安全特刊05|OKX Web3 & BlockSec :@所有巨鯨,DeFi世界最新避險攻略

24-06-04 16:03
閱讀本文需 51 分鐘
总结 AI 總結
看總結 收起
原文標題:《安全特刊05|OKX Web3 & BlockSec :@ 所有巨鯨,DeFi 世界最新避險攻略》
原文來源:OKX


引言| OKX Web3 錢包特別策劃了《安全特刊》欄目,針對不同類型的鏈上安全問題進行專期解答。透過最發生在用戶身邊最真實案例,與安全領域專家人士或機構共同聯合,由不同視角進行雙重分享與解答,從而由淺入深梳理並歸納安全交易規則,旨在加強用戶安全教育的同時,幫助用戶從自身開始學會保護私鑰以及錢包資產安全。


DeFi 世界最大的魅力就是,每個人都有成為「巨鯨」的潛力


但即使「巨鯨」也不能逞強,雖然吃肉,但也有「挨打」的時候


所以,鏈上玩耍,安全第一


不然,又要「白手起家」~


本期是安全特刊第05 期,特邀區塊鏈安全先鋒BlockSec 與OKX Web3 錢包安全團隊,從實操指南的角度出發,給所有即將成為或已經成為「巨鯨」的用戶以及專案方,分享一份DeFi 避險攻略。例如,該如何看審計報告、初步評估 DeFi 專案風險常用的指標和參數、專案方或巨鯨用戶,如何建立監控感知能力、DeFi 安全防護守則等等... 請勿錯過!



BlockSec 安全團隊:BlockSec 是全球領先的「全端」區塊鏈安全服務商,目前公司已服務超300 家客戶,包括MetaMask、Compound、Uniswap Foundation、Forta、PancakeSwap、Puffer 等知名專案方,透過白帽援救挽回了超過2,000 萬美金的資金損失。


BlockSec 的CEO & Co-Founder 週亞金是浙江大學電腦教授,Aminer 評選的全球最具影響力學者,發表頂尖論文50 餘篇,獲得超萬次引用。 CTO & Co-Founder 吳磊是浙江大學電腦教授,前派盾聯合創始人,帶領團隊發現了多個知名專案的數十個零日漏洞。產品總監 Raymond,先後在騰訊、360 負責安全產品。


OKX Web3 錢包安全團隊:大家好,非常開心可以進行本次分享。 OKX Web3 Security 團隊主要負責OKX 在Web3 領域內各類安全能力的建設,例如智慧合約安全審計,錢包的安全能力建設,鏈上專案安全監控等,為用戶提供產品安全、資金安全、交易安全等多重防護服務,為維護整個區塊鏈安全生態貢獻力量。


Q1:分享幾個使用者真實遭遇的DeFi 風險案例


BlockSec安全團隊:DeFi 因其為資產帶來相對穩定的高收益,吸引了許多大戶參與。很多專案方為了提高流動性,也會主動邀請大戶進駐。例如,我們常常能看到新聞報道,有些大戶存入巨額資產到 DeFi 中。當然,這些巨鯨在參與 DeFi 計畫時,除了獲得穩定的利益,也會面臨一些風險。接下來,我們分享一些業界公開的DeFi 風險案例:


案例一:2022 年的PolyNetwork 安全事件中,總共有超過6 億美元的資產被攻擊。據傳,神魚也有一億美元在裡面,雖然之後攻擊者還錢,事件圓滿解決,神魚也宣布要在鏈上建立一座紀念碑來紀念此事,但想必此過程十分煎熬。儘管目前一小部分安全事件得到好結果,但是大部分安全事件就沒這麼幸運了。


案例二:知名的DEX SushiSwap 在2023 年被攻擊,大戶0xSifu 損失超過330 萬美元,他一個人的損失就達到了總損失的約90%。


案例三:今年3 月的Prisma 安全事件中,總損失為1400 萬美元,這些損失來自17 個錢包位址,平均每個錢包損失了82 萬美元,但其中4 個用戶的損失就佔了80%。這些被盜資產大部分都還沒有被追回。


歸根結底,DeFi,特別是主網的DeFi,因為Gas Fee 不可忽視,只有資產達到一定規模才能真的獲得收益(空投獎勵除外),因此,DeFi 計畫的主要TVL 一般都是由巨鯨貢獻的,甚至在一些計畫中2% 的巨鯨貢獻了80% 的TVL。當安全事件發生的時候,這些巨鯨也必然承擔了絕大部分損失。 「不能光看到巨鯨們吃肉,他們也有挨打的時候」。


