1. 尽量不使用未知的 Wifi，即使是某些知名的线下场所，如星巴克、万豪酒店等，尽可能使用自己随身 Wifi 或是手机热点。若使用这些 Wifi，尽量不进行和钱包有关的操作

2. 莫名邮件的链接不要打开，更不要随意链接钱包。寻找项目官网尽量从 Twitter 等账号点击进入，或是从 Coingecko 等平台搜索项目方的社交账号、网页等，确保网页的真实性。

3. 对于长期持有的 NFT 或是长期 Stake 的资产，存在冷钱包中。一千多 RMB 的 ledger 能够大幅度提升你的资产安全性。

4. 个人的做法，是每次参与一个项目新建一个钱包。就算在以太坊上转账到新账户也就几十美金。否则，用同个账户参与多个项目，最后也不清楚到底哪个项目是恶意攻击。 相关链接： Coingecko：https://www.coingecko.com/ Coinmarketcap：https://coinmarketcap.com/ Ledger：https://www.ledger.com/ 不小心授权了合约，如何取消授权？ 可能授权之后才意识到网址错了，或者是假网站，该怎么办？ 最好的解决方法是创建一个新钱包，赶紧转移资产。此外也有一些取消授权的工具，如 eth allowance、Debank（目前需要下载 Rabby 钱包）、revoke等等，能解除对网页的钱包授权。 以 eth allowance 为例，登陆网站、链接钱包之后会展示目前授权的各个合约，选择自己需要取消的合约即可。 Eth allowance: https://ethallowance.com/ Revoke: https://revoke.cash/ Debank: https://debank.com/ 不懂代码，如何了解交互的合约是否有风险？ 在保证自己网络环境安全、还用了硬件钱包的情况下，对于链上玩家仍有风险，那就是我们在冲 NFT、DeFi 项目的时候，合约本身就有漏洞。但对于普通用户我们不了解智能合约编程，这时候我们就需要一些检测工具。 Go+ Security是一家服务于区块链不同类型用户的安全平台。平台覆盖多链、多种风险类型，支持用户自主提交风险数据，通过token检测、dApp 合约检测、实时风险预警等技术，快速处理并为用户动态提供检测结果，可快捷接入第三方应用平台，用户使用更便捷。目前已覆盖token检测500K+、dApp合约检测2K+，日查询次数500K+。用户只需要输入需要检测的合约地址，就能够查看合约存在的各类风险，包含：代币是否可增发、 是否可卖出、是否能够取回所有权、滑点、交易税等等。

网站链接：https://gopluslabs.io/token-security-form 投资中最重要的就是保证本金不遭受损失，擅用工具，注意风险，保障自己的资金安全。

Mike：Web3或许在隐私层面给了更强大的支持，但是在更加广泛的安全层面，却不能理解成Web3相较于之前的Web形态是更胜一筹的，甚至可能给主观作恶提供了更多有利条件。

根据ChainAnalysis的链上数据分析，2021年因为加密诈骗损失的资金达到140亿美元， 这相当于整个DeFi TVL的 6-7%；除此之外，还有很多针对普通用户的盗窃、诈骗的数额是没有计入统计的。

整个Web3加密领域的安全形势持续得不到改善，大量黑客趁机进入行业，攻击成本极低而获利效率极高。其中，面向普通用户的安全攻击事件最为严重和高发，包括偷盗私钥、空投诈骗、土狗（Rug Pull）、钓鱼网站、dAPP和授权攻击，而行业内目前还没有足够完善的面向普通用户的安全服务。

2、有人提到在某些特定环境下，通过一些技术理论上可以确定 web3 网络中的用户真实身份，这种说法靠谱吗？如果是的话需要具备哪些条件？

Mike:我们在做攻击逆向分析的时候，经常会通过被攻击者的地址数据，分析可能的攻击方式，如果是一个有经验的攻击者，会从用户的地址数据里分析出大量有效信息，资产细节，使用偏好，常用工具等，这些都可以帮助攻击者，设计自己的攻击方式。

