科技

安全特刊 5|OKX Web3 與 BlockSec 對談 :DeFi 世界最新避險攻略

Vendor Icon

區塊客

6月. 05, 2024

引言 | OKX Web3 錢包特別策劃了《安全特刊》欄目,針對不同類型的鏈上安全問題進行專期解答。通過最發生在用戶身邊最真實案例,與安全領域專家人士或者機構共同聯合,由不同視角進行雙重分享與解答,從而由淺入深梳理並歸納安全交易規則,旨在加強用戶安全教育的同時,幫助用戶從自身開始學會保護私鑰以及錢包資產安全。

DeFi 世界最大的魅力就是,每個人都有成為「巨鯨」的潛力

但即使「巨鯨」也不能逞強,雖然吃肉,但也有「捱打」的時候

所以,鏈上玩耍,安全第一

不然,又要「白手起家」~

本期是安全特刊第 5 期,特邀區塊鏈安全先鋒 BlockSec 與 OKX Web3 錢包安全團隊,從實操指南的角度出發,給所有即將成為或者已經成為「巨鯨」的用戶以及項目方,分享一份 DeFi 避險攻略。比如,該如何看審計報告、初步評估 DeFi 項目風險常用的指標和參數、項目方或者巨鯨用戶,如何構建監控感知能力、 DeFi 安全防護守則等等… 請勿錯過!

BlockSec 安全團隊:BlockSec 是全球領先的「全棧」區塊鏈安全服務商,目前公司已服務超 300 家客戶,包括 MetaMask 、 Compound 、 Uniswap Foundation 、 Forta 、 PancakeSwap 、 Puffer 等知名項目方,通過白帽援救挽回了超過 2000 萬美金的資金損失。

BlockSec 的 CEO & Co-Founder 周亞金是浙江大學計算機教授,Aminer 評選的全球最具影響力學者,發表頂尖論文 50 餘篇,獲得超萬次引用。 CTO & Co-Founder 吳磊是浙江大學計算機教授,前派盾聯合創始人,帶領團隊發現了多個知名項目的數十個零日漏洞。產品總監 Raymond,先後在騰訊、 360 負責安全產品。

OKX Web3 錢包安全團隊:大家好,非常開心可以進行本次分享。 OKX Web3 Security 團隊主要負責 OKX 在 Web3 領域內各類安全能力的建設,比如智能合約安全審計,錢包的安全能力建設,鏈上項目安全監控等,為用戶提供產品安全、資金安全、交易安全等多重防護服務,為維護整個區塊鏈安全生態貢獻力量。

Q1:分享幾個用戶真實遭遇的 DeFi 風險案例 

BlockSec 安全團隊:DeFi 因其為資產帶來相對穩定的高收益,吸引了很多大戶參與。很多項目方為了提高流動性,也會主動邀請大戶入駐。例如,我們常常能看到新聞報道,一些大戶存入鉅額資產到 DeFi 中。當然,這些巨鯨在參與 DeFi 項目時,除了獲得穩定的收益,也會面臨一些風險。接下來,我們分享一些行業公開的 DeFi 風險案例:

案例一:2022 年的 PolyNetwork 安全事件中,總共有超過 6 億美元的資產被攻擊。據傳,神魚也有一億美元在裡面,雖然之後攻擊者還錢,事件圓滿解決,神魚也宣佈要在鏈上建立一座紀念碑來紀念此事,但想必此過程十分煎熬。儘管當前一小部分安全事件得到好結果,但是大部分安全事件就沒這麼幸運了。

案例二:知名的 DEX SushiSwap 在 2023 年被攻擊,大戶 0xSifu 損失超過 330 萬美元,他一個人的損失就達到了總損失的約 90% 。

案例三:今年 3 月的 Prisma 安全事件中,總損失為 1400 萬美元,這些損失來自 17 個錢包地址,平均每個錢包損失了 82 萬美元,但其中 4 個用戶的損失就佔到了 80% 。這些被盜資產大部分還沒有被追回。

歸根結底, DeFi ,特別是主網的 DeFi, 因為 Gas Fee 不可忽視,只有資產達到一定規模才能真的獲得收益(空投獎勵除外),因此,DeFi 項目的主要 TVL 一般都是由巨鯨貢獻的,甚至在一些項目中 2% 的巨鯨貢獻了 80% 的 TVL 。當安全事件發生的時候,這些巨鯨也就必然承擔了絕大部分損失。「不能光看到巨鯨們吃肉,他們也有捱打的時候」。

