链上安全知多少：普通人如何构建加密资产防火墙？

文章转载来源： Mint Ventures

主持人：Alex，Mint Ventures 研究合伙人

嘉宾：周亚金，区块链安全公司 BlockSec CEO

录制时间：2025.3.28

声明：本期播客我们所讨论的内容不代表各位嘉宾所在机构的观点，并且所提到的项目也不构成任何投资建议。

BlockSec 的服务范畴和目标客户

Alex：本期节目我们来谈一个与各位都息息相关的话题，就是加密世界的安全。在我们遭遇真正的风险之前，往往都以为自己不会成为新闻里安全事件的受害者。如何为自己的资产构建一个防火墙，让自己在安全的环境下投资，是我们开始加密旅程之前的必修课题。本期播客我们邀请到了区块链安全公司 BlockSec 的周亚金，跟我们聊一聊加密安全这个话题。请周老师跟我们打个招呼吧。

周亚金：大家好，我是周亚金，目前在 BlockSec 做 CEO，同时我也是浙江大学从事网络空间安全的研究人员，非常高兴认识大家。

Alex：好的，咱们进入今天的正题。我相信蛮多的听众可能对区块链的安全公司、安全服务并没有那么了解。请周老师先给我们介绍一下 BlockSec，你们提供的服务内容大概是哪些，什么样的人、什么样的机构会成为你们的客户。

周亚金：好的，BlockSec 是一家 Web3 安全公司，我们成立于 2021 年，由我和吴老师共同创立。谈到 Web3 的安全，大家可能第一想到的就是安全审计。其实 BlockSec 的业务范围不仅仅是安全审计，我们还提供一系列其他的安全产品和服务。具体来讲，服务可以分为三大板块。第一个板块我们称之为针对链上协议的安全。链上协议就是我们讲部署在区块链上进行一些 DeFi 或者是 NFT，或者其他活动的一些智能合约。这些合约的安全性应该如何保障呢？BlockSec 就提供了安全的审计服务和安全的监控的产品。第二块我们比较关注的是资产的安全。所谓资产的安全就是用户手头所拥有的资产，比方说这些资产是在自己的合约钱包里面，或者投资在一些链上的协议里面，怎么去保证这些用户资产的安全性，也是我们 BlockSec 的服务范畴之一。第三块是合规跟监管。我们发现越来越多的传统的金融机构进入到 Crypto 行业里面。包括我们最近能看到新闻，美国的这些传统银行在链上发一些稳定币资产，包括 Crypto 进入到跨境支付的行业里面。那实际上这些传统金融机构进入到这个行业里面之后，给监管带来一个难题，监管机构不知道怎么去监管，这些机构又不知道怎么符合合规。所以我们也有在帮助监管机构去监管进入到 Crypto 行业里面的这些玩家，或者说去帮助进入 Crypto 行业里面的这些传统机构进行合规。这是我们业务的三个范围。

我们的客户覆盖的范围比较广。大家能想到的是在链上做去中心化金融或者说其他的一些服务的项目方，比方说在链上提供 Lending 的平台，提供去中心化交易的平台，这些项目方是我们的客户。我们可以帮助他们在智能合约部署上链之前，做一些安全的审计，通过安全的视角 review 他们开发的智能合约是不是有安全的漏洞。如果有安全的漏洞，需要及时修复。同时当他们的协议部署到链上去之后，我们也会有一个 7×24 小时的监控平台去监控他们协议的安全风险。如果发生任何安全风险，我们的平台可以及时通知到协议，并且能自动化阻断风险和攻击。所以在链上部署智能合约的这些开发者和项目方，是我们一类的典型客户。第二类的典型客户就是拥有资产的人，可能是一些高净值的客户，他们拥有一些资产在合约钱包里面，或者说这些高净值的客户会去投资链上的一些协议。我们的服务和产品可以帮助他们更好地去监控他们所投资的那些协议的安全性。就像硬币的正面和反面一样，从协议项目方的角度来说，我们可以帮助他们提高协议的安全性。从投资他们协议的高净值客户的角度，我们可以帮助他们监控他所投资的协议的安全性。一旦他投资的协议有安全风险，比如说被攻击，他需要第一时间能撤回他的资金。第三类客户就是我刚才讲的监管和合规，这一类客户主要是一些监管机构，比方说香港的证监会其实也是我们的客户，还有海外的一些执法机构，需要去调查涉及到数字货币犯罪的时候，他们需要使用我们的工具和平台，方便去做一些证据的提取、资金的追溯等调查活动。这个基本上是我们整体的业务以及我们客户的范围。

关于加密安全的三点建议

Alex：明白，刚刚周老师谈到了客户类型，他们有什么样的需求，以及一个大概的行业情况。那么第二个问题可能跟个人投资者会关联度比较高一点，尤其是我们的听众蛮多是刚刚开始进入 Web3 去学习跟尝试投资的人。如果您身边有一个朋友，他刚刚进入加密投资领域，他知道您是做加密安全服务的，请您给他提三个关于加密安全的建议，您会给他提的建议是哪三个？

