首页 > 传媒 > 关键词 > 币安最新资讯 > 正文

币安区块101丨三体慢雾,DeFi漫步

2020-09-23 17:29 · 稿源:站长之家用户投稿

2020 年 9 月 22 日,币安新媒体营销经理七七对话慢雾科技合伙人 Keywolf启富。启富在直播中分享了最近DeFi安全事件中存在的漏洞,并介绍了用户在参与项目时该如何规避风险。

启富认为近期正处于DeFi FOMO情绪很重的时期,用户在DeFi挖矿安全方面首先要注意参与平台或项目本身有没有经过知名安全公司的安全审计;其次注意项目方的管理员权限有没有配置智能合约多签以提高安全性;第三要注意挖矿中的无偿损失,以及高手续费;最后参与DeFi挖矿一定要做好基础概念的学习,通过正确的路径去操作。

关于专业的安全审计,启富表示安全审计是有审计范围的,一般客户的诉求是对DeFi智能合约进行安全审计。在审计中除了关注常规的安全漏洞,还要关注代码和业务逻辑设计是否一致,以及组合性引入的外部风险,找出薄弱点提高攻击者的门槛从而整体提升安全性。

嘉宾观点:

“以前出过安全问题不代表现在不安全,有很多东西是不断完善的,踩了一次坑下次不会踩这个坑,比没踩过坑的人是更有经验,安全性和整体的实力应该也是更好的,我们也要以一个发展眼光去看待这些安全问题。”

“大家在关注到有没有安全审计的时候,要认准知名头部的国际的安全审计公司。”

“如果真的想要去参与DeFi挖矿,一定要做好一些基础的概念的学习,要掌握这些概念,通过网页用Metamask或者钱包APP的方式调用相应合约的函数,用正确的路径去操作。”

“DeFi的话它还挺早期的,包括现在整体的发展,它现在的一些应用,也基本都还是围绕那几个概念。”

“从安全这个审计角度来说,和我们的审计范围是有关系的。”

1

币安 七七:欢迎来到今天的《区块101》,今天跟大家讲的是DeFi还有一些项目的安全风控,借助今天这个机会,我们来和慢雾的启富老板向大家科普一下安全风控方面的事情。请老板先自我介绍一下吧。

启富(左)七七(右)

启富:大家晚上好,我是慢雾科技合伙人启富,主要负责产品和运营这一块。

慢雾是一家区块链安全公司,基本上国内最早成立的安全公司。我们在 2018 年 1 月份注册成立,专注在区块链生态安全。我们服务了很多类型的项目,包括币安等很多交易所还包括很多的去中心化的一些钱包或者是公链或者是其它智能合约的项目,现在我们做了很多的DeFi智能合约相关的审计。

我们在业界自我感觉名气还是很好的,因为我们团队实力也是特别强,我们在业界发现了很多通用的安全漏洞,像一系列的假充值的漏洞包括USDT的假充值,包括我们最早在全球独家发现的以太坊黑色情人节,跟以太坊这个节点配置不当会发生丢币还有一系列的假充值,还有像最早的BEC这样的一个项目溢出漏洞导致很多的损失。

现在我们做了很多DeFi方面的安全审计,这也是我们今天要聊的这样一个话题。现在社区里面有很多人关注到我们,有流传一种说法是我们审计之后会有一个证书,大家就觉得证书上面像盖着慢雾章一样。

所以很多的Yearn farming流动性挖矿的矿工,在考虑这个项目他们玩不玩,头矿冲不冲,慢雾要审计,审计完之后有慢雾的盖章他们才会冲才安全。这一块对大家的信任我们觉得还是挺好的,我们也很珍惜很慎重在审计这些项目的时候。

币安 七七:我问一下我们老三件,最常规的一个问题,您是什么时候进入区块链行业?

启富:我其实在 2017 年大牛市的时候开始关注到区块链,早期的时候我们肯定都会有听说过,因为我们之前一直都是做技术的,所以这方面我们都有了解。

在 2017 年的时候我开始关注到这样的一个行业,我也差不多在 2017 年的时候跟我们慢雾的创始人余弦,余老板有接触,在 2018 年成立这家公司之后我马上加入到这个团队里面,大家一起去创业。

我们一直都是在区块链生态的安全这样一个方向,区块链这个赛道里面还是有很多细分的方向,包括做交易所、做钱包或者做自己的项目或者说发币这些东西。但是我们因为之前一直都是做互联网安全、做云安全等等,所以我们觉得这个行业这样的一个赛道里面也需要安全这一个东西的时候。

我们切入到这样的一个新的赛道,同时我们也给自己定下了一个基调:我们专注区块链生态的安全。我们新的这个公司慢雾,没有再去做其它的像一些例如微信APP的安全或者网站淘宝之类的安全,我们就专注在区块链这个生态。

我们在生态里面用不同的一些方式,就像刚刚我们提到的假充值的漏洞,最早的以太坊黑色情人节的漏洞,这个东西发现之后给我们品牌带来很好的传播,我们在全球都开始得到大家的关注,我们这个漏洞发出来之后,大家都发现这个漏洞攻击很容易,但是受害者很容易掉到这样的一个坑里面,就会给自己带来很大的损失。

这样相当于这种安全的声音在国内或者在国际上,当时 2018 年早期的时候,还是非常薄弱的,所以我们那时候算是一炮打响,我们整个的起步都打得挺漂亮的。

币安 七七:您其实也是个技术大佬,从之前的互联网安全过来的,去做了区块链安全审计。

启富:对,其实跟大家的兴趣也是有相关的。

币安 七七:我听到你们公司名字的时候,慢雾,我觉得这个名字很神奇,有一点点浪漫,我就很好奇这个名字是怎么来的?

