2020年9月22日,币安新媒体营销经理七七对话慢雾科技合伙人 Keywolf启富。启富在直播中分享了最近DeFi安全事件中存在的漏洞,并介绍了用户在参与项目时该如何规避风险。
启富认为近期正处于DeFi FOMO情绪很重的时期,用户在DeFi挖矿安全方面首先要注意参与平台或项目本身有没有经过知名安全公司的安全审计;其次注意项目方的管理员权限有没有配置智能合约多签以提高安全性;第三要注意挖矿中的无偿损失,以及高手续费;最后参与DeFi挖矿一定要做好基础概念的学习,通过正确的路径去操作。
关于专业的安全审计,启富表示安全审计是有审计范围的,一般客户的诉求是对DeFi智能合约进行安全审计。在审计中除了关注常规的安全漏洞,还要关注代码和业务逻辑设计是否一致,以及组合性引入的外部风险,找出薄弱点提高攻击者的门槛从而整体提升安全性。
嘉宾观点:
“以前出过安全问题不代表现在不安全,有很多东西是不断完善的,踩了一次坑下次不会踩这个坑,比没踩过坑的人是更有经验,安全性和整体的实力应该也是更好的,我们也要以一个发展眼光去看待这些安全问题。”
“大家在关注到有没有安全审计的时候,要认准知名头部的国际的安全审计公司。”
“如果真的想要去参与DeFi挖矿,一定要做好一些基础的概念的学习,要掌握这些概念,通过网页用Metamask或者钱包APP的方式调用相应合约的函数,用正确的路径去操作。”
“DeFi的话它还挺早期的,包括现在整体的发展,它现在的一些应用,也基本都还是围绕那几个概念。”
“从安全这个审计角度来说,和我们的审计范围是有关系的。”
1
币安 七七:欢迎来到今天的《区块101》,今天跟大家讲的是DeFi还有一些项目的安全风控,借助今天这个机会,我们来和慢雾的启富老板向大家科普一下安全风控方面的事情。请老板先自我介绍一下吧。
启富:大家晚上好,我是慢雾科技合伙人启富,主要负责产品和运营这一块。
慢雾是一家区块链安全公司,基本上国内最早成立的安全公司。我们在2018年1月份注册成立,专注在区块链生态安全。我们服务了很多类型的项目,包括币安等很多交易所还包括很多的去中心化的一些钱包或者是公链或者是其它智能合约的项目,现在我们做了很多的DeFi智能合约相关的审计。
我们在业界自我感觉名气还是很好的,因为我们团队实力也是特别强,我们在业界发现了很多通用的安全漏洞,像一系列的假充值的漏洞包括USDT的假充值,包括我们最早在全球独家发现的以太坊黑色情人节,跟以太坊这个节点配置不当会发生丢币还有一系列的假充值,还有像最早的BEC这样的一个项目溢出漏洞导致很多的损失。
现在我们做了很多DeFi方面的安全审计,这也是我们今天要聊的这样一个话题。现在社区里面有很多人关注到我们,有流传一种说法是我们审计之后会有一个证书,大家就觉得证书上面像盖着慢雾章一样。
所以很多的Yearn farming流动性挖矿的矿工,在考虑这个项目他们玩不玩,头矿冲不冲,慢雾要审计,审计完之后有慢雾的盖章他们才会冲才安全。这一块对大家的信任我们觉得还是挺好的,我们也很珍惜很慎重在审计这些项目的时候。
币安 七七:我问一下我们老三件,最常规的一个问题,您是什么时候进入区块链行业?
