圆桌：Web3时代如何保障资产安全 ？| Web3.0 Cloud Day

12 月 15 日，Web3.0 Cloud Day Singapore 2022 活动于新加坡顺利举办。

第三场圆桌论坛，由 AI 与加密艺术家 Ting 担任主持，五位嘉宾针对「Web3 安全」主题发表了自己的看法，分别是：Alibaba Cloud Intelligence 新加坡地区解决方案架构师总监 Yang Kan、Beosin 执行总监 Tommy Deng、Cobo 国际副总裁 Junde Yu、Numen Cyber 市场总监 Joanna Zhang、Safeheron 业务拓展主管 Jag Foo。

以下是圆桌对话实录整理：

Ting：众所周知，区块链是基于去中心化等思想基础促进交易快捷可信发生的行业。但是， 2022 年是充满戏剧性事件的一年，Web3 行业内安全问题频出。在 阿里云（Alibaba Cloud）和 Odaily 伙伴们的帮助下， 今天这场圆桌聚集了众多安全行业内的实践者，我们讲一起进一步探讨「如何让Web3行业不同参与者更为安全」。首先，先请各位嘉宾简单进行一下自我介绍。

Tommy Deng： Beosin 是一家区块链安全公司，目前 在新加坡、 香港 、迪拜、日本、韩国等地均有分布 。我们与阿里云（Alibaba Cloud）合作了很长时间，进行 其生态内Web3项目的安全 审计。今年我们在推出了区块链安全 预警 服务 EagleEye ，以确保 上线项目 的 运行 安全。 同时 我们 也 在扩展 其他机构业务 ，因为我们注意到仅仅保证智能合约的安全是不够的，还有很多机构 面临 像 FTX 这样的内部 合规 风险，所以我们 推出了 KYT（Know Your Transaction）的反洗钱服务 。

Junde Yu： Cobo 是一家全球领先的数字资产托管和区块链技术提供商，总部位于新加坡。作为一家以科技驱动为核心的创新公司，Cobo 专注于构建可扩展的基础设施，推动 Web 3.0 领域的发展，我们有一系列的解决方案——集中托管、分散托管或自我托管等等，目前已经与 500 多家企业达成合作。

Joanna Zhang： Numen Cyber 是一家总部位于新加坡的 Web3 安全及网络威胁检测和响应的解决方案提供商。Numen Cyber Labs 由来自全球的顶级安全专家组成，技术团队发现过很多知名 Web3 生态 （Aptos, Sui, EoS, Ripple, Tron 等） 及项目、微软、谷歌、苹果产品的高危漏洞，并提供业界领先的 Web3 安全解决方案，可满足各种 Web3 应用场景的网络安全需求。 Numen Cyber 通过对智能合约、公链、钱包、交易平台安全审计，链上合约威胁检测和响应，Web3安全态势感知、数字货币追踪和Web3威胁情报等服务和产品增强Web3项目在整个开发周期各个阶段的安全能力，保障项目方和用户的数字资产安全。

Jag Foo： Safeheron 是基于 MPC （安全多方计算）和 TEE （可信计算）技术的数字资产安全自托管服务提供商，用户可以完全控制自己的私钥，通过 MPC 和私钥分片管理也可以有效防止单点故障。Safeheron 由一支拥有超十年网络攻防、密码学实战经验的团队创建。 自 2019 年以来，核心团队便一直奋战在数字资产安全存管的科研攻防一线。

Yang Kan： 过去 5 年，我一直在阿里云（Alibaba Cloud）工作，帮助企业迁移到云端。今天，我们在 web3 原生业务方面有很多机会，帮助众多企业从 web2 转移到 web3。对这些企业而言，在他们迁移到 web3 时，安全性成为一个重要的考量指标，这也是我们可以发力的方向。

Ting： 2022 年个人和加密项目资产被盗事件频繁发生，能否请各位嘉宾介绍一下最常见的方式是什么?

Joanna Zhang： 针对个人的攻击方式有很多种，比如网络钓鱼或私钥盗窃，这些是攻击个人的最常见的方式。还有很多项目被攻击，是因为他们的代码或项目存在漏洞，这也是智能合约最典型的弱点。因此，我们也建议项目开发者完善代码开发，做好智能合约审计，可以有效降低风险并避免遭遇攻击。

Jag Foo： 纵览资产被盗的过往历史，你会发现私钥泄露是一个重要因素。2022 年，超过 10 亿美元的加密资产被黑客盗取，主要方式就是窃取私钥。为什么会造成这样的情况？主要原因是大多数机构管理私钥的方式是由单人掌握；一旦私钥丢失极易造成单点故障，失去对资产的控制。当然，即便你的资产都存放在中心化机构，不存在私钥丢失的情况，你也可能失去资产，比如 FTX 破产。