比如之前opensea升级，发生的冒充opensea官方的邮件诈骗事件，就是攻击者通过用户公开数据，找到使用过opensea的用户，然后发邮件说需要升级需要新的授权，获得授权后，直接把用户NFT资产转走，也就是说，知道更多的用户信息，是可以显着提高攻击效率的，攻击者可以针对性优化攻击方式，同时还可以更有效的得到攻击反馈，也就是说攻击方式的迭代速度也快速提高，这就对web3安全提出更多的挑战，也就是意味着web3世界里，每个用户被攻击的概率都极高。

3、我们是否应该追求绝对的隐私和安全，web3 现有的几种技术方案支撑这种可能性吗？

Mike：现在web3，对用户数据公开、无偿的使用，我认为跟web2中心化服务白嫖用户价值是一样的，web3数据以用户为原点，纵向聚合，随着web3的逐步发展和成熟，用户数字资产和和行为数据的价值会进一步放大，为用户提供数据保护，是必须的，数据的使用，也应该是以用户为中心进行授权的。现在可以理解为，是数据使用或者叫滥用户的黄金发展期。隐私技术没有大范围应用，用户认知还比较低，都会造成用户意识不到数据隐私的重要，但过了这个阶段，隐私技术成熟，用户将最终获得自己数据的所有权。

4、对普通人而言，隐私和安全似乎并没有得到足够的重视，您认为 web3 的隐私和安全项目，未来最容易落地的场景在哪些方面？

Mike：我认同主持人所说的Web3普通用户的安全并没有得到足够重视。

用户需要广泛的安全服务，大并发，覆盖多场景，主动识别，实时防御，才能抵御层出不穷的攻击方式。

但目前在区块链行业内，有效的安全资源严重不足，且资源分配不合理，同时，本就数量有限的安全服务商，还面临着服务范围有限、模式效率低下等问题，并不能面向普通投资者直接提供安全服务，普通投资者在遇到风险时几乎毫无招架之力。

举例来说，审计公司作为区块链行业安全服务的主要提供方，在行业审计资源少、资源获取成本高的大前提下，还普遍存在服务方式单一、付费用户类型单一、服务能力提高的边际成本高、难以阻止大并发风险、难以向广泛用户提供安全服务等问题，因此安全能力有限。

另外两种安全资源Bounty平台和碎片化的安全工具，也都因为各自的局限性而无法实现面向广泛用户的安全服务。

Web3还是一个婴儿，在基础设施的搭建上需要更加完善。为普通用户提供安全服务，就是我认为未来比较容易落地的场景之一，也将是由行业痛点直接催生的基础设施。

5、有很多大型企业在web1.0、web2.0时代完成了资本原始积累，吃到了互联网用户牺牲一定的隐私和安全以求便利性所带来的行业红利，如何看待 web3 隐私安全项目面临这些 old monly 的竞争，因为这似乎是在砸他们的饭碗？

Mike：web3就是砸web2的饭碗，为什么不砸的更猛烈一些？

从数据的底层结构到应用展开的方式，web3与web2截然不同，甚至是相反的，这种底层结构的改变，web2数据割裂，碎片化的分散到各中心化应用中，数据的效率和用户价值无效释放，而应用层又是纵向的，因为数据无法互通，web2e企业必然追求纵向上的效率最大化，也就是出现了一个应用，什么服务都做的情况，可以说，是这种结构造成了互联网的瓶颈，也就是用户价值无法提高，增长停滞。

而web3天然就是要来释放用户价值的，数据以用户为原点聚合，而应用却横向展开，用户数据价值被开放的使用，不断提高效率，而分层的应用方式，又在每一层上找到更有效率的使用方式后进行叠加，这个方向不可阻挡，web2企业只有两个选择，更快速的拥抱web3或者停留在web2的思维里死去，穿着web3的外衣干web2的事，是无效的。

6、更好的隐私和安全似乎有时候并不见得都是好事，例如在 web3 时代受到黑客入侵所损失的数字资产就很难在现实生活中追责，您怎么看待这件事的正反两面？

Mike：事物的发展，本身就是一个利弊博弈的过程，但随着不断的创新，效率越来越高，安全性越来越强，事物才会进入快速发展期，所以只是我们目前的阶段决定我们会受到很多挑战。

