歐科雲鏈研究院對話CertiK：行業安全事件頻發 Web3安全標准制定至關重要

2023-09-20 00:09:30

根據歐科雲鏈 H1 安全報告顯示，今年上半年的安全事件(以 REKT(被外部攻擊)和 Rug-Pull(內部跑路)為主)達到了247起，雖然被盜資金規模由於市場原因同比下滑，但是數量卻在穩步上升。安全問題在未來會是區塊鏈整個行業的巨大痛點。

歐科雲鏈邀請 CertiK 的首席安全官——李康教授，來解答關於安全事件防護以及後續資金追蹤等問題。

李康教授在計算機網絡與系統安全領域有豐富的科研和管理經驗。近期他的團隊在多個區塊鏈基礎架構實現中發現嚴重安全問題，覆蓋 Layer One, RPC 節點，MPC，TEE 錢包等方向。

Matthew Lee：您好李教授，感謝您從百忙之中抽出時間進行這次對話。我知道您在計算機網絡安全與系統安全領域都有非常豐富的經驗，所以非常期待向您咨詢 Web3 安全事件相關的問題。

我們研究院團隊一般把安全事件劃分為兩種，一種是由內部發生的 Rug-Pull 事件；另一種是由外部主導的REKT(項目被攻擊)事件，主要由閃電貸攻擊，邏輯漏洞利用，價格操控三種為主。針對這三種外部主導(REKT)的攻擊，普通用戶應該如何進行安全預警，防護自己的資產呢？

李康教授：對於普通人來說，由於缺少專業知識和工具，很難對安全事件進行預警。用戶應該考慮使用一些比較成熟的工具，例如 CertiK 的 Skynet天網動態掃描系統，或者 OKLink 的鏈上審計功能等。

這些工具都是基於以往安全事件，結合代碼的安全性，項目健康程度，運營情況，市場穩定性等綜合給出的對項目的評分，可以作為非常重要的參考依據。

Matthew Lee：我們預計 REKT 類引起的資產損失將繼續擴大，從技術的角度出發，項目方有沒有什么方法可以更好的防範這三種攻擊(閃電貸攻擊，邏輯漏洞利用，價格操控)么？

李康教授：項目方需要做的是將安全風險的考慮到融合到整個項目开發維護流程中，同時尋找合適的安全合作夥伴，比如 CertiK 或其他安全公司進行長期合作。

Matthew Lee：安全事件發生前，用戶或者項目都難以預警，那么安全事件發生後，用戶或者項目方如何進行資金追蹤挽回損失呢？

李康教授：對於已經發生過的項目，由於區塊鏈的匿名屬性，用戶或項目方對損失資金進行追查也比較困難。當安全事件發生後，我們可以第一時間通知長期合作的安全公司，利用專業的鏈上的資產追蹤服務追繳資產。我們近期和歐科雲鏈合作推出的安全標准可以有助於用戶描述事件，加速資金追繳速度，減少僅僅因為溝通不暢導致的時間耽擱。

Matthew Lee：CertiK 最近聯合歐科雲鏈推出凍結資產和標籤分類標准(統稱安全標准)具體如何能夠幫助用戶進行資金追繳或者防範被盜事件呢？

李康教授：在出臺安全標准後，比如目前的凍結資產標准(FAR)，用戶可以清楚下一步具體應該如何處理，應該提供怎樣的證據證明該地址的資金屬於被盜資金。這些流程化的步驟會讓用戶或者項目方更清楚具體的下一步，就好像向保險公司索賠一樣提交保單即可。用戶在這套框架下提交的標准也會更加清晰，邏輯性更強，而交易所也更容易理解。

Matthew Lee：我大概看了一些咱們這邊出臺的資產的標准，我對凍結資產標准其中一條：用戶需要告訴交易所確切的需要的凍結交易账戶，有些疑惑。因為一般“攻擊者”實施攻擊後，都會用大量的账戶作為掩護，甚至進行跨鏈，使得資金痕跡變得模糊，那么普通用戶在向交易所確認“攻擊者“的交易所账戶這一步驟上會不會難以實施呢？

