链客Talk|北京链安——为数字经济保驾护航

9月2日，“链客Talk”邀请北京链安 COO 王延巍来到链客直播间，给大家分享了“北京链安——为数字经济保驾护航”这一话题。

以下是此次活动的问答内容整理：

大白|链客：北京链安可能很多小伙伴还不太了解，那首先让王总介绍一下北京链安主营业务有哪些？

王延巍：各位朋友，大家好！北京链安是一家专注于区块链安全和链上数据分析的技术公司。一张图可以简单体现我们的产品体系：

比如围绕区块链系统，特别交易所的相关安全业务，比如渗透测试。

围绕项目则是我们常见的智能合约和主链的审计服务，智能合约审计就包括了近来大火的Defi相关合约的安全审计，事实上我们平时交易的资产很多都和这个环节有关，也经常出安全问题。

同时，我们知道链上交易的所谓数字资产，其实技术角度就是数据，围绕它们的追踪、溯源和深入分析就构成了我们的链上数据追溯和分析业务。当然，如今我们越来越多的通过手机App使用相关服务，所以在手机App上，我们也提供了专业的安全服务。

大白|链客：请问王总，今年是Defi爆发的一年，请从安全的角度来分析一下DeFi所面临的安全挑战有哪些？

王延巍：Defi确实近期大火，但是安全问题也暴露不少，在我们看来，在Defi中主要涉及三类安全问题。

首先是核心业务本身的技术安全问题，也就是智能合约开发过程中一些代码和逻辑本身的安全防护不好，最近的YAM就是典型。

其次就是规则和金融模型的安全问题，因为智能合约本身是对Defi在各类金融业务场景中规则和逻辑的实现，所以哪怕这个过程中技术上没有问题，你的规则本身就考虑不妥，有被他人利用规则漏洞的空间，那也会对使用者的资产造成威胁，某种程度来说这已经是“金融安全问题”。

最后是你生态的安全问题，底层是否有足够的支撑，或者生态上是否有足够的工具和机制保障。典型的就是“假币”问题，这也是Uniswap上热议的一个问题，按理说这个似乎不是Uniswap的技术问题，但是他确实造成了投资者的风险，长期来看也势必会影响平台的发展。你能想象现实世界中，一个假币充斥没人管的市场可以长期发展吗？最近JustSwap上线后也因为假币问题遭受非议。

所以，相关Defi项目，特别是志在营造生态的项目，必须有所考虑。其实这也是我们在区块链安全此前一直分享的这个领域“安全”认知的三次升级和扩展。技术安全-》金融安全-》社会（生态）安全。

大白|链客：对于区块链安全问题，大家了解比较多的可能是交易所的安全，像早期的门头沟事件以及币安三次被盗等等，这些都是什么原因造成的？如何才能解决类似的安全隐患？

王延巍:其实这有个过程，交易所本质上市一套交易系统，它对系统的安全要求本来就高，而且随着用户增长，支持的资产和交易类型的增多，系统会越来越复杂，我们知道复杂的系统安全隐患就更大。

数字资产领域，其实发展起来也就这十年的事儿，真正大规模发展也就这三四年的事情，尽管很多安全技术可以借鉴此前经验，但是数字货币交易毕竟有其特点，所以安全技术的发展有个过程。何况，行业早期本来就从业者良莠不齐，各类交易所一哄而上，其中很多都是外包，缺乏足够的安全内测和第三方测试，安全问题较多也属于发展过程中不可避免的，但是整体趋势来看，我们会发现头部的知名交易所的安全情况其实在改善。

其实，交易所安全问题上，纯传统安全方面的问题已经较少，特别大所都有专业的防火墙技术，防DDOS攻击技术，所以你要说外部直接攻破一家专业的交易所其实门槛越来越高。但是我们倒是发现很多交易所的安全问题源于内部管理和内部安全问题，比如APT攻击。APT攻击全称，Advanced Persistent Threat，高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。比如给客服发个邮件，要是没对客服做安全教育，或者限制客服的电脑运行一些文件，就可能被植入木马，如果你内网和运营网络没有隔离，那黑客就可能步步紧逼侵入你的系统。甚至，很多交易所被盗就是“内鬼”所谓，这更体现了内部管理问题，这也是我们一再强调的，安全问题不是单纯的技术问题，更是流程和管理问题。对于交易所来说，技术和管理都非常重要.

