外链吧

 找回密码
 立即注册
查看: 1|回复: 0

中国区块链标准 区块链众筹在国外的发展现状 重生之炒币大亨

[复制链接]

1万

主题

1万

帖子

116

积分

年度VIP

Rank: 3Rank: 3

积分
116
发表于 2020-9-16 15:33:08 | 显示全部楼层 |阅读模式
网站优化
9月4日由杭链财经主办的区块链行业直播对话节目<杭链即刻(Blockchain Feeling)>第六期如期开播

杭链即刻(Blockchain Feeling)以线上直播的形式呈现直播内容包括主题演讲、圆桌论坛、大咖对话、百家争鸣等共同探讨区块链行业新趋势、新格局、新风向

目的是为了让行业人士更全面地了解区块链行业的大咖的新观点、新布局有趣有料有看点助力独角兽项目创新发展精耕细作建造区块链价值空间

本期邀请到了

慢雾科技合伙人&产品负责人启富

围绕“

DeFi车速猛需系好

安全’

主题深度讲解在DeFi 浪潮中如何以最安全的姿势“上车”

以下内容由杭链财经整理在不改变原意的情况下有部分删减

大家好我是慢雾科技合伙人和产品负责人启富慢雾科技是国内第一家专注区块链生态安全的企业

慢雾成立于2018年1月目前团队有30多人已经服务了国际上众多的头部交易所、钱包、公链和DeFi应用同时慢雾科技也积极参与区块链的标准推进工作作为国内首批进入工信部2018年中国区块链产业白皮书的单位也是粤港澳大湾区区块链与网络安全技术联合实验室的三家成员单位之一慢雾在成立不到两年的时间里便获得了国家高新技术企业的认定

慢雾的整个安全体系包括安全产品和安全服务安全产品包括假充值漏洞扫描器、加密货币反洗钱系统、区块链被黑档案库、智能合约防火墙等等;安全服务主要以安全审计为主摆渡在线围绕交易所、钱包、智能合约、公链以及区块链生态威胁情报等我们深知整个区块链生态安全不是仅仅依靠慢雾就可以完成的还需要更多的专业合作我们联合国际上知名的顶级安全公司以加密货币项目方、司法鉴定、公安单位等从威胁发现到威胁防御上提供一体化因地制宜的安全解决方案 央行数字货币开网时间

主持人 Steven lin:

您本人也是作为一名经验丰富的全栈开发者能首先向大家介绍下区块链安全和传统互联网安全之间的主要区别是什么吗?

启富:

第一以往发生互联网安全事件比如说是数据错乱、黑客攻击的时候可以通过一些技术手段对攻击事件的影响进行干预可以恢复事件的影响但在区块链生态中如果发生安全事件是没有办法对结果进行干预的 09年比特币怎么保存交易也没有办法回滚区块链自带金融属性常规情况下资金发生被骗、转错还可以联系银行处理但是区块链中这是行不通的

第二区块链生态的特性——去中心化分布式使得构建在区块链之上的应用都具有这一属性所以我们去围绕这样的应用进行安全防护的时候会特别关注这方面的问题根据慢雾数据我们总结了区块链生态里面各种不同的作恶手段

可以看到最大作恶就是盗币 安卓手机挖矿比特币同时还有恶意挖矿、勒索、暗网、洗钱、资金盘等这些都是利用区块链的属性在上面进行恶意非法的操作

以盗币作为例子在这样的一个攻击手法下我们在生态里面怎么为交易所、DApp等提供安全防护呢?下面两张图展示了主要的安全防护流程

基于慢雾在区块链领域攻防对抗的经验我们将DApp、钱包、交易所等安全架构进行了整理并展示给大家除了传统的安全防护区块链安全还面临节点、链上和链下这样一个攻防上的区别

主持人 Steven lin:

DeFi作为当前市场追逐的热点但安全问题依然不容忽视比如前不久的YAM合约漏洞事件就造成了非常大的影响目前DeFi市场的安全现状如何?