从某种程度上说，风险是不可避免的，无论是在Web2还是Web3。在这个前提下，有效整合行业安全资源，为广泛用户提供安全服务就成了我们的最优选择。

也就是说，这个问题其实可以有另一个角度的解决方案，就是在追求隐私安全的同时，也可以从阻断和拦截风险的角度保护普通用户的资产安全、最大限度地减少用户损失，这正是目前Go+ Security致力于在做的事情。Go+ Security从用户实际的安全场景出发，考虑加密用户对安全服务的需求，提供快速、准确、低价和可选择的安全服务。

我们基于Go+ Security全新安全框架，通过自动化检测平台标准化处理数据，再通过建立DAO的方式处理非标准化数据，同时向行业开放风险数据库，与用户产生交互，让用户成为风险数据源，并在此基础上组织安全资源，实现依据用户需求、灵活调动安全资源供给的目标，以实现最大效率的安全数据交换，从而建立业内最大的风险数据库以及安全策略数据库。

7、大多数国家都存在对互联网的监管，基础通信服务商背后也大都可以看到政府的身影，您怎么看待它们跟 web3 追求隐私安全之间的矛盾？

Mike：新技术的发展同样面临跟监管的博弈，这本身就是技术发展的规律，通过不断的博弈才会找到技术与监管共存的方式，汽车刚发明的时候速度与公共道路资源的博弈，最终形成了我们现代的公路交通；民用互联网早期，信息的快速流通与版权的博弈，逐渐形成了现有互联网版权管理机制。这都需要个过程，本身就不是非此即彼的。所以我理解监管需要理解技术的发展以及技术的效率点，不断优化监管策略，同时，技术也会不断发展，主动适应监管，最终在用户权利，技术发展，政府监管三方找到平衡点，进一步推动web3替代web2。

对于基础通信服务商，我个人认为不用着急，web3应用层爆发，会倒逼L0层的优化，需要些时间，现在L0层的结构设计，仍然是中心化的，这个改变起来，会更难。

欢迎大家来到本次AMA——雪崩中文社区：Avalanche X Go+ Security AMA。

Avalanche 链上 USDC 发行量已经超过5.2亿 美元，成为USDC发行量第三大的区块链。当然随着生态飞速发展，链上资产和项目的增长，资产也开始遭遇各种安全问题，甚至包括Defiance创始人钱包被盗的新闻，对于安全方面值得认真关注，下面就请我们今天的主角， Go+ 安全团队为我们介绍一下安全方面的知识吧！

问：首先请介绍一下Go+ Security、Go Pocket相关产品吧

Mike：Go+ Security是一家服务于区块链不同类型用户的安全平台。平台覆盖多链、多种风险类型，支持用户自主提交风险数据，通过token检测、dApp 合约检测、实时风险预警等技术，快速处理并为用户动态提供检测结果，可快捷接入第三方应用平台，用户使用更便捷。目前已覆盖token检测500K+、dApp合约检测2K+，日查询次数500K+。

Go Pocket是我们的客户端产品之一，除了通过Go Pocket触达用户之外，我们还将通过各种第三方平台比如公链、去中心化钱包、DEX、行情网站等直接触达用户。

问：请问Go+ Security有发布token或者相关凭证的计划吗？用户想要参与到Go+Security项目的发展中来有什么路径吗？

Mike：目前Go+ Security还没有发行Token，但基于Go+ Security的安全生态，一个完善有序的Token经济模型已经非常清晰了。

用户使用Go+ Token获得安全服务，同样，Go+ Security之后也会通过Security Dao的方式，广泛接入可以提供安全服务的开发者，白帽或其他安全公司。Go+ Security希望构建一个大家可以彼此合作的基础架构，以便让有限的安全服务更有效率，服务更多的用户，同时安全服务有足够的收益能力，这也将促使Go+ Security可以设计一个业务逻辑更完备的经济模型，以获得最优的效率。