OKX Web3 錢包安全團隊:隨著鏈上世界的繁榮發展,用戶遭遇的 DeFi 風險案例也與日俱增,鏈上安全永遠是用戶最基本和最重要的需求。

案例一:PlayDapp 特權帳戶私鑰洩漏事件。 2024 年 2 月 9 日至 12 日,基於以太坊的 PlayDapp 遊戲平台由於私鑰洩漏遭受攻擊,攻擊者未經授權鑄造並盜取了 17.9 億 PLA 代幣,損失約 3,235 萬美元。攻擊者在 PLA 代幣中添加了新的鑄幣者,鑄造了大量 PLA,分散到多個鏈上地址和交易所。

案例二:Hedgey Finance 攻擊事件。 2024 年 4 月 19 日,Hedgey Finance 在以太坊和 Arbitrum 上遭遇了重大安全漏洞,導致損失約 4,470 萬美元。攻擊者利用合約缺乏用戶輸入驗證的漏洞,獲得對易受攻擊合約的授權,從而從合約中竊取資產。

Q2:能否歸納當前 DeFi 領域存在的主要風險類型

OKX Web3 錢包安全團隊:結合真實案例,我們梳理了當前 DeFi 領域常見的 4 類風險類型

第一類:釣魚攻擊

釣魚攻擊是網絡攻擊中常見的一種,通過偽裝成合法的實體或個人,誘騙受害者提供敏感信息,如私鑰、密碼或其他個人數據。在 DeFi 領域,釣魚攻擊通常通過以下方式進行:

  1. 假冒網站:攻擊者創建與真實 DeFi 項目相似的釣魚網站,誘使用戶簽署授權或轉帳交易。
  2. 社交工程攻擊:在 Twitter 上,攻擊者利用高仿帳號或者劫持項目方 Twitter 或者 Discord 帳號發佈虛假促銷活動或空投信息(實為釣魚鏈接),對用戶實施釣魚攻擊。
  3. 惡意智能合約:攻擊者發佈看似有吸引力的智能合約或 DeFi 項目,誘騙用戶授權其訪問權限,從而竊取資金。

第二類:Rugpull

Rugpull 是 DeFi 領域中特有的騙局,指項目開發者在吸引大量投資後突然撤出資金並消失,導致投資者的資金被全部捲走。 Rugpull 通常發生在去中心化交易所(DEX)和流動性挖礦項目中。主要表現形式包括:

  1. 流動性撤離:開發者在流動性池中提供大量流動性吸引用戶投資,然後突然撤出所有流動性,導致代幣價格暴跌,投資者損失慘重。
  2. 偽造項目:開發者創建一個看似合法的 DeFi 項目,通過虛假的承諾和高收益誘騙用戶投資,但實際上並沒有任何實際產品或服務。
  3. 更改合約權限:開發者利用智能合約中的後門或權限,隨時可以更改合約的規則或撤出資金。

第三類:智能合約漏洞

智能合約是自動執行的代碼,運行在區塊鏈上,一旦部署就不可更改。如果智能合約存在漏洞,將導致嚴重的安全問題。常見的智能合約漏洞包括:

  1. 重入漏洞:攻擊者在上次調用未完成之前重複調用漏洞合約,導致合約內部狀態出現問題。
  2. 邏輯錯誤:合約設計或實現中的邏輯錯誤,導致意外的行為或漏洞。
  3. 整數溢出:合約未正確處理整數運算,導致溢出或下溢。
  4. 價格操縱:攻擊者通過操縱預言機價格實施攻擊。
  5. 精度損失:由於浮點數或整數精度問題,導致計算錯誤。
  6. 缺乏輸入驗證:未對用戶輸入進行充分驗證,導致潛在的安全問題。

第四類:治理風險

治理風險涉及到項目的核心決策和控制機制,如果被惡意利用,可能會導致項目偏離預期目標,甚至導致嚴重的經濟損失和信任危機。常見的風險類型包括:

1. 私鑰洩漏

某些 DeFi 項目的特權帳戶由 EOA(Externally Owned Accounts)或者多籤錢包控制,如果這些私鑰被洩漏或盜取,攻擊者可以隨意操縱合約或資金。

2. 治理攻擊

某些 DeFi 項目雖然採用了去中心化的治理方案,但仍然存在以下風險:

  • 借用治理代幣:攻擊者通過借用大量治理代幣,在短時間內操縱投票結果。
  • 控制多數投票權:如果治理代幣高度集中在少數人手中,這些人可以通過集中投票權控制整個項目的決策。

Q3:有哪些面向或者參數,可以初步評估 DeFi 項目的安全性和風險等級?

