邓永凯:盗币事件频发,你的数字资产真的安全吗?

admin 2024-06-22 853次阅读

imToken 是一款全球领先的区块链数字资产管理工具[ZB],帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产,同时支持去中心化币币兑换功能 ...

官方下载快手_imtoken官方下载_官方下载微信

官方下载微信

安排小灵儿

官方下载快手

由 Ear 制作

4月22日,耳朵财经邀请了灵石科技CEO邓永凯在耳朵财经区块链长征社区进行分享,原文如下:

大家下午好,我是灵石科技的邓永凯,很高兴今天下午能和大家分享一些关于区块链安全的知识。

首先简单介绍一下我们深圳市灵实科技有限公司,简称灵实科技,是一家专注于区块链生态应用安全的务实创新型网络安全公司。我们的业务涵盖了交易平台、钱包、链安、智能合约等区块链生态基础设施的各个环节,以及数字货币跟踪追溯和反洗钱业务。感兴趣的用户欢迎与我们交流。

零时技术简介

我们今天的话题是关于数字货币的安全性。我们应该如何保管手中的数字货币?如何投资才能让自己的数字货币更加安全,避免损失?

可能大家都知道区块链安全,区块链世界对于安全的需求非常强烈,安全攻击或者黑客盗窃事件几乎每天或者每时每刻都在发生。

官方下载微信_imtoken官方下载_官方下载快手

近期区块链安全事件分析

近两个月,大大小小的区块链安全事件已经超过三十起,我们每个月都会跟踪区块链安全事件,主要包括一些交易所、钱包、Defi项目、个人钱包、数字货币诈骗等,而安全事件频发的原因,大多是因为用户自身的安全防护不够到位、安全意识不强。

交易所安全方面imToken,近期有Fcoin事件,OKex、币安DDOS攻击事件,交易所经常遭受攻击,2月份意大利某交易所因热钱包被盗损失大量数字货币。钱包方面,项目方钱包、交易所热钱包、个人用户钱包等大部分私钥被盗,导致大量数字资产损失。

最近一个很火的话题就是 DeFi 安全,包括上周日借贷平台 Lendf.Me 被黑客攻击,损失近 2500 万美元。这次被盗的主要原因是合约的安全性,是合约的设计缺陷,黑客利用重入漏洞滚雪球般地盗取了借贷平台的数字货币。

另外一个问题是个人安全意识的缺失,包括一些第三方托管平台被盗导致个人钱包私钥丢失,比如一个多月前,著名鲸鱼账户“ ”丢失了钱包里的1547个BTC和近6万个BCH,损失巨大。

在网络世界中,各种恶意攻击几乎每天、每时每刻都在发生,包括对个人钱包、交易平台、合约的攻击,因此用户在保障资产安全方面面临诸多问题和挑战。

官方下载微信_imtoken官方下载_官方下载快手

硬币盗窃

我先分享第一个问题:我们的币放在交易所安全吗?或者说如果我们的币放在交易所,什么情况下会被盗?

其实在加密货币的世界里,绝大多数用户都是将自己的币存放在交易所的。那么如何才能保证自己的资产安全,防止被盗取呢?这时候我们就需要考虑交易所的一些安全措施以及相关情况。

如果用户将数字资产放在交易所,建议大家选择知名的交易所,比如火币、OKex等实力雄厚的交易所,有背书能力或者能抵御小规模的攻击。

将资产存放到交易所后,建议你开启两步验证,比如auth或者2faimtoken官方下载,并开启异常登录提醒。当然前提是你存放的第三方交易所有这个功能,如果没有,建议你不要存放。

个人账户同样可能被黑客入侵,我们收到不少用户因私钥被盗导致数字货币丢失的报告,例如社交网络的互联网信息泄露、个人遭受的钓鱼攻击、上网时的水坑攻击、PC和手机中的木马病毒等都可能导致钱包被黑客入侵。

如果将数字货币存放在交易所,主要看交易所是否足够安全。比如交易所被黑客攻击,或者交易所内部出现亏损跑路,用户的资产也会遭受相应的损失。另外,在缺乏监管和透明的标准和法规的情况下,用户只能靠自己,第三方平台无法保证你的币的绝对安全。