OKX Web3 錢包安全團隊:隨著鏈上世界的繁榮發展,用戶遭遇的DeFi 風險案例也與日俱增,鏈上安全永遠是用戶最基本和最重要的需求。


案例一:PlayDapp 特權帳戶私鑰洩漏事件。 2024 年 2 月 9 日至 12 日,基於以太坊的 PlayDapp 遊戲平台因私鑰洩漏遭受攻擊,攻擊者未經授權鑄造並盜取了 17.9 億 PLA 代幣,損失約 3,235 萬美元。攻擊者在 PLA 代幣中添加了新的鑄幣者,鑄造了大量 PLA,分散到多個鏈上地址和交易所。


案例二:Hedgey Finance 攻擊事件。 2024 年 4 月 19 日,Hedgey Finance 在以太坊和 Arbitrum 上遭遇了重大安全漏洞,導致損失約 4,470 萬美元。攻擊者利用合約缺乏使用者輸入驗證的漏洞,獲得對易受攻擊合約的授權,從而從合約中竊取資產。


Q2:能否歸納目前DeFi 領域存在的主要風險類型


OKX Web3 錢包安全團隊:結合真實案例,我們整理了目前DeFi 領域常見的4 類風險類型


第一類:釣魚攻擊。釣魚攻擊是網路攻擊中常見的一種,透過偽裝成合法的實體或個人,誘騙受害者提供敏感訊息,如私鑰、密碼或其他個人資料。在DeFi 領域,釣魚攻擊通常透過以下方式進行:


1)假網站:攻擊者創建與真實DeFi 專案相似的釣魚網站,誘使用戶簽署授權或轉帳交易。


2)社交工程攻擊:在Twitter 上,攻擊者利用高仿帳號或劫持專案方Twitter 或Discord 帳號發佈假促銷活動或空投資訊(實為釣魚連結),對使用者實施釣魚攻擊。


3)惡意智慧合約:攻擊者發布看似有吸引力的智慧合約或 DeFi 項目,誘騙使用者授權其存取權限,從而竊取資金。


第二類:Rugpull。 Rugpull 是 DeFi 領域中特有的騙局,指專案開發者在吸引大量投資後突然撤出資金並消失,導致投資者的資金被全部捲走。 Rugpull 通常發生在去中心化交易所(DEX)和流動性挖礦專案中。主要表現形式包括:


1)流動性撤離:開發者在流動性池中提供大量流動性吸引用戶投資,然後突然撤出所有流動性,導致代幣價格暴跌,投資者損失慘重。


2)偽造項目:開發者創造一個看似合法的DeFi 項目,透過虛假的承諾和高收益誘騙用戶投資,但實際上並沒有任何實際產品或服務。


3)更改合約權限:開發者利用智慧合約中的後門或權限,隨時可以更改合約的規則或撤出資金。


第三類:智慧合約漏洞。智能合約是自動執行的程式碼,運行在區塊鏈上,一旦部署就無法更改。如果智能合約存在漏洞,將導致嚴重的安全問題。常見的智慧合約漏洞包括:


1)重入漏洞:攻擊者在上次呼叫未完成前重複呼叫漏洞合約,導致合約內部狀態出現問題。


2)邏輯錯誤:合約設計或實作中的邏輯錯誤,導致意外的行為或漏洞。


3)整數溢位:合約未正確處理整數運算,導致溢位或下溢。


4)價格操縱:攻擊者透過操縱預言機價格實施攻擊。


5)精度損失:由於浮點數或整數精度問題,導致計算錯誤。


6)缺乏輸入驗證:未對使用者輸入進行充分驗證,導致潛在的安全性問題。


第四類:治理風險。治理風險涉及專案的核心決策和控制機制,如果被惡意利用,可能會導致專案偏離預期目標,甚至導致嚴重的經濟損失和信任危機。常見的風險類型包括:


1)私鑰洩漏


某些DeFi 專案的特權帳戶由EOA(Externally
Owned Accounts)或多簽錢包控制,如果這些私鑰被洩漏或盜取,攻擊者可以隨意操縱合約或資金。


2)治理攻擊


某些DeFi 計畫雖然採用了去中心化的治理方案,但仍有以下風險:


· 借用治理代幣:攻擊者藉由借用大量治理代幣,在短時間內操縱投票結果。


· 控制多數投票權:如果治理代幣高度集中在少數人手中,這些人可以透過集中投票權控制整個專案的決策。


Q3:有哪些維度或參數,可以初步評估 DeFi 專案的安全性和風險等級?