BlockSec 安全團隊:在參與一個 DeFi 項目之前,對項目進行一個整體的安全評估非常有必要的。特別是對於資金體量比較大的參與者來說,必要的安全盡職調查可以最大程度保障資金安全。

第一,建議對項目的代碼安全進行全面評估,包括項目方是否經過審計以及是否具有良好安全聲譽的審計公司審計,是否有多家審計公司參與,最新的代碼是否經過審計等。通常來說,如果線上運行的代碼經過多傢俱有良好安全聲譽的安全公司的審計,會大幅降低被安全攻擊的風險。

第二,要看項目方是否部署實時的安全監控系統。安全審計保證的安全是靜態的,並不能解決項目上線後引發的動態安全問題。比如,項目方不適當地調整了項目的關鍵運行參數、增加了新的 Pool 等。項目方如果採用了一些實時的安全監控系統,那麼其運行時的安全係數比沒有采用這樣方案的協議會更高一些。

第三,要看項目方是否具有緊急情況下的自動響應能力。這個能力長期被社群忽視。我們發現在多個安全事件中,項目方都沒有能做到自動的功能熔斷(或者資金敏感操作的熔斷)。項目方在緊急情況下大多采用手動的方式來處理安全事件,而這樣的方式被證明是低效甚至是無效的。

第四,要看項目方的外部依賴以及外部依賴的魯棒性。一個 DeFi 項目會依賴第三方項目所提供的信息,如價格、流動性等。因此需要從外部依賴數量、外部依賴項目的安全性、是否有對外部依賴異常數據的監控和實時處理角度來評估項目等安全性。通常來說,外部依賴的項目方是頂級項目方、並且對外部項目異常數據有容錯和實時處理的項目會更安全。

第五,項目方是否具有比較良好的社群治理結構。這包括項目方對於重大的事件是否具有社群投票機制,敏感操作是否是多簽完成,多籤錢包是否引入了社群中立的參與,是否具有社群安全委員會等。這一些治理結構能提高項目透明性,降低用戶在項目中的資金被 rugpull 的可能性。

最後,項目方過往的歷史也非常重要。需要對項目團隊和項目核心成員進行背景調查。如果項目方核心成員過往項目有過多次被攻擊或者 rugpull 等不良歷史記錄,那麼這樣的項目的安全風險也會相對比較高。

總之,在參與 DeFi 項目前,用戶特別是大額資金參與者要做好研究工作,從項目上線前的代碼安全審計到項目上線後的實時安全監測和自動響應能力構建方面,考察項目方的安全投入和安全性,並且要從外部依賴、治理結構以及項目方過往歷史等角度做好被調工作,保障投入到項目中的資金安全。

OKX Web3 錢包安全團隊:雖然無法 100% 保證 DeFi 項目的安全性,但用戶可以通過以下維度的交叉結合,來初步評估 DeFi 項目的安全性和風險等級。

  • 項目技術安全性

智能合約審計:

1)檢查項目是否經過多個審計公司的審計,審計公司是否具有良好的聲譽和經驗。

2)檢查審計報告中報告的問題個數和嚴重性,確保所有問題都已修復。

3)檢查項目部署的代碼是否跟審計的代碼版本一致。

代碼開源:

1)查看項目的代碼是否開源,開源代碼允許社群和安全專家進行審查,有助於發現潛在的安全問題。

2)開發團隊背景:了解項目開發團隊的背景和經驗,特別是他們在區塊鏈和安全領域的經驗,以及該團隊的透明度和公開信息程度。

3)漏洞賞金計劃:項目是否有漏洞賞金計劃,以激勵安全研究人員報告漏洞。

  • 財務和經濟安全性

1)資金鎖定量:檢查智能合約中鎖定的資金量,較高的鎖倉可能意味著項目具有較高的信任度。

2)交易量和流動性:評估項目的交易量和流動性,低流動性可能增加價格操縱的風險。

3)代幣經濟模型:評估項目的代幣經濟模型,包括代幣分配、激勵機制和通脹模型。比如,是否存在過度集中的代幣持有情況等等。

  • 操作和管理安全性

1)治理機制:了解項目的治理機制,是否有去中心化治理機制,並且社群能否對重要決策進行投票、並分析治理代幣的分配和投票權的集中程度等等。

2)風險管理措施:項目是否有風險管理措施和應急預案,如何應對潛在的安全威脅和經濟攻擊。另外,在項目透明度和社群溝通方面,可以看看項目方是否定期發佈項目進展報告和安全更新、以及是否積極與社群溝通並解決用戶問題等等。

  • 市場和社群評價

1)社群活躍度:評估項目的社群活躍度和用戶基礎,活躍的社群通常意味著項目有廣泛的支持。

2)媒體和社交媒體評價:分析項目在媒體和社交媒體上的評價,了解用戶和行業專家對項目的看法。

3)合作伙伴和投資方:查看項目是否有知名的合作伙伴和投資方支持,信譽良好的合作伙伴和投資方可以增加項目的可信度,但這並能成為判斷其安全的決定性因素。

Q4:用戶該如何看審計報告,以及開源狀態等等? 