启富:我其实在2017年大牛市的时候开始关注到区块链,早期的时候我们肯定都会有听说过,因为我们之前一直都是做技术的,所以这方面我们都有了解。
在2017年的时候我开始关注到这样的一个行业,我也差不多在2017年的时候跟我们慢雾的创始人余弦,余老板有接触,在2018年成立这家公司之后我马上加入到这个团队里面,大家一起去创业。
我们一直都是在区块链生态的安全这样一个方向,区块链这个赛道里面还是有很多细分的方向,包括做交易所、做钱包或者做自己的项目或者说发币这些东西。但是我们因为之前一直都是做互联网安全、做云安全等等,所以我们觉得这个行业这样的一个赛道里面也需要安全这一个东西的时候。
我们切入到这样的一个新的赛道,同时我们也给自己定下了一个基调:我们专注区块链生态的安全。我们新的这个公司慢雾,没有再去做其它的像一些例如微信APP的安全或者网站淘宝之类的安全,我们就专注在区块链这个生态。
我们在生态里面用不同的一些方式,就像刚刚我们提到的假充值的漏洞,最早的以太坊黑色情人节的漏洞,这个东西发现之后给我们品牌带来很好的传播,我们在全球都开始得到大家的关注,我们这个漏洞发出来之后,大家都发现这个漏洞攻击很容易,但是受害者很容易掉到这样的一个坑里面,就会给自己带来很大的损失。
这样相当于这种安全的声音在国内或者在国际上,当时2018年早期的时候,还是非常薄弱的,所以我们那时候算是一炮打响,我们整个的起步都打得挺漂亮的。
币安 七七:您其实也是个技术大佬,从之前的互联网安全过来的,去做了区块链安全审计。
启富:对,其实跟大家的兴趣也是有相关的。
币安 七七:我听到你们公司名字的时候,慢雾,我觉得这个名字很神奇,有一点点浪漫,我就很好奇这个名字是怎么来的?
启富:慢雾其实它是来自《三体》这本小说,我相信很多人应该都有看过这个科幻小说。在这本《三体》小说里面,慢雾它其实是黑暗森林里安全区域的一个象征。
那我们为什么用这样的一个概念作为我们公司的名字?因为我们也非常深刻认知到区块链它也是一个黑暗森林。早期的时候区块链上面的这些资产、余额、持币量都是公开的,像一些大平台用户比较多,资产比较多,它冒出头来会比较有种鹤立鸡群的感觉。
很多地下的黑客,藏在黑暗之中的人就会盯上这些目标,这些冒出来的人就会面临到这样的风险,所以我们的一个愿景就是希望能够成为区块链生态里的安全区域。也就是说有了我们的加成,给这些目标形成了一种安全上面的加成,能够提升他们安全的基准,也提升了攻击的门槛,更好保障平台的安全。
就像我们现在跟币安的合作,跟钱包跟交易所等等方面的合作,都希望能够提升平台的安全性,保障平台上用户等等这方面的资产。
2
币安 七七:这个我觉得你们做这个好有意义,对这个行业好有贡献。我们今天的主题是“DeFi漫步”,您之前也说了漏洞,比如以太坊黑色情人节假充值,代币假充值漏洞,EOS生态上的假充值,有没有比较详细的案例能给大家介绍一下?
我之前做客服有遇到过转假币,你们做这个吗?就是它那个币的名字是一样的,它转出来的就是一个没有价值的货币?
启富:假充值漏洞跟假币是不一样的,整个是一种技术上的攻击手法,但我这边可以用比较通俗的方式去给大家介绍一下科普一下。
因为我们现在的交易所大部分都是中心化的,区块链它是一个去中心化的技术,那交易所这样的一个中心化平台,它怎么样才能够知道用户在区块链上面有给它的地址进行转账打币,肯定有一些检测的方法,它需要去关注用户的地址上面余额有没有增加,有没有收到新的一些转账进来,也就是说这一个事情是把链上和链下的东西结合起来的。
那在这一个结合的过程当中,它就会出现这样的一个假充值的问题,黑客在区块链上用钱包或者用脚本工具转账的时候,它会去构造一些比较特殊的一些交易,这个交易发到那个地址之后,它成功记录在链上,交易所的充提系统就会检测,检测的时候发现这个地址收到一笔转账,这个转账有一些参数是有问题的。
但如果交易所的开发、技术小哥哥如果不懂的话,就会觉得这是一个成功的充值。黑客在链上进行了一笔假充值这样的一笔交易,它发到链上,那其实黑客没有真的把这些USDT、ETH转到地址上面充到交易所,交易所误以为充值成功。