周亚金：这个问题非常好。我身边的朋友也经常问我一些安全建议，他们也想进入这个行业，但是又听说好像很多人都会遇到一些风险。我们曾经有个开玩笑的说法：如果你进入 Crypto 圈子之后，没有被钓鱼，也没有被诈骗，你就不会成为这个领域里面资深的玩家。当然这是个开玩笑，但确实你也能发现这个行业里面存在很多风险。如果要提三个建议的话，第一个建议肯定是每个人都会想到的，就是关于私钥保护。在 Crypto 领域里面，怎么来证明你拥有这个资金，其实就是用你所拥有的私钥来证明你对这个账户的所有权。私钥就是一串数字，这也是跟你的个人身份没有任何绑定的。这串数字一旦丢失或泄露，别人就可以和你一样拥有你自己资金的控制权。这个跟我们现实世界非常不一样。在现实世界里，你的银行密码泄露了，你可以打电话给银行要求冻结账户，别人没有办法来取钱。但是在 Crypto 世界里，如果你的私钥泄露，那么拥有你私钥的人就可以无限制地从你的账户里将你的资金转走。通常来讲保护私钥有几种方法，比如我们有硬件钱包，用合约钱包或者用手机的 APP 来保护私钥。每一种方法其实都有它自己的优缺点。通过我自己的经验以及我们身边的一些安全朋友的整体经验，基本的原则就是私钥的助记词，把它记下来放到保险箱里面，无论这个保险箱是你自己家的还是银行的，把它存好，平时不要动，基本上你也用不到。然后用一个你相对比较可信的设备，无论是硬件钱包还是手机，去存储好你的私钥。这个手机一定是个专用的设备，不要去从事任何其他的操作活动，只是用来管理你自己的数字资产。这是第一个建议。第二个建议是在链上交易的时候一定要有安全和风险的意识。本质上你只要记住一句话：天上不会掉馅饼。我们发现在链上交易的时候，用户面临的钓鱼的风险非常大。包括我们所熟知的加密圈的很多的 KOL 和 OG 都曾遇到过钓鱼攻击，并且损失了很多资金。如果说一个莫名的网站要求你连接钱包去获得所谓的空投奖励，这个时候是需要比较小心地，一定要有注意安全的意识。第三个建议是你需要稍微了解一点加密资产基本知识。基本知识指的是在加密资产里面，我们通常有授权这么一个概念。这个是跟传统金融不太一样的地方。比方说你拥有一类的数字资产，USDT 或 USDC ，通过链上的签名，你可以将资产授权给一个合约或其他用户来使用，并且这样的授权只需要通过你的钱包签署你看不懂的一堆奇奇怪怪的东西就能实现。所以在签署钱包签名的时候，你因为不太明白或者说被欺骗，签署了授权的交易，那别人就可以动用你所有的数字资产。所以你稍微要对授权这件事有一些基本的了解，在签署钱包签名的时候才不会误签名这样的交易。总结起来，基本上建议就是：第一个是保护好你自己的私钥，给了一些可操作的方法；第二个是在进行链上交易的时候需要时刻小心，要有安全意识不要被钓鱼；第三个是要对 Crypto 的授权机制有基本的了解，这样的话不会误签名一些授权的交易。

Alex：我身边其实有蛮多高净值的朋友，他们也是行业里面的 OG 或者说老手，按理来说您提到的这些安全意识，他们多少都是有一点的，但是每年我都会听到身边有一些大户被盗。行业里有一个说法，说如果一个专业的黑客盯上你了，他知道你的钱包是有钱的，如果他动用了可动用的所有资源，你往往是很难逃过的。这样的说法您觉得有道理吗？真的是这样吗？

周亚金：你这个问题非常好。其实安全问题，特别是涉及到 Crypto 安全，本质上是一个不平衡的对抗。如果你的钱包里面拥有足够多的资产，你就非常容易成为别人定向攻击的目标。而一旦你成为别人定向攻击的目标之后，别人会动用非常多的资源，无论是社工的资源、技术的资源还是其他资源，根据目标的日常行为模式、生活的习惯等来设计针对你的攻击方法。在这种情况底下，不能说百分之百，但你防御的难度是非常高的，因为别人对抗你动用了非常多的资源，而你只有你自己。所以它是一个非常不对称的对抗。在这种情况底下，我觉得基本的原则，第一个是我们中国人有句话叫财不露富，就是说你不要把自己拥有的资产公开出来，要避免把自己个人的线下身份和链上资产的身份关系泄露出来。第二点是即使你是一个高净值的用户，可能已经被别人泄露了，那么你需要尽可能地做好资产的隔离。就是说你平时日常操作的资产，专用的钱包里面可能最多就是 10 万块钱，别人定向到你，最多就只能把这 10 万块钱骗走。而你其他的大量资产应该放在一个平时基本上不需要动用的钱包里面。如果你需要动用这些资产，你要找安全专家帮你一起 review 一套比较好的操作的流程和规范，这样能规避掉非常大的风险。

