12月15日,Web3.0CloudDaySingapore2022活动于新加坡顺利举办。第三场圆桌论坛,由AI与加密艺术家Ting担任主持,五位嘉宾针对「Web3安全」主题发表了自己的看法,分别是:AlibabaCloudIntelligence新加坡地区解决方案架构师总监YangKan、Beosin执行总监TommyDeng、Cobo国际副总裁JundeYu、NumenCyber市场总监JoannaZhang、Safeheron业务拓展主管JagFoo。以下是圆桌对话实录整理:
Ting:众所周知,区块链是基于去中心化等思想基础促进交易快捷可信发生的行业。但是,2022年是充满戏剧性事件的一年,Web3行业内安全问题频出。在阿里云和Odaily伙伴们的帮助下,今天这场圆桌聚集了众多安全行业内的实践者,我们讲一起进一步探讨「如何让Web3行业不同参与者更为安全」。首先,先请各位嘉宾简单进行一下自我介绍。TommyDeng:Beosin是一家区块链安全公司,目前在新加坡、香港、迪拜、日本、韩国等地均有分布。我们与阿里云合作了很长时间,进行其生态内Web3项目的安全审计。今年我们在推出了区块链安全预警服务EagleEye,以确保上线项目的运行安全。同时我们也在扩展其他机构业务,因为我们注意到仅仅保证智能合约的安全是不够的,还有很多机构面临像FTX这样的内部合规风险,所以我们推出了KYT的反服务。JundeYu:Cobo是一家全球领先的数字资产托管和区块链技术提供商,总部位于新加坡。作为一家以科技驱动为核心的创新公司,Cobo专注于构建可扩展的基础设施,推动Web3.0领域的发展,我们有一系列的解决方案——集中托管、分散托管或自我托管等等,目前已经与500多家企业达成合作。JoannaZhang:NumenCyber是一家总部位于新加坡的Web3安全及网络威胁检测和响应的解决方案提供商。NumenCyberLabs由来自全球的顶级安全专家组成,技术团队发现过很多知名Web3生态及项目、微软、谷歌、苹果产品的高危漏洞,并提供业界领先的Web3安全解决方案,可满足各种Web3应用场景的网络安全需求。NumenCyber通过对智能合约、公链、钱包、交易平台安全审计,链上合约威胁检测和响应,Web3安全态势感知、数字货币追踪和Web3威胁情报等服务和产品增强Web3项目在整个开发周期各个阶段的安全能力,保障项目方和用户的数字资产安全。JagFoo:Safeheron是基于MPC和TEE技术的数字资产安全自托管服务提供商,用户可以完全控制自己的私钥,通过MPC和私钥分片管理也可以有效防止单点故障。Safeheron由一支拥有超十年网络攻防、密码学实战经验的团队创建。自2019年以来,核心团队便一直奋战在数字资产安全存管的科研攻防一线。YangKan:过去5年,我一直在阿里云工作,帮助企业迁移到云端。今天,我们在web3原生业务方面有很多机会,帮助众多企业从web2转移到web3。对这些企业而言,在他们迁移到web3时,安全性成为一个重要的考量指标,这也是我们可以发力的方向。Ting:2022年个人和加密项目资产被盗事件频繁发生,能否请各位嘉宾介绍一下最常见的方式是什么?JoannaZhang:针对个人的攻击方式有很多种,比如网络钓鱼或私钥盗窃,这些是攻击个人的最常见的方式。还有很多项目被攻击,是因为他们的代码或项目存在漏洞,这也是智能合约最典型的弱点。因此,我们也建议项目开发者完善代码开发,做好智能合约审计,可以有效降低风险并避免遭遇攻击。JagFoo:纵览资产被盗的过往历史,你会发现私钥泄露是一个重要因素。2022年,超过10亿美元的加密资产被黑客盗取,主要方式就是窃取私钥。为什么会造成这样的情况?主要原因是大多数机构管理私钥的方式是由单人掌握;一旦私钥丢失极易造成单点故障,失去对资产的控制。当然,即便你的资产都存放在中心化机构,不存在私钥丢失的情况,你也可能失去资产,比如FTX破产。TommyDeng:我们每季度、每年都会发布一份安全报告。根据我们的统计,截至目前为止2022年区块链上有37亿美元的加密资产遭遇黑客攻击或被盗,其中40%是智能合约有漏洞,40%是由于私钥泄露;从项目分类来看,70%的资产被盗与DeFi以及跨链桥有关。