黑客在交易所上面的余额,它就会有一笔充值到账,这样会造成空手套白狼的效果。例如一万个以太坊,交易所发现有大户充了这么多进来,它以为到账就给它确认,这个时候黑客在上面进行一些挂单或者直接提币,这样就可以通过假充值来获得真的以太坊,把这个币真的提出来,这个会给交易所造成很大的损失。
因为黑客攻击者基本上是零成本,可以无限去攻击这些平台,它可以通过这样的一个方式把平台上面几乎所有的资产都提走,有点像欺骗。这个方式跟你刚才提到的假币其实是有点异曲同工的感觉,只是它的币是真的币,但是它没有真的转账过去,没有转账成功,或者说转账成功了之后里面有一些特征。
这个在程序里面需要对它进行检测,这个当时就有发现,因为有一些我们合作伙伴或者说我们的一些蜜罐,类似有点像陷阱的东西发现这样的行为,我们就把它披露了出来,让大部分交易所尽可能修复这个问题,避免更多的交易所遭到这些黑客的攻击。
刚才提到有好几个假充值漏洞,像刚刚提到的USDT假充值漏洞,EOS假充值漏洞等等这些,它的原理基本上是一样的,区别只是在不同的链上面,它的一些字段名字是不一样的,这个需要交易所的技术研发人员可以看一下我们以前发布的文章。
我们把详细漏洞的原因、修复的方法都公开出来了,现在市面上知名的、运行时间比较久的交易所都没有这些问题,但是如果你有一些新开的交易所就需要注意了,就需要看一下这些漏洞。
币安 七七:我现在是明白了,你们做的其实还是通过保护交易所资产安全还保护大部分的用户资产。像他们是攻击的对象是我们交易所,你像我刚刚说的那个假币他们一般攻击对象是散户。
启富:是的。技术要求或者说是一些技术名词还是比较专业一点。
3
币安 七七:现在行业最火的一个事情是DeFi挖矿。从你们的安全审计的角度来看,它这个发展你们觉得它的发展算成熟吗?是早期吗?
启富:肯定是早期,不管从技术上面还是现在的应用上面或者说从用户数量上面来看,都是很早期的。我们先不说DeFi,区块链和币圈都是早期的,区块链也没有什么大规模的应用,可能某一些场景下能够直接用数字货币买一些实体的东西,这些东西场景还比较有限。
所以DeFi的话它还挺早期的,包括现在整体的发展,它现在的一些应用,也基本都还是围绕那几个概念。就像你刚刚说的流动性挖矿,Uniswap AMM自动做市抵押挖矿,场景还比较少。
币安 七七:我们本身这个行业就是一个很早期的行业,更别说DeFi它其实才出来没多久。
启富:现在就达成了一个共识,它肯定是早期的。
币安 七七:在你们角度来看,DeFi挖矿都存在着哪些安全风险和漏洞?还有最重要的一句话在后面大家比较感兴趣,我们该怎么去防范或者辨别呢?你可以给我们讲一下从技术层面上,有什么风险漏洞,但是我们普通用户该怎么去做呢?
启富:首先经过这一个月FOMO情绪最重的DeFi的一个周期,之前是说币圈一天人间一年,现在出现了DeFi一日,币圈一年这样的口头禅,在这样FOMO情绪严重下,之前有很多人讨论过也发生过很多的攻击也有很多人丢币打错币,不小心把40万的USDT打到合约上取不出来,各种各样的坑都有见过。我这边总结一下。
首先,你在参与DeFi的时候,要注意最核心的参与平台用的智能合约有没有开源、平台本身有没有安全审计、智能合约有没有问题、有没有漏洞,如果这个有漏洞或者说有后门,你的本金就直接有可能会出现损失。
如果这个项目是合约有后门漏洞,项目方可能是在等着你的本金过来,它好卷走跑路。你盯着它那一点百分之几百,百分之几千或者百分之几万的收益把上百万打进去,他把你本金卷跑了,这是非常得不偿失的,一定要找经过安全审计的,而且是知名的安全公司的安全审计。
因为我们前阵子也曝光过一个项目,他自己去包装了一个皮包安全公司,这个安全公司就一个网站,它啥也没有挂了一个经过了安全审计,找了一个什么像模像样的报告,那一套都是假的。这个也是很重要的,一定要找我们慢雾审计过的,有看到慢雾的审计或者我们有发过一些微博等等发过官方的消息的,这个是第一个。