启富:慢雾其实它是来自《三体》这本小说,我相信很多人应该都有看过这个科幻小说。在这本《三体》小说里面,慢雾它其实是黑暗森林里安全区域的一个象征。

那我们为什么用这样的一个概念作为我们公司的名字?因为我们也非常深刻认知到区块链它也是一个黑暗森林。早期的时候区块链上面的这些资产、余额、持币量都是公开的,像一些大平台用户比较多,资产比较多,它冒出头来会比较有种鹤立鸡群的感觉。

很多地下的黑客,藏在黑暗之中的人就会盯上这些目标,这些冒出来的人就会面临到这样的风险,所以我们的一个愿景就是希望能够成为区块链生态里的安全区域。也就是说有了我们的加成,给这些目标形成了一种安全上面的加成,能够提升他们安全的基准,也提升了攻击的门槛,更好保障平台的安全。

就像我们现在跟币安的合作,跟钱包跟交易所等等方面的合作,都希望能够提升平台的安全性,保障平台上用户等等这方面的资产。

2

币安 七七:这个我觉得你们做这个好有意义,对这个行业好有贡献。我们今天的主题是“DeFi漫步”,您之前也说了漏洞,比如以太坊黑色情人节假充值,代币假充值漏洞,EOS生态上的假充值,有没有比较详细的案例能给大家介绍一下?

我之前做客服有遇到过转假币,你们做这个吗?就是它那个币的名字是一样的,它转出来的就是一个没有价值的货币?

启富:假充值漏洞跟假币是不一样的,整个是一种技术上的攻击手法,但我这边可以用比较通俗的方式去给大家介绍一下科普一下。

因为我们现在的交易所大部分都是中心化的,区块链它是一个去中心化的技术,那交易所这样的一个中心化平台,它怎么样才能够知道用户在区块链上面有给它的地址进行转账打币,肯定有一些检测的方法,它需要去关注用户的地址上面余额有没有增加,有没有收到新的一些转账进来,也就是说这一个事情是把链上和链下的东西结合起来的。

那在这一个结合的过程当中,它就会出现这样的一个假充值的问题,黑客在区块链上用钱包或者用脚本工具转账的时候,它会去构造一些比较特殊的一些交易,这个交易发到那个地址之后,它成功记录在链上,交易所的充提系统就会检测,检测的时候发现这个地址收到一笔转账,这个转账有一些参数是有问题的。

但如果交易所的开发、技术小哥哥如果不懂的话,就会觉得这是一个成功的充值。黑客在链上进行了一笔假充值这样的一笔交易,它发到链上,那其实黑客没有真的把这些USDT、ETH转到地址上面充到交易所,交易所误以为充值成功。

黑客在交易所上面的余额,它就会有一笔充值到账,这样会造成空手套白狼的效果。例如一万个以太坊,交易所发现有大户充了这么多进来,它以为到账就给它确认,这个时候黑客在上面进行一些挂单或者直接提币,这样就可以通过假充值来获得真的以太坊,把这个币真的提出来,这个会给交易所造成很大的损失。

因为黑客攻击者基本上是零成本,可以无限去攻击这些平台,它可以通过这样的一个方式把平台上面几乎所有的资产都提走,有点像欺骗。这个方式跟你刚才提到的假币其实是有点异曲同工的感觉,只是它的币是真的币,但是它没有真的转账过去,没有转账成功,或者说转账成功了之后里面有一些特征。

这个在程序里面需要对它进行检测,这个当时就有发现,因为有一些我们合作伙伴或者说我们的一些蜜罐,类似有点像陷阱的东西发现这样的行为,我们就把它披露了出来,让大部分交易所尽可能修复这个问题,避免更多的交易所遭到这些黑客的攻击。

刚才提到有好几个假充值漏洞,像刚刚提到的USDT假充值漏洞,EOS假充值漏洞等等这些,它的原理基本上是一样的,区别只是在不同的链上面,它的一些字段名字是不一样的,这个需要交易所的技术研发人员可以看一下我们以前发布的文章。

我们把详细漏洞的原因、修复的方法都公开出来了,现在市面上知名的、运行时间比较久的交易所都没有这些问题,但是如果你有一些新开的交易所就需要注意了,就需要看一下这些漏洞。

币安 七七:我现在是明白了,你们做的其实还是通过保护交易所资产安全还保护大部分的用户资产。像他们是攻击的对象是我们交易所,你像我刚刚说的那个假币他们一般攻击对象是散户。

启富:是的。技术要求或者说是一些技术名词还是比较专业一点。

3

币安 七七:现在行业最火的一个事情是DeFi挖矿。从你们的安全审计的角度来看,它这个发展你们觉得它的发展算成熟吗?是早期吗?