启富:

目前DeFi项目非常多最早的Compound到现在寿司、珍珠、红薯等等整体来看海外项目整体上会更加公开透明都会公布一些自己的审计报告所以整体来看如果这是一个很正经的团队也是一个靠谱的项目都会很重视安全审计

目前有些比较火的DeFi项目属于国内的项目然后对于安全的重视程度没有那么高所以大家在如果有参与DeFi的话关注一下项目方是否有相应的安全审计报告

主持人 Steven lin:

最近DeFi协议SushiSwap上线五天时间 比特币怎么提现人民币锁仓量便突破了10亿美元SushiSwap 在智能合约等方面的安全性如何?会不会存在哪些潜在的风险?

启富:

寿司最近也公布两个安全审计报告也结合我们对它智能合约代码的分析整体上来看寿司没有严重安全漏洞但是也有其他方面一些风险比如在项目方管理员的权限上没有去通过多签或者时间锁的方式来接受社区的治理

根据其他安全公司以及我们的分析来看寿司整体来说安全性还是OK的它在经济模型方面有一定的创新性但整体与uniswap类似投资者进行投资的话还是需要谨慎不要投入太多资金作为一名投资者在参与投资时一定要注意项目方是否有出具安全审计报告同时也需要提高对行业的认知和对私钥、助记词等关键信息的安全防护意识

主持人 Steven lin:

除了投资者市场在挖矿行业也会经常面临安全攻击方面的问题针对挖矿安全安全服务企业能做哪些安全保障?

启富:

我以POW/POS这样的一个挖矿方式来进行说明首先通过上面的攻击者作恶图可以看到针对矿池和算力的攻击例如51%算力攻击、带有蠕虫的固件去感染矿机使得收益结算到黑客的钱包地址中

第二针对挖矿行业黑客会利用某些远程漏洞直接去植入木马到服务器或者互联网设备中或者植入一些javascript的挖矿脚本同时也会有攻击者通过邮件或者网页钓鱼的方式植入木马到终端设备

了解这些安全和攻击方式后我们如何去做好安全防护呢?首先如果你是一个矿工你有自己的矿机、矿场或者矿场终端所在的网络就需要进行相应的这个网络加固你需要有一个类似流量控制或流量监控的设备对整个矿机的固件需要保持关注更新的时候尽可能通过本地的方式或者内部进行此外对应的网站和APP也要进行相应的这个架构保障和安全加固以保护矿池用户数据、身份信息的安全

主持人 Steven lin:

做过完整代码审计的项目是否一定是安全的?慢雾的安全审计策略和标准是怎样的?

启富:

一个项目有自己的生命周期在这个周期里面会进行多次的迭代那对安全公司来说所做的安全审计是在某一个时间点所做的安全审查说明的是项目当时的一个安全情况项目在安全审计之后还会进行相应的迭代这样可能会引入新的安全问题所以安全审计也是一个持续的过程这样才能保障安全

安全审计主要是提高了攻击者的攻击门槛去更好的保障整个项目的安全但是同时更需要项目方组织相应的风控策略和监控手段来实现持续性的安全防护当发现异常的时候去提前进行相应告警和准备例如说黑客攻击者往往会进行前期的踩点或者是一些相关的测试这个过程如果能提前发现那就能提前规避损失

慢雾始终是以开放透明的一个心态在整个生态里面提供安全审计不管是针对交易所还是针对公链安全审计标准都是公布在官网上同时呢我们也会去关注交易所以及项目背后的技术架构用户在使用这些交易所网站、APP的时候是感受不到的但这方面也是可能存在很大风险的

关于慢雾的审计项我简单介绍下首先是安全设计方面我们会去关注项目的架构安全安全运营的建设安全保密的设计;第二就是安全审计包括区块链的业务层和区块链技术层;第三就是安全管理比如成员管理、密钥证书等另外就是安全监控比如节点监控、网络监控以及链上数据异常监控等

主持人 Steven lin:

作为普通的投资者在纷繁复杂的DeFi市场上要如何分辨项目安全与否做到避免踩坑您有什么好的建议?

启富:

目前DeFi特别火爆作为普通的投资者首先




上一篇:以太零靠谱吗 合约机好办吗 微信交易平台
下一篇:横梁式仓储货架定制价格
回复

使用道具 举报

会员充值
正规网站优化群

外链吧
  • 外链吧
  • 豫ICP备17032527号-5
  • 手机版
  • 小黑屋
  • 外链吧
  • QQ Online
快速回复 返回顶部 返回列表