以下内容经巴比特整理,是本场圆桌的精华内容。
01《财经》链新主编朱星:首先请各位嘉宾做一个自我介绍。
徐昱:我从事了多年的新刑事网络犯罪的打击工作,也接触了很多区块链相关的犯罪案件。作为一个刑警,我更多关心的是案件和安全相关的问题。在平时案件研判的过程中,也会和行业内的企业进行良好的沟通和互动,希望更多的从业者可以关注犯罪相关的案件。
史金涛:我来自无极实验室。我是信息安全攻防出身,之前主要是做一些传统互联网行业的安全攻防、安全建设等工作,目前在无极实验室主要是负责区块链链上安全攻防研究以及区块链犯罪分析、溯源追踪等工作。无极实验室聚焦于区块链情报、安全、溯源追踪等多个方面的研究工作,是一家比较新的区块链安全独立供应商。
蒋旭宪:我来自于PeckShield(派盾),是一家专注于区块链安全的创业公司,成立已有三年的时间。
谭天:我来自北京市中伦律师事务所,律所于1993年成立,目前是国内规模最大的律师事务所之一。我们从2015年开始针对区块链相关的法律监管和法律合规的问题进行研究,也为很多的企业和项目提供了法律方面的咨询,包括合规的法律咨询和服务。
02《财经》链新主编朱星:徐警官,你办理的案件中,涉及到区块链或者是加密资产的时候有哪些特点,或者说在这个行业中从业,不管是投资,还是涉及到从业,应该避开哪些坑?
徐昱:这个领域对于投资者来说,首先有很多新的区块链相关的案件发生,这个领域趋势和我们传统犯罪的趋势是一样的,大家都知道几年之前更多的犯罪是线下的盗窃、抢劫等,但是随着电子支付以及互联网的发展,往往抢或者偷不到现金了,并且伴随路面监控和人像识别技术不断的发展,传统犯罪越来越少。在三四年前,线上的犯罪超过了线下的犯罪。区块链这个领域也是类似的,几年之前更多是使用区块链作为一个工具进行犯罪,但是现在的区块链犯罪侵害的主体更多的是区块链生态本身。
浙江省公安厅刑侦总队区块链犯罪课题研究负责人 徐昱
03《财经》链新主编朱星:史总主要是做一些安全方面的工作,目前黑客攻击或者说你们团队所接触的案件出现了哪些新的手段?
史金涛:针对不同的角色,对应面临的威胁也是不同的。
对于交易所等中心化机构来说,APT攻击以及链上攻击我认为是目前最大的两个威胁。APT攻击,高级持续性威胁,一般都是一些职业黑客团队组成的。在来到区块链行业之前,这些组织一般都是盯着政府、商业情报、SWIFT跨境结算系统这些行业的。这些组织有着体系化的分工,执行公司化运作,使用各种方式通过入侵到中心化机构内部,盗取核心钱包资产;而链上攻击主要是以双花攻击、基于漏洞的假充值攻击为主的攻击方式。根据无极实验室的跟踪研究,目前我们定位到一个专门进行双花攻击的团队,这些人来自多个东欧国家,具备专业的双花经验和设备,且有着成熟的变现渠道。从去年下半年到今年的多起双花攻击都与这些人有着极为密切的关系。
对于一些DeFi的区块链项目来说,通过找寻代码或者业务逻辑漏洞是黑客常用的手段。智能合约的授权机制漏洞、针对各类DeFi的“闪电贷”攻击等,都是黑客常用的手段。解决这些问题,主要还是依赖事前的措施,如严格按照规范编写合约、做好合约安全审计等。
对于普通用户,黑客常见的手段则是钓鱼、诈骗。通过“高额返现”的幌子,诱导用户使用钱包进行转账,通过使用技术手段盗取用户钱包资产;或者引导用户进行虚假投资,骗取用户资产等。黑客的手段随着时间以及新的业务模式在不断的变化,未来肯定还会有其他的手段等着我们去应对、解决。
无极实验室首席研究员 史金涛
04《财经》链新主编朱星:蒋总,你觉得在接下来哪些领域容易成为黑客攻击的重点领域,投资者应该注意什么?
蒋旭宪:我们看的问题跟你们的角度不一样,我们看到一些新的攻击发生的趋势,更多的是链上链下的融合,尤其是给勒索软件提供了便捷的渠道,也是一个新的行业在早期发展的时候,它们跑路、诈骗是很有市场的,这个时候规模也比较大。另一方面,尤其从新型的DeFi协议出现后的情况来看,攻击者的手段是很有准备的,不仅是协议漏洞的应用,还有跨链资产的转移,攻击发生之后,可以在半个小时内洗完盗窃的资金,这个给监管带来了很大的挑战。
如果投资者对这个领域感兴趣的话,首先是不要拿全部身家来投资,不要轻信“专家”、“内部人士”、“内部消息”、“高收益高回报”,切勿盲目跟风,只看短期利益。当然,如果不幸遭到财产损失,第一时间反馈给社区、收集好相关素材;如果遭遇诈骗、勒索建议寻求警方帮助。
05《财经》链新主编朱星:谭律师,在企业创业的过程中,区块链涉及到金融、科技等等,很多时候容易踩火线,你在合规方面有什么样的建议?