启富:肯定是早期,不管从技术上面还是现在的应用上面或者说从用户数量上面来看,都是很早期的。我们先不说DeFi,区块链和币圈都是早期的,区块链也没有什么大规模的应用,可能某一些场景下能够直接用数字货币买一些实体的东西,这些东西场景还比较有限。

所以DeFi的话它还挺早期的,包括现在整体的发展,它现在的一些应用,也基本都还是围绕那几个概念。就像你刚刚说的流动性挖矿,Uniswap AMM自动做市抵押挖矿,场景还比较少。

币安 七七:我们本身这个行业就是一个很早期的行业,更别说DeFi它其实才出来没多久。 

启富:现在就达成了一个共识,它肯定是早期的。

币安 七七:在你们角度来看,DeFi挖矿都存在着哪些安全风险和漏洞?还有最重要的一句话在后面大家比较感兴趣,我们该怎么去防范或者辨别呢?你可以给我们讲一下从技术层面上,有什么风险漏洞,但是我们普通用户该怎么去做呢?

启富:首先经过这一个月FOMO情绪最重的DeFi的一个周期,之前是说币圈一天人间一年,现在出现了DeFi一日,币圈一年这样的口头禅,在这样FOMO情绪严重下,之前有很多人讨论过也发生过很多的攻击也有很多人丢币打错币,不小心把 40 万的USDT打到合约上取不出来,各种各样的坑都有见过。我这边总结一下。

首先,你在参与DeFi的时候,要注意最核心的参与平台用的智能合约有没有开源、平台本身有没有安全审计、智能合约有没有问题、有没有漏洞,如果这个有漏洞或者说有后门,你的本金就直接有可能会出现损失。

如果这个项目是合约有后门漏洞,项目方可能是在等着你的本金过来,它好卷走跑路。你盯着它那一点百分之几百,百分之几千或者百分之几万的收益把上百万打进去,他把你本金卷跑了,这是非常得不偿失的,一定要找经过安全审计的,而且是知名的安全公司的安全审计。

因为我们前阵子也曝光过一个项目,他自己去包装了一个皮包安全公司,这个安全公司就一个网站,它啥也没有挂了一个经过了安全审计,找了一个什么像模像样的报告,那一套都是假的。这个也是很重要的,一定要找我们慢雾审计过的,有看到慢雾的审计或者我们有发过一些微博等等发过官方的消息的,这个是第一个。

第二个,它其实跟用户的操作也是比较相关的,例如说你在操作的时候,一定要注意这样的手续费。如果你本金不太多,以太坊拥堵的时候,可能手续费一笔好几百人民币或者几十美金,这也是其中有可能会出现的一个风险。

另外,如果合约有经过安全审计,但是有可能它有一些权限,这个权限最好它能够有多签的方式,尽可能不要是项目方里面某一个用户账号,因为这个用户账号项目方里面有一些内鬼盗取了这个私钥,通过其他方式转走。

项目方那个团队它可能自己都没有想到,因为有可能有内鬼的存在,这些风险也是有可能的。最好管理员的权限有通过智能合约多签方式进行这样的分散,一定需要有多个人一起来签名,这样的话安全性就会比较高。

另外一个用户在挖矿的时候,它其实有无偿损失,如果是在这里面挖得比较久挖得比较多也会有这样的一个概念,无偿损失其实也是在一些币价下跌的时候的风险。

还有可能你在进行一些操作的时候,像刚才我提到的有人从gate.io账号里面直接提币 40 万USDT到一个合约账号,其实那个合约账号并不是正确的操作方式。你要参与这个挖矿不是直接把这个币打到一个交易对的合约里面,这个操作是不对的,这个也是其中的一个风险。

如果你真的想要去参与这个DeFi的挖矿,一定要做好一些基础的概念的学习,要掌握这些概念,通过网页用Metamask或者钱包APP,通过这样的方式调用相应合约的函数,正确的路径去操作。

这是目前我觉得应该是总结的比较全面的,你作为一个普通用户要参与到DeFi挖矿这个事情里面,有可能会出现一些的风险和大家应该去注意辨别的一些点。

币安 七七:您刚刚说的这几点,在我们币安智能链上线以来也有出现过,您说的问题我都遇到过。刚刚说的无偿损失在第二天上线一个项目方去挖矿的时候,当天晚上BNB币价跌了,用户会有无偿损失。

在这里想跟大家说一下,大家在挖矿的时候,要先了解一下规则,包括它这里面的信息安不安全都需要了解一下的。因为我有遇到有一个用户在智能链打BNB不知道打到什么地址,现在CZ包括整个客服部帮他找这笔钱,帮他在各种国际包括国际国内的社交平台上都有去问,但是这种其实找到了我们说幸运,但是真的找不到对大家来说是一笔挺大的损失。

启富:对,操作失误这个就是。

币安 七七:大家如果自己操作失误的话,那是很气了,我们做了所有的努力帮助你,因为是你在链上转丢的。

启富:我们本来和A项目合作,海报上有我们和A项目的LOGO,然后山寨项目直接把A项目的logo换成它自己的,看起来慢雾和山寨项目合作了一样,但我们没有,我们还出来辟谣,这也是一个很尴尬的事情。

如果有渠道,可以通过我们的官方邮箱等方式进行一些求证,或者我们现在有一套DeFi项目有没有审计,我们有一套查询系统在我们的官网上面就能够看到,直接可以去查一下,如果那个项目的名字在这里找不到的话,有可能你就要小心了。

4

币安 七七:币安有一个官方验证通道,币安官方的微信号都在里面验证过了。我们几个微信都可以验证的,因为微信社群里有很多假冒币安客服,打电话说是币安客服的。打了电话之后我有进群,就是一个传销资金盘。一个群里只有我一个用户,在这个圈子里安全是比较重要的。