印象最深的三个安全事件

Alex：明白，这个建议确实非常重要。您能不能给我们分享一下从业以来印象最深刻的三个安全事件？可以是您自己亲自经历的，也可以是身边的朋友或者您的一些见闻。

周亚金：我可以给大家分享一下我们实际上亲自参与处理过且印象比较深的安全事件。第一个例子我记得是在 2023 年 2 月十几号，链上有一个协议叫鸭嘴兽协议被攻击了。它是一个借贷加上其他功能的平台。这个协议有一个安全的漏洞，黑客通过这个漏洞，大概窃取了将近 9 个 million USD 的资产。这个事情之所以我印象比较深刻，是因为黑客在攻击鸭嘴兽协议的时候犯了一个错误。他去攻击智能合约的时候，需要自己去开发一个智能合约。智能合约可以理解成一个可以自己运作的一串代码。黑客攻击的时候，部署了自己的攻击的合约，这个攻击的合约就完成了整个攻击的过程。但是攻击者也是人，我们都知道只要是人都会犯错误。他在写攻击智能合约的时候犯了错误，合约里面有一个可以被利用的漏洞。这个漏洞可以将存储在攻击合约里面的那些资金提取出来，也正是攻击鸭嘴兽协议所获得的资金。我们作为一家安全公司，其实时刻在 follow 链上的攻击事件，并且我们有一套攻击检测的引擎，对链上时刻在发生的这种攻击都能第一时间感知到。很巧的是鸭嘴兽被攻击的时候，我们已经第一时间检测到了。我们会独立分析这个安全事件，比如他攻击的原因到底是什么，漏洞在哪。同时我们也会联系项目方去帮助他们，告诉他们怎么打补丁，怎么去处置。在这个过程当中，我们发现了黑客的漏洞，就告诉项目方可以利用这个漏洞。然后我们跟项目方一起开发了一串代码，将攻击资金也就是 9.5 个 million 里面的 2.4 个 million 从攻击者合约里面提取出来。这也是整个区块链安全历史上第一次我们称之为叫 hack back，就是说利用它的漏洞，将它窃取的资金再提取出来还给项目方。这是一个特别有意思的对抗的事情，我印象蛮深刻的。

Alex：你们跟鸭嘴兽之前是合作关系，还是说是经过这个事件之后才开始交流？

周亚金：我们之前其实是没有任何的合作关系，有了这个事件之后才联系。我可以延伸讲一下整个安全事件处理的流程。我们自己内部有一套安全攻击的引擎，当安全事件发生了之后，我们的引擎会第一时间报警，我们内部有一个应急响应的小组会一起来分析。首先我们看一下被攻击的协议是哪一家的，然后会通过各种方式，无论是链上 Twitter 还是其他方式，我们会尝试联系这个项目方。在鸭嘴兽这个 case 里面，我们之前没有他们的联系方式。我们通过 Twitter 联系到项目方，然后协助他去分析整个被攻击的原因，因为很多时候项目方也不知道为什么被攻击的，反正就是协议里的钱不见了，但是原因搞不清楚。这时候就需要安全公司一起来协助他进行分析。分析完了之后就涉及到协议怎么修复。如果原因搞清楚，那就要修复这个漏洞，补丁怎么打，打完之后是不是安全，以及被盗的资金追踪，也需要像我们这样的安全公司来一起协助他。我们会在整个的应急响应流程里面一直跟项目方一起去处理。具体到这个 case，实际上之前我们跟这个项目没有联系，但是比较幸运的是在处置的过程当中，我们及时的联系到他，并且能把其中的一部分资金追回来。其实更多的 case 是我们发现了攻击，但是联系不上项目方。

