杭链即刻——DeFi车速猛需系好安全带

9月4日，由杭链财经主办的区块链行业直播对话节目<杭链即刻（Blockchain Feeling）>第六期如期开播。

杭链即刻（Blockchain Feeling）以线上直播的形式呈现，直播内容包括主题演讲、圆桌论坛、大咖对话、百家争鸣等，共同探讨区块链行业新趋势、新格局、新风向。

目的是为了让行业人士更全面地了解区块链行业的大咖的新观点、新布局，有趣有料有看点，助力独角兽项目创新发展，精耕细作，建造区块链价值空间。

本期邀请到了慢雾科技合伙人&产品负责人启富，围绕“DeFi车速猛，需系好‘安全’带”主题，深度讲解在DeFi 浪潮中，如何以最安全的姿势“上车”。

以下内容由杭链财经整理，在不改变原意的情况下有部分删减。

嘉宾分享

大家好，我是慢雾科技合伙人和产品负责人启富，慢雾科技是国内第一家专注区块链生态安全的企业。

慢雾成立于2018年1月，目前团队有30多人，已经服务了国际上众多的头部交易所、钱包、公链和DeFi应用。同时，慢雾科技也积极参与区块链的标准推进工作，作为国内首批进入工信部2018年中国区块链产业白皮书的单位，也是粤港澳大湾区区块链与网络安全技术联合实验室的三家成员单位之一，慢雾在成立不到两年的时间里便获得了国家高新技术企业的认定。

慢雾的整个安全体系包括安全产品和安全服务。安全产品包括假充值漏洞扫描器、加密货币反洗钱系统、区块链被黑档案库、智能合约防火墙等等；安全服务主要以安全审计为主，围绕交易所、钱包、智能合约、公链以及区块链生态威胁情报等，我们深知整个区块链生态安全不是仅仅依靠慢雾就可以完成的，还需要更多的专业合作。我们联合国际上知名的顶级安全公司以加密货币项目方、司法鉴定、公安单位等，从威胁发现到威胁防御上，提供一体化因地制宜的安全解决方案。

精彩问答

主持人 Steven lin：您本人也是作为一名经验丰富的全栈开发者，能首先向大家介绍下区块链安全和传统互联网安全之间的主要区别是什么吗？

启富：第一，以往发生互联网安全事件，比如说是数据错乱、黑客攻击的时候，可以通过一些技术手段对攻击事件的影响进行干预，可以恢复事件的影响，但在区块链生态中，如果发生安全事件，是没有办法对结果进行干预的，交易也没有办法回滚。区块链自带金融属性，常规情况下，资金发生被骗、转错还可以联系银行处理，但是区块链中，这是行不通的。

第二，区块链生态的特性——去中心化分布式，使得构建在区块链之上的应用，都具有这一属性，所以我们去围绕这样的应用进行安全防护的时候，会特别关注这方面的问题，根据慢雾数据，我们总结了区块链生态里面各种不同的作恶手段。

可以看到，最大作恶就是盗币，同时还有恶意挖矿、勒索、暗网、洗钱、资金盘等，这些都是利用区块链的属性，在上面进行恶意非法的操作。

以盗币作为例子，在这样的一个攻击手法下，我们在生态里面怎么为交易所、DApp等提供安全防护呢？下面两张图展示了主要的安全防护流程。

基于慢雾在区块链领域攻防对抗的经验，我们将DApp、钱包、交易所等安全架构进行了整理并展示给大家，除了传统的安全防护，区块链安全还面临节点、链上和链下这样一个攻防上的区别。

主持人 Steven lin：DeFi作为当前市场追逐的热点，但安全问题依然不容忽视，比如前不久的YAM合约漏洞事件就造成了非常大的影响，目前DeFi市场的安全现状如何？