官方下载快手_官方下载微信_imtoken官方下载

交易所可以采取的保护措施

因为很多用户把币存在交易所,从企业责任的角度,如何加强防护,让交易所更安全,让用户的资产更安全?其实安全是一个动态的过程,任何场景下都没有绝对的安全,也从来没有哪个机构或交易所说自己是100%安全的。

安全的核心在于攻防对抗,一切安全防御都是为了提高黑客攻击的成本,而且交易所面临的风险是多样的,并不存在单点问题。

如果发生传统的网络攻击,会出现核心业务的安全问题,包括合约问题,而最难防范的是内部攻击和高级APT攻击。

目前交易所被盗或被黑的案例,大多是高级渗透测试和APP钓鱼攻击造成的。黑客其实时刻都在盯着你的机构,而大多数交易所对于来自地下组织的黑客攻击,是无法防御的。比如黑客利用高级钓鱼,层层渗透,长期潜伏,一段时间后拿到你的私钥,盗取你交易所钱包里的币。在这个层面上,大多数交易所是没有防御能力的。

交易所面临的风险是多样、多维度的,这里主要说几点:交易所应该做好的安全防护,比如产品上线前的安全审计;新业务或新功能上线时定期做安全测试;生产环境包括网络要有专业的安全防护体系,比如云安全防护、内部生产环境和办公网络的APT攻击预警、风险管控体系等。

安全风控系统通过平台的交易数据进行建模分析,然后自动识别异常交易和正常交易。如果发现异常交易,可以及时发出警告和拦截,减少资金损失,或者可以对接第三方反洗钱系统。凌实科技也拥有这样的反洗钱系统和数据接口。

在前两天的借贷平台被盗事件中,如果合约中有一个风控机制,有一个一键开启和停止功能,如果发现异常交易,可以及时锁定合约中的交易,减少大额转账带来的损失。

此外,交易所需要有完善的钱包安全解决方案,比如常见的冷热分离、去中心化多重签名等;也可以在社区发布此类漏洞赏金,动员社区白帽子进行漏洞挖矿;还可以第一时间获取安全威胁情报。

灵石科技有区块链安全威胁情报中心,我们和耳朵财经有合作,大家可以下载耳朵财经APP第一时间关注行业最新的安全情报,这些安全情报可以在一定程度上提前阻断一些新的漏洞,一些新的攻击方式,提前预警可以减少黑客攻击带来的不必要的损失。

官方下载微信_imtoken官方下载_官方下载快手

我丢失了我的硬币,可以找回吗?

下一个问题是:如果我丢失了代币怎么办?可以找回它们吗?

根据数据调查,越来越多的人逐渐将数字货币从交易平台提现到自己的钱包。这里最核心的问题是,如果我们的数字货币管理不善,被盗、丢失、转移错误,怎么找回?我们经常会收到用户的这样的反馈,下面举个例子。

此前有用户反映,自己记不住助记词,就放在了网盘里,有一天登录钱包时发现钱包里30万BTC不见了。我们根据他的情况进一步了解,最终发现他的网盘之前被别人登录过,密码也被改了,对方复制了他网盘里的助记词,恢复了钱包,把数字货币转走了。他当时并不知情,后来才发现自己的数字货币不见了。

但结果是好的,他反映情况后,我们跟踪他的钱包,发现黑客多次将数字货币转移到交易所,而交易所的地址在外网并没有标注,通过我们系统特有的分析方法,发现该地址就是交易所地址,我们联系他们后,他们也证实该地址就是他们的钱包地址。随后该用户联系第三方资产鉴定机构和监管机构,通过交易所取回了自己的数字货币。

还有一次,一个用户把十多万USDT转错了地址,一直拿不回来币,他找到我们,当时因为币被转错了地址,导致这个地址没有立刻成交,我们把它放到了我们的监控系统中,过了一周,这个地址上的币突然被转到OKex交易所,我们提示他联系OKex交易所,最后通过提交工单的方式,把这部分数字货币拿回来了。