BlockSec 安全團隊: 被審計過的項目,項目方通常會在官方渠道主動向社群公佈審計報告。這一些審計報告通常在項目方的文檔、 Github 代碼庫等渠道中。另外,還需要對審計報告的真假和鑑別,鑑別的方法包括檢驗審計報告的數字簽名、聯繫審計公司進行二次確認等。

那麼拿到這樣的審計報告,投資者如何去研讀這樣的審計報告呢?

第一,要看審計報告是否被一些安全聲譽比較高的安全公司審計過,比如 Open Zeppelin 、 Trail of Bits 、 BlockSec 等頂級審計公司。

第二,要看審計報告中提到的問題是否都已經修復,如果沒有修復,要看項目方不修復的理由是否充分。這裡也需要區分審計報告中的有效漏洞報告和無效漏洞報告。由於審計報告暫無統一的行業標準,因此安全審計公司會根據自己的安全認知來進行項目漏洞風險評級和報告。因此,對於審計報告中發現的漏洞,要重點關注有效漏洞報告。這個過程最好能有自己的安全諮詢團隊引入進行第三方獨立評估。

第三,要看項目方公佈的審計報告中的審計時間和最近項目的升級更新時間是否一致(或者接近),另外也需要注意審計報告中的項目方代碼是否覆蓋了項目方當前在線的所有代碼。項目方出於經濟成本和時間成本的考慮,通常會進行部分代碼審計。因此在這種情況下,需要判斷經過審計的代碼是否是核心協議代碼。

第四,要看項目方線上運行的代碼是否經過驗證(開源),經過驗證的代碼是否和審計報告中一致。通常審計會基於項目方的 Github 上代碼(而不是已經部署到線上的代碼)。如果項目最終部署到鏈上代碼沒有開源,或者和被審計代碼具有較大差異,都是需要引起重視的點。

 總之,閱讀審計報告本身是一個專業性比較強的事情,建議在過程中引入獨立的第三方安全專家來提供諮詢意見。

OKX Web3 錢包安全團隊:用戶可以通過 DeFi 項目官網或者第三方網站,例如 OKLink 查看智能合約的審計報告和開源狀態,下面介紹常見的查看項目審計報告和開源狀態的步驟:

第一,查找官方公告或網站。大多數可信的 DeFi 項目都會在其官方網站展示其相關的文檔信息,在項目文檔頁面,通常會有一個「安全」、「審計」或者「合約地址」等頁面鏈接到審計報告及項目方部署的合約地址。除了在項目方官方網站,通常其還會在官方的社交媒體如 Medium 、 Twitter 等展示審計報告和部署的合約地址信息。

第二,在閱讀項目方官方網站以後,可以通過 OKLink 瀏覽器,查詢項目方給出的部署的合約地址信息,並在「合約」一欄中查看該地址部署合約的開源代碼信息。

第三,在拿到項目方的審計報告和部署合約的開源代碼信息後,可以開始閱讀項目方的審計報告,閱讀審計報告的時候有以下注意點:

1)理解審計報告的結構,對審計報告的內容有個總體的概念,審計報告大致分為簡介、發現的問題、解決方案和建議和審計結果。

2)在閱讀簡介相關內容時,我們需要關注審計報告審計的範圍和目標,通常審計報告會標註審計文件提交的 Github Commit Id,我們需要對比審計報告審計的文件是否和鏈上部署的開源代碼一致。

3)在閱讀發現的問題、解決方案和建議和審計結果部分時,我們需要重點關注項目團隊是否已經按照建議修復了發現的漏洞,以及項目方是否對修改的內容進行了後續審計,以確保所有問題都得到妥善處理。

4)對比多份報告。如果項目進行了多次審計,查看每次審計報告之間的差異,了解項目的安全改進情況。

Q5:駭客攻擊歷史、賞金計劃,對 DeFi 項目安全性的參考價值?