问：Go+ Security对于代币安全方面，能够实现哪些安全监测和示警呢？

Mike：Token安全上，可以细分为三个方面：

1.合约安全性

主要包括：

（1）合约是否开源：合约代码是否可查看

（2）是否有代理合约：检测是否存在可以修改逻辑或参数的代理合约

（3）是否可增发：合约是否可以增发代币

（4）合约真实owner地址：很多项目方会构造假的owner地址欺骗用户，知道真实owner地址才能确定目前项目方是否放弃所有权

（5）是否有取回所有权函数：项目方在放弃所有权后是否仍有机会取回所有权

这里我可以用一些数据来解释说明一下，目前检测到的未开源代币共计：143151

可增发（代币中存在可增发代币功能）代币共计：74193

2.交易安全性

主要包括：

（1）买入/卖出滑点：买入/卖出时需要花费的费用

（2）是否为貔貅代币：检测该代币是否只能买入无法卖出

（3）交易税可改：项目方可以修改交易税，如果交易税过高可能造成变成貔貅代币

（4）黑/白名单：设置交易条件，限制某些地址不能交易或者只能某些地址交易

（5）可暂停交易：可直接暂停交易，无法买卖

（6）上线的交易所与流动性：该代币目前上线的DEX以及主要的交易对与当前交易对流动性

这里我们依然用数据来说话：截至2022年3月24日也就是今天，

我们检测出与貔貅有关的风险代币数量分别是：

1）确定为貔貅（只能买不能卖）的代币：19546

2）防巨鲸（限制交易数量，存在貔貅风险）的代币：120467

3）可暂停交易（可以直接不能买卖，广义上也算貔貅）的代币：62467

4）交易税可改（可随意修改代币交易税，若交易税过高，代币就没法交易而成为貔貅了）的代币：132202

5）可设置黑名单（将某些地址设定为不可交易等）的代币：31360

6）可设置白名单（只允许某些特定地址交易，其他地址不能交易）的代币：3826

3.信息安全性

主要包括：

（1）Holder信息：包括当前holder数量、代币供应量、Top10 holder的地址以及该地址是否锁仓、是否为合约等一系列信息

（2）LP holder信息：包括当前LP holder数量、LP代币量、Top10 LP holder的地址以及该地址是否锁仓、是否为合约等一系列信息

（3）是否为真币：人工判断，检测该代币是否是冒充知名代币的假币

（4）团队信息是否可验证：人工判断，验证项目团队信息是否真实或可验证

（5）是否是空投诈骗：人工检测，很多诈骗代币项目方会通过空投形式吸引用户去其网站，然后通过授权或者让用户填写私钥/助记词等方式，骗取用户资产。

信息安全性的部分我会用一个效果图的形式来体现：

问：和其他钱包或者安全产品相比，Go+ Security有哪些特点和优势呢？

Mike：Go+ Security是一个创新业务，我们确实没有看到很多竞争者，理论上安全从业者，不管是审计公司、Bounty平台，还是安全工具开发者都可能成为Go+ Security的竞争者。但实际上，他们会发现，Go+更可能成为他们的数据及服务底层，基于Go+，这个安全从业者，可以快速完善自己的功能，并获得用户及收益。

他们可以从Go+ Security得到最全面的风险数据库（很多安全服务质量不足，是因为没有得到足够的样本量，很多风险，在不同样本量的支持下，结果截然不同），还可以从Go+ Security得到收入，白帽可以不依赖于任何公司，即可单独向用户提供服务以换取报酬，而安全审计公司则可以接到来自开发者的订单，Go+ Security的价值，更像是Web3的基础设施，帮助安全从业者具备更完善的安全服务能力。

Go+ Security的核心优势，来自于对用户的关注，而不是对获取收益的关注，Go+ Security思考的问题，是如何向每个用户提供安全服务。

这就从一开始决定Go+ Security的技术路径与其他人不同，Go+ Security会反复思考自动化部署可能遇到种种意外，为的就是可以让用户一键提交，也会尝试各种分解EVM的方案，为的就是让风险识别更准确，我们不是一个由付费订单推动的服务，而是由用户推动甚至是参与的开放平台，以用户为中心设计的核心功能，紧紧地围绕用户思考，解决问题，形成了我们在安全服务上的优势。