启富：目前DeFi项目非常多，最早的Compound，到现在寿司、珍珠、红薯等等，整体来看，海外项目整体上会更加公开透明，都会公布一些自己的审计报告。所以整体来看如果这是一个很正经的团队，也是一个靠谱的项目，都会很重视安全审计。

目前，有些比较火的DeFi项目，属于国内的项目，然后对于安全的重视程度没有那么高，所以大家在如果有参与DeFi的话，关注一下项目方是否有相应的安全审计报告。

主持人 Steven lin：最近，DeFi协议SushiSwap上线五天时间，锁仓量便突破了10亿美元，SushiSwap 在智能合约等方面的安全性如何？会不会存在哪些潜在的风险？

启富：寿司最近也公布两个安全审计报告，也结合我们对它智能合约代码的分析，整体上来看，寿司没有严重安全漏洞，但是也有其他方面一些风险，比如在项目方管理员的权限上，没有去通过多签或者时间锁的方式，来接受社区的治理。

根据其他安全公司以及我们的分析来看，寿司整体来说安全性还是OK的，它在经济模型方面有一定的创新性，但整体与uniswap类似。投资者进行投资的话还是需要谨慎，不要投入太多资金，作为一名投资者在参与投资时一定要注意项目方是否有出具安全审计报告，同时也需要提高对行业的认知和对私钥、助记词等关键信息的安全防护意识。

主持人 Steven lin：除了投资者市场，在挖矿行业也会经常面临安全攻击方面的问题，针对挖矿安全，安全服务企业能做哪些安全保障？

启富：我以POW/POS这样的一个挖矿方式来进行说明。首先，通过上面的攻击者作恶图，可以看到针对矿池和算力的攻击，例如51%算力攻击、带有蠕虫的固件去感染矿机，使得收益结算到黑客的钱包地址中。

第二，针对挖矿行业，黑客会利用某些远程漏洞直接去植入木马到服务器或者互联网设备中，或者植入一些javascript的挖矿脚本。同时，也会有攻击者通过邮件或者网页钓鱼的方式植入木马到终端设备。

了解这些安全和攻击方式后，我们如何去做好安全防护呢？首先，如果你是一个矿工，你有自己的矿机、矿场或者矿场终端所在的网络，就需要进行相应的这个网络加固，你需要有一个类似流量控制或流量监控的设备，对整个矿机的固件需要保持关注，更新的时候尽可能通过本地的方式或者内部进行。此外，对应的网站和APP也要进行相应的这个架构保障和安全加固，以保护矿池用户数据、身份信息的安全。

主持人 Steven lin：做过完整代码审计的项目是否一定是安全的？慢雾的安全审计策略和标准是怎样的？

启富：一个项目有自己的生命周期，在这个周期里面，会进行多次的迭代，那对安全公司来说，所做的安全审计是在某一个时间点所做的安全审查，说明的是项目当时的一个安全情况。项目在安全审计之后还会进行相应的迭代，这样可能会引入新的安全问题，所以，安全审计也是一个持续的过程，这样才能保障安全。

安全审计主要是提高了攻击者的攻击门槛，去更好的保障整个项目的安全，但是同时更需要项目方组织相应的风控策略和监控手段，来实现持续性的安全防护。当发现异常的时候，去提前进行相应告警和准备，例如说黑客攻击者往往会进行前期的踩点，或者是一些相关的测试，这个过程如果能提前发现，那就能提前规避损失。

慢雾始终是以开放，透明的一个心态在整个生态里面提供安全审计，不管是针对交易所，还是针对公链，安全审计标准都是公布在官网上。同时呢，我们也会去关注交易所以及项目背后的技术架构，用户在使用这些交易所网站、APP的时候是感受不到的，但这方面也是可能存在很大风险的。

关于慢雾的审计项，我简单介绍下。首先是安全设计方面，我们会去关注项目的架构安全，安全运营的建设，安全保密的设计；第二就是安全审计，包括区块链的业务层和区块链技术层；第三就是安全管理，比如成员管理、密钥证书等，另外就是安全监控，比如节点监控、网络监控，以及链上数据异常监控等。