然后第二个案例也比较有意思，这也是 2023 年的时候发生的。咱们的中文听众可能会更熟悉一点，因为这个案例涉及到一个项目叫 ParaSpace。ParaSpace 是可以质押无聊猿的 NFT，借其他的资产出来。我知道很多的中文 OG 其实都是无聊猿 NFT 的持有者。这个协议其实有一个安全的漏洞，在 2023 年应该也是 3 月份的时候被攻击了。我清楚记得是北京时间上午或者中午这么一个时间段。我们的系统第一时间预警了之后，首先我们联系项目方，得去分析原因。但是我们发现我们系统所爆出来的第一笔攻击交易在链上被 revert 了，revert 的意思就是说这个攻击者在攻击的时候，手续费不足，所以导致这笔攻击交易在上链的时候没上成功。但是他攻击的交易行为和 trace 已经在链上暴露了。我们的系统同样也能检测到这种我们称之为叫 reverse 的交易，就是失败了但是又上链了交易。这就是我们引擎的能力，能判断这是一笔攻击交易。判断出来之后，我们就想了一个办法说，我们能不能模拟攻击交易的行为，自动化生成一个跟它一样的攻击交易，但是这个攻击是要打个引号的，我们要将交易里面获利的地址替换成我们的地址。通过这种方式就可以将当前已经处于危险的协议里面的资金拯救出来放到我们自己的安全账户里面，再联系项目方将资金返还给他们。这就类似于说坏人的刀已经快砍下去了，但是不知道什么原因第一次尝试没有成功。我们也可以尝试用同样的方法将资金提前支取出来，这样攻击者第二次尝试攻击的时候，协议里面没有资金了，攻击就会失败。我们有了这个想法之后，实际上我们内部有一套系统，我们能很快就自动化去做这样的事情，然后自动化生成了“攻击”这么一个交易，把它发上链，将 ParaSpace 协议里面的这个 500 万美金的资产支取出来，然后我们联系项目方将资金返还给他们。这其实也非常有趣，是历史上金额最高的我们称之为叫 rescue，就是拯救链上资金的这么一次行动。如果没有这次拯救的话，他们的资产可能就都被洗劫一空了。

但是这个安全事件之后，实际上也引发了我们很多的思考，因为这里面有很多安全道德和伦理上的一些问题。比方说我们观察到一笔攻击之后，虽然将这个协议里面的资金支取出来，但是这本质上仍然是一笔攻击的交易。模拟了攻击者的行为，虽然是出于好意把资金支取出来再返还给项目方，但严格来讲仍然是一次攻击的行为。这里面涉及到合规和安全伦理的问题。我们当时的思考是说，当你看到一个坏人用刀去刺向一个好人的时候，你应不应该出手阻止，还是说任由它发展。我觉得我们选择的是出手阻止，虽然这里面有一些道德伦理、安全伦理的问题。经过这次事件之后，我们也深刻意识到链上的安全不能通过我们刚才讲的 hack back，也就是把它 hack 回去的这种方式来拯救资金。应该要让项目方第一时间知道他所面临的安全风险，他得知道项目被攻击，然后他可以去配置一些自动化运行的策略。当这些安全事件发生的时候，我们的系统告诉他，他应该可以自动 pause 协议，这样的话攻击就不会成功了。既阻止了攻击，拯救了用户的资金，又没有任何安全伦理上的这些风险。这是我们经过这两次事件之后，开发了后面的 phalcon 攻击监控以及阻断的产品的一整个思路。这是我印象当中第二个比较大的安全事件。

Alex：这个安全事件我好像当时还注意到过。您刚刚讲到保护性的攻击，我想问一个细节，就是您刚刚提到的 revert 攻击发生之后，你们肯定需要一个内部的讨论跟决策，去看要不要做保护性的攻击。从发现这个事件到做完决策决定去保护资金，当中隔了多少时间？

周亚金：非常快，我们从第一时间知道到最后完成这件事情大概也就是几分钟的时间。因为公司已经形成一个非常完善的安全处理流程，知道安全事情之后马上就会进行讨论和决策，决策完了之后因为已经有一些自动化的工具，所以很快就能把事情给做了。