OKX Web3 錢包安全團隊:駭客攻擊歷史和賞金計劃,對於 DeFi 項目的安全性評估提供了一定的參考價值,主要體現在以下幾個方面:

第一,駭客攻擊歷史

  1. 揭示歷史漏洞:攻擊歷史可以展示項目曾經存在的具體安全漏洞,讓用戶了解過去哪些安全問題被利用過,以及這些問題是否得到了徹底的修復。
  2. 評估風險管理能力:項目如何響應歷史上的安全事件,能夠體現出其風險管理和危機處理的能力。一個積極響應、及時修復漏洞並賠償受影響用戶的項目,通常被視為更可靠和成熟的投資選擇。
  3. 項目信譽:頻繁的安全問題可能減損用戶對項目的信任,但如果項目能展示出從錯誤中學習並加強安全措施的能力,這也能夠構建其長期的信譽。

第二,賞金計劃

賞金計劃在 DeFi 及其他軟體項目中的實施,是提高安全性和挖掘潛在漏洞的重要策略。這些計劃對項目的安全性評估帶來了多方面的參考價值:

  1. 增強外部審計:賞金計劃鼓勵全球的安全研究者參與到項目的安全審計中。這種「眾包」方式的安全測試能夠揭露內部審計可能忽視的問題,從而增加了發現和解決潛在漏洞的機會。
  2. 驗證安全措施的有效性:通過實際的賞金計劃,項目可以在實戰中測試其安全措施的有效性。如果一個項目的賞金計劃歷時較長但報告的嚴重漏洞較少,這可能是一個表明項目相對成熟和安全的指標。
  3. 持續的安全改進:賞金計劃提供了一種持續改進的機制。隨著新技術和新攻擊手段的出現,賞金計劃幫助項目團隊及時更新和強化其安全措施,確保項目能夠應對最新的安全挑戰。
  4. 建立安全文化:項目是否設立賞金計劃,以及該計劃的嚴肅性和活躍度,能夠反映出項目團隊對安全的態度。一個積極的賞金計劃顯示了項目對建立堅實的安全文化的承諾。
  5. 提升社群和投資者信心:賞金計劃的存在和效果可以向社群和潛在投資者證明項目對安全的重視。這不僅可以增強用戶信任,還可能吸引更多的投資,因為投資者傾向於選擇那些顯示出高度安全責任感的項目。

Q6:參與 DeFi 時,用戶如何構建監控感知能力

BlockSec 安全團隊: 以巨鯨用戶為例,巨鯨主要是指個人投資者或小團隊的投資機構,這些用戶的資金規模較大,但通常沒有非常強的安全團隊,也沒有自研安全工具的能力。因此,目前為止,實際上大部分巨鯨都沒有足夠的風險感知能力,否則就不會遭受如此巨大的損失了。

由於面臨巨大損失的風險,一些巨鯨用戶開始有意識地依賴一些公開的安全工具來監控和感知風險。現在,有很多團隊在做監控產品,但是如何選擇非常關鍵。這裡有幾個關鍵點:

首先,是工具的使用成本。許多工具雖然非常強大,但需要編程,使用成本並不低。對於用戶來說,搞清楚合約的架構,甚至收集地址都不是容易的事情。

其次,是精準度。沒有人希望在晚上睡覺時連續收到幾個警報,結果發現是誤報,這樣會讓人心態炸裂。因此,準確度也非常關鍵。

最後,是安全性。特別是在這種資金規模下,不能忽視工具研發及其團隊的各種安全風險。最近的 Gala Game 被攻擊事件,據說就是由於引入了不安全的第三方服務商。因此,可靠的團隊和可信的產品至關重要。

截至目前,也有許多巨鯨找到我們,我們會為其推薦專業的資管方案,從而使巨鯨用戶既能保證資金的安全,又能兼顧日常的資金管理如「挖提賣」,感知風險,甚至在緊急狀態下的資金撤退。 

Q7:參與 DeFi 的安全建議、以及如何處理安全風險

BlockSec 安全團隊:對於大額資金參與者,參與 DeFi 協議首要是要保證本金安全,在對可能的安全風險進行了比較充分的研究後進行投資。通常可以從以下幾個方面保證資金安全。

首先,要多方位判斷項目方的安全重視和投入程度。包括上面說的是否經過比較徹底的安全審計、項目方是否具有項目安全風險監控和自動響應能力、是否具有比較好的社群治理機制等。這一些都能反映出項目方對於用戶資金安全是否放在比較重要的方面,是否對用戶的資金安全具有高度負責的態度。