我们去看项目审计,慢雾有些找不到官方微博的大家可以去《区块101》的微博,今天直播《101》有@他们的官方微博,看一下微博动态更新或者官网看一下,简单的一步操作对大家来说,投资的风险就有可能真的降低挺多。虽然说这是我们审计过的项目,不一定都是很好很安全的项目,但是最起码比起你在整个市场上大海捞针挑项目,还有一点让你借鉴的方面。

启富:没有经过安全审计就是一个骗子项目,就是想要你的本金,拿着很高的年化收益,达到几百万就直接跑路。

币安 七七:我发现最近CX做得很猖狂,已经波及到我姐家庭主妇那个阶层了。在群里发USDT转到了IMtoken钱包,我姐问我这是什么?我说这是我们圈子的东西你在搞啥。她说期权,就是投多少钱一天给我返多少钱,她说她投了 3 万,返了2. 8 万,我说你就此,别再投了,你让他把剩下的两千返你,不亏就行。

挺迷惑的,CX力量无处不在,不知道他们到底是什么魔力,我姐两眼放光看着我,我找到了一个赚钱渠道,不太能理解,这个圈子骗人的方法有很多很多种,还是建议大家不要乱去搞私募,包括一些未经审计的项目,大家就平平常常交易,在交易所。

我不是说大家只能在币安交易,就在大的交易所里面首先是可以保障你的资金安全,因为它有那个资本有财力去做安全审计包括保护自己安全的能力,大家在这个交易所里交易,其实相对来说比较安全,我们只能说是在这个圈子里相对安全。

我们刚刚说了DeFi流动性挖矿,你那边有没有什么最近DeFi出的安全事件,就是有哪些原因导致的漏洞,有没有例子给我们再讲一下。

启富:其实DeFi的话应该也是差不多今年上半年,开始火起来,比较早的像MakerDAO、Compound,在 2019 年这个项目就已经有了,但是用户关注度都比较低,在今年开始以来,出现的项目还蛮多的,但是随之而来的安全问题,攻击事件还蛮多的,我拿几个大家听说过的项目来去给大家介绍一下。

当然我说这些项目,以前出过安全问题不代表现在不安全,有很多东西是不断完善的,踩了一次坑,下次不会踩这个坑,比没踩过坑的人是更有经验,你的安全性,整体的实力应该也是更好的。我们也要以一个发展眼光去看待这些安全问题,如果是那些跑路的,直接要去抨击,要去指责的。我这边有一个汇总给大家去分享一下。

首先,我们在接触到这样的一个DeFi的安全事件,最早的就是一个bZx,就是一个借贷,在以太坊上面是比较知名的项目,它在上面出现了好几次的安全问题,截止到现在,应该累计出现过三次安全问题。还有一个Uniswap特别火的是V2 的版本,它早期的版本也被人黑过,也出现了损失。

另外中国的一个项目,lendf.me,它是dForce network这个项目,这个项目我们发现攻击事件之后去协助了,好在最后通过多方协助之下这个资产顺利的找回,黑客迫于种种压力,最后攻击者把资产退回来,这个事情得到了圆满的解决。

他们这些项目也是比较知名,还有一些也不是特别知名的项目,或者说有一些安全问题,不一定会带来损失,它可能不是被盗,而是出现了安全问题。例如说之前的SYN的项目,清算合约出现了问题,导致错误的锁仓。

币安 七七:是那个YAM?

启富:YAM是我下一个要说的,红薯这个项目,我们当时写的文章,绚烂的火花,一行代码有点要毁了它的这个意思。当然它现在的项目到V3 之后也还算比较稳定,不算是昙花一现的项目。YAM,当时因为一个问题,代码里面要进行一次重新的动态的扩容,因为代码上面有一个精度,它没有去把这个东西包含进去。

在我们做技术来看就是一个特别低级的一个bug,肯定没有测过,如果测过没发现,那这个水平有点尴尬了。这个是YAM,它现在做得还可以,现在已经通过V2,派盾那边有审计,V3 他们也有审计,这个项目从创新性上来说还是可以的,当时出问题的时候,算是一个小插曲,一开始就栽了一个跟头。

还有一个DeFi上面安全问题跑路的,我们这边一定要去曝光它,跑路的非常可恶,就是翡翠。翡翠是在EOS上面,之前应该很多人都有听说过,很多人维权了这个项目。

第二个,波场上面有一个鲸鱼还有鲨鱼,这两个好像同一个项目,他们网站基本上一样,也跑路了,卷走了很多钱。

还有一个以太坊上面的一个项目,我刚才有提到,它还伪造了安全审计,还做了一个皮包安全审计公司,它叫LV,跟名牌包是一个名字的,LV.finance,也跑路了,也卷走很多钱,现在也有很多用户在维权,有没有办法把它追回。

其实DeFi,我们有一个小产品,叫做区块链被黑档案库(https://hacked.slowmist.io/),在区块链被黑档案库里面汇总了很多区块链生态里面出现的安全问题,不仅仅有DeFi还有公链还有交易所还有钱包的或者说这些Token一些代币的。

我们做这样的一个网站里面就是有一项数据显示,从 2019 年到现在,加起来的事件,DeFi相关的安全问题已经有差不多 30 起了,带来的损失也是很大的,我们不算找回来的,那些加起来也差不多有几千万美金的损失,bZx、Uniswap等等,SYN之前出过闪电贷组合起来的那些问题。大家感兴趣的话,可以在我们的官网或者说在百度、谷歌上面搜一下区块链被黑档案库。

币安 七七:这个我们是都能看到的对吧?