主持人 Steven lin：作为普通的投资者，在纷繁复杂的DeFi市场上，要如何分辨项目安全与否，做到避免踩坑，您有什么好的建议？

启富：目前，DeFi特别火爆，作为普通的投资者，首先要做到的是尽可能的去冷静，不要一股脑的冲入各种新的DeFi中，需要关注这个项目的安全与否，有没有相应的安全审计，有没有进行披露。

第二，如果是一个长线投资者，尽可能去选择那些运行时间比较长的这一个项目，这样的话才能确保你本金的。最近特别多的新项目，出现的时间就只有几天或者是几小时，因为FOMO情绪太重，风险是非常大的。

第三，关注DeFi平台上资金量有多大，用户数有多少，这也是一个衡量的标准，我们尽可能选择那些锁仓量比较大，运行时间比较长的，用户数比较多的DeFi项目。

最后还要提醒下，没有全面的去了解一个项目的操作方式时，不要盲目地进行资产转账的操作，避免出错导致资产损失。所以，在尽可能冷静的情况下，去深入全面地了解这些项目，然后再去参与，同时大家也要注意避免助记词和私钥等关键信息泄露。

主持人 Steven lin：您怎么看待区块链安全审计行业的发展前景？您觉得未来，安全审计会成为DeFi生态或者整个区块链行业的核心一环吗？

启富：我是坚定看好区块链安全审计的发展前景的，从慢雾服务过的众多大中小项目方来看。在区块链行业里面去创业，安全感其实是非常缺失的，整个行业的从业者都面临着地下黑客的攻击威胁。

在区块链行业因为安全攻击，你想要去溯源或是追回资产是非常挺难的，同时，现在整个数字货币行业没有获得政策方面的认可，在政策方面还是比较模糊的，这就导致当你发生相应丢币或者被盗事件后，难以维权。所以，在区块链生态里面创业，一旦遇到了这样的问题，对整个项目就是一次致命的打击，这是一个非常难受的事情。那安全审计的就是尽可能去帮助这些生态项目稳定运行，在项目的发展过程中去保障他的安全，避免因为一些小的漏洞，导致整个项目崩盘。

所以综合来看的话，如果你是一个在区块链行业里面的创业者，在没有出事的时候可能没有什么感觉，但一旦出事的话，想要去弥补的话成本会非常大。

区块链安全审计肯定是整个行业里不可缺失的这个一部分，未来的话，它发展前景也是非常有想象空间的。

#感谢以下社区支持#（排名不分先后）

币扑Beep、群TV

#感谢以下媒体支持# （排名不分先后）

世链财经、Anypay、摩引擎、猎云财经、41财经、艺创时代、链叨叨、比特财经网、链都区块链、IPSB星际超脑、区块链头条、米又财经、币小白、链圈、币圈花哥、blocklike、FN.COM、第一站财经、SOSOLX、风麟财经、拾里郎财讯、小链财经、链数科、热链全球资讯、鸵鸟区块链、Hubox、BeiPoP、比特币财经、贝塔社、链纽财经、链向财经、布道财经、Blocklike、一灯社区、Bitspark、星传媒、区块链巴士、币糖国际、焦点财经、芒说区块链、链想财经、大侠区块链、黑洞区块链、链想家、区块未来、瓦力财经、INNVERVIEW、Bixun币讯、众悦财经、蓝本财经、星际视界、币本直播、艾拓普、海星财经、OneTalk、蜂鸟财经、加密财经、链安财经、链币传媒、链团财经、链虎财经、链读、中链传媒、链嗅网、量子财经、时讯财经、btc123、GoodBP、蚁链财经、盘他区块链、云禾财经、奔跑财经、58COIN、ZGNews、陀螺财经

—-

编译者/作者：杭链区块链

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。