其次,大額資金的參與者也需構建自己的安全監控和自動響應系統。在投資的協議發生安全事件後,大額資金的投資人應該第一時間能感知並且能撤退資金,儘可能地挽回損失,而不是將所有的希望都寄託在項目方身上。在 2023 年我們能看到多個知名項目都被攻擊過,包括 Curve 、 KyberSwap 、 Euler Finance 等。很遺憾的是,我們發現在攻擊發生的時候,大額投資者往往缺乏及時、有效的情報,也沒有自己的安全監控和應急撤退系統。

另外,投資人需要選擇比較好的安全合作伙伴來對投資的項目標的安全進行持續的關注。無論是對項目方代碼的升級、重要的參數改變等都需要能及時感知並且評估風險。而這樣的事情沒有專業安全團隊和工具的參與是很難完成的。

最後,需要保護好私鑰安全。對於需要經常交易的帳戶,最好通過線上多籤和線下私鑰安全解決方案相結合的方法來進行,杜絕單個地址和單個私鑰丟失後的單點風險。

如果一旦投資的項目面臨安全風險,又該如何處理  ?

相信對於任何巨鯨和投資者而言,遭遇安全事件的第一反應一定是先保本,儘快撤資是最優先的動作。但是攻擊者的速度通常很快,手動操作往往來不及,因此最好能夠根據風險自動撤資。當前,我們提供相關的工具,可以實現發現攻擊交易後自動撤資,幫助用戶優先撤離。

其次,如果真的遭遇了損失,除了吸取教訓,還應該積極推動項目方尋求安全公司的幫助,對受損資金進行追溯和監控。隨著整個 Crypto 行業對安全的重視,追回資金的比例在逐步提升。

最後,如果是大戶,還可以請安全公司盤點投資的其他項目是否有類似問題。很多攻擊的 Root cause 是一致的,例如 Compound V2 的精度損失問題,去年許多項目都存在相似的問題並被連續攻擊。因此,可以請安全公司分析投資組合中其他項目的風險,如果發現風險,應該儘快與項目方溝通或撤出。

OKX Web3 錢包安全團隊:參與 DeFi 項目時,用戶可以通過採取多種措施來更安全地參與 DeFi 項目,降低資金損失的風險,享受去中心化金融帶來的收益。我們分別從用戶層面、以及 OKX Web3 錢包 2 個層面來展開。

第一,對於用戶而言:

1)選擇經過審計的項目:優先選擇經過知名第三方審計公司(如 ConsenSys Diligence 、 Trail of Bits 、 OpenZeppelin 、 Quantstamp 、 ABDK 以及今天我們對話的嘉賓 BlockSec)審計的項目,審閱其公開的審計報告,了解潛在風險和漏洞修復情況。

2)了解項目背景和團隊:通過研究項目的白皮書、官方網站和開發團隊背景,確保項目具有透明性和可信度。關注團隊在社交媒體和開發社群中的活動,了解其技術實力和社群支持。

3)分散投資:不要將所有資金投入到單一 DeFi 項目或資產中,分散投資可以降低風險。選擇多個不同類型的 DeFi 項目,如借貸、 DEX 、 Farming 等,以分散風險敞口。

4)小額測試:在大額交易前,先進行小額測試交易,確保操作和平台的安全性。

5)定期監控帳戶及應急處理:定期檢查自己的 DeFi 帳戶和資產,及時發現異常交易或活動。使用工具(如 Etherscan)監控鏈上交易記錄,確保資產安全。檢測到異常後及時採取應急措施,比如撤銷帳戶的所有授權,聯繫錢包安全團隊獲取支持等。

6)謹慎使用新項目:對於剛上線或未經驗證的新項目,保持謹慎態度。可以先投入少量資金進行試驗,觀察其運行情況和安全性。

7)使用主流 Web3 錢包進行交易:僅使用主流的 Web3 錢包與 DeFi 項目交互,主流 Web3 錢包提供更好的安全防護。

8)防範釣魚攻擊:謹慎點擊陌生鏈接和不明來源的電子郵件,不要在不受信任的網站輸入私鑰或助記詞,確保訪問的鏈接是官方網站。使用官方渠道下載錢包和應用程序,確保軟體的真實性。

第二,從 OKX Web3 錢包層面而言:

我們提供了很多安全機制以保護用戶資金安全:

1)風險域名檢測:在用戶訪問 DAPP 時,OKX Web3 錢包會在域名層面進行檢測分析,如用戶訪問的是惡意 DAPP,則會進行攔截或提醒,防止用戶上當受騙。

2)貔貅盤代幣檢測:OKX Web3 錢包支持完善的貔貅盤代幣檢測能力,在錢包中主動屏蔽貔貅盤代幣,避免用戶嘗試跟貔貅盤代幣交互。

3)地址標籤庫:OKX Web3 錢包提供了豐富完善的地址標籤庫,在用戶跟可疑地址交互時,OKX Web3 錢包會及時給予告警。

4)交易預執行:在用戶提交任何交易前,OKX Web3 錢包都會模擬執行該交易,並將資產和授權變化結果展示給用戶參考。用戶可根據該結果評判是否符合預期,以便決定是否繼續提交該交易。

5)整合 DeFi 應用:OKX Web3 錢包已經整合了各類主流的 DeFi 項目的服務,用戶通過 OKX Web3 錢包可以放心與整合的 DeFi 項目進行交互。另外 OKX Web3 錢包也會對 DEX,跨鏈橋等 DeFi 服務進行路徑推薦,以便給用戶提供最優的 DeFi 服務和最優的 Gas 方案。

6)更多安全服務:OKX Web3 錢包還在逐步增加更多安全功能,建設更多先進的安全防護服務,將更好更高效地保障 OKX 錢包用戶安全。

Q8:不僅是用戶,DeFi 項目方面臨的風險類型以及如何防護?

BlockSec 安全團隊:DeFi 項目方面臨的風險類型包括:代碼安全風險、運營安全風險和外部依賴風險。

第一,代碼安全風險。即 DeFi 項目在代碼層面可能存在的安全隱患。對 DeFi 項目而言,智能合約是其核心業務邏輯(前後端處理邏輯等屬於傳統的軟體開發業務,相對而言比較成熟),也是我們關注和討論的重點,包括:

1)首先,從開發角度來說,需遵循業界公認的智能合約安全開發實踐,比如對於用於防止重入漏洞的 Checks-Effects-Interactions 模式等等;此外,常用的功能儘可能選擇可靠的第三方庫來實現,避免因為重複發明輪子帶來的不可知風險。

2)其次是做好內部測試,測試是軟體開發中的重要環節,能夠幫助發現很多問題。但對於 DeFI 項目而言,僅通過本地測試並不足以暴露問題,更需要在貼近實際上線的部署環境中做進一步測試,這方面可以通過使用類似 Phalcon Fork 這樣的工具來幫助實現。

3)最後,在測試完成之後,接入口碑良好的第三方審計服務。審計雖然不能確保 100% 不出現問題,但系統性的審計工作能夠在很大程度上幫助項目方定位已知常見的各類安全問題,而這些往往是開發者不熟悉或者因為思維方式的不同而較難觸及的部分。當然,由於各家審計公司在專業和方向上存在差異,如果預算允許,在實踐中也推薦 2 家或者多家審計公司參與。

第二,運營安全風險。即項目上線後在運營過程中的產生的安全風險。一方面,代碼依舊可能存在未知漏洞。即便代碼已經經過良好的開發、測試和審計,依舊可能存在未被發現的安全隱患,這一點在軟體開發數十年的安全實踐中得到了廣泛證明;另一方面,在代碼層面的問題之外,項目上線後面臨更多挑戰,比如私鑰洩漏、系統重要參數錯誤設置等等,均可能造成嚴重的後果和巨大的損失。運營安全風險的應對策略建議包括:

1)建立健全私鑰管理:採用可靠的私鑰管理方法,比如可靠的硬體錢包或基於 MPC 的錢包解決方案等。

2)做好運行狀態監控:監控系統實時感知特權操作和項目運行中的安全狀態。

3)構建針對風險的自動化響應機制:比如採用 BlockSec Phalcon,可以在遭遇到攻擊的時候自動實施阻斷,避免(進一步)的損失。

4)避免特權操作的單點風險:如用 Safe 多籤錢包來執行特權操作。

第三,外部依賴風險是指項目存在的外部依賴帶來的風險,比如依賴於其它 DeFi 協議提供的價格預言機,但預言機出現問題導致價格計算產生錯誤的結果。針對外部依賴風險的建議包括:

1)選擇可靠的外部合作伙伴,如業界公認的可靠的頂級協議等。

2)做好運行狀態監控:類似運營安全風險,但這裡的監控對象是外部依賴。

3)構建針對風險的自動化響應機制:類似運營安全風險,但處置方式可能有所區別,比如切換備用依賴而非直接 pause 整個協議。

此外,對於希望構建監控能力的項目方,我們也給出一些監控建議 

1)準確地設置監控點:確定協議存在哪些關鍵的狀態(變量)、在哪些位置需要監控,這是構建監控能力的第一步。但監控點的設置很難覆蓋全面,特別是在攻擊監控方面,建議採用外部專業第三方、經過實戰檢驗的攻擊檢測引擎。