启富:对,是公开的。这一个网站,我们之前还看到得到了CZ的一个推荐,他当时好像在接受一个采访的时候,提到我们有这样的一个网站叫hacked。hacked小网站里面汇总了很多区块链被黑的事件,我们做这些事件,失败乃成功之母,我们希望提醒后来者或者提醒这个生态里面的相关的从业者能够了解到可能会出现哪些安全风险。

例如说你想开交易所,想要去做公链,公链可能面临怎么样的问题,以前的人踩过什么坑,你要先了解一下,不然的话你还会踩这些坑,很可能亏钱,你会觉得区块链不好,不想在区块链生态里面发展,我们做这些事情,希望这个行业发展更好,新的项目,新的团队进来能够有这样的历史经验教训,能够学习,整个区块链行业也会发展越来越好。

币安 七七:天使没有工资,没有人给加鸡腿。我们上一期重庆 101 的线下见面,本来抽奖只有周边,我们有一个天使随便写一个赞助两个BNB,我们天使宝宝们都很棒,特别感谢他们。在币圈真的不简单,又是DeFi,又是K线,美股贵金属,还有安全技术。

我 2019 年进入币安,我在客服学这个很辛苦,当然我学会了也留下来了,慢慢开始上合约,好不容易把U本位搞懂又开币本位,又开期权,后来又DeFi,我刚接触DeFi的时候,跟民道大佬对话的时候,对DeFi这个概念稍微有一点清晰了,当时只有借贷有应用还有dForce,还没有流动性挖矿这个境界,看着这个圈子,今年我就发现学习的东西实在太多了。

大家可以来直播里听我们跟大佬分享,他们不是在给你们培训。

启富:同学们注意听讲。

5

币安 七七:我最近每期直播都在听讲。我再问一个比较专业的问题,在DeFi里面你们要去审计一个项目,你们会从哪些方面去评估它呢?除了去看一些合约的审计?

启富:从安全这个审计角度来说,和我们的审计范围是有关系的。目前来说,我们对绝大部分的DeFi项目比较重视,他们的诉求智能合约的安全,所以我们在审计智能合约安全的时候,第一点特别关注它有没有一些这种常规的安全问题,例如说溢出等等这些比较常见的这些问题。

第二个,在一些业务逻辑上面,像刚才提到的YAM,它可能在一些计算上面有个地方没写好,这个跟它的业务逻辑是有冲突的,它本来应该去做一些计算的时候,为了让动态扩容。如果代码里有bug,在审计的时候我们就会指出来,相当于你实现的时候,这个东西有错误跟你的预期不一样,这是业务逻辑上面。

还有一个,是在组合性这个问题上面,像之前也有出现很多闪电贷或者相关的组合,我们就简称为外部风险。在关注到你本身这个合约没有什么安全问题之外,你还要关注一下如果你的合约里面有调用很多其它的一些DeFi的协议,不管是借贷还是相关的闪电贷、抵押或者是一些相关的这样的一个杠杆等等这样的一个合约。

还要去关注一下他们外部合约里面的一些操作,以太去交互的时候它的返回值,这方面也需要去关注,不同的代币不同的项目实现的智能合约的方式不一样,尽管像普通的代币ERC20 的代币有自己的规范,但是DeFi还很早期,DeFi不同协议之间去组合调用现在还没有什么规范,就是在去调用外部合约也需要特别重视。

另外一个就是针对有其他的一些用户,应该说用户不仅仅关注智能合约安全,还会特别关注一些前端或者是有相应的一些服务端这样的安全,我们审计范围也会包括这一部分,那它的前端上面的一些操作,前端上面的一些接口的调用,包括它有一些后端的接口,它的后端的一些服务器。

这些网络这方面的安全我们都会进行相应的审计和把关,我们会把这些薄弱点给它找出来,告诉它怎么样去提升自己的薄弱点,这样的话提高攻击者的门槛,整体安全性就会得到提升。

币安 七七:好的,今天老板分享了这么多有用的干货,我今天又在认真的学习。我看有人问,漏洞是不是故意留下的后门?我觉得不会,刚刚也说了,他们这个漏洞是一个在技术上是一个很简单很简单很低级的bug,留后门应该不会这样。

启富:其实在这个生态在这个圈子里面有这样的一个问题,它如果想要留后门,就不太可能找安全公司去审计,它如果是故意要留后门。就会像刚才的那个LV那个项目一样,伪造一个安全公司,一个皮包安全公司然后去做一个假的审计的证书,审计报告,那它就会通过这样的方式掩盖自己的后门。

它如果有后门,故意留的后门,它不太可能会找我们知名的安全公司,这样的话我们肯定会给它指出来让它修复,不然是没办法通过的,大家一定要去再去关注到有没有安全审计的时候,还要认准知名头部的国际的安全审计公司,例如说慢雾,认准慢雾就对了。

6

币安 七七:下面有人向您提问,小白想学习代码审计知识去哪里找资料?