Alex：明白。

周亚金：第三个案例是大家应该最近都关注到的 Bybit 安全事件，二月份的时候有 15 亿美金的资产被盗。这个攻击也是迄今为止安全圈里损失最大的单笔的安全事件，而且它的损失跟我之前面讲的两个安全事件有非常大的不同。前面两个安全事件都是由合约漏洞造成的，但 Bybit 的安全事件其实跟智能合约的漏洞没有任何关系，我们称之为信任链条过长。在一个这么大资金体量又有这么长信任链条的体系里面，攻击者通过社工的攻击找到了最薄弱的环节，然后完成了攻击。具体来说就是，Bybit 使用了合约钱包叫 SAFE，它是一个智能合约的钱包来去管理它。SAFE 是一个多签钱包，你可以把它理解成一把锁需要三个人同时开，这把锁才能打开，才能把里面的资金给取走。这个锁是一家提供这么一个合约钱包的项目方做的。你会发现在这个体系里面信任链条非常长，包含 SAFE 钱包的开发者、运营 SAFE 协议的这些人，以及使用 SAFE 钱包的时候要通过浏览器里面 UI 的界面，还有 SAFE 钱包的操作者，就是我们说拥有三个钥匙的 Bybit 的员工，或者说有资金操作权限的人，他操作这个 SAFE 钱包得要通过电脑的浏览器或者说通过他的硬件钱包。你会发现这里面涉及到的方方面面特别多。我们讲安全，其实安全攻防的时候特别难的点在于，防御的时候你得要让你的系统不能出现任何短板，因为系统安全的水位是取决于系统里面最短的那个板。攻击者不需要攻破你系统里面做得很好的地方，他只需要找到你系统里面最薄弱的那个点在哪，然后通过那个点就可以发起攻击，完成整个过程。在 Bybit 这个 case 里面它整个的攻击的流程是这样的，他可能发现首先这是一个定向攻击，因为他发现 Bybit SAFE 钱包，就是这个智能合约的钱包里面有非常非常多的资产，他选定的目标是这个 SAFE 钱包的开发人员，因为我们刚才讲就最后无论谁去操作都要通过 SAFE 所提供的这么一个 UI 界面，就是它的网站来去操作你的资产。那如果我能通过社工的方式或者说通过其他方式去攻破开发者的电脑，让开发者部署一个恶意的代码在 SAFE 的网站上面，然后任何人去 SAFE 的网站上操作他的这个钱包的时候，看到的操作行为跟实际链上发生的操作行为是不一致的，但是正常的用户并不了解。就比方正常用户到银行的 APP 里面操作的时候，在银行 APP 里面看到转账 100 块钱，实际上转出 900 块钱，但是我并不知道，因为我在这个 APP 里面看到的是转账 100 块钱。那如果你通过攻破 APP 的开发者或者说攻破 SAFE 钱包的开发者，使得操作人员在钱包里面看到的操作界面跟实际发生的行为规则，就可以完成整个攻击的过程。它实际上也是通过这种方式来完成的。那它又是怎么能把这个开发者权限给拿到呢？是通过一些社工的攻击，最后完成了整个的攻击的过程。那在这个里面，即使在 SAFE 的开发者被攻破的时候，实际上我们还有其他的机会。比方说如果你钱包的签名的时候，能告诉你签的交易是什么，和在网站上看到的交易是不一致的，实际上也是有机会的。以前很多银行有 U 盾，如果大家有经验，你会发现在 U 盾上按按钮的时候会有个显示屏，它告诉你现在在转账 500 块钱，你是确认还是不确认，你可以在 U 盾的设备上进行确认。它实际上解决的就是这个问题，因为即使我的 APP 被攻击了，APP 告诉你你转了 100 块钱，但是 U 盾在最后你去确认的时候告诉你转了 500 块钱，你就发现不一致了。具体到这个 Bybit 的 case 里，如果你签名的钱包里面能有这样比较好的提醒能力，实际上也是能阻止这样的攻击的。但是比较遗憾的就是在这个 case 里面，签名的硬件钱包也没有做得特别好。SAFE 的 UI 被攻破了之后就签署了这么一笔恶意的升级的交易，然后攻击者接管了钱包就转走了 15 亿美金。所以这个是印象比较深刻的一件事。这个事情给我们带来的一个启示是，涉及到大体量资金的一定要做交叉验证。你不能相信单一的提供商或单点告诉你的信息。如果依赖于单个供应商或者单个界面告诉你的信息，只要这个被 compromise，系统链接就没有了。所以一定要做交叉验证，必须要有一个第三方通过第三方的视角帮你去 verify 看到的东西是不是真的。在这样的情况下，可以进一步降低风险。

亲历社工攻击

Alex：刚刚您提到的案例当中，有一个词叫“社工攻击”，可能不一定所有的听众都能理解这个概念的含义，您能不能解释一下？

周亚金：社工攻击全称叫社会工程学攻击，它利用的不是一些技术手段，而是你的工作习惯、人际交往关系、你所承担的工作职责等，针对你所设计的一套攻击手法。我可以举一个我自己亲身经历的社工攻击的案例，大家就比较容易理解。我作为 BlockSeo 的CEO，经常会收到一些信息，主要有两类，第一类是参与播客、会议、采访的一些邀请。第二类是一些投资机构，他会跟你联系说有些投资的机会。我遇到过一个通过公司邮箱发邮件说自己是某一个投资机构的人，希望来商量一些投资的机会。我们安全的 sense 还是比较强，会观察他的邮箱和域名，有时候会去做一些背调，看一下他公司的网站，以及投资的 profilio。做了背调之后，我发现这是一个挺像模像样的机构，虽然这个机构我从来没听说过，就跟他在 Calendar 上约了一个会议。但是这个时候你会发现，第一个奇怪的现象就发生了，在 Calendar 上约会议的时候，他没有提供任何的会议链接给你。我们一般约会议，会连接 zoom、google meet 或其他的会议软件。但是他没有提供任何会议链接，只是约了一个时间。到了要开会的时间，你发邮件给他说我们已经要开会了，把你的会议链接发给我。他马上就给你发一个会议链接，你点击这个链接之后会发现很奇怪，他要求你下载一个软件。如果这个时候你没有经验，觉得马上要开会了比较焦急，他就利用你焦急的心理不停通过邮件催促你，给你邮件轰炸。你急于想促成这个机会，可能就毫无犹豫地去安装这个软件，但其实它是一个含有恶意成分的视频会议，会窃取你存在电脑里面的私钥。这是我真实经历过的一个社工攻击。所以你可以发现，攻击者会针对我在公司的职位和我承担的工作职责，利用我在开会之前比较焦急的那种心理去发起攻击。