BlockSec 安全團隊:在參與一個 DeFi 專案之前,對專案進行一個整體的安全評估非常有必要的。特別是對於資金體量比較大的參與者來說,必要的安全盡職調查可以最大程度保障資金安全。



第一,建議對專案的程式碼安全進行全面評估,包括專案方是否經過審計以及是否具有良好安全聲譽的審計公司審計,是否有多家審計公司參與,最新的程式碼是否經過審計等。通常來說,如果線上運行的程式碼經過多家具有良好安全聲譽的安全公司的審計,會大幅降低被安全攻擊的風險。


第二,要看專案方是否部署即時的安全監控系統。安全審計保證的安全是靜態的,並不能解決專案上線後引發的動態安全問題。例如,專案方不適當地調整了專案的關鍵運作參數、增加了新的 Pool 等。專案方如果採用了一些即時的安全監控系統,那麼其運行時的安全係數比沒有採用這樣方案的協議會更高一些。


第三,要看專案方是否具有緊急情況下的自動應變能力。這個能力長期被社區忽略。我們發現在多個安全事件中,專案方都沒有能做到自動的功能熔斷(或資金敏感操作的熔斷)。專案方在緊急情況下大多採用手動的方式來處理安全事件,而這樣的方式被證明是低效率甚至是無效的。


第四,要看專案方的外部依賴以及外部依賴的穩健性。一個 DeFi 專案會依賴第三方專案所提供的信息,如價格、流動性等。因此需要從外部依賴數量、外部依賴項目的安全性、是否有對外部依賴異常資料的監控和即時處理角度來評估專案等安全性。通常來說,外部依賴的專案方是頭部專案方、並且對外部專案異常資料有容錯和即時處理的專案會更安全。


第五,專案方是否有較良好的社群治理結構。這包括專案方對於重大的事件是否具有社區投票機制,敏感操作是否是多簽完成,多簽錢包是否引入了社區中立的參與,是否具有社區安全委員會等。這一些治理結構能提高專案透明性,降低使用者在專案中的資金被 rugpull 的可能性。


最後,專案方過往的歷史也非常重要。需要對專案團隊和專案核心成員進行背景調查。如果專案方核心成員過往專案有多次被攻擊或 rugpull 等不良歷史記錄,那麼這樣的專案的安全風險也會相對比較高。


總之,在參與DeFi 專案前,使用者特別是大額資金參與者要做好研究工作,從專案上線前的程式碼安全審計到專案上線後的即時安全監測和自動回應能力建構方面,考察專案方的安全投入和安全性,並且要從外部依賴、治理結構以及專案方過往歷史等角度做好被調工作,保障投入到專案中的資金安全。


OKX Web3 錢包安全團隊:雖然無法100% 保證DeFi 專案的安全性,但使用者可以透過以下維度的交叉結合,來初步評估DeFi 專案的安全性和風險等級。


一、專案技術安全性


1、智慧合約稽核:


1)檢查專案是否經過多個審計公司的審計,審計公司是否具有良好的聲譽和經驗。


2)檢查審計報告中報告的問題數量和嚴重性,確保所有問題都已修復。


3)檢查專案部署的程式碼是否跟審計的程式碼版本一致。


2、程式碼開源:


1)檢視專案的程式碼是否開源,開源程式碼允許社區和安全專家進行審查,有助於發現潛在的安全問題。


2)開發團隊背景:了解專案開發團隊的背景和經驗,特別是他們在區塊鏈和安全領域的經驗,以及團隊的透明度和公開資訊程度。


3)漏洞賞金計畫:專案是否有漏洞賞金計劃,以激勵安全研究人員報告漏洞。


3、財務和經濟安全性


1)資金鎖定量:檢查智能合約中鎖定的資金量,較高的鎖倉可能意味著專案具有較高的信任度。


2)交易量與流動性:評估專案的交易量和流動性,低流動性可能增加價格操縱的風險。


3)代幣經濟模型:評估項目的代幣經濟模型,包括代幣分配、激勵機制和通膨模型。例如,是否有過度集中的代幣持有情況等等。


4、操作與管理安全性


1)治理機制:了解專案的治理機制,是否有去中心化治理機制,社區能否對重要決策進行投票、並分析治理代幣的分配和投票權的集中程度等等。


2)風險管理措施:專案是否有風險管理措施和緊急計畫,如何應對潛在的安全威脅和經濟攻擊。另外,在專案透明度和社群溝通方面,可以看看專案方是否定期發布專案進度報告和安全性更新、以及是否積極與社群溝通並解決使用者問題等等。


