欧科云链研究院对话CertiK:行业安全事件频发 Web3安全标准制定至关重要
根据欧科云链 H1 安全报告显示,今年上半年的安全事件(以 REKT(被外部攻击)和 Rug-Pull(内部跑路)为主)达到了247起,虽然被盗资金规模由于市场原因同比下滑,但是数量却在稳步上升。安全问题在未来会是区块链整个行业的巨大痛点。
欧科云链邀请 CertiK 的首席安全官——李康教授,来解答关于安全事件防护以及后续资金追踪等问题。
李康教授在计算机网络与系统安全领域有丰富的科研和管理经验。近期他的团队在多个区块链基础架构实现中发现严重安全问题,覆盖 Layer One, RPC 节点,MPC,TEE 钱包等方向。
Matthew Lee:您好李教授,感谢您从百忙之中抽出时间进行这次对话。我知道您在计算机网络安全与系统安全领域都有非常丰富的经验,所以非常期待向您咨询 Web3 安全事件相关的问题。
我们研究院团队一般把安全事件划分为两种,一种是由内部发生的 Rug-Pull 事件;另一种是由外部主导的REKT(项目被攻击)事件,主要由闪电贷攻击,逻辑漏洞利用,价格操控三种为主。针对这三种外部主导(REKT)的攻击,普通用户应该如何进行安全预警,防护自己的资产呢?
李康教授:对于普通人来说,由于缺少专业知识和工具,很难对安全事件进行预警。用户应该考虑使用一些比较成熟的工具,例如 CertiK 的 Skynet天网动态扫描系统,或者 OKLink 的链上审计功能等 。
这些工具都是基于以往安全事件,结合代码的安全性,项目健康程度,运营情况,市场稳定性等综合给出的对项目的评分,可以作为非常重要的参考依据。
Matthew Lee:我们预计 REKT 类引起的资产损失将继续扩大,从技术的角度出发,项目方有没有什么方法可以更好的防范这三种攻击(闪电贷攻击,逻辑漏洞利用,价格操控)么?
李康教授:项目方需要做的是将安全风险的考虑到融合到整个项目开发维护流程中,同时寻找合适的安全合作伙伴,比如 CertiK 或其他安全公司进行长期合作。
Matthew Lee:安全事件发生前,用户或者项目都难以预警,那么安全事件发生后,用户或者项目方如何进行资金追踪挽回损失呢?
李康教授:对于已经发生过的项目,由于区块链的匿名属性,用户或项目方对损失资金进行追查也比较困难。当安全事件发生后,我们可以第一时间通知长期合作的安全公司,利用专业的链上的资产追踪服务追缴资产。我们近期和欧科云链合作推出的安全标准可以有助于用户描述事件,加速资金追缴速度,减少仅仅因为沟通不畅导致的时间耽搁。
Matthew Lee:CertiK 最近联合欧科云链推出冻结资产和标签分类标准(统称安全标准)具体如何能够帮助用户进行资金追缴或者防范被盗事件呢?
李康教授:在出台安全标准后,比如目前的冻结资产标准(FAR),用户可以清楚下一步具体应该如何处理,应该提供怎样的证据证明该地址的资金属于被盗资金。这些流程化的步骤会让用户或者项目方更清楚具体的下一步,就好像向保险公司索赔一样提交保单即可。用户在这套框架下提交的标准也会更加清晰,逻辑性更强,而交易所也更容易理解。
Matthew Lee:我大概看了一些咱们这边出台的资产的标准,我对冻结资产标准其中一条:用户需要告诉交易所确切的需要的冻结交易账户,有些疑惑。因为一般“攻击者”实施攻击后,都会用大量的账户作为掩护,甚至进行跨链,使得资金痕迹变得模糊,那么普通用户在向交易所确认“攻击者“的交易所账户这一步骤上会不会难以实施呢?
李康教授:确实有一定难度。在这一方面就需要找到我刚刚提及的长期合作的链上监测服务商,类似于欧科云链。如果有些资金进入了混币器(比如,Tornado Cash),服务商在有些情况也有方法对资金进行穿透,虽然成功率不是100%。
再者,个人提交的分析报告或者穿透报告,交易所一般是不会认可。如果有专业公司,比如安全公司或者欧科云链出具证明,根据分析欧科云链有足够的证据证明该地址里面的资金属于用户,对比于用户个人出具的报告会更有说服力。
Matthew Lee:目前市场有非常多的链上数据公司可以选择,为什么最终选择和欧科云链一块合作来推出这一套安全标准呢?
李康教授:标准需要整个行业来推动,不限于我们两家公司。也欢迎更多同行加入我们。而且Web3安全相关的工作,可以推动的标准有很多,这次我们主要在推动两个框架:1. 冻结资产标准;2. 标签标准。
拿冻结资产标准来说,安全事件的涉及的利益方主要是用户和交易所,而欧科云链 和 CertiK 作为第三方服务公司,可以客观的提供理论依据。这是我们为什么和欧科云链共同合作冻结资产标准的原因。
对于标签标准来说,目前市场上有多家数据服务公司,由于各公司对各标准的定义不同意等原因,当针对某一些地址打对应标签时,不同的公司会根据自有的标签框架产生的标签可能也就不同。如果没有统一的标签标准,也就不利于最终信息的集成。
依托于 CertiK 庞大的数据库资源,旗下 SaaS 产品已实时监测和跟踪超过 20 亿个钱包和智能合约地址,对近 12000 个项目的安全动向进行实时的全面评估。而欧科云链作为一流的链上数据服务商拥有更全种类的地址标签和完善的标签框架,制定的标签标准就更加完善,更加权威。
针对安全事件防护,欧科云链认为,项目方最好需要建立严格的私钥管理且通过多签机制加大资产保护;在进行协议交互时需要做好协议兼容性;进行域名系统安全检测或者主机实例安全检测;及时更新代码合约,如果复制其他协议代码需要了解协议代码和自身项目的匹配性等。
对于用户,应该尽量做好尽职调查,有安全风险的项目一般都会有几个特征,例如白皮书逻辑漏洞百出(甚至语法错误),团队匿名或者创建过非常多不知名项目,社区活跃度较差(Twitter 每个月只发极少的推文,并且很少的预览),项目审计次数寥寥无几,以上都可以作为参考标准。
而李康教授提到的应该依赖外部专业公司的风险预警工具对项目进行参考,也是非常重要的一部分。
针对后续资金追缴,统一的安全标准起到的作用举足轻重。一套标准的,流程化的框架能够帮助用户/项目方和交易所更清晰、方便的进行资金追缴。
作为制定标准的合作方之一——CertiK,具备强大的安全事件捕捉、检测和追踪能力,以及卓越的安全分析能力。自 2022 年以来,CertiK 成功检测到超过 1100 起安全事件,涉及资金损失达 48 亿美元。迄今为止,CertiK 已审计超过了 4100 个 Web3 项目,挖掘了近 7 万个代码漏洞,保护了近 3700 亿美元的数字资产。
而作为制定标准的另一方——欧科云链,现在也已经在各方位针对安全事件做了充足的准备,尤其是对于安全事件发生后的资金追偿。欧科云链 35 亿的标签地址和近 7000 万的黑灰地址数量可以帮助项目方更好的被盗预防和资金追踪。
此次 CertiK 和欧科云链的强强联手也为普通用户和项目方在安全事件发生前的防护和之后的资金的追缴增加了信心。不仅由于上述提到的双方公司都拥有高质量、庞大的底层数据,更是依托于两者在行业中的地位,在未来相信能够吸引更多的公司加入标准。