JundeYu:一些被盗案例,主要是公司内部某个人犯错,可能是主观作恶,也可能是因为疏忽错误点击了钓鱼链接。Ting:针对这些加密风险因素,各位嘉宾能否分别给个人和项目提供一些安全建议,保护他们的资产安全?YangKan:在Web2时代,我们会在多个层面进行安全管理,比如每个项目上线前我们都会做渗透测试,对安全性进行评估。现在进入Web3时代,这套法则依然适用。我们建议项目做好智能合约审计,关注业务逻辑和操作。web3安全是一个非常专业的领域,牵扯的因素很多,但从本质上来说与web2时代没有什么不同。TommyDeng:首先,确保私钥安全。当你注册链上钱包时,不要对私钥截图或复制到剪贴板;不要在手机安装任何可疑的移动应用程序,因为它们有权限访问你的相册和剪贴板。其次,多样化资产配置,将你的资产储存在多个链上,同时在中心化和非中心化平台分别配置。对于项目方来说,在上线合约之前需要做一下智能合约审计。其次是做好内部合规和管理,有一些加密盗窃案例显示,联合创始人或员工可能会窃取私钥并跑路。因此作为老板要正确管理团队,确保不让某一个人掌握所有的私钥。JundeYu:大多数加密盗窃案都与内部人员有关。在内部风险管控的基础上,需要引入多方权限去避免资产流失对于多方共管的MPC钱包。即便有人犯错,仍然需要更多的人签名,才能提取资产。MPC自托管比较合适已经有完善的安全防备设施和安全管理系统的机构,当然也可以考虑把数字资产托管给行业服务商。MPC和中心化托管都是Cobo针对不同客户需求提供的资产存储管理方案。JoannaZhang:对于个人来说,首先要提高自己的安全意识,比如开户以及交易时,选择安全的有资质的加密平台,可以有效降低风险。这些平台会做监管审计,保护你的账户;他们也有政府许可证,这将帮助你避免危险的项目。对于项目方来说,需要做好合约代码审计以及增强整体服务安全性。另外,即便是经过安全审计的项目,也不能掉以轻心,一些攻击通常会在项目启动后发生。所以链上安全检测与防御也非常重要。JagFoo:不要把所有的鸡蛋放在一个篮子里,这样即便某些方面受到黑客攻击,你的资产可能也不会丢失。重要的是,机构需要有一个能缓解单点故障的风险和多层次的安全策略;更关键的是,要有一种安全文化:从不信任,永远验证。Ting:CeFi平台,比如CEX和中心化加密借贷机构,应该如何同时实现安全性、合规性以及透明度?JundeYu:首先,公布自己的钱包地址,这将激发透明度;其次是邀请第三方审计来审查你的系统;最后是要有更严格的KYC。Cobo目前也正在开发一些产品,中心化机构可以考虑使用我们的MPC协管解决方案,并把其中一把私钥分片交给信任的第三方,这样可以较大程度避免内部作恶,从而给proof-of-reserves带来更多的信息透明度,增加投资者对CEX机构的信心。YangKan:中心化平台面对众多的交易者,他们可能行为各异,你需要从源头做好KYC,从而确保平台的合规性。更关键的是,建议风控防护体系,当用户行为触发警报时要及时响应。遇到问题,也要及时发布公告告知用户。JagFoo:通过FTX事件,我们可以学到很多教训,比如没有完善的风控,没有适当的职责分离……大家可以看一下这些不良行为,作为反例。JoannaZhang:首先,满足本地的合规要求是非常重要的;CeFi公司还应该获得项目的相关认证;要有一个好的安全团队来做审计或安全保护,不管是技术安全还是内部法规。你也可以与安全公司合作,减少你的安全弱点。TommyDeng:中心化平台在未来可能会变得非常受限制。地方政府开始介入,对它的监管也越来越多,我们也帮助很多国家的监管机构做了反的合规工作。因此,中心化平台要遵守当地的法规,保证他们将来不会惹上法律的麻烦。
CFTC拟于5月25日举行圆桌会议讨论FTX提议的期货佣金商去中介化角色问题:4月27日消息,美国商品期货交易委员会(CFTC)将在 5 月 25 日举行圆桌会议讨论加密货币交易平台 FTX 提议的去中介化问题并定位期货佣金商的角色。
此前,FTX 提议利用衍生品清算模型(一种处理清算的新方式)直接清算其衍生品客户交易, 通过减少资产易手次数来简化交易。值得一提的是,美国商品期货交易委员会的公告中没有提到 FTX 的名称,而是将其称为一些已与 CFTC 工作人员讨论向零售客户提供非中介或直接交易和清算保证金产品的注册实体。(TheBlock)[2022/4/28 2:35:07]