第二个,它其实跟用户的操作也是比较相关的,例如说你在操作的时候,一定要注意这样的手续费。如果你本金不太多,以太坊拥堵的时候,可能手续费一笔好几百人民币或者几十美金,这也是其中有可能会出现的一个风险。
另外,如果合约有经过安全审计,但是有可能它有一些权限,这个权限最好它能够有多签的方式,尽可能不要是项目方里面某一个用户账号,因为这个用户账号项目方里面有一些内鬼盗取了这个私钥,通过其他方式转走。
项目方那个团队它可能自己都没有想到,因为有可能有内鬼的存在,这些风险也是有可能的。最好管理员的权限有通过智能合约多签方式进行这样的分散,一定需要有多个人一起来签名,这样的话安全性就会比较高。
另外一个用户在挖矿的时候,它其实有无偿损失,如果是在这里面挖得比较久挖得比较多也会有这样的一个概念,无偿损失其实也是在一些币价下跌的时候的风险。
还有可能你在进行一些操作的时候,像刚才我提到的有人从gate.io账号里面直接提币40万USDT到一个合约账号,其实那个合约账号并不是正确的操作方式。你要参与这个挖矿不是直接把这个币打到一个交易对的合约里面,这个操作是不对的,这个也是其中的一个风险。
如果你真的想要去参与这个DeFi的挖矿,一定要做好一些基础的概念的学习,要掌握这些概念,通过网页用Metamask或者钱包APP,通过这样的方式调用相应合约的函数,正确的路径去操作。
这是目前我觉得应该是总结的比较全面的,你作为一个普通用户要参与到DeFi挖矿这个事情里面,有可能会出现一些的风险和大家应该去注意辨别的一些点。
币安 七七:您刚刚说的这几点,在我们币安智能链上线以来也有出现过,您说的问题我都遇到过。刚刚说的无偿损失在第二天上线一个项目方去挖矿的时候,当天晚上BNB币价跌了,用户会有无偿损失。
在这里想跟大家说一下,大家在挖矿的时候,要先了解一下规则,包括它这里面的信息安不安全都需要了解一下的。因为我有遇到有一个用户在智能链打BNB不知道打到什么地址,现在CZ包括整个客服部帮他找这笔钱,帮他在各种国际包括国际国内的社交平台上都有去问,但是这种其实找到了我们说幸运,但是真的找不到对大家来说是一笔挺大的损失。
启富:对,操作失误这个就是。
币安 七七:大家如果自己操作失误的话,那是很气了,我们做了所有的努力帮助你,因为是你在链上转丢的。
启富:我们本来和A项目合作,海报上有我们和A项目的LOGO,然后山寨项目直接把A项目的logo换成它自己的,看起来慢雾和山寨项目合作了一样,但我们没有,我们还出来辟谣,这也是一个很尴尬的事情。
如果有渠道,可以通过我们的官方邮箱等方式进行一些求证,或者我们现在有一套DeFi项目有没有审计,我们有一套查询系统在我们的官网上面就能够看到,直接可以去查一下,如果那个项目的名字在这里找不到的话,有可能你就要小心了。
4
币安 七七:币安有一个官方验证通道,币安官方的微信号都在里面验证过了。我们几个微信都可以验证的,因为微信社群里有很多假冒币安客服,打电话说是币安客服的。打了电话之后我有进群,就是一个传销资金盘。一个群里只有我一个用户,在这个圈子里安全是比较重要的。
我们去看项目审计,慢雾有些找不到官方微博的大家可以去《区块101》的微博,今天直播《101》有@他们的官方微博,看一下微博动态更新或者官网看一下,简单的一步操作对大家来说,投资的风险就有可能真的降低挺多。虽然说这是我们审计过的项目,不一定都是很好很安全的项目,但是最起码比起你在整个市场上大海捞针挑项目,还有一点让你借鉴的方面。
启富:没有经过安全审计就是一个骗子项目,就是想要你的本金,拿着很高的年化收益,达到几百万就直接跑路。
币安 七七:我发现最近CX做得很猖狂,已经波及到我姐家庭主妇那个阶层了。在群里发USDT转到了IMtoken钱包,我姐问我这是什么?我说这是我们圈子的东西你在搞啥。她说期权,就是投多少钱一天给我返多少钱,她说她投了3万,返了2.8万,我说你就此,别再投了,你让他把剩下的两千返你,不亏就行。
挺迷惑的,CX力量无处不在,不知道他们到底是什么魔力,我姐两眼放光看着我,我找到了一个赚钱渠道,不太能理解,这个圈子骗人的方法有很多很多种,还是建议大家不要乱去搞私募,包括一些未经审计的项目,大家就平平常常交易,在交易所。
