研报分享(四)——漫雾web3资产安全两篇合集

一、思维导图

《慢雾:区块链黑暗森林自救手册》思维导图
《慢雾:区块链黑暗森林自救手册》思维导图
《漫雾:2022 上半年区块链安全及反洗钱分析报告》思维导图
《漫雾:2022 上半年区块链安全及反洗钱分析报告》思维导图

二、整体评价

post image

三、心得

漫雾这两篇一起来写。先说题外话,漫雾团队算是另辟蹊径,作为目前少数国内依然正规持续经营的公司之一,他们选取的赛道和发展战略很像早期的金山。曾经一度对漫雾的安全报告比较痴迷,从中学习了不少区块链相关知识。《自救手册》曾看过,这次读来算是重温,大部分内容是基础入门的,写的很细,很适合新人阅读。《2022 上半年区块链安全及反洗钱分析报告》读起来不如单独事件安全报告干货多,更偏向是工作总结,对于新人来说,可以看个大概知道一些常识即可。总体来说,链上安全措施和防护是每个参与web3世界的人所必备的知识。

(一)任何世界都有生存的必备技能

在web3世界,链上资产安全相关知识是进入这个世界所必备的。否则,就好似2010年前后,PC在未安装任何杀毒软件的情况下就在互联网里“裸奔”,即使是资深用户,也难免会中招。当年的中毒或者被植入木马,最多就是资料丢失或者变为“肉鸡”,格式化硬盘,重做系统即可解决。Web3世界里,失去的是所有链上资产,而且基本上是无法追回的。但是新人进入这个世界,由于缺乏引导,往往都是处于“裸奔”状态。任何野蛮生长的市场,都存在极其凶残的掠夺。即使是资深玩家,也会因为一次小失误导致资产被盗。推荐大家看看之前发的这篇推文,体会一下当事人的感受。https://twitter.com/albertchin20161/status/1566239481149390848

post image

(二)新人常见误区

比较庆幸个人是从区块链技术入门,进而了解整个web3世界的,期间也有好友引导,基本没有走弯路。更具体的来说,看完整个区块链的发展史后,对于cex,初期只作为出入金渠道,资产主要在链上,即使换币,更多的选择用dex实现(当然要防夹)。这里我结合接触过的新人,总结几点误区,旨在警示链上资产,请勿对号入座。

误区一:大部分资产放在cex(中心化交易所)中

现实中,我们习惯于将钱放到银行存款账户或交易所金融账户中,但是在web3世界,我们应该逐渐适应资产掌握在自己手上,不要相信任何机构。接触过不少人,有人喜欢放在交易所账户里,有人甚至炒币了几年还没有使用过链上钱包,有人一直在用小交易所(上半年遇到一个,多年只会用中币的,还好逼着他换到了链上钱包)。每次熊市都会有交易所暴雷、跑路。很多人都会说,ftx、币安、欧易等这些大交易所很安全啊,账户忘记密码还能找回。以币安为例,从交易量指标分析,目前其市场占有率大约是30%。而Mt.Gox(即门头沟)2013年前后市场占有率高达70%。后面一样爆发门头沟事件。交易所禁止提现的事件太多了。既然区块链赋予了我们对个人资产的掌控技术,我们为什么不用呢。

误区二:助记词以电子形式保存

一些人确实使用链上钱包保管资产,但是比较偷懒,对助记词直接复制,粘贴到电脑的记事本里。有人小心一点,用手机拍照或者截图存储。但基本上,只要钱包的助记词曾经存在电子痕迹,这个钱包在我们看来,就已经废了。很多链上资产的盗窃都是通过这种方式实现的。再比如前段时间Chrome浏览器出现的漏洞,一旦用户复制过小狐狸钱包的助记词,都有可能被盗走。包括手机中的粘贴板,安卓系统支持查看读取历史粘贴板信息,一些手机本身也自带这些功能。因此,遵循“把字刻在石头上”最原始就是最安全的准则,我们都推荐使用纸记。原文中的paper那一段就是对应这种方式。但是纸片容易丢失(比如DAO内大佬早年遗失的20个大饼),我们采取的是用两本笔记本记录的方式。另外,核心资产比如大饼放的钱包助记词,可以采取脑记的方式。24个单词可以自己用故事串起。据说DAO内某大佬每天清晨会默念助记词两遍(他说,真打仗了,什么都不用带)。

误区三:助记词被知道几个问题不大

很多人认为,12个单词或24个单词的助记词被知道一部分,问题不大。但实际上,“撞库”这件事一直在持续,几个远古遗失较多大饼的钱包,每时每刻都有人在使用“撞库”的方式尝试打开(更久远的由于只有私钥,没有助记词基本不可能找回了)。每隔一段时间,就会有人尝试用各种方式钓鱼,让用户输入钱包的部分助记词,然后用撞库的方式暴力破解。

误区四:被审计过的合约是安全的

现在一些新项目为了提升用户信任度,都会在首页表明合约收到XX审计机构审计。但实际上,有三种情况做恶:一是伪造审计记录,二是找野鸡机构审计,三是确实找正规机构审计,但可能仍在审计中或者审计结果是有问题的。用户往往只看到“审计过”就放松警惕。实际上不看到正规机构出具的审计报告,都要保持怀疑心态(即使一些大项目通过了审计,实际上合约中也存在很大风险)。

误区五:不会作恶的正规项目方会确保资产安全

我们确实可以遇到很多靠谱的项目,也确信合约是安全的,但合约安全不代表项目的资产安全,很多时候风险来自于项目方内部。遇到过各种项目方管理的资产被盗,项目方内部人员监守自盗,最终导致链上资产损失。玩stepn之初就告诫朋友们不要相信项目方的伪钱包,要将个人资产存在链上钱包里。虽然stepn链上资产一直比较安全(和项目未开源有很大关系),但依旧存在较大风险。比如前几个月,一个朋友投入了数百万到ANA项目中,确实是算稳的熊市之光,后期稳定APY也能达到24%以上。结果由于项目方资产被盗,损失殆尽。

(三)个人总结必备技能

熟练掌握链上资产管理相关知识:包括主流链上钱包的安全使用、跨链桥操作、dex兑换(大资产注意防夹)等。

链上交互:按安全等级划分,对应不同的Google账号和钱包,主要资产账号、日常使用账号、撸空投账号全部要分开。

冷钱包:主要资产放到冷钱包中,实现物理隔绝,一般不轻易使用。可以配合硬件钱包进行使用,多一层防护。