谭天:我们给区块链企业服务的过程中,目前来说区块链创业企业需要注意的法律方面的风险有三点:
1.网络安全风险,区块链企业通过网络提供产品或服务,属于网络运营者,应当受到《网络安全法》等法律法规的约束,如果企业没有履行法律规定的相关义务,可能引发安全事件,受到行政处罚甚至构成刑事案件;
2.数据保护问题,区块链企业在提供服务时,往往会面临大量的数据存储、整理、脱敏、传输等工作,包括一些个人信息,敏感信息,如果保护不到位,可能会存在数据泄露、侵权等风险,可能会承担民事、行政甚至刑事责任;
3.侥幸心理,以为变一下名称或者叫法,就可以躲避国家监管和法律约束,给企业的发展带来很大的不确定性。
因此,针对这三个方面的风险,我建议是:
1.严格遵守法律法规的规定,同时还要跟据《区块链信息服务管理规定》的要求进行备案,还要符合国家强制性要求,承担起网络运营者的各项责任和义务;
2.加强数据保护,保证数据存储、使用过程中的安全,保证数据所有权人对于数据使用的知情权、删除权等权利;
3.不弄虚作假,目前国家对于区块链行业的监管属于穿透性监管,关注的是区块链技术的应用落地,不论是区块链金融,还是溯源、存证、智慧城市等应用,都要切实为基础设施建设和实体经济服务。
06《财经》链新主编朱星:在区块链这个行业快速发展的时候,应该如何保障和推动该行业健康有序发展?从警方、律师的角度有什么建议?
徐昱:行业监管方面,从警方角度出发更多看到的是一个趋势,区块链本身的匿名性和不可控性,导致了传统犯罪不断地涌入区块链这个行业;而且随着警方近几年对传统金融不断的打击和严管,犯罪领域的洗钱行为可能更多的是流向去中心化的金融领域。
我个人的观点是,很多从业者是希望区块链行业往一个健康的方向发展,但是区块链完全的匿名性和不可控性最终会反噬这个生态本身。其中最关键的两个底线:一个是链上资金的可追踪、可追溯。目前最大的两条公链比特币和以太坊,链上的资金还是可以进行追查的,但是有部分货币它在设计之初就想做一个完全匿名且不可追踪的公链。另一个是,法币的交易还是要到中心化的交易所去进行交易,中心化交易所至少有一些相关认证的制度,在这个层面上仍是有一部分可控的,但是如果今后有一些法币的交易变得不可控了,那么在监管层面或者说国家层面就会采取一些新的行动。
蒋旭宪:我在区块链安全创业这三年来,区块链犯罪绝对是高智商、高科技的犯罪。包括我们在从事各种资产追踪的规模上,资金金额都相当大。你们认为在比特币和以太坊上,还是可以追溯的,但是这可能在2018年-2019年上半年的情况。目前,根据我们跟踪的几个案件来看,真正有组织的犯罪都利用假的身份信息,可能不到半个小时,几千万美金的资产都洗掉了。洗钱的流程通过主要是完备的混币的服务。这种追踪越来越复杂,内部交易数都有可能超过上千条的交易。区块链犯罪是高科技的犯罪,也是一个与时俱进的,或者说是持久的攻防战。对研究人员来说,需要不停地了解这个行业,并从他们留下来的蛛丝马迹学习,和社区、司法机关相配合。
PeckShield(派盾)创始人兼CEO 蒋旭宪
谭天:对此,我提几点建议:1.从投资者的角度来说的话,不管是区块链行业来说的还是数字资产的发展来说,我认为区块链不是面向全体大众的,它是面向于特定群体的,所以说我认为要加强投资者的教育,提高投资者的风险防范意识和对项目的甄别手段,让投资者能够比较明确的辨认出哪些项目是值得投资的项目。对于那些诈骗或者说融资的项目,投资者不去投它了,自然而然,这种现象就会少下去。
对于区块链从业者来说,应该要成立行业协会,通过行业协会的方式,因为立法或者说司法往往是滞后的,它都是在行业发展到一定的阶段,总结一下经验之后才能出台一些相关的法律政策。在法律政策出台之前,区块链的企业包括负责区块链安全的企业,能否通过成立行业协会的方式,发布自己的行业标准或者企业标准来规范区块链产品和服务,通过这种方式来引导大家朝向更积极有利的方向发展。
07《财经》链新主编朱星:刚才提到的都是资产损失发现之前怎样去规避,一旦资产损失已经发生了,这个时候有哪些措施来挽回呢?