启富:我们一直特别希望这个行业能够很好发展起来,所以慢雾的团队文化里面就有一个很开放,很透明的内容。

我们所有的发现的安全漏洞,这些漏洞的原理、修复方法我们都会公开,包括我们自己的审计的一些标准,我们做智能合约审计,做交易所审计,做钱包、公链的审计,我们是怎么审计的,审计的哪些点,哪些方面,哪些方向,这些都在我们官网上面有公开。

刚才提到很多的漏洞,包括一些我们自己出的技术研究,我们都会在我们的github发布,github也可以通过我们官网,在右上角有github的地址,跳过去有一个慢雾安全团队知识库的一个项目可以去查看,里面全是干货,我们还翻译了国外我们都认可的觉得很厉害的安全审计资料,还有我们自己整理研究的结果结论,都在github开放免费。

币安 七七:我很好奇写了一些什么,等一会我去看一下我能看懂的。大家可以了解一下,对自己反正是有好处没有坏处的。 2017 年 8 月开使用币安,怎么参加内部学习?内部学习参加不了,内部学习是培训员工。

启富:还有一位观众他说这个东西太难了,我们刚说到那些确实是比较专业的,所以我们还做一个事情,我们在 2019 年的时候做了科普系列,把区块链生态安全风险、名词都汇总起来,给大家讲什么是女巫攻击或者算力攻击,51%攻击或者什么是分叉还有一些技术的概念,还有冷钱包、热钱包、温钱包这些概念,我们都做了科普。

慢雾科普的文章一共有十篇文章,入口也有很多,一个就是我们的github上面,有入门科普的也有技术性比较强的可以学习怎么做审计的,我们公众号上面也有,可以在菜单里面找到。

币安 七七:我们天使说的区块链安全入门笔记,慢雾已经把笔记做好了,你去看看就行了,就不用你做笔记。

启富:重点已经挑出来了。

币安 七七:“币安学院怎么参加?”币安学院是我们在币安官网下面大家可以找到有一个学习可以找到币安学院,不是线上授课,我们做了一些总结,做了一些比较简单的普及什么的,大家可能去看视频知道怎么交易怎么下单,如果比较新手的话建议币安学院看一下,怎么玩转交易所。

好了,我们今天到这里了,感谢慢雾给我们做的这么多分享,感谢启富老板讲了这么一堂课,真的是在听课,辛苦了辛苦了,你也有准备,做了很多功课。

启富:感谢七七感谢币安还有你们的栏目,《区块101》,名字念起来也琅琅上口。

币安 七七:我们今天比较有纪念意义,今天是 100 期,明天是 101 期。

启富:这个数字也很吉利,一百分。

币安 七七:我们今天就到这里了,谢谢大家支持。拜拜。

启富:拜拜。

「免责声明:本文嘉宾观点不代表币安《区块101》立场,且不构成投资建议,请谨慎对待。」

「感谢本期《区块101》支持媒体:」

火星财经、链得得、链闻、星球日报、区块律动、深链财经、蜂巢财经、通证通、世链财经、陀螺财经、CoinVoice、白话区块链、鸵鸟区块链、CoinNess、哔哔News、博链财经、链虎财经、DAPPX、币本直播、币扑Beep、瓦力财经、布道财经、FN.COM、区块网、深潮Deep Flow、币用宝、羊驼财经、INNOVERVIEW、比特财经网、巨鲸财经

「感谢本期《区块101》支持社区:」

币乎、财路、力场、谜渡、HOLD

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • Defi大环境下,币安用技术说话,币安智能链开启币圈新时代

    去中心化的新概念DeFi已经成为了整个币圈的新热点,目前来看,整个 DeFi生态系统中锁定的资产已经超过了 60 亿美元大关,呈指数式爆炸式的增长。由于99%的DeFi项目都是建立在以太坊上,导致太坊ETH这条链过于拥堵,链上的转账费用连续上涨并屡创新高。DeFi如果继续保持高歌猛进,如此拥堵不堪重负的以太坊网络一定会带来溢出效应,哪条公链可以在这 3 个月的时间窗口承接到以太坊溢出的项目和资金流量呢?答案就是最新发布的币安智

  • BUSD行走范围再次扩大,币安赚币理财新升级

    随着DeFi概念的火爆,人们对于稳定币的重视程度也在不断上升,在DeFi的布局中稳定币成为关键一环,如果市场中没有好的稳定币做支撑,也没有在市场中形成可靠的信用和共识,单独行走的DeFi金融业务会发展很快就会碰到行业天花板的尴尬。币安于 2019 年 9 月与Paxos联合发行了合规稳定币——BUSD,并且Paxos在今年 8 月份拿到了纽约金融管理局的新审核,并将BUSD纳入了免审核的名单中,这就意味着目前排名稳定币第三的BUSD在资质方面

  • 公链赛道发令枪响,能跟上币安的有几家?

    9 月 11 日,在币安智能链(BSC)宣布主网上线的十天后,币安CEO赵长鹏在“The World of Defi” 线上峰会上宣布,将设立一亿美金种子基金扶持BSC生态建设,打造CeFi 与DeFi生态协同。至此,币安成为第一家集DEX+CEX+稳定币+投资+币安智能链BSC+钱包+CMC等诸多生态架构共冶一炉的超级巨头。目前的市场已经到了无DeFi不投资的地步,作为今年的当红炸子鸡,DeFi成了所有交易所接下来布局的重中之重。币安快人一步提早嗅到了味道,币安

  • 矿池宝将成为完整币安矿池生态的最后一块拼图

    虽然币安矿池仅上线 5 个月,可是这 5 个月中动作不断产品频出,币安矿池不局限于只做算力,在矿池的“基本功”方面币安矿池远超优秀线。币安矿池自上线以来短短时间便冲进算力值排行榜前十,让人不禁感叹不愧是头部交易所的矿池,上线时间短但冲刺速度远超别家。当一份考试成绩已经达到 100 分的时候,那追求满分就成了最轻松的事情,这个时候币安矿池开始着眼于附加题。为矿池赋予想象力的事情不是没有人做过,可是一家公司如果?