5、市場和社群評估


1)社群活躍度:評估計畫的社群活躍度和用戶基礎,活躍的社區通常意味著計畫有廣泛的支持。


2)媒體與社群媒體評價:分析專案在媒體和社群媒體上的評價,了解使用者和業界專家對專案的看法。


3)合作夥伴和投資者:查看專案是否有知名的合作夥伴和投資者支持,信譽良好的合作夥伴和投資者可以增加專案的可信度,但這並能成為判斷其安全的決定性因素。


Q4:使用者該如何看審計報告,以及開源狀態等等?


BlockSec 安全團隊: 被審計過的項目,項目方通常會在官方管道主動向社區公佈審計報告。這一些審計報告通常在專案方的文件、Github 程式碼庫等管道。另外,也需要對審計報告的真假和鑑別,鑑別的方法包括檢驗審計報告的數位簽章、聯繫審計公司進行二次確認等。


那麼拿到這樣的審計報告,投資人如何去研讀這樣的審計報告呢?


第一,要看審計報告是否被一些安全聲譽比較高的安全公司審計過,例如Open Zeppelin, Trail of Bits, BlockSec 等頭部審計公司。


第二,要看審計報告中提到的問題是否都已經修復,如果沒有修復,要看項目方不修復的理由是否充分。這裡也需要區分審計報告中的有效漏洞報告和無效漏洞報告。由於審計報告暫無統一的業界標準,因此安全審計公司會根據自己的安全認知來進行專案漏洞風險評級和報告。因此,對於審計報告中發現的漏洞,要專注於有效漏洞報告。這個過程最好能有自己的安全諮詢團隊引入進行第三方獨立評估。


第三,要看專案方公佈的審計報告中的審計時間和最近專案的升級更新時間是否一致(或接近),另外也需要注意審計報告中的項目方代碼是否覆蓋了專案方目前線上的所有程式碼。專案方出於經濟成本和時間成本的考慮,通常會進行部分程式碼審計。因此在這種情況下,需要判斷經過稽核的程式碼是否為核心協定程式碼。


第四,要看專案方線上運行的程式碼是否經過驗證(開源),經過驗證的程式碼是否和審計報告中一致。通常審計會基於專案方的 Github 上程式碼(而不是已經部署到線上的程式碼)。如果專案最終部署到鏈上程式碼沒有開源,或者和被審計程式碼有較大差異,都是需要重視的點。


總之,閱讀審計報告本身是一個專業性比較強的事情,建議在過程中引入獨立的第三方安全專家來提供諮詢意見。


OKX Web3 錢包安全團隊:使用者可以透過DeFi 專案官網或第三方網站,例如OKLink 查看智慧合約的稽核報告和開源狀態,以下介紹常見的查看專案審計報告和開源狀態的步驟:


第一,查找官方公告或網站。大多數可信的DeFi 專案都會在其官方網站上展示其相關的文檔訊息,在專案文件頁面,通常會有一個「安全」、「審計」或「合約地址」等頁面連結到審計報告及專案方部署的合約地址。除了在專案方官方網站,通常還會在官方的社群媒體如 Medium、Twitter 等展示審計報告和部署的合約地址資訊。


第二,在閱讀專案方官方網站以後,可以透過OKLink 瀏覽器,查詢專案方給出的部署的合約地址信息,並在「合約”一欄中查看該位址部署合約的開源程式碼資訊。


第三,在拿到專案方的審計報告和部署合約的開源程式碼資訊後,可以開始閱讀專案方的審計報告,閱讀審計報告的時間有以下注意點:


1)理解審計報告的結構,對審計報告的內容有個總體的概念,審計報告大致分為簡介、發現的問題、解決方案和建議和審計結果。


2)在閱讀簡介相關內容時,我們需要關注審計報告審計的範圍和目標,通常審計報告會標註審計文件提交的Github Commit Id,我們需要比較審計報告審計的文件是否和鏈上部署的開源程式碼一致。


3)在閱讀發現的問題、解決方案和建議和審計結果部分時,我們需要重點關注專案團隊是否已經按照建議修復了發現的漏洞,以及專案方是否對修改的內容進行了後續審計,以確保所有問題都得到妥善處理。


4)比較多份報告。如果專案進行了多次審計,請查看每次審計報告之間的差異,以了解專案的安全改進。


Q5:駭客攻擊歷史、賞金計劃,對 DeFi 專案安全性的參考價值?


