原力能量场第三期|走近原力协议——你的资金放在ForTube安全吗？

2020年5月29日14:30时，原力协议第三期原力能量场开播，本期嘉宾为原力协议&ForTube CTO Seamon Liu和慢雾科技创始人余弦Cosine，主持人为原力协议产品经理Tanya，本期原力能量场主题为「走近原力协议——你的资金放在ForTube安全吗？」。

关于原力能量场

命名由来：原力（The Force）是星球大战系列作品中的核心概念，它是一种作品中的虚构、超自然而又无处不在的神秘力量，是所有生物创造的一个能量场，同时也是绝地和西斯两方追求和依靠的关键所在。原力即能量，May the force be with you.

直播宗旨：原力能量场是一档由原力协议主办的拉近原力协议官方和原力武士距离的直播节目，后期节目会有各种行业大咖与武士们面对面。

直播安排：在B站搜索“原力能量场”，在每周五晚19:30与大咖面对面，第四期节目将在6月5日19:30与您见面，敬请期待。

1.主持人:欢迎大家来到原力能量场，我是本期的主持人Tanya。本期是关于资金安全的话题——走近原力协议——你的资金放在ForTube安全吗？

近日原力协议和慢雾科技达成了代码审计战略合作，审计马上就要接近尾声了。安全问题始终是很困扰项目方和交易所的问题，黑客也是很多公司非常忌惮的存在，今天原力能量场请来了原力协议ForTube CTO Seamon Liu和慢雾科技创始人余弦，来聊聊关于资金安全、黑客和ForTube安全性能的问题。

下面我们请出Seamon和余总，请他们二位给大家打个招呼。

▎Cosine：主持人好，原力能量场的朋友们大家好，我是慢雾科技的创始人余弦，很高兴今天来到原力能量场与Seamon一起和大家聊天。

▎Seamon Liu：感谢余总，大家好，我是The Force Protocol CTO?Seamon?Liu，很高兴今天有机会能和大家聊天。最近和慢雾科技也在进行代码审计合作，近期我们也会披露审计细节，希望大家能多多关注。

2.主持人:自比特币诞生以来，黑客盗币事件频发，之前非常著名的一个例子就是Mt.Gox交易所被盗65万BTC，Mt.Gox也因此破产了，据相关数据统计，现在黑客盗走的比特币数量已经超过了“中本聪”手中的比特币数量了，两位来给大家聊聊比较著名的黑客攻击例子吧。这个余总作为安全专家那是很专业了，请余总来聊聊吧。

▎Cosine：币安过去两年出现过一些安全问题，尤其是去年发生了一起被盗7074枚BTC影响很大，关于这次盗币攻击的手法和细节的猜测，业内也给出了一些看法，但是我们慢雾这边有些不同的看法。我需要特别提的一点是中心化的交易所会普遍遭遇到比较高级的黑客入侵。在币安得公告中可以看到这是一个多种攻击组合的方式实现的此次攻击，这么大额的比特币被盗案件，引起了业内极大的关注，我们也提醒了其他的交易所、项目方等注意此类漏洞的攻击。

lendf.me近期被盗的案件是有一些代码漏洞的存在，但是如果不是此类复杂度比较高的多种攻击组合的方式也不会出现被盗的可能。

▎Seamon Liu：以太坊 The DAO 事件，当时被盗了大概 360 万个以太坊，当时占所有挖出的以太坊的总数14%还多，黑客利用重入攻击多次盗取大量以太坊，我认为平台和应用的安全是非常重要的。如果去中心化金融平台一旦被盗，整个体系会很容易就崩塌了。

3.主持人

刚才二位聊了几个黑客盗币的例子，那现在大家很关心的一件事是现在有什么新型的盗币手段吗？黑客会通过那些手段盗取比特币？峰哥先聊聊吧。

▎Seamon Liu：从用户角度看，盗取电脑中的密码和私钥，这是非常常见的方式，另外终端服务器和域名的攻击会是最常见的。钓鱼攻击也是非常基础但是影响较大的，很多都是用一些话术去诱惑你打开。

▎Cosine：我们近几年遇到了几十种主要的盗币方式，在我们的分类里，分为链上的威胁和链下的威胁，很多黑客对目前的新型盗币方式很了解，他们的攻击会更加频繁，但是要特别提醒的是新型盗币也很多融入了一些传统的盗币方式。

比如当用户转账或者提币的时候，很多黑客会抓住这个时机去进行盗币。我们通常可以采取防火墙来保护我们资产，但是很多黑客会考虑攻击这个防火墙，这样的攻击影响会更大。

4.主持人:原力协议最近和慢雾科技也达成了代码审计战略合作，非常感谢慢雾科技各位最近的付出，新上线的ForTube在慢雾的审计下安全吗？能否保证投资者的资金安全呢？二位谁想先聊聊咱们此次合作的审计相关问题呀？

▎Cosine：此次合作双方配合非常紧密，像BTC和ETH这么大规模的币种，他们每年也会找一些机构进行代码审计，任何一个项目都不是100%安全的，都会有他的视野盲区。此次审计ForTube的几个模块的质量还是非常高的，也没有发现明显的缺陷。

▎Seamon Liu：此次和慢雾科技的合作我们深深感受到了慢雾科技的专业性，审计的非常细致，一点点疑问都会和我们及时沟通，ForTube的安全性主要分为两部分，就是智能合约这一部分，我们自身做好把关以及还需要慢雾的审计来保驾护航；另外就是系统性的风险，无论是代码审计还是已知的漏洞即使都解决了，但是也会有一些系统性风险存在，这是无法规避的，我们要在金融风控加强把关。

我们参照传统金融严谨的风控模型，开发了 CALM 金融风控机制。Cooperative Automatic Lockdown Mechanism，协同自动闭锁机制。我们的风控系统会 7x24 不间断地持续监控合约运行情况，对合约内的账务和资产以最大精确度进行实时对账审计。如果发现对账不一致或资产数额有出入，风控系统会根据风险等级实时告警甚至直接闭锁智能合约的所有出入账接口。

我们知道，入侵者在窃取资产时，会先以小额资产进行安全试探和原型验证，我们的风控系统会在第一时间就监测捕捉到风险，杜绝和制止入侵者的后续行为。这也是金融风控的核心所在，也是我们的 COFi 安全三定律的最后一条：如果资产不再安全，尽量减少资产损失。有了严格的金融风控系统的存在，我们就能最大程度地保护平台资产的安全。

5.主持人:二位聊了这么多关于资金安全的问题，那请二位给大家讲讲币圈的投资者在投资过程中需要注意的安全事项吧，请余总先来吧。

▎Cosine：这里我想提的是，有一些平台他一直提自己很安全，但是安全是相对的，这些项目方是不是有一些安全团队帮他对抗过他们的代码漏洞呢？安全是动态的，是需要攻防对抗的，这是需要时间的。看这个项目是不是安全，可以看老板对安全的认识够不够，这是直接影响到项目的安全投入的，这是需要同行和黑客的检验的。

▎Seamon Liu：说到对抗，我们最近将发布Bug bounty计划，欢迎白帽们来积极参与。大家可以看一下我们官网发布的Bug bounty计划，最高级别的奖赏大概在6000USDT，有一些安全级别比较低的漏洞奖金也在几千几百USDT，欢迎大家各尽所能协助我们一起提升安全水平。

另外还是要提醒的大家保护好私钥，另外大额资金的要启用冷钱包，放在电脑、手机里就不要联网了。

—-

编译者/作者：TheForceProtocol

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。