Alex：我看前两天行业里面也有一个关注度不小的事件，就是某一个协议的创始人说自己在参加线下聚会的时候，手机离开自己大概就十几分钟，手机的钱包里面大概几百万资金就被盗了。假设这个攻击是在他手机离开的时候发生的，这是不是也是属于社工攻击的一种？

周亚金：对，我觉得它属于社工攻击的一种，但它其实还不太属于我们通常意义上的社工攻击。因为在这个 case 里面，他的手机只是离开他一段时间，当然可能别人邀请他或者说接近他的目的主要就是为了拿他的手机，但是拿到手机之后怎么将手机解锁，获取里面的资金，其实还有非常强的一些技术支撑在里面。

与区块链协议交互时的安全原则

Alex：明白。刚刚我们谈了很多很有代表性的一些大的安全事件，那么回到我们普通人做区块链协议交互的时候，就像您说的，您之前服务的很多项目都是 Defi 协议，我们很多人在链上去交互的时候很多也是 Defi 协议。我们在跟这些 Defi 协议或是别的协议去交互的时候，有没有一些需要遵守的安全原则？我相信大部分的普通用户是没有代码阅读能力的，甚至可能连去阅读签名的信息的能力都不太具备。在这种情况下，我们怎么样去尽可能降低这种风险？

周亚金：我觉得普通用户如果要去做链上交易，首先要做好项目方的一些背调，我觉得还是挺重要的。你去投资一个链上的项目，如果你是小资金体量本着去试一试的态度，那可能还好。但是如果你是非常严肃地说，我是一个投资者要投资链上协议，这时候因为你的资金体量相对比较大，你可能是需要对项目方进行比较好的尽调。这里面的尽调基本上要分为以下几个层次。第一个层次是说这个项目方的创始人是谁，是不是匿名，因为有一些链上的协议是匿名协议项目。你得知道这个协议的质量，你得知道在外面抛头露面的创始人是谁，他有没有曾经 rug 过项目的历史，这个非常重要。就是说你首先要对协议本身的组成和创始人身份做一些背调。第二点你需要对这个项目方本身的技术能力去做一些背调。你可以看一下这个项目方是不是经过了比较头部的安全公司的审计。像刚才你讲的可能很多用户不懂技术、代码，看不懂审计报告，但是你可以将审计报告拉下来，简单 review 一些核心的关键点。比方说是哪几家审计的，他们的风评怎么样，这个报告里面有没有一些核心观念的安全漏洞。并不是说报告里面有发现核心安全漏洞就说明这个协议不安全，恰恰说明这个安全公司可能比较尽职，它找到了一些安全漏洞，会使得项目方的整体安全风险降低，要辩证看这件事情。有了对项目方的背调之后，基本上你在做交互时也要采用渐进式的方式，不要一次性大资金体量进去，这样风险还是比较高的。再一个是需要借助一些专业的安全工具，比方说一些攻击监控，一些工具和平台。如果你的资金体量比较大，那你一定是需要时刻掌握你所投资的这些协议的安全风险。你可以通过一些平台，比如通过我们的 phalcon 平台去监控你所投资协议的整体安全性。对于资金体量比较小的用户，我觉得在做链上交易的时候，主要防范的还是钓鱼的风险。毕竟协议被攻击的概率相对来说没有那么高，但是链上钓鱼、授权等风险确实是普通的用户在链上时，时刻都有可能会发生的。防范这些风险还是说你不要太贪心，不会天上掉馅饼。你在交互的时候，尽量要去确认这是个官方的网站，而不是山寨网站。至于怎么确认它是个官方的网站，可能还是需要有一定的信息收集跟整理的能力。当然你也可以使用一些安全工具去识别钓鱼网站。通过这样的方式可以规避掉一些风险。

Alex：我注意到一个事件，前两天币安下了很多项目的代币，说他们能够提供的运营各方面都不达标，所以币安把它下了。然后项目方就说可能因为各种各样的问题，这个项目后续就不运营了，处在一个半废弃的状态。那么假设这个用户可能一两年前使用过 DeFi 协议，这个协议目前项目方没人管了，代码的升级权限也不知道在谁那边。像这种特定案例下，会不会因为他们的升级权限没有得到妥善的管理，导致被黑客或者说是别有用心的人掌握了，导致你之前的授权没有取消的话，钱包里的资金会被这些后续的影响所威胁到。

周亚金：是的，这个也是有可能的。特别是像你刚才讲的，如果一个用户把自己的资金授权给一些协议，而这些协议和智能合约后续可能都已经没有人维护了，那如果这个授权不取消，实际上就有可能有安全风险。关于这个问题的解决，就是我们一直建议普通用户要比较好地 regular review 自己的授权。你可以将不使用的那些授权撤销掉。很多用户可能不太了解自己已经授权给哪些项目方了，我们做过一个工具叫授权诊断工具，你输入一个地址，我们就能告诉你这个地址授权过给哪些协议。我们发现其实很多用户授权给几十个协议，很多协议现在都已经不活跃了，而不活跃和没有安全升级的这些协议就有可能会有安全漏洞。只要有安全漏洞存在，别人就可以通过你授权的协议的漏洞转走你的资金，这其实也是一个蛮大的风险。