我不是说大家只能在币安交易,就在大的交易所里面首先是可以保障你的资金安全,因为它有那个资本有财力去做安全审计包括保护自己安全的能力,大家在这个交易所里交易,其实相对来说比较安全,我们只能说是在这个圈子里相对安全。
我们刚刚说了DeFi流动性挖矿,你那边有没有什么最近DeFi出的安全事件,就是有哪些原因导致的漏洞,有没有例子给我们再讲一下。
启富:其实DeFi的话应该也是差不多今年上半年,开始火起来,比较早的像MakerDAO、Compound,在2019年这个项目就已经有了,但是用户关注度都比较低,在今年开始以来,出现的项目还蛮多的,但是随之而来的安全问题,攻击事件还蛮多的,我拿几个大家听说过的项目来去给大家介绍一下。
当然我说这些项目,以前出过安全问题不代表现在不安全,有很多东西是不断完善的,踩了一次坑,下次不会踩这个坑,比没踩过坑的人是更有经验,你的安全性,整体的实力应该也是更好的。我们也要以一个发展眼光去看待这些安全问题,如果是那些跑路的,直接要去抨击,要去指责的。我这边有一个汇总给大家去分享一下。
首先,我们在接触到这样的一个DeFi的安全事件,最早的就是一个bZx,就是一个借贷,在以太坊上面是比较知名的项目,它在上面出现了好几次的安全问题,截止到现在,应该累计出现过三次安全问题。还有一个Uniswap特别火的是V2的版本,它早期的版本也被人黑过,也出现了损失。
另外中国的一个项目,lendf.me,它是dForce network这个项目,这个项目我们发现攻击事件之后去协助了,好在最后通过多方协助之下这个资产顺利的找回,黑客迫于种种压力,最后攻击者把资产退回来,这个事情得到了圆满的解决。
他们这些项目也是比较知名,还有一些也不是特别知名的项目,或者说有一些安全问题,不一定会带来损失,它可能不是被盗,而是出现了安全问题。例如说之前的SYN的项目,清算合约出现了问题,导致错误的锁仓。
币安 七七:是那个YAM?
启富:YAM是我下一个要说的,红薯这个项目,我们当时写的文章,绚烂的火花,一行代码有点要毁了它的这个意思。当然它现在的项目到V3之后也还算比较稳定,不算是昙花一现的项目。YAM,当时因为一个问题,代码里面要进行一次重新的动态的扩容,因为代码上面有一个精度,它没有去把这个东西包含进去。
在我们做技术来看就是一个特别低级的一个bug,肯定没有测过,如果测过没发现,那这个水平有点尴尬了。这个是YAM,它现在做得还可以,现在已经通过V2,派盾那边有审计,V3他们也有审计,这个项目从创新性上来说还是可以的,当时出问题的时候,算是一个小插曲,一开始就栽了一个跟头。
还有一个DeFi上面安全问题跑路的,我们这边一定要去曝光它,跑路的非常可恶,就是翡翠。翡翠是在EOS上面,之前应该很多人都有听说过,很多人维权了这个项目。
第二个,波场上面有一个鲸鱼还有鲨鱼,这两个好像同一个项目,他们网站基本上一样,也跑路了,卷走了很多钱。
还有一个以太坊上面的一个项目,我刚才有提到,它还伪造了安全审计,还做了一个皮包安全审计公司,它叫LV,跟名牌包是一个名字的,LV.finance,也跑路了,也卷走很多钱,现在也有很多用户在维权,有没有办法把它追回。
其实DeFi,我们有一个小产品,叫做区块链被黑档案库(https://hacked.slowmist.io/),在区块链被黑档案库里面汇总了很多区块链生态里面出现的安全问题,不仅仅有DeFi还有公链还有交易所还有钱包的或者说这些Token一些代币的。
我们做这样的一个网站里面就是有一项数据显示,从2019年到现在,加起来的事件,DeFi相关的安全问题已经有差不多30起了,带来的损失也是很大的,我们不算找回来的,那些加起来也差不多有几千万美金的损失,bZx、Uniswap等等,SYN之前出过闪电贷组合起来的那些问题。大家感兴趣的话,可以在我们的官网或者说在百度、谷歌上面搜一下区块链被黑档案库。
币安 七七:这个我们是都能看到的对吧?
