可能行為各異,你需要從源頭做好KYC,從而確保平臺的合規性。更關鍵的是,建議風控防護體系,當用戶行為觸發警報時要及時響應。遇到問題,也要及時發布公告告知用戶。JagFoo:通過FTX事件,我們可以學到很多教訓,比如沒有完善的風控,沒有適當的職責分離……大家可以看一下這些不良行為,作為反例。JoannaZhang:首先,滿足本地的合規要求是非常重要的;CeFi公司還應該獲得項目的相關認證;要有一個好的安全團隊來做審計或安全保護,不管是技術安全還是內部法規。你也可以與安全公司合作,減少你的安全弱點。TommyDeng:中心化平臺在未來可能會變得非常受限制。地方政府開始介入,對它的監管也越來越多,我們也幫助很多國家的監管機構做了反洗錢的合規工作。因此,中心化平臺要遵守當地的法規,保證他們將來不會惹上法律的麻煩。
“亞洲區塊鏈挖礦圓桌會議”將于近日召開:“亞洲區塊鏈挖礦圓桌會議”將于近日召開,呼吁行業在全球范圍內開展合作,支持和推動可再生能源挖礦。多位業內人士首次出席會議,討論如何更好地監管比特幣挖礦,支持和踐行“綠色挖礦”理念。與會者包括來自礦機制造商、上市公司的代表,以及區塊鏈行業的多位意見領袖。(Cointelegraph)[2021/6/4 23:11:25]
現場 | 共識大會(新加坡)圓桌:引入區塊鏈技術簡化保險索賠流程:金色財經9月19日現場報道,在新加坡共識大會上,來自MetLife和Bluzelle的相關人員共同探討了智能合約自動化解決保險索賠的技術。嘉賓認為,區塊鏈技術可以區分必要數據和非必要數據,方便使用者靈活調取;同時大幅提升用戶的體驗,簡化保險索賠繁瑣流程。[2018/9/19]
百人圓桌 UnlimitedEOS節點負責人echo:今年還是公鏈的天下:在金色財經百人圓桌EOS系列問題上,對于“更看好哪一種共識機制?給DPoS機制打多少分(滿分10分)”的問題,UnlimitedEos負責人Echo指出:如果就今年來看,應該還是公鏈的天下,畢竟目前沒有什么對于DApp來說特別強有力的底層可支撐,大浪淘沙,充滿競爭體制才會有更好的區塊鏈底層可以存活;而DApp爆發可能會在明年或者兩年之后到來,在這中途要死掉大量空氣項目,留下的就是真正落地且可以盈利的DApp。未來,當底層已經塵埃落定之后,可能只有DApp的世界才能爭得一席之地。[2018/6/20]
百人圓桌 工信部五所相里朋:更看好DAG共識機制 DAG是區塊鏈3.0典型技術:在金色財經百人圓桌EOS系列問題上,對于“更看好哪一種共識機制?給DPoS機制打多少分(滿分10分)”的問題,工信部五所相里朋表示:從技術上,更看好DAG共識機制。DAG(有向無環圖)作為區塊鏈3.0時代的典型技術之一,采用異步通訊機制在提高擴展性、縮短確認時間、降低支付費用方面優勢明顯,更適合推廣到萬物互聯。且傳統區塊鏈確認次數只能計算交易有效性的“概率”,不具備最終有效性;DAG具有最終確定性,并不可推翻。但需注意的是,網絡安全性、一致性問題都不確定,主鏈一直在分叉。網絡未對節點交易信息的正確性充分驗證,存在偽造或篡改的可能,錯誤數據有一定幾率構成主鏈。DPoS機制可打6分。[2018/6/20]
日本金融廳在本月8日、9日舉辦了區塊鏈圓桌會議:據日本金融廳官網,日本金融廳于2018年3月8日、9日,與境內外金融機構和中央銀行和日本國內外國家學會相關者等成員舉辦了“區塊鏈圓桌會議”。參加的境內外金融機構和中央銀行有英國金融行為監管機構、新加坡金融管理局、澳大利亞證券投資委員會、阿布扎比全球金融服務監管廳、法國健康監督機構,香港金融管理局、日本銀行、加拿大銀行等機構。日本國內外國家學會相關者如MIT媒體實驗室、東京大學、慶應義塾大學等。這次會議是作為國際區塊鏈聯合研究的一部分舉行的。這一區塊鏈的國際聯合研究被列為未來投資戰略2017年度財政政策中將推廣的一項措施,旨在引領今后區塊鏈領域國際研究。此次議題有:1、監管機構和相關學會的合作;2、公共區塊鏈的脆弱性;3、區塊鏈的創新和保護用戶的責任;4、各國關于區塊鏈的處理;5、區塊鏈未來的應用可能性;6、國際標準化組織(ISO)發起的區塊鏈國際標準化運動;7、區塊鏈的示范實驗和活用事例。[2018/3/19]
核心觀點:Cosmos:當前版本的ICS將在2023年陷入困境Cosmos:網狀安全性將導致驗證者中心化問題Celestia:數據可用性采樣將徹底改變區塊鏈的發展2023年將建設關鍵基礎設施解決.
1900/1/1 0:00:00原文來源:零時科技摘要 2022年,是加密世界多元化創新的一年,但創新的背后,也發生了許多讓人咋舌的安全事件.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 看到頭圖先別慌,“戀足癖”或許也沒那么“變態”,畢竟姜文的“鐵瓷”、知名導演昆汀·塔倫蒂諾也是這一群體中的一員.
1900/1/1 0:00:00編者寄語:ECN社區的讀者朋友們,新年快樂!2022年即將過去,回望過去這一年,以太坊社區有苦亦有樂.
1900/1/1 0:00:00相關閱讀 深度研究DeFi遺珠:固定利率借貸上篇我們介紹了基礎類固定利率協議,其機制本質上是通過鑄造零息債券來支持固定利率借貸,而我們下面要介紹的本息分離固定利率協議.
1900/1/1 0:00:00被譽為WEB3行業最大的應用場景之一,最能帶領WEB3出圈的Gamefi領域曾經被人們無限看好,但是2021年11月份Gamefi市場到達頂峰之后,便隨著熊市一起遇冷.
1900/1/1 0:00:00