Alex：明白。关于交互的安全，我还有一个问题。过往的一些被攻击的 DeFi 协议也好，别的协议也好，我们发现用 DEX 之类的相对来说被盗、被攻击的数量不如像借贷或者质押类的这么多。这个跟这两类协议它本身的智能合约类型有关系吗？还是有其他原因？

周亚金：你说得很对。相对来讲，DEX 的安全风险会比其他的借贷、Yield farming 以及一些金融衍生的协议的安全风险低一些。因为首先 DEX 的整体协议比较简单，在链上的 DEX 里面的协议就是xy=k 这种恒定乘积。当然 Uniswap V3 稍有不一样，基本的核心就是恒定乘积公式。那么首先它协议简单，其次它已经有一个非常好的参考样例，就是 Uniswap，很多的 DEX 都是从 Uniswap 这个 fork 出来的，所以只需要简单做一些修改就能部署一个链上的 DEX。它整体的安全风险的头寸会比较低一点。但是对于 lending 也好，Yield Farming 也好，或者说其他的杠杆借贷，还有一些更复杂功能的协议，它本身的协议的设计就比较复杂。比方说我们去做一个借贷平台，原理上好像听上去就是我放一个资产 A 进去，借出资产 B，我只要控制好它的整个资产的健康度就 OK 了。但是比方说你要支持的抵押物的资产的种类、资产的价格波动，然后你如果要支持杠杆，你怎么能时刻保持用户即使还掉你的钱，整个健康度还在。它本身协议的复杂程度就会比较高，所以导致这些协议被攻击的概率更大。我觉得这是第一个原因。第二个原因是 DEX 本身是不存钱的，当然 DEX 里面的那些钱都是流动性的提供者，就是你提供流动性的钱放在里面。而你真正去使用 DEX 的人，只要 swap 一下，放 token A 进去，马上 token B 就回来了，所以你的资产并没有在 DEX 的 Pool 里面。即使 DEX 的 Pool 被攻击，大部分用户不会损失，损失的是提供流动性的那些人。而在 lending 平台和其他平台就不一样了，你的资产是实实在在放在里面，而且你是超额抵押。你如果是一些其他的更复杂的协议，就是本身就会有留存很多用户的资产在里面，它被攻击之后，受损的用户的群体也会相当于比较大，我觉得这是第二个原因。

然后我们也发现过去在历史上，DEX 其实也不是没有被攻击过。它被攻击的原因都比较简单，首先因为 DEX 的风险敞口其实在于授权，因为你要 swap 的时候，你需要将你自己的代币授权给 DEX 的路由合约，虽然路由合约不存钱，但如果路由合约里面有一些任意执行的漏洞，那就有可能会将所有授权给 DEX 的用户的资金卷走。我们发现 DEX 有漏洞造成比较大损失的主要都是这种类型，但这种类型相对来讲比较容易发现。只要是一个比较合格的审计师，实际上都是比较容易发现的。

Alex：所以在刚刚您说的授权的漏洞这个案例里面，如果一个审计公司发现 DEX 有任意执行这样的权限，一般都会去给他建议说这是不合理的，或者在报告披露的时候会去提醒大家这个事情？

周亚金：对，这一定是个漏洞，一定是不合理的。如果让安全公司审计，它必须要把这个给修复掉，这是一个非常 critical 的漏洞。

区块链安全行业的现状和潜力

Alex：OK，刚刚我们聊了很多在安全攻防上，以及如何保护个人资产安全的一些具体问题。我们来聊今天最后一个问题，关于区块链安全行业的情况。就像您说的，21、22 年的时候因为 DeFi 很多，区块链安全行业的客户量非常大。那么到今年为止，目前安全行业的行业规模水平大概是一个什么样的级别，另外它的发展现状、利润水平大概是怎么样？

周亚金：这是一个很好的问题，因为我们在区块链安全行业里面，你得时刻知道这个行业目前的阶段在哪，天花板在哪，才能更好地去发展公司。目前其实没有一个公认的数据说整个区块链安全行业的 market cap 到底是多少。但是网上有一些报道，或者他们根据自己的测算，他们觉得区块链安全的整体行业规模，一年大概是在 30 亿美金左右。这个规模其实相比于传统网安的产业是相对比较小的。比如说在 2024 年，整个传统的网安的规模应该是在 1000 亿美金左右。1000 美金对比 30 亿美金，其实差距还是比较大的。我觉得这跟整个行业发展的现状是有关系的，因为区块链安全本质上是服务区块链行业的一个安全的产品和服务，区块链行业整体其实现在还处于比较早期。比方说之前发展得比较好的时间段是在 Defi Summer 的时候，有一些新的创新点进来。最近一两年，Defi Summer 的金融创新的热潮过了之后，好像并没有一个特别好的更创新的东西进来，导致整个区块链产业的规模实际上在 2022 年应该是达到了 TVL 最高的时候。我记得那个时候的整个区块链安全的 TVL 的最高水平应该是 177 个 Billion，就是 1000 多亿美金。但今天我在参加这个节目之前看了一眼数据，现在的整个 TVL 是 99 个 Billion，也就是说离最高峰可能一半多一点点，导致说我们区块链这个行业的发展好像遇到了一个瓶颈。