启富:对,是公开的。这一个网站,我们之前还看到得到了CZ的一个推荐,他当时好像在接受一个采访的时候,提到我们有这样的一个网站叫hacked。hacked小网站里面汇总了很多区块链被黑的事件,我们做这些事件,失败乃成功之母,我们希望提醒后来者或者提醒这个生态里面的相关的从业者能够了解到可能会出现哪些安全风险。
例如说你想开交易所,想要去做公链,公链可能面临怎么样的问题,以前的人踩过什么坑,你要先了解一下,不然的话你还会踩这些坑,很可能亏钱,你会觉得区块链不好,不想在区块链生态里面发展,我们做这些事情,希望这个行业发展更好,新的项目,新的团队进来能够有这样的历史经验教训,能够学习,整个区块链行业也会发展越来越好。
币安 七七:天使没有工资,没有人给加鸡腿。我们上一期重庆101的线下见面,本来抽奖只有周边,我们有一个天使随便写一个赞助两个BNB,我们天使宝宝们都很棒,特别感谢他们。在币圈真的不简单,又是DeFi,又是K线,美股贵金属,还有安全技术。
我2019年进入币安,我在客服学这个很辛苦,当然我学会了也留下来了,慢慢开始上合约,好不容易把U本位搞懂又开币本位,又开期权,后来又DeFi,我刚接触DeFi的时候,跟民道大佬对话的时候,对DeFi这个概念稍微有一点清晰了,当时只有借贷有应用还有dForce,还没有流动性挖矿这个境界,看着这个圈子,今年我就发现学习的东西实在太多了。
大家可以来直播里听我们跟大佬分享,他们不是在给你们培训。
启富:同学们注意听讲。
5
币安 七七:我最近每期直播都在听讲。我再问一个比较专业的问题,在DeFi里面你们要去审计一个项目,你们会从哪些方面去评估它呢?除了去看一些合约的审计?
启富:从安全这个审计角度来说,和我们的审计范围是有关系的。目前来说,我们对绝大部分的DeFi项目比较重视,他们的诉求智能合约的安全,所以我们在审计智能合约安全的时候,第一点特别关注它有没有一些这种常规的安全问题,例如说溢出等等这些比较常见的这些问题。
第二个,在一些业务逻辑上面,像刚才提到的YAM,它可能在一些计算上面有个地方没写好,这个跟它的业务逻辑是有冲突的,它本来应该去做一些计算的时候,为了让动态扩容。如果代码里有bug,在审计的时候我们就会指出来,相当于你实现的时候,这个东西有错误跟你的预期不一样,这是业务逻辑上面。
还有一个,是在组合性这个问题上面,像之前也有出现很多闪电贷或者相关的组合,我们就简称为外部风险。在关注到你本身这个合约没有什么安全问题之外,你还要关注一下如果你的合约里面有调用很多其它的一些DeFi的协议,不管是借贷还是相关的闪电贷、抵押或者是一些相关的这样的一个杠杆等等这样的一个合约。
还要去关注一下他们外部合约里面的一些操作,以太去交互的时候它的返回值,这方面也需要去关注,不同的代币不同的项目实现的智能合约的方式不一样,尽管像普通的代币ERC20的代币有自己的规范,但是DeFi还很早期,DeFi不同协议之间去组合调用现在还没有什么规范,就是在去调用外部合约也需要特别重视。
另外一个就是针对有其他的一些用户,应该说用户不仅仅关注智能合约安全,还会特别关注一些前端或者是有相应的一些服务端这样的安全,我们审计范围也会包括这一部分,那它的前端上面的一些操作,前端上面的一些接口的调用,包括它有一些后端的接口,它的后端的一些服务器。
这些网络这方面的安全我们都会进行相应的审计和把关,我们会把这些薄弱点给它找出来,告诉它怎么样去提升自己的薄弱点,这样的话提高攻击者的门槛,整体安全性就会得到提升。
币安 七七:好的,今天老板分享了这么多有用的干货,我今天又在认真的学习。我看有人问,漏洞是不是故意留下的后门?我觉得不会,刚刚也说了,他们这个漏洞是一个在技术上是一个很简单很简单很低级的bug,留后门应该不会这样。
启富:其实在这个生态在这个圈子里面有这样的一个问题,它如果想要留后门,就不太可能找安全公司去审计,它如果是故意要留后门。就会像刚才的那个LV那个项目一样,伪造一个安全公司,一个皮包安全公司然后去做一个假的审计的证书,审计报告,那它就会通过这样的方式掩盖自己的后门。
它如果有后门,故意留的后门,它不太可能会找我们知名的安全公司,这样的话我们肯定会给它指出来让它修复,不然是没办法通过的,大家一定要去再去关注到有没有安全审计的时候,还要认准知名头部的国际的安全审计公司,例如说慢雾,认准慢雾就对了。
6
币安 七七:下面有人向您提问,小白想学习代码审计知识去哪里找资料?