现场| 共识大会(新加坡)圆桌:云服务中提供区块链的竞争:金色财经9月19日现场报道,在新加坡共识大会上,来自三星SDS和Akamai科技的相关人员参加了题为《云服务中提供区块链的竞争》的圆桌讨论。嘉宾认为,区块链服务可以支撑分布式网络。实现下一代基础设施的方法,包括迅雷的雷暴供应链平台,Akamai为日本设计的新支付网络,以及三星为工程师创造的区块链开发环境。嘉宾透露,SAP和微软等巨头公司,也开始了相关服务。[2018/9/19]
百人圆桌 钛云科技鄢傲:DPoS是一种比较符合国情和人性的机制:在金色财经百人圆桌EOS系列问题上,对于“更看好哪一种共识机制?给DPoS机制打多少分(满分10分)”的问题,钛云科技/招股科技鄢傲表示:我更看好DPoS,这是一种比较符合国情和人性的机制,没有绝对的多中心化。一个高效、稳定的网络一定需要一些强有力的见证者和参与者,出块节点和备选节点机制可能比较符合政府监管的需求,将来商用的区块链极有可能采取这种方式。首先,机制很环保,其次,能够加入主权节点用于监管和宏观管理,符合国情需要。我给9分。[2018/6/20]
百人圆桌 钛云科技/招股科技鄢傲:EOS的最大价值在于未来生态与技术指标:在金色财经百人圆桌EOS系列问题上,对于“最近,与EOS相关的系列消息好坏参半,有人力挺、有diss,您对此持有何种看法”的问题,金色财经记者有幸采访钛云科技/招股科技董事长鄢傲先生。鄢傲表示:一个行业高速发展的标志就是非常多不同意见的人参与进来,对于EOS来说是好事。我认为目前对于EOS的任何定论都为之过早,EOS最大的价值还是在于它的未来生态和技术指标,这些东西需要时间和市场去检验,有人力挺、有diss,很可能是处于大家不同的立场而已。[2018/6/20]
日本金融厅在本月8日、9日举办了区块链圆桌会议:据日本金融厅官网,日本金融厅于2018年3月8日、9日,与境内外金融机构和中央银行和日本国内外国家学会相关者等成员举办了“区块链圆桌会议”。参加的境内外金融机构和中央银行有英国金融行为监管机构、新加坡金融管理局、澳大利亚证券投资委员会、阿布扎比全球金融服务监管厅、法国健康监督机构,香港金融管理局、日本银行、加拿大银行等机构。日本国内外国家学会相关者如MIT媒体实验室、东京大学、庆应义塾大学等。这次会议是作为国际区块链联合研究的一部分举行的。这一区块链的国际联合研究被列为未来投资战略2017年度财政政策中将推广的一项措施,旨在引领今后区块链领域国际研究。此次议题有:1、监管机构和相关学会的合作;2、公共区块链的脆弱性;3、区块链的创新和保护用户的责任;4、各国关于区块链的处理;5、区块链未来的应用可能性;6、国际标准化组织(ISO)发起的区块链国际标准化运动;7、区块链的示范实验和活用事例。[2018/3/19]
忽略这篇文章可能会使您错失1,000,000美元。为什么?本文列出了60个新的第0/1/2层区块链,其中一些有潜力在下一次牛市中增长20倍、50倍甚至100倍.
1900/1/1 0:00:00近期,一款名为ChatGPT的AIGC工具迅速走红,以一种「杀疯了」的架势占领了海外各大媒体平台,短短五天斩获百万用户,成为了2022年当之无愧的杀手级应用.
1900/1/1 0:00:00在广义的理解中,区块链是比特币的底层技术,它一共有六层架构:数据层、网络层、共识层、激励层、合约层和应用层.
1900/1/1 0:00:00Odaily星球日报译者|念银思唐加密借贷公司NexoInc.因其计息产品而遭到多个州的勒令停止后,正在逐步退出其在美国市场的产品和服务.
1900/1/1 0:00:00什么是流动性提供?LPToken是流动性提供者向在自动做市商协议上运行的去中心化交易所提供流动性后获得的对应的凭证.
1900/1/1 0:00:00美国听证会前夕,SBF在巴哈马被捕,SBF本人则在巴哈马参加了听证会。SBF的父母暂停他们在Stanford的工作,来巴哈马参加听证会.
1900/1/1 0:00:00