2)確保監控的精準性和及時性:監控的精準性是指不能有太多的誤報 (FP) 和漏報 (FN),缺乏精確性的監控系統實質上是不可用的;及時性是做出響應的前提(比如能否在可疑合約部署後、攻擊交易上鍊前檢測到),否則只能用於事後分析,這對監控系統的性能和穩定有極高的要求。

3)需要自動化響應能力:基於精準和實時的監控可以構建自動化的響應,包括 pause 協議阻斷攻擊等等。這裡需要有可定製、可靠的自動化響應框架支持,可根據項目方的需求靈活地定製響應策略並自動觸發執行。

總體而言,監控能力的構建需有專業的外部安全供應商參與建設。

OKX Web3 錢包安全團隊:DeFi 項目方面臨著多種風險,其中主要包括以下幾類:

1)技術風險:主要包括智能合約漏洞和網絡攻擊。防護措施包括採用安全開發實踐、聘請專業的第三方審計公司對智能合約進行全面審計、設置漏洞賞金計劃以激勵白帽駭客發現漏洞,以及做好資產隔離來提高資金的安全性等。

2)市場風險:主要包括包括價格波動、流動性風險、市場操縱和組合性風險。防護措施包括使用穩定幣和風險對沖防範價格波動,利用流動性挖礦和動態費用機制應對流動性風險,嚴格審查 DeFi 協議支持的資產類型和使用去中心化預言機防止市場操縱,並通過持續的創新和優化協議功能來應對競爭風險。

3)運營風險:主要包括人為錯誤和治理機制風險。防護措施包括建立嚴格的內部控制和操作流程以減少人為錯誤的發生、使用自動化工具提升操作效率,以及設計合理的治理機制,確保去中心化與安全性平衡,如引入投票延遲和多籤機制。並對上線的項目做好監控和應急預案,一旦出現異常可以立即採取措施,將損失降到最低。

4)監管風險:法律合規要求和反洗錢(AML)/了解你的客戶(KYC)義務。防護措施包括聘請法律顧問確保項目符合法律和監管要求、建立透明的合規政策以及主動實施 AML 和 KYC 措施以提升用戶和監管機構的信任。

Q9:DeFi 項目方,如何判斷並選擇好的審計公司?

BlockSec 安全團隊:DeFi 項目方如何判斷並選擇好的審計公司,這裡有一些簡單標準的可供參考:

1)是否審計過知名項目:這表明該審計公司被這些知名項目所認可。

2)審計過的項目是否被攻擊過:固然從理論上來講審計並不能保證 100% 的安全,但實踐經驗表明口碑良好的審計公司所審計的大部分項目未曾有過被攻擊記錄。

3)通過過往審計報告判斷審計質量:審計報告是衡量審計公司專業程度的重要標誌,尤其是在同樣的審計項目、同樣的審計範圍可作對比的情況下,可重點關注漏洞發現的質量(危害程度)和數量等,漏洞發現是否通常被項目方採納。

4)專業從業人員:審計公司的人員構成,包括學歷和從業背景等,系統性的教育和從業經驗對於確保審計質量有很大的幫助。

最後,感謝大家看完 OKX Web3 錢包《安全特刊》欄目的第 5 期,當前我們正在緊鑼密鼓地準備第 06 期內容,不僅有真實的案例、風險識別、還有安全操作乾貨,敬請期待!

安全特刊 4|OKX Web3 與 OneKey 對談:給設備安全加點「Buff」


免責聲明:

本文僅供參考,本文無意提供 (i) 投資建議或投資推薦;(ii) 購買、出售或持有數位資產的要約或招攬;或 (iii) 財務、會計、法律或稅務建議。 持有的數位資產(包括穩定幣和 NFTs)涉及高風險,可能會大幅波動,甚至變得毫無價值。您應根據自己的財務狀況仔細考慮交易或持有數位資產是否適合您。請您自行負責瞭解和遵守當地的有關適用法律和法規。

安全特刊 5|OKX Web3 與 BlockSec 對談 :DeFi 世界最新避險攻略〉這篇文章最早發佈於《區塊客》。

author avatar
區塊客
區塊客於 2017 年 4 月成立,積極蒐羅並傳遞全球區塊鏈與加密貨幣的第一手資訊,剖析尖端新聞,專題評議關鍵話題!增進全球中文閱聽眾及投資人對區塊鏈趨勢的了解。
donate plan

充電計畫

喜歡這篇文章嗎?歡迎幫作者充電,好內容值得更多人支持

瞭解詳情