启富:我们一直特别希望这个行业能够很好发展起来,所以慢雾的团队文化里面就有一个很开放,很透明的内容。
我们所有的发现的安全漏洞,这些漏洞的原理、修复方法我们都会公开,包括我们自己的审计的一些标准,我们做智能合约审计,做交易所审计,做钱包、公链的审计,我们是怎么审计的,审计的哪些点,哪些方面,哪些方向,这些都在我们官网上面有公开。
刚才提到很多的漏洞,包括一些我们自己出的技术研究,我们都会在我们的github发布,github也可以通过我们官网,在右上角有github的地址,跳过去有一个慢雾安全团队知识库的一个项目可以去查看,里面全是干货,我们还翻译了国外我们都认可的觉得很厉害的安全审计资料,还有我们自己整理研究的结果结论,都在github开放免费。
币安 七七:我很好奇写了一些什么,等一会我去看一下我能看懂的。大家可以了解一下,对自己反正是有好处没有坏处的。2017年8月开使用币安,怎么参加内部学习?内部学习参加不了,内部学习是培训员工。
启富:还有一位观众他说这个东西太难了,我们刚说到那些确实是比较专业的,所以我们还做一个事情,我们在2019年的时候做了科普系列,把区块链生态安全风险、名词都汇总起来,给大家讲什么是女巫攻击或者算力攻击,51%攻击或者什么是分叉还有一些技术的概念,还有冷钱包、热钱包、温钱包这些概念,我们都做了科普。
慢雾科普的文章一共有十篇文章,入口也有很多,一个就是我们的github上面,有入门科普的也有技术性比较强的可以学习怎么做审计的,我们公众号上面也有,可以在菜单里面找到。
币安 七七:我们天使说的区块链安全入门笔记,慢雾已经把笔记做好了,你去看看就行了,就不用你做笔记。
启富:重点已经挑出来了。
币安 七七:“币安学院怎么参加?”币安学院是我们在币安官网下面大家可以找到有一个学习可以找到币安学院,不是线上授课,我们做了一些总结,做了一些比较简单的普及什么的,大家可能去看视频知道怎么交易怎么下单,如果比较新手的话建议币安学院看一下,怎么玩转交易所。
好了,我们今天到这里了,感谢慢雾给我们做的这么多分享,感谢启富老板讲了这么一堂课,真的是在听课,辛苦了辛苦了,你也有准备,做了很多功课。
启富:感谢七七感谢币安还有你们的栏目,《区块101》,名字念起来也琅琅上口。
币安 七七:我们今天比较有纪念意义,今天是100期,明天是101期。
启富:这个数字也很吉利,一百分。
币安 七七:我们今天就到这里了,谢谢大家支持。拜拜。
启富:拜拜。
「免责声明:本文嘉宾观点不代表币安《区块101》立场,且不构成投资建议,请谨慎对待。」
「感谢本期《区块101》支持媒体:」
火星财经、链得得、链闻、星球日报、区块律动、深链财经、蜂巢财经、通证通、世链财经、陀螺财经、CoinVoice、白话区块链、鸵鸟区块链、CoinNess、哔哔News、博链财经、链虎财经、DAPPX、币本直播、币扑Beep、瓦力财经、布道财经、FN.COM、区块网、深潮Deep Flow、币用宝、羊驼财经、INNOVERVIEW、比特财经网、巨鲸财经
「感谢本期《区块101》支持社区:」
币乎、财路、力场、谜渡、HOLD