无论是平台账号被盗、助记词被盗、币转错地址、钱包密码遗忘等情况,并非每一种情况下的数字货币都是可以找回的,这取决于您通知我们丢失币种的时间以及当时的情况,才可以一定程度上避免损失。

如果你把币放在银行账户,然后被转走了,你不会及时看到通知,这时候你不知道你的资产全部被转走了或者被盗了。如果你把钱包地址绑定到我们的监控平台,我们会第一时间通知你钱包动态。我们之前监控到过一个恶意洗钱操作,我们花了8个小时才在区块链浏览器上看到这笔交易,但我们的监控第一时间发现了,并尽力挽回了你的损失。

如果资产被盗,我们可以进行追踪,一旦到达某个交易平台,就可以联系相关司法鉴定机构对资产进行评估,并配合安保机构通过技术手段进行追回。

当然,并不是每一枚丢失或被盗的币都能被找回,这取决于你的币丢失或被盗的具体情况,必须尽快联系专业的安全团队,获取更多信息,以便追踪溯源,进而进行资产识别。我们可以提供技术指导,你也可以选择报警。

如果盗币的人是个笨贼,留下很多线索,找回的几率会大一些,如果他是惯犯,或者手段高明,找回的几率就小一些。这个需要具体情况具体分析,但我们一定会用技术手段和数据,尽可能的帮助用户减少或者挽回损失。

官方下载快手_imtoken官方下载_官方下载微信

如何保护我们的个人数字资产?

最后,个人用户应该如何最安全地存储我们的数字货币?

如果你是刚接触区块链的新用户或者持币量不大的用户,建议你将资产托管在知名的全球交易平台,并开启二次认证和登录保护。如果你对区块链有一定的了解,对数字货币市场有比较好的了解,那么去中心化钱包是更好的选择,但一定要选择国际知名的钱包。

选择去中心化钱包存储数字货币时,请离线备份助记词,尽量多备份。使用实体介质存储,尽量不要上网。保存助记词时,一定要确保复制正确。如果资金量较大,对安全性要求比较高,可以选择知名的硬件钱包或者专业的资产托管商。

助记词被盗用的情况比较常见,所以如果你个人保存了助记词,不要对私钥和助记词进行截图,尽量不要上网。比如不要把助记词发到网盘,不要通过邮件传输,不要发到社交软件,这些都是非常危险的行为。

如果是日常使用,可以把一些币放在热钱包,如果是大额的数字货币,可以放在知名的硬件冷钱包,如果对安全级别要求较高,可以申请加密账户进行存储。

最后,最重要的是大家要提高个人网络安全意识。比如尽量不要在社交网络上留下一些个人真实用户信息,下载软件时尽量从官方渠道下载,遇到邮件中不熟悉的附件不要随便点击。提高个人上网安全能很大程度上保障资产安全。

关于交易所的安全检测和防护指南,包括我们个人网络安全意识指南,我们官方微信公众号有一系列的文章,大家可以关注和了解。比如,我们会从各个方面详细讲解交易所到底存在哪些安全问题;我们应该如何加强交易所的安全检测和安全加固;个人用户应该从哪些方面提高安全意识;哪些地方容易受到攻击和黑客攻击;从各个方面进行详细介绍,提高我们的安全防护能力。

我们近期还会推出企业级区块链安全审计与防护书籍,以及用户如何提升个人网络安全意识的书籍,大家可以关注我们的官方消息并在市场上购买。

安全是一个动态的过程,也是一个攻防的过程,没有绝对的安全,也没有100%安全的项目或公司,随着业务的发展,也会引入新的安全问题,每个职业都有自己的专长,无论是机构还是个人,都需要提高网络安全意识,加强网络安全防范。

若出现数字货币丢失或者机构项目平台遭受攻击等情况,请及时联系我们,我们将尽力帮助您减少或挽回资金损失。

私钥在手,资产就在手,希望大家都能找到适合自己的方式来管理自己的私钥,也希望各项目方、交易所都更不容易受到黑客的攻击。

今天的分享就到这里,非常感谢大家抽出时间来讨论区块链和数字货币的安全性!



发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。