但是与此同时，我们也发现了这个行业新的潜力，就是传统的金融机构在慢慢进入这个产业。传统的金融机构进入产业里面有一些信号，比方说传统的银行在链上发稳定币，而且是符合监管的。传统的支付比如说 Stripe 这样的支付厂商在支持 Crypto 的支付。一些是跨境支付的通过 Crypto 来解决传统的跨境电商所面临到的支付问题。所以我们会发现说虽然没有像 21、22 年 DeFi Summer 所带来的创新引发了 TVL 的新高，但是传统的金融机构和有真实场景需求的商家在进入这个行业，他们进来之后会带来整个行业的合规化。一个行业如果想发展得比较大，一定是要在监管的框架和体系里面合规地发展。我觉得这是我们能看到的最近一两年的机会。所以总体来讲区块链安全整体的产业规模还比较小，还处于早期。但是随着传统金融机构的进入，越来越多的监管和合规化之后，我觉得这里面爆发的潜力还是比较大的，这是我自己的一个观察。

头部安全公司的护城河

Alex：好的。我印象非常深刻，在 21、22 年的时候，当时感觉区块链的安全公司，尤其是做智能合约审计的都非常赚钱。甚至说一些比较知名的安全公司如果能让你插队安排快点审计都感觉是对你的优待。您认为比较头部的那些安全公司的护城河主要有哪些？

周亚金：我觉得可能有几个点。第一个点在于说品牌和信任。特别是安全审计，它其实是对品牌认知要求非常强的一个服务。您刚才讲到之前市场比较好的时候，审计非常火，可能需要排很长的时间。实际上今天头部的安全审计公司仍然是这么一个情况，并不是说一个项目方来审计，马上就能有人力资源去供给。头部的有品牌效应的安全公司仍然处于这么一个供不应求的状态。所以我觉得一个护城河就是品牌跟信任，怎么在区块链安全行业里面建立比较好的品牌形象，以及品牌背后所带来的信任，无论信任是来自于用户、项目方或其他的参与方，这个是非常重要的。第二点是需要安全的创新技术。我们除了解决区块链安全问题，除了做安全审计之外，真的没有其他的需要补充的解决方案了吗？安全的审计它只能解决项目的智能合约部署在链上之前，做一次安全的 review。可是真正项目上线之后，项目方可能改参数，它有可能做一些日常的 configuration，日常的升级因为排队或者成本考量没有再去做审计，那就是有很多在智能合约部署了之后因为各种原因导致了安全问题。我们不能只依赖于安全审计解决这样的问题，得要有一些安全创新的技术和产品能去解决这样的问题。这个也是我觉得 BlockSec 跟其他的区块链安全工作非常不一样的地方，我们除了有安全的审计服务到协议上线之前的智能合约安全之外，我们还有很能覆盖到智能合约上线之后攻击的监控跟阻断的平台，这也是全球唯一一家区块链安全公司里面，兼有智能审计和攻击监控，能覆盖整个智能合约全生命周期的一家安全公司。这非常重要，就是你得要有安全创新的技术和产品能在这个市场里面帮助用户真正解决问题。第三点是合规、监管，以及地缘政治的影响。Crypto 这个行业一定最后是会需要在合规跟监管底下才能有可能获得大规模的发展机会。这个观点不是每个人都认同，只是我们在这个行业里面待了那么多年，我们能看到这个行业要发展一定是在阳光底下，一定是在合规跟监管的体系底下，才能把传统的那些老钱吸引到这个行业里面来。在这个情况底下，提早做好合规跟监管的产品跟服务。合规跟监管的产品服务需要你对这个行业的监管政策、合规要求有比较深的理解，然后还能把它变成产品化。另外所谓的地缘政治的影响，就是有一些地区选择供应商的时候，其实是有一些地缘的考虑。比方说香港的监管机构可能比较倾向于选择非美国供应商的产品。那么当你对监管政策合规了解比较深，又有比较好的产品，还能有一些地缘政治的影响，我觉得这是区块链安全公司的护城河。

Alex：了解。今天咱们聊加密安全这个话题维度还是挺多的，从具体的一个安全事件，到每个人需要注意的一些安全性的原则，然后包括整个行业的发展规模等等我们都有聊到。非常感谢周亚金今天能够到我们节目分享这些真知灼见，希望我们以后还能有别的机会再聊一聊更多相关的话题

周亚金：谢谢 Alex。