  • 合约选择货比三家,币安成绩当之无愧no.1

    作为一种规避价格波动风险的工具,合约为散户、机构投资提供了趋势投资、风险对冲的选择,将这套在传统金融市场流行的玩法迁移至加密货币市场,也就成了如今大家所知的比特币等加密货币合约交易。然而在世界范围内有众多家数字货币交易所提供合约交易,如何甄别交易所好坏便是合约用户需要关注的重点了。全球最大的数字资产交易平台币安,在 9 月 23 日,宣布旗下加密资产衍生品交易平台币安合约自年初至今已突破一万亿美元交易量?

  • 币安合约千团大战奖池之争 BNB锦鲤落谁家

    距离币安合约上线已经过去一年的时光,这一年的时光是漫长的。币安合约从BitMEX占据市场的半壁江山中,以及OK、火币对加密资产衍生品赛道虎视眈眈的情形下,顺势而生。接着,在这“漫长”的时光里,用火箭般的速度,画出自己的曲线。币安合约推出一周后,交易量超过 18 亿美元; 1 个月后,日交易量冲至BTC/USDT正向永续合约第一名; 6 个月后,币安合约永续合约交易量超越BitMEX,成为稳居行业第一的“大黑马”。 1 年后的今天,?

  • 币安智能链全速前进,为DeFi生态安全发展保驾护航

    今年伴随着DeFi概念的火爆,越来越多的DeFi项目如雨后春笋般诞生,不少人奉之为 2020 年的财富密码。但是伴随着DeFi市场的崛起,以太坊公链的一些弊端也随之显现,排队拥堵、手续费高、体验差成了众多项目方叫苦不迭的问题所在,一笔交易手续费需要几十甚至上百美金的手续费,这着实让人难以接受。在以太坊种种问题逐渐暴露之时,币安推出了一条全新公链,就是根据币安链部署的平行链——币安智能链。币安智能链通过引入权益权威(

  • 币安区块101丨DeFi新引爆点 - 完全去中心化衍生品DEX

    2020年10月15日,币安新媒体营销经理七七对话Injective Protocol联合创始人及CEO Eric Chen。Eric在直播中介绍了Injective的项目优势以及DEX与CEX之间的联系和差别。Eric表示Injective生态由三部分组成:Injective链、Injective DEX和Injective衍生品协议。作为完全去中心化的衍生品交易所,Injective在极端行情时保证正常运行的解决方案是把杠杆做的更低,保证市场有比较安全的杠杆值,提高扩容速度及时做出调整。Eric认为DEX的优

  • 首期币安智能链生态加速计划公布1000万美元流动性支持

    2020年10月14日,全球领先的区块链生态系统币安宣布正式启动币安智能(BSC)生态加速计划(价值1亿美元)。作为生态加速计划的一部分,币安为部分优质币安智能链生态项目提供流动性支持,旨在提升生态流动性和代币锁仓量,帮助初始项目启动预热或项目加速。首期生态加速计划将为以下4个项目提供总计1000万美元流动性资金支持,自动做市商(AMM)Pancakeswap、Burgerswap、Bakeryswap和中心化借贷服务(Lending)Fortube。币安将在?

  • 币安区块链研究院“星火计划”将提供美国斯坦福大学人工智能课程,由教育机构Shorelight共同引入

    星火计划「数字新基建课程倡议」简介2020 年 6 月 ,币安中国区块链研究院启动重要战略项目“数字新基建·百城千企星火计划”,旨在连接全球资源,积极响应中国政府号召,布局区块链、人工智能、云计算以及大数据等新基建相关领域。9 月 18 日,由币安中国区块链研究院、临港区块链技术研究院、亚马逊AWS和数字投行FINWEX联合主办的IFIC上海峰会、第一届数字新基建创新大赛奠定了“数字新基建”相关活动的重要基础,更是汇聚了重量

  • 币安何一:币安的成长从来不是被动的

    在区块链行业,最相关的除了原先的挖矿,在链上完成交易,本着公开透明、匿名性强的原则。因为它的一些弊端。所以区块链届的巨头交易所出世了,交易所的出现给用户提供了方便,也降低了简单交易的风险。币安就是最大的交易平台之一。币安用短短的时间将自己从无名小所打造成全球第一的国际化交易平台,引来了众多的评价和争议。而在区块链的赋能上,币安也取得了一定的成功。很多人都充满疑问,币安在短时间内取得如此大业绩的原因

  • 币安何一解读:币安TSS解决方案的主要特点

    区块链行业的快速发展得益于开源社区的贡献。全球领先的区块链生态系统币安积极履行对开源的承诺,币安致力于向区块链的发展贡献自己的力量,保障如币安链、比特币网络等区块链上资产和信息安全。为此推出币安TSS解决方案,该方案安全性高,可快速安装和签署,并且在特殊情况下方便找回,对很多公司的机密文件来讲,起着重要的作用。上月,币安更加进一步地履行币安对开源的承诺,宣布开源基于门限签名的ECDSA(椭圆曲线数字签名算

  • 币安合约新产品上线 践行币安创新的产品之路

    每当在币圈谈论起币安的时候,都有一种老生常谈的感觉,对于币安的经历以及创立的辉煌事迹,还有眼花缭乱模糊不清的数据,都验证着币安的成功。币安本身有着自己的极客精神,在创立之初的 6 个月就达到全球交易量最大,用户最多的币币交易平台的优秀成绩。但这并不是巅峰,只是开始。币安不仅在币币交易方面表现突出,赵长鹏也将币安打造成了百万级的撮合系统,成为速度最快的交易平台之一。币安合约交易也积极发力,顺应市场,满?