李康教授：確實有一定難度。在這一方面就需要找到我剛剛提及的長期合作的鏈上監測服務商，類似於歐科雲鏈。如果有些資金進入了混幣器(比如，Tornado Cash)，服務商在有些情況也有方法對資金進行穿透，雖然成功率不是100%。

再者，個人提交的分析報告或者穿透報告，交易所一般是不會認可。如果有專業公司，比如安全公司或者歐科雲鏈出具證明，根據分析歐科雲鏈有足夠的證據證明該地址裏面的資金屬於用戶，對比於用戶個人出具的報告會更有說服力。

Matthew Lee：目前市場有非常多的鏈上數據公司可以選擇，為什么最終選擇和歐科雲鏈一塊合作來推出這一套安全標准呢？

李康教授：標准需要整個行業來推動，不限於我們兩家公司。也歡迎更多同行加入我們。而且Web3安全相關的工作，可以推動的標准有很多，這次我們主要在推動兩個框架：1. 凍結資產標准；2. 標籤標准。

拿凍結資產標准來說，安全事件的涉及的利益方主要是用戶和交易所，而歐科雲鏈和 CertiK 作為第三方服務公司，可以客觀的提供理論依據。這是我們為什么和歐科雲鏈共同合作凍結資產標准的原因。

對於標籤標准來說，目前市場上有多家數據服務公司，由於各公司對各標准的定義不同意等原因，當針對某一些地址打對應標籤時，不同的公司會根據自有的標籤框架產生的標籤可能也就不同。如果沒有統一的標籤標准，也就不利於最終信息的集成。

依托於 CertiK 龐大的數據庫資源，旗下 SaaS 產品已實時監測和跟蹤超過 20 億個錢包和智能合約地址，對近 12000 個項目的安全動向進行實時的全面評估。而歐科雲鏈作為一流的鏈上數據服務商擁有更全種類的地址標籤和完善的標籤框架，制定的標籤標准就更加完善，更加權威。

針對安全事件防護，歐科雲鏈認為，項目方最好需要建立嚴格的私鑰管理且通過多籤機制加大資產保護；在進行協議交互時需要做好協議兼容性；進行域名系統安全檢測或者主機實例安全檢測；及時更新代碼合約，如果復制其他協議代碼需要了解協議代碼和自身項目的匹配性等。

對於用戶，應該盡量做好盡職調查，有安全風險的項目一般都會有幾個特徵，例如白皮書邏輯漏洞百出(甚至語法錯誤)，團隊匿名或者創建過非常多不知名項目，社區活躍度較差(Twitter 每個月只發極少的推文，並且很少的預覽)，項目審計次數寥寥無幾，以上都可以作為參考標准。

而李康教授提到的應該依賴外部專業公司的風險預警工具對項目進行參考，也是非常重要的一部分。

針對後續資金追繳，統一的安全標准起到的作用舉足輕重。一套標准的，流程化的框架能夠幫助用戶/項目方和交易所更清晰、方便的進行資金追繳。

作為制定標准的合作方之一——CertiK，具備強大的安全事件捕捉、檢測和追蹤能力，以及卓越的安全分析能力。自 2022 年以來，CertiK 成功檢測到超過 1100 起安全事件，涉及資金損失達 48 億美元。迄今為止，CertiK 已審計超過了 4100 個 Web3 項目，挖掘了近 7 萬個代碼漏洞，保護了近 3700 億美元的數字資產。

而作為制定標准的另一方——歐科雲鏈，現在也已經在各方位針對安全事件做了充足的准備，尤其是對於安全事件發生後的資金追償。歐科雲鏈 35 億的標籤地址和近 7000 萬的黑灰地址數量可以幫助項目方更好的被盜預防和資金追蹤。

此次 CertiK 和歐科雲鏈的強強聯手也為普通用戶和項目方在安全事件發生前的防護和之後的資金的追繳增加了信心。不僅由於上述提到的雙方公司都擁有高質量、龐大的底層數據，更是依托於兩者在行業中的地位，在未來相信能夠吸引更多的公司加入標准。