谭天:1.如果损失发生了,首先要积极的搜集相关的证据,现在有网络安全的机构,可以给我们提供账户转移相关的证据,我们要积极的搜集证据。2.积极的报警,取得公安机关的协助。3.尽量联合多的受害者,通过社群的方式,把受害者集合起来,人多力量大,一起来挽回自己的损失,追究侵权的责任。4.通过合法的途径来维权。
北京市中伦律师事务所律师 谭天
蒋旭宪:1.搜集证据,区块链会把各种链上证据保存在里面,区块链浏览器或者说搜集证据可能会被被司法机关采纳。2.第一时间联系相关的司法部门。3.受害方需要积极追踪链上资产的流向,这个时候应该和社区保持良好的互动。有一些资产转向从一个链到另外一个链,从国内到国外,甚至跨越好几个国家、好几个链,这时候要保留相关的证据,也需要各个交易所、司法机关、社区、涉案公司的配合。
早期追回的可能性比较大的,但是有一些攻防比较困难的,至少目前需要一个技术性的突破。
史金涛:当自己的资产一旦出现丢失,建议尽快报警同时联系专业追踪团队进行介入,越快越好。专业团队有足够的经验来处理相关的情况,个人资产可能不经常丢,但是这些团队经常处理类似的事情。真的丢了,还是有一定概率可能找回的。
徐昱:对于警方来说,老百姓发生财产受损、受骗或者说被盗的,警方也是进行受理或者说立案的。但是这一类的案件防范大于事后的追查。因为区块链本身的特点,警方在事后进行追查确实很难,所以我们现在电信网络诈骗相关的工作也是从打击转移到了以防范为主的点上。
对于确实发生了财产受损的情况,需要第一时间要报警,向警方提供更详尽的一些信息。比如说上个月有一个省内的投资者对区块链不是很了解,但是他在交易所买了256个比特币,提到去中心化的钱包里面,他在网上随便搜索并下载了一个钱包,就把交易所里面的256个比特币给转了进去。我们警方第一时间对他进行了详尽的调查,首先安装这个钱包应用的过程是受人指导的。另外事后还把私钥和助记词通过微信发出去了,这个案件就变得扑朔迷离,随后定位到他下载的钱包应用是被黑客植入的。最终,我们定位到了犯罪嫌疑人,然而嫌疑人在境外。客观地说,目前我们能做的工作非常的少,所以无论是从业者还是投资者,多学、多做、多了解,时刻保持一颗警惕的心,事前的防范比事后做更多的工作都要有效。
08《财经》链新主编朱星:现阶段安全行业现在整体发展状况如何?各位认为未来区块链安全领域的市场空间有多大?
徐昱:我认为,区块链安全未来的市场和发展前景,可以类比目前互联网领域或者说信息技术领域的安全市场,它是依赖于整个生态的发展,互联网的市场发展有多大,那么互联网安全的市场也会成正比发展。区块链安全的发展也离不开区块链整个生态的发展,如果未来区块链发展是健康有序的,那么区块链相关的安全领域肯定也有非常大的市场。比如说刚才讲到被盗的投资者,他有实力做经济投资,他为什么不愿意把一部分的资金拿出来,请专业的机构做一个更好的安全防范。不说对区块链领域不是很熟悉的投资者,我昨天和一个行业内的专业投资机构沟通,他们在做专业投资的时,也有一百个比特币被盗了,而且是从交易所里面直接盗走的,专业机构比一般的投资者有更加强的安全防范意识,但是仍然避免不了被盗,所以在这个领域有更多的空间让做安全防范的公司拥有一个更大的市场。
史金涛:随着数字经济的发展,安全行业开始变得越来越必需,安全能力已经成为各大厂商乃至国家建设的基础组件之一。
从2017年“永恒之蓝”勒索病毒,到2020年“SolarWind”供应链攻击事件,到2021年美国最大的供油公司“Colonia Pipeline”被APT组织攻击,导致石油供给中断,都说明了安全威胁越来越严重,安全建设也越来越重要,各个国家也在宣布要不断加大安全投入,所以安全行业目前仍处于一个向上发展的阶段,远远没有达到天花板。
而区块链行业生来就带着“解决信任问题”、“资产”等一系列标签,钱越多的地方,对抗就越激烈,因此区块链行业对安全的需求应该是比传统的互联网行业更为迫切。但我们也可以看到,这个行业无论是事前防控、事中响应还是事后的应对处置,都缺乏完善的系统与能力,这些都是需要时间去建设的,因此从这个角度来看,我认为区块链安全行业面临的挑战巨大,同时未来的前景也十分广阔。
蒋旭宪:用数据说话吧,在今年发布的网络安全“十四五”规划以及即将发布的网络安全产业的行动计划当中,进一步明确政府和公共企事业单位在网络安全上的投入比例不低于10%。工信部报告显示,网络安全产业规模在国内超过1700亿元,较2015年前翻了一番。另外,国外有一家安全公司也做区块链安全,现在它估值达到了42亿美元。
谭天:区块链行业来说,区块链安全有一个得天独厚的优势,区块链从诞生就是可追溯的,而且是具有公信力的网络形式,这个对于我们的安全来说非常重要。而且,我觉得不仅是区块链网络安全,包括对于互联网的安全、数据的安全以及将来的公共安全和金融安全,还有在国家安全领域,区块链作用都会越来越得到体现。因此,我认为区块链安全的前景是非常好的。