  • 三年把币安做大的赵长鹏,他都经历了什么?

    “我对行业的信心一直都是百分之百。”赵长鹏接受区块链媒体采访时自信地说到。作为全球排名第一的数字资产交易平台, 19 年全球用户数量超 1500 万,覆盖国家和地区超 180 个,自身的平台币BNB市值排名跻身全球前十,流通市值 260 多亿,持仓用户有 100 多万,币安作为才发展了三年的新星交易所,能取得这么大的成就,离不开其CEO赵长鹏的领导。币安的成绩和赵长鹏的成就不可分割,赵长鹏 6 个月达到 120 亿身价,他带领的币安货?

  • 赵长鹏:币安的反洗钱系统比银行还严格

    近些年来由于数字货币逐渐被大众所了解和认知,也被不少不法分子盯上。其匿名化和去中心化的特性,成为了一些不法分子黑钱漂白的工具。例如利用黑钱购买数字货币,通过数字货币交易所进行即时交易、分批购买和卖出等方式,将黑钱进行转移套现。所以为了防止无辜用户遭受牵连,对于平台来说AML(反洗钱)系统就显得尤为重要。在所有的头部平台中,币安是最重视用户安全的。正如赵长鹏所说“币安的反洗钱可能比传统银行做的反洗钱还?

  • 币安赵长鹏——以用户为核心,缔造行业顶尖

    随着最新一期由胡润研究所发布的《 2020 胡润全球独角兽榜》显示,币安两次上榜,以 200 亿人民币估值登上“最年轻独角兽”和“拥有华裔联合创始人的海外独角兽”榜单,同样名列“最年轻独角兽”榜单的公司还有京东健康、贝壳、度小满金融等。这次登上胡润的财富榜对于币安来说也并不新鲜,早在 2019 年 8 月,币安CEO赵长鹏获福布斯全球亿万富豪榜第 1818 名。而在今年的 2 月 26 日,赵长鹏又是以 180 亿元人民币财富名列胡润全?

  • 赵长鹏与币安并肩,超高速实现闪电式扩张

    在区块链这个高速发展的行业,无论作为从业者还是关注者,我们已经不能用普通的商业思维来衡量,只有创新大胆的思维,才能跟上高速奔跑的动车。就像从普通码农蜕变成亿万富翁赵长鹏只用了180天,他还与币安并肩,带领币安从1到10亿超高速的实现闪电式扩张。赵长鹏与币安并肩,超高速实现闪电式扩张赵长鹏6个月达到120亿身价,他带领的币安货币交易平台在推出42天后达到了交易量排名前10位,92天后达到前5,156天后达到前3,并在165

  • 币安新币挖矿之丰收攻略:如何挖币、计算收益率等

    什么是币安新币挖矿?币安新币挖矿可以存入已有代币挖出新代币(即挖矿池),且整个过程不需任何成本。用户每天的收益取决于用户在挖矿池总持仓量的占比。(详细解释请看这里)新币挖矿将持续 30 天。前 7 天为新币在Binance.com上架交易之前,而在BEL新币上架后即可开始交易任何收益所得代币。新币收益将每日发放,用户也可以随时增加或移除特定挖矿池的持仓。总的来说,这就等于Binance.com上架新币之前(和之后)这段时间内免挖出了新?

  • 币安合约往事:人间1年 快速迭代365天

    到处都是散落的咖啡杯,电脑线从中间缠绕穿过,几个人围坐在书房一张电脑前,盯着屏幕上一个个字符的输入, 1 秒后,网址输入完成,黄黑配色页面出现。香港时间, 2019 年 9 月 4 日凌晨 4 点,币安合约上线,邀请制开放。他们没有欢呼击掌,连续的熬夜让兴奋变得有心无力。这期间,有人干脆就睡在电脑旁,累了去沙发躺会,醒来继续奋战。“上线前一天忙到凌晨 6 点,离开同事家下楼时,楼下保安还以为我们是小偷。”一位币安合约

  • 币安区块101丨林吓洪:9年币圈老人的投资心得

    2020 年 8 月 19 日,币安新媒体营销经理七七对话Bodhi基金会创始人&Continue Capital联合创始人林吓洪。林吓洪作为入圈 9 年的币圈大佬,在直播中分享了他的币圈经历以及多年来他坚持的持币信念。林吓洪入圈 9 年被称为"币圈活化石",他更在乎长期的收益。在交易过程中林吓洪认为最重要的一点就是认知,要在实践中搭建属于自己的思维框架。比特币的核心可以把它理解为一个更加自由互联互通的货币,他相信比特币会让全球的金融体系

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签