大白|链客：除了刚刚提到的交易所和Defi，目前在区块链，还有有哪些领域涉及到了安全问题，面临挑战最严重的是哪个领域？为什么？

王延巍: 其实这是个动态的过程，没有绝对答案，比如前面说的，对于大所，传统的技术安全问题已经得到改善，但是中小交易所依然存在漏洞。整体而言，我们近一年看到的比较多的安全问题还是发生在主链和链上的智能合约。特别是智能合约，从早期1CO大家赶着发币的发币合约的诸如整型溢出这样的基本安全问题，到以菠菜为代表的DApp兴起的安全问题，再到如今的Defi，其实一直阴魂不散的就是围绕合约的安全问题。

其实这也很正常，就好比Windows系统虽然有很多安全问题，但是都可以及时的通过打补丁补上，但是用户真正用的是Windows上的应用，所以这些应用的安全问题逐渐成为更重要的问题。如果我们把以太坊这样的主链比喻成操作系统，那么智能合约就是上面的应用，我们用的最多，智能合约的种类也更多，而且在不断演进发展，其安全问题自然是一个不断出现的情况，这也是我们北京链安也在不断跟随行业发展的地方，不断提供相应的智能合约的安全审计和动态安全服务。这也提醒我们，在涉及智能合约的一些投资模式的投资上，一定要注意相关合约的安全性，Defi就是典型。

大白|链客：刚刚讲了很多关于区块链安全方面所面临的问题，那么问题来了，在链上安全领域，北京链安有哪些自己比较独特的技术？

王延巍:前面介绍了北京链安覆盖的安全服务还是很广的，我们比较独特的一项就是纯技术安全之外的大数据业务，也就是我们的链上追溯业务。如果各位朋友爱看一些币圈的媒体App，那么应该会常常看到我们在这方面的推送，比如一些安全事件发生后，相关数字货币的流转洗钱动态，比如关于USDT增发的预判，都体现了这方面我们的技术能力。

目前，通过大数据积累，人工智能算法分析，北京链安已经建立了实战能力极强的链上复杂路径追溯算法，并建立了全球最大的虚拟地址实名化数据库，仅比特币的实名化地址就已经超过9000万个，包括近400家机构的标签，可以最快的发现安全事件涉案数字货币流向。除了安全，我们还通过相关数据提供了行业的数据分析服务，如相关交易所的流向和来源分析便经常被媒体引用，我们向机构更提供了诸如链上地址征信这样的特色服务。

大白|链客：您提到的链上征信服务是怎样的服务，对当前的数字货币合规化有什么促进作用吗？

王延巍:是这样，我们都看到了，尽管对于加密资产的性质仍有争议，但是围绕此类资产的发行、交易、资管形成的加密经济正处于蓬勃发展的阶段，以Defi这样的去中心化思维下的金融新模式更让这一领域体现出了极强的创新性和成长性。而无论怎样的金融模式，其服务的核心依然是：用户，而由于加密资产本身的匿名性特点，以及相关数据分析基础设施的不足，我们对用户的认识依然不足。

包括：

客户资产来源不明，缺乏有效的获客渠道分析；

客户资产去向不明，缺乏有效的用户流失分析；

客户资产合法性不明，在反洗钱、合规环节埋下隐患；

客户潜力不清，用户维系和价值挖掘缺乏针对性。

为此，北京链安推出链上地址“征信”接口，从最真实客观的链上数据的角度，评估客户关联地址的关键信息，让你对客户从资产安全性到用户价值都有一个更加清晰的判断。在合规化方面，我们正在和很多机构合作，因为在不少地区的数字货币监管沙盒测试中，都涉及都对交易来源，地址安全性方面的反洗钱要求。而我们的地址和交易征信服务正好可以解决这个问题，我们可以对交易来源进行识别，对地址的历史交易进行检查和分析，最大程度为数字货币监管和合规化提供助力。

大白|链客：对于数字货币追溯这块，您有什么典型案例和我们分享吗？

王延巍:举一个最近的例子，所谓“伊朗交易所”搬砖套利。因为圈内老在说伊朗交易所的比特币有高溢价，之前便有一家交易所，宣称自己是伊朗乃至中东最大的交易所，投资者可以在上面交易比特币套利，一度吸引了很多投资者前去投资，直到有一天熟悉的戏码上演，用户难以提币，网站挂出了几乎等同于歇业的公告。根据用户提供的地址，我们很快构建了整个交易所的结构和交易过程，我们看一些图片。

这是它的日流入BTC，可以看到快速增长，然后突然停止运营，就是跑路了。我们也可以看到它的用户来源。

其实基本上都是国内用户为主的交易所，可见这个所谓的“伊朗交易所”只是噱头。同时，我们也发现该交易所不到两个月时间就流水达4700BTC，其中有4600BTC涉嫌被组织方洗走，我们也跟进到它流入到了某交易所的40个地址。这算是近期的一个典型的案例，我们也希望在这类事件中，协助受害人和机构，对数字货币进行追踪溯源。

—-

编译者/作者：链客Talk

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。