OKX Web3 錢包安全團隊:駭客攻擊歷史和賞金計劃,對於DeFi 專案的安全性評估提供了一定的參考價值,主要體現在以下幾個方面:


第一,駭客攻擊歷史


1)揭示歷史漏洞:攻擊歷史可以展示專案曾經存在的具體安全漏洞,讓使用者了解過去哪些安全問題被利用過,以及這些問題是否得到了徹底的修復。


2)評估風險管理能力:專案如何回應歷史上的安全事件,能夠體現其風險管理和危機處理的能力。一個積極回應、及時修復漏洞並賠償受影響用戶的項目,通常被視為更可靠和成熟的投資選擇。


3)專案信譽:頻繁的安全性問題可能會減損使用者對專案的信任,但如果專案能展現出從錯誤中學習並加強安全措施的能力,這也能夠建構其長期的信譽。


第二,賞金計畫


賞金計畫在DeFi 及其他軟體專案中的實施,是提高安全性和挖掘潛在漏洞的重要策略。這些計劃對專案的安全性評估帶來了多方面的參考價值:


1)增強外部審計:賞金計劃鼓勵全球的安全研究者參與到專案的安全審計中。這種「眾包」方式的安全測試能夠揭露內部稽核可能忽略的問題,從而增加了發現和解決潛在漏洞的機會。


2)驗證安全措施的有效性:透過實際的賞金計劃,專案可以在實戰中測試其安全措施的有效性。如果一個專案的賞金計劃歷時較長但報告的嚴重漏洞較少,這可能是表明專案相對成熟和安全的指標。


3)持續的安全改進:賞金計畫提供了一個持續改進的機制。隨著新技術和新攻擊手段的出現,賞金計畫幫助專案團隊及時更新和強化其安全措施,確保專案能夠應對最新的安全挑戰。


4)建立安全文化:專案是否設立賞金計劃,以及該計劃的嚴肅性和活躍度,能夠反映出專案團隊對安全的態度。一個積極的賞金計劃顯示了該項目對建立堅實的安全文化的承諾。


5)提升社群和投資者信心:賞金計畫的存在和效果可以向社群和潛在投資者證明專案對安全的重視。這不僅可以增強用戶信任,還可能吸引更多的投資,因為投資者傾向於選擇那些顯示出高度安全責任感的項目。


Q6:參與DeFi 時,使用者如何建構監控感知能力


BlockSec安全團隊: 以巨鯨用戶為例,巨鯨主要是指個人投資者或小型團隊的投資機構,這些用戶的資金規模較大,但通常沒有非常強的安全團隊,也沒有自研安全工具的能力。因此,目前為止,實際上大部分巨鯨都沒有足夠的風險感知能力,否則就不會遭受如此巨大的損失了。


由於面臨巨大損失的風險,一些巨鯨使用者開始有意識地依賴一些公開的安全工具來監控和感知風險。現在,有很多團隊在做監控產品,但如何選擇非常關鍵。這裡有幾個關鍵點:


首先,是工具的使用成本。許多工具雖然非常強大,但需要編程,使用成本並不低。對使用者來說,搞清楚合約的架構,甚至收集地址都不是容易的事。


其次,是精準度。沒有人希望在晚上睡覺時連續收到幾個警報,結果發現是誤報,這會讓人心態爆炸。因此,準確度也非常關鍵。


最後,是安全性。特別是在這種資金規模下,不能忽視工具研發及其團隊的各種安全風險。最近的 Gala Game 被攻擊事件,據說就是由於引入了不安全的第三方服務商。因此,可靠的團隊和可信賴的產品至關重要。


截至目前,也有許多巨鯨找到我們,我們會為其推薦專業的資管方案,從而使巨鯨用戶既能保證資金的安全,又能兼顧日常的資金管理如“挖提賣”,感知風險,甚至在緊急狀態下的資金撤退。



Q7:參與DeFi 的安全建議、以及如何處理安全風險


BlockSec 安全團隊:對於大額資金參與者,參與 DeFi 協議首要是要保證本金安全,在對可能的安全風險進行了比較充分的研究後進行投資。通常可以從以下幾個方面確保資金安全。


首先,要多方位判斷專案方的安全重視與投入程度。包括上面所說的是否經過比較徹底的安全審計、專案方是否具有專案安全風險監控和自動回應能力、是否具有比較好的社群治理機制等。這一些都能反映出專案方對於使用者資金安全是否放在比較重要的方面,是否對使用者的資金安全有高度負責的態度。