问：Go+ Security下一步计划是什么呢？

麦克风：

2022 年第二季度

Q2将重点提升风险检测效率，提升处理高并发能力，上线DAO测试版，获取DAO运行准确数据。

其他功能升级包括：

• 安全数据开源版本

• 上线合约自动检测平台

• Go Pocket Wallet - 开源版本

2022 年第三季度

Q3将上线安全DAO，接入更多白帽、开发者、中小审计公司的安全服务资源。

其他功能升级包括：

• 安全 API V1（验证节点）

• 安全DAO官方版（Hunter+）

• Go Pocket Wallet - 与 DAO 一起支持更多风险场景

2022 年第四季度

Q4将优化自动化审计平台与安全DAO在业务流程中的连接，开放风险库，接入其他自动化检测工具，进一步提升安全处理能力。

其他功能升级包括：

• 安全 DAO 升级（+隐私）

• 安全 API MKT 扩展（适用于所有主要链）

问：在钱包或者交易方面，对用户来说有哪些容易忽略的安全使用准则？

Mike：这个问题跟我们的普通用户息息相关，很荣幸能在这里跟大家普及一些安全知识，让大家在日常的投资中尽量避免踩坑。

第一，Token安全层面，假币，增发，交易开关，黑白名单，滥改交易税，预留后门等。

第二，交易安全层面：钓鱼网站与合约，三明治攻击，授权攻击，交易结构不合理，项目方通过交易开启时间、白名单机制和无效锁仓信息伪造流动性，合约存在交易缺陷，合约存在恶意后门等。

第三，钱包层面：假钱包（APP STORE中大量存在，这一点可能出乎大多数人的意料），中心化钱包，钱包包含恶意代码（Atoken），钱包程序本身对助记词/私钥保管不当加密没做好，储存没做做好，私钥助记词乱放，对钱包的地址生成机制不了解（BIP39一个助记词生成一堆地址，不了解机制导致保存不当），和他人共用钱包等。

用户实际使用过程中会遇到的风险场景非常多样，我今天就简单分享这些，我想如果大家有意向的话我们可以保持交流，后续我们会有一些针对普通用户的安全教育内容的输出。

大家也可以直接在我们的官网或者我们的合作伙伴的产品上直接体验我们的安全检测服务，我们的官网链接https://gopluslabs.io/

问：您认为Avalanche有哪些优势呢，Go+ Security在雪崩协议上构建能够互相带来哪些好处.？

**Mike：**Avalache能为开发者提供更灵活，成本更低，操作性更强的的开发环境，必然伴随着更多的开发者涌入，那也就伴随着更多的新的安全需求，无论是用户在交易侧还是，还是开发者在代码测都面临着新的挑战，Go+愿意成为Avalanche生态的一部分，生态更健康的的发展。

————————————————————————

Mike答用户问：

问：Web3.0最近很火，但安全也同样重要，能谈谈Go+ Security在Web3.0的布局吗？

Mike：web3就是区块链的应用方向，web3的概念饱含现有在defi，nft

web3最核心的逻辑是让用户的数字资产变现

所以Go+会快速推出新的资产类型安全检测，比如NFT，gamefi，dao，随着web3的快速发展，我们的安全服务也会快速跟上

问：合约安全您们看起来很专业，NFT安全吗？能不能监控一些NFT，因为最近也有一些NFT项目跑路。

Mike：NFT肯定是不安全的，而且NFT的风险场景分散，比如社群，交易所，包括假网站，都存在风险，我们已经建立NFT的安全框架，不久之后就可以上线，可以帮助用户识别假NFT，假空投，假白名单 ，以及有不安全的交易对象

问：我使用过Go Pocket，UI很棒，不过目前还不支持EVM的Blockchain，以后会扩展吗？

Mike：感谢，以后会覆盖rust合约，也就是说Solana这样的异构链也会逐步覆盖。Go+以后会是一个覆盖多公链的安全服务平台

问：很多像我这样的小白还不了解Go+ Security，请问我们该如何去体验Go+ Security呢？该从哪方面入手？

Mike：第一是可在官网全体验现在的token检测服务，合约检测目前还是白名单机制，但预计会在四月开放，同时也可以在合作方体验我们的功能，官网上有列表，大家可以挑选使用