Tommy Deng： 我们每季度、每年都会发布一份安全报告。根据我们的统计， 截至目前为止 2022 年区块链上有 37 亿美元的加密资产遭遇黑客攻击或被盗，其中 40% 是智能合约有漏洞， 40% 是由于私钥泄露； 从项目分类来看 ， 70% 的资产被盗与 DeFi 以及跨链桥有关。

Junde Yu： 一些被盗案例，主要是公司内部某个人犯错，可能是主观作恶，也可能是因为疏忽错误点击了钓鱼链接。

Ting： 针对这些加密风险因素，各位嘉宾能否分别给个人和项目提供一些安全建议，保护他们的资产安全？

Yang Kan： 在 Web2 时代，我们会在多个层面进行安全管理，比如每个项目上线前我们都会做渗透测试， 对安全性进行评估。现在进入 Web3 时代，这套法则依然适用。我们建议项目做好智能合约审计，关注 业务逻辑和操作。 web3 安全 是一个非常专业的领域，牵扯的因素很多，但从本质上来说与 web2 时代没有什么不同。

Tommy Deng： 首先，确保私钥安全。当你注册链上 钱包 时，不要对私钥截图或复制到剪贴板；不要 在手机 安装任何可疑的移动应用程序，因为它们有 权限访问你的相册和 剪贴板。其次，多样化 资产配置 ，将你的资产储存在多个链上， 同时 在中心化 （交易所）和 非中心化 （钱包、DeFi） 平台 分别配置 。

对于项目 方 来说，在 上线合约 之前需要做一下智能合约审计。其次是做好内部合规和管理 ， 有一些加密盗窃案例显示，联合创始人或员工可能会窃取私钥 并跑路 。因此作为老板要正确管理团队，确保不让 某 一个人掌握所有的私钥。

Junde Yu： 大多数加密盗窃案都与内部人员有关。在内部风险管控的基础上，需要引入多方权限去避免资产流失对于多方共管的 MPC 钱包。即便有人犯错，仍然需要更多的人签名，才能提取资产。MPC 自托管比较合适已经有完善的安全防备设施和安全管理系统的机构，当然也可以考虑把数字资产托管给行业服务商。MPC 和中心化托管都是 Cobo 针对不同客户需求提供的资产存储管理方案。

Joanna Zhang： 对于个人来说，首先要提高自己的安全意识，比如开户以及交易时，选择安全的有资质的加密平台，可以有效降低风险。这些平台会做监管审计，保护你的账户；他们也有政府许可证，这将帮助你避免危险的项目。

对于项目方来说，需要做好合约代码审计以及增强整体服务安全性。另外，即便是经过安全审计的项目，也不能掉以轻心，一些攻击通常会在项目启动后发生。所以链上安全检测与防御也非常重要。

Jag Foo： 不要把所有的鸡蛋放在一个篮子里，这样即便某些方面受到黑客攻击，你的资产可能也不会丢失。重要的是，机构需要有一个能缓解单点故障的风险和多层次的安全策略；更关键的是，要有一种安全文化：从不信任，永远验证。

Ting： CeFi 平台，比如 CEX 和中心化加密借贷机构，应该如何同时实现安全性、合规性以及透明度？

Junde Yu： 首先，公布自己的钱包地址，这将激发透明度；其次是邀请第三方审计来审查你的系统；最后是要有更严格的 KYC。

Cobo 目前也正在开发一些产品，中心化机构可以考虑使用我们的 MPC 协管解决方案，并把其中一把私钥分片交给信任的第三方（如 fund admin、律师所、审计公司、监管方等来保管），这样可以较大程度避免内部作恶，从而给 proof-of-reserves 带来更多的信息透明度，增加投资者对 CEX 机构的信心。

Yang Kan： 中心化平台面对众多的交易者，他们可能行为各异，你需要从源头做好 KYC，从而确保平台的合规性。更关键的是，建议风控防护体系，当用户行为触发警报时要及时响应。遇到问题，也要及时发布公告告知用户。

Jag Foo： 通过 FTX 事件，我们可以学到很多教训，比如没有完善的风控，没有适当的职责分离……大家可以看一下这些不良行为，作为反例。

Joanna Zhang： 首先，满足本地的合规要求是非常重要的；CeFi 公司还应该获得项目的相关认证；要有一个好的安全团队来做审计或安全保护，不管是技术安全还是内部法规。你也可以与安全公司合作，减少你的安全弱点。

Tommy Deng： 中心化平台在未来可能会变得非常受限制。地方政府开始介入，对它的监管也越来越多，我们也帮助很多 国家的监管机构 做了反洗钱的 合规 工作。因此，中心化平台要遵守当地的法规，保证他们将来不会惹上法律的麻烦。