其次,大額資金的參與者也需建立自己的安全監控和自動回應系統。在投資的協議發生安全事件後,大額資金的投資人應該第一時間能感知並且能撤退資金,盡可能地挽回損失,而不是將所有的希望都寄託在專案方身上。在 2023 年我們能看到多個知名專案都被攻擊過,包括 Curve、KyberSwap、Euler Finance 等。很遺憾的是,我們發現在攻擊發生的時候,大額投資者往往缺乏及時、有效的情報,也沒有自己的安全監控和緊急撤退系統。


另外,投資人需要選擇比較好的安全夥伴來對投資的專案標的安全進行持續的關注。無論是對專案方程式碼的升級、重要的參數改變等都需要能及時感知並且評估風險。而這樣的事情沒有專業安全團隊和工具的參與是很難完成的。


最後,需要保護好私鑰安全。對於需要經常交易的帳戶,最好透過線上多簽和線下私鑰安全解決方案結合的方法來進行,杜絕單一地址和單一私鑰遺失後的單點風險。


如果一旦投資的項目面臨安全風險,又該如何處理?


相信對於任何巨鯨和投資者而言,遭遇安全事件的第一個反應一定是先保本,盡快撤資是最優先的動作。但是攻擊者的速度通常很快,手動操作往往來不及,因此最好能夠根據風險自動撤資。目前,我們提供相關的工具,可以實現發現攻擊交易後自動撤資,幫助用戶優先撤離。


其次,如果真的遭遇了損失,除了吸取教訓,還應該積極推動專案方尋求安全公司的幫助,對受損資金進行追溯和監控。隨著整個 Crypto 產業對安全的重視,追回資金的比例正在逐步提升。


最後,如果是大戶,還可以請安全公司盤點投資的其他項目是否有類似問題。許多攻擊的 Root cause 是一致的,例如 Compound V2 的精確度損失問題,去年許多專案都存在相似的問題並被連續攻擊。因此,可以請安全公司分析投資組合中其他項目的風險,如果發現風險,應該盡快與專案方溝通或撤出。


OKX Web3 錢包安全團隊:參與DeFi 專案時,使用者可以透過採取多種措施來更安全地參與DeFi 項目,降低資金損失的風險,享受去中心化金融帶來的利益。我們分別從使用者層面、以及 OKX Web3 錢包 2 個層面來展開。


第一,對使用者而言:


1)選擇經過稽核的項目:優先選擇經過知名第三方審計公司(如ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK 等)審計的項目,審查其公開的審計報告,了解潛在風險和漏洞修復情況。


2)了解專案背景和團隊:透過研究專案的白皮書、官方網站和開發團隊背景,確保專案具有透明性和可信度。關注團隊在社群媒體和開發社群中的活動,了解其技術實力和社群支援。


3)分散投資:不要將所有資金投入單一 DeFi 專案或資產中,分散投資可以降低風險。選擇多個不同類型的 DeFi 項目,如借貸、DEX、Farming 等,以分散風險敞口。


4)小額測試:在大額交易前,先進行小額測試交易,確保操作和平台的安全性。


5)定期監控帳戶及緊急處理:定期檢查自己的 DeFi 帳戶和資產,及時發現異常交易或活動。使用工具(如 Etherscan)監控鏈上交易記錄,確保資產安全。偵測到異常後及時採取應急措施,例如撤銷帳戶的所有授權,聯絡錢包安全團隊以取得支援等。


6)謹慎使用新項目:對於剛上線或未經驗證的新項目,保持謹慎態度。可以先投入少量資金進行試驗,觀察其運作情況和安全性。


7)使用主流 Web3 錢包進行交易:僅使用主流的 Web3 錢包與 DeFi 項目交互,主流 Web3 錢包提供更好的安全防護。


8)防範釣魚攻擊:謹慎點擊陌生連結和不明來源的電子郵件,不要在不受信任的網站輸入私鑰或助記詞,確保訪問的連結是官方網站。使用官方管道下載錢包和應用程序,確保軟體的真實性。


第二,從OKX Web3 錢包層面而言:


我們提供了許多安全機制以保護用戶資金安全:


1)風險域名檢測:在用戶訪問DAPP 時,OKX Web3 錢包會在域名層面進行檢測分析,如用戶訪問的是惡意DAPP,則會進行攔截或提醒,防止用戶上當受騙。



2)貔貅盤代幣檢測:OKX Web3 錢包支援完善的貔貅盤代幣偵測能力,在錢包中主動屏蔽貔貅盤代幣,避免用戶嘗試跟貔貅盤代幣互動。


3)地址標籤庫:OKX Web3 錢包提供了豐富完善的地址標籤庫,當用戶跟可疑地址交互時,OKX Web3 錢包會及時給予告警。


4)交易預先執行:在使用者提交任何交易前,OKX Web3 錢包都會模擬執行該交易,並將資產和授權變更結果顯示給使用者參考。用戶可根據該結果評判是否符合預期,以便決定是否繼續提交該交易。



5)整合DeFi 應用:OKX Web3 錢包已經整合了各類主流的DeFi 專案的服務,用戶透過OKX Web3 錢包可以放心與整合的DeFi 專案互動。另外 OKX Web3 錢包也會對 DEX,跨鏈橋等 DeFi 服務進行路徑推薦,以便提供用戶最優的 DeFi 服務和最優的 Gas 方案。



6)更多安全服務:OKX Web3 錢包也正在逐步增加更多安全功能,建置更多先進的安全防護服務,將更能更有效率地保障OKX 錢包用戶安全。


Q8:不僅是用戶,DeFi 專案面臨的風險類型以及如何防護?


BlockSec 安全團隊:DeFi 專案面臨的風險類型包括:程式碼安全風險、營運安全風險和外部依賴風險。


第一,程式碼安全風險。即 DeFi 專案在程式碼層面可能存在的安全隱患。對DeFi 專案而言,智慧合約是其核心業務邏輯(前後端處理邏輯等屬於傳統的軟體開發業務,相對而言較成熟),也是我們關注與討論的重點,包括:


1)首先,從開發角度來說,需遵循業界公認的智能合約安全開發實踐,例如對於用於防止重入漏洞的Checks-Effects-Interactions 模式等等;此外,常用的功能盡可能選擇可靠的第三方函式庫來實現,避免因為重複發明輪子帶來的不可知風險。


2)其次是做好內部測試,測試是軟體開發中的重要環節,能夠幫助發現許多問題。但對於 DeFI 專案而言,僅透過本地測試並不足以暴露問題,更需要在貼近實際上線的部署環境中做進一步測試,這方面可以透過使用類似 Phalcon Fork 這樣的工具來幫助實現。


3)最後,測試完成後,接入口碑良好的第三方審計服務。雖然審計無法確保100% 不出現問題,但係統性的審計工作能夠在很大程度上幫助專案方定位已知常見的各類安全問題,而這些往往是開發者不熟悉或因為思維方式的不同而較難觸及的部分。當然,由於各家審計公司在專業和方向上有差異,如果預算允許,在實務上也推薦 2 家或多家審計公司參與。


第二,營運安全風險。即專案上線後在營運過程中的產生的安全風險。一方面,程式碼依舊可能存在未知漏洞。即便程式碼已經經過良好的開發、測試和審計,依舊可能存在未被發現的安全隱患,這一點在軟體開發數十年的安全實踐中得到了廣泛證明;另一方面,在程式碼層面的問題之外,專案上線後面臨更多挑戰,例如私鑰洩漏、系統重要參數錯誤設定等等,均可能造成嚴重的後果和巨大的損失。營運安全風險的因應策略建議包括:


1)建立健全私鑰管理:採用可靠的私鑰管理方法,例如可靠的硬體錢包或基於MPC的錢包解決方案等。


2)做好運作狀態監控:監控系統即時感知特權操作與專案運作中的安全狀態。


3)建構針對風險的自動化反應機制:例如採用 BlockSec Phalcon,可以在遭遇到攻擊的時候自動實施阻斷,避免(進一步)的損失。


4)避免特權操作的單點風險:如用 Safe 多簽錢包來執行特權操作。


第三,外部依賴風險是指專案存在的外部依賴帶來的風險,例如依賴其它DeFi 協議提供的價格預言機,但預言機出現問題導致價格計算產生錯誤的結果。針對外部依賴風險的建議包括:


1)選擇可靠的外部合作夥伴,如業界公認的可靠的頭部協議等。


2)做好運作狀態監控:類似營運安全風險,但這裡的監控對像是外部依賴。


3)建構針對風險的自動化回應機制:類似營運安全風險,但處置方式可能有所區別,例如切換備用依賴而非直接pause 整個協議。


此外,對於希望建構監控能力的項目方,我們也給予一些監控建議


1)精確地設定監控點:確定協定有哪些關鍵的狀態(變數)、在哪些位置需要監控,這是建構監控能力的第一步。但監控點的設定很難涵蓋全面,特別是在攻擊監控方面,建議採用外部專業第三方、經過實戰檢驗的攻擊偵測引擎。