问：调用Go+的API需要付费吗？

Mike：基础安全免费，增值安全服务收费，比如资产实时预警，合约检测，以后安全增值服务等。

问：开发者也可以调用你们的API吗？

Mike：可以的，Go+数据服务是免准入的，任务开发者都可以接入，欢迎大家使用。

问：有意跨链发展吗？

Mike：我们是很多公链的合作伙伴，一定会跨链发展，而且从攻击的趋势来看，跨链攻击，会是将来主要的攻击方式，如果不能跨链，无法应对这种攻击方式。

问：在判断合约的时候，有没有诊断错误的时候？

Mike：这种情况不可避免，只是概率问题，但我们的合约检测，会把准确率，以及检出率作为核心指标，为用户提供高可用的安全服务。

问：个人发现漏洞你们会给出奖励吗？

Mike：肯定会的，不单是发现漏洞，发现高质量的风险样本，也会得到奖励，但需要等到Go+ 开放框架上线。

问：有没有客服类型？

Mike：有啊，Go+是面向广大用户的一键式安全服务，使用体验类似360，需要有运营能力的小伙伴加入，一起帮助用户解决问题。

问：发币后通证经济怎么设计？

Mike：安全服务商，以及公共基础设施服务，目前都面临近经济模型设计无法提高业务效率的问题，也就是说，发币跟自身业务无关，Go+如果发币的话，会从经济模型对实际业务推动的角度考虑，会激励更多合作者，加入Go+生态。

问：为什么叫GO？使用go语言吗？

Mike：Go，往前冲，改变安全行业格局，真正解决用户问题。

每个人的安全工具

问：我看项目对安全性的检测很全面，我想问一下项目有哪些投资机构或者生态伙伴呢？将来项目发现token的话，普通用户是否能得到空投？

Mike：目前主要公链都是我们的合作伙伴或是投资人，我们也会更加深入公链生态，Avalanche就是我们主要的合作伙伴，我们将在Avalanche生态里深入构建我们的安全服务。

问：您好，行业现在还是早期吗？有没有永恒的牛市？

Mike：毫无疑问，行业早期，但结构和方向已经很明确了，币价涨跌，并不能代表行业的发展速度，需要些耐心，等web3长成大树

问：加入安全问题第一时间该找谁呢？

Mike：我希望日后出安全问题，第一时间来找Go+寻找解决，这也是我们的目标。

问：这个领域在生态里很有用，也很期待，咱们的功能进展需要资金强力支持，请问咱们有完善的融资计划吗？

Mike：可以凡尔赛一下，我们每天都在拒绝投资人，我们现在有充裕的资金和技术资源，实现目标。

问：Go+ Security这样的一个平台对于很多人来说都起到一个保护作用，您能说一下当初问什么要创建一个这样的项目吗？

Mike：普通用户面临的风险没有人管，需要有人做，也需要有效的安全服务。同时，帮助开发者快速成长，才能让Web3.0来的更快一些。

问：项目方未来的主要发展方向侧重哪些方面？是营销方面？还是产品和技术发展？还是两者同时进行？

Mike：产品技术是核心，市场营销是加成，拼的还是为用户解决问题的能力。

问：假如Go+ Security出现问题第一时间客户应该找谁处理？人工还是客服？

Mike：有非常方便的反馈入口，可以第一时间提交。也可以进入Go+ Security社群提交，欢迎大家帮助我们找错。

问：另外想问一下，安全应用和隐私计算的区别边界有哪些？

Mike：从不同层面解决用户安全问题，但解决的主要方向有较大差别，安全服务主要是保障用户数字资产不受损，但隐私计算的应用，更多的还是保防用户数据

问：我看到Quantstamp也对Go+ Security进行了融资，所以说其实审计工作是交给他们团队吗？

Mike：会有安全服务上的合作，但Go+是一个开放框架，也就是说我们会跟所有安全服务商合作，主要是有能力，能帮用户解决问题，我们都愿意成为合作伙伴。

最后我想说一下，Avalanche为应用开发者，提供了高效，方便搭建的底层，包括后面C链的横向扩向，会有更多高并发，大计算量的应用基于Avalanche搭建自己的应用。

横向扩怅能力，是我个人非常看好的，所以现在Go+的服务，也在向这个方向靠扰，包括以后会对单链的Gamefi应用提供安全服务

希望能帮助Avalanche上的开发者，快速成长，始终都有可靠的，便宜的安全服务可用

那感谢大家，欢迎大家多交流，也感谢活动组织者，今天聊的很愉快。

一般的加密投资者、用户可以通过输入代币合约地址，查看基于合约的安全、交易安全和信息安全等近30种安全检测结果。

Go+ Security Engine 开发的安全 API 已被多个钱包、行情网站和 DeFi 门户集成。

目前，Go+ Security安全服务已覆盖以太坊、BNB Chain、Polygon、Avalanche、Arbitrum、Heco Chain等生态系统。

官方网站：https://gopluslabs.io/