2)確保監控的精準性和及時性:監控的精準性是指不能有太多的誤報(FP) 和漏報(FN) ,缺乏精確性的監控系統實質上是不可用的;及時性是做出回應的前提(例如能否在可疑合約部署後、攻擊交易上鏈前檢測到),否則只能用於事後分析,這對監控系統的性能和穩定性有極高的要求。


3)需要自動化回應能力:基於精準和即時的監控可以建立自動化的回應,包括 pause 協定阻斷攻擊等等。這裡需要有可自訂、可靠的自動化回應框架支持,可根據專案方的需求靈活地客製化回應策略並自動觸發執行。


整體而言,監控能力的建置需有專業的外部安全供應商參與建置。


OKX Web3 錢包安全團隊:DeFi 專案方面有多種風險,其中主要包括以下幾類:


1)技術風險:主要包括智慧合約漏洞和網路攻擊。防護措施包括採用安全開發實務、聘請專業的第三方審計公司對智能合約進行全面審計、設置漏洞賞金計劃以激勵白帽駭客發現漏洞,以及做好資產隔離來提高資金的安全性等。


2)市場風險:主要包括包括價格波動、流動性風險、市場操弄、組合性風險。防護措施包括使用穩定幣和風險對沖防範價格波動,利用流動性挖礦和動態費用機制應對流動性風險,嚴格審查DeFi 協議支持的資產類型和使用去中心化預言機防止市場操縱,並透過持續的創新和優化協議功能來應對競爭風險。


3)營運風險:主要包括人為錯誤和治理機制風險。防護措施包括建立嚴格的內部控制和操作流程以減少人為錯誤的發生、使用自動化工具提升操作效率,以及設計合理的治理機制,確保去中心化與安全性平衡,如引入投票延遲和多簽機制。並對上線的項目做好監控和緊急計畫,一旦出現異常可以立即採取措施,將損失降到最低。


4)監管風險:法律合規要求和反洗錢(AML)/了解你的客戶(KYC)義務。防護措施包括聘請法律顧問確保專案符合法律和監管要求、建立透明的合規政策以及主動實施 AML 和 KYC 措施以提升使用者和監管機構的信任。


Q9:DeFi 專案方,如何判斷並選擇好的審計公司?


BlockSec 安全團隊:DeFi 專案方如何判斷並選擇好的審計公司,這裡有一些簡單標準的可供參考:


1)是否審計過知名項目:這表示該審計公司被這些知名項目所認可。


2)審計過的項目是否被攻擊過:固然從理論上來講審計並不能保證100% 的安全,但實務經驗顯示口碑良好的審計公司所審計的大部分項目未曾有被攻擊記錄。


3)透過過往審計報告判斷審計品質:審計報告是衡量審計公司專業程度的重要標誌,尤其是在同樣的審計項目、同樣的審計在範圍可比較的情況下,可專注於漏洞發現的品質(危害程度)和數量等,漏洞發現是否通常被專案方採納。


4)專業從業人員:審計公司的人員組成,包括學歷和從業背景等,系統性的教育和經驗對於確保審計品質有很大的幫助。


最後,感謝大家看完OKX Web3 錢包《安全特刊》欄目的第05 期,當前我們正在緊鑼密鼓地準備第06 期內容,不僅有真實的案例、風險識別、還有安全操作乾貨,敬請期待!


免責聲明:

本文僅供參考,本文無意提供(i) 投資建議或投資推薦;(ii) 購買、出售或持有數字資產的要約或招攬;或(iii) 財務、會計、法律或稅務建議。持有的數位資產(包括穩定幣和 NFTs)涉及高風險,可能會大幅波動,甚至變得毫無價值。您應根據自己的財務狀況仔細考慮交易或持有數位資產是否適合您。請您自行負責了解並遵守當地有關適用的法律和法規。


本文來自投稿,不代表 BlockBeats 觀點。


欢迎加入律动 BlockBeats 官方社群:

Telegram 订阅群:https://t.me/theblockbeats

Telegram 交流群:https://t.me/BlockBeats_App

Twitter 官方账号:https://twitter.com/BlockBeatsAsia

举报 糾錯/舉報
本平台現已全面集成Farcaster協議, 如果您已有Farcaster帳戶, 可以登錄 後發表評論
選擇文庫
新增文庫
取消
完成
新增文庫
僅自己可見
公開
保存
糾錯/舉報
提交