HyperPay焦点AMA第九期 | 行业多事之秋来临 资产安全应当何去何从

行业身处多事之秋，交易所接连出事，OK明星被扣押拘留，大B创始人滞留HK不敢回美，币安被美国FBI围剿监管，突然冒出惊天大雷，

火币

二把手被抓的小道消息，加上HT突然暴跌，这样一来国人最常用的三大头部平台都摊上事了。币圈各大群里恐慌情绪蔓延，大家纷纷从交易所中提币，希冀安全存储自身资产，那么应该将资产转移到哪里才算安全？本期《HyperPay焦点》邀请行业头部安全公司与大家分享资产安全问题，干货满满。

嘉宾介绍

启富——慢雾科技合伙人&产品负责人

项目介绍：慢雾科技是一家专注区块链生态安全的国家高新技术企业，通过“威胁发现到威胁防御一体化因地制宜的安全解决方案”服务了全球许多头部或知名的项目，已有商业客户近千家。慢雾科技的安全解决方案包括：安全审计、威胁情报(BTI)、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反洗钱(AML)、假充值漏洞扫描等SAAS型安全产品，得到业界的广泛关注与认可。

嘉宾介绍：启富，慢雾科技合伙人&产品负责人，具有丰富的一线网络安全攻防实战经验，曾带队打造数款企业级安全产品。在区块链安全领域有深厚的漏洞挖掘经验，参与研究发现多个通用高风险的区块链安全漏洞，如：以太坊黑色情人节漏洞、USDT 假充值漏洞、以太坊代币假充值漏洞、EOS 假充值漏洞等。

嘉宾：王延巍—北京链安 COO

项目介绍：北京链安网络科技有限公司，聚焦区块链生态安全，提供包括不限于交易所、钱包、主链 和矿池的安全服务。团队具备完善的公链漏洞挖掘和项目代码审计能力，可提供全面的链上数据追溯和项目代码审计服务以及链安评测和链安评级服务，曾经协助EOS、

以太坊

等知名公链官方发现并修复漏洞。

嘉宾介绍：王延巍 北京链安COO 信息安全领域十年老兵，2006年即开始移动互联网安全工作，在该领域具有丰富的技术和产品经验。作为区块链链上数据和追溯技术方面的资深专家，已经领导团队应对了数十起数字资产安全和追索事件。

嘉宾：MooN- HyperPay技术总监

嘉宾介绍：资深互联网全栈研发工程师，擅长互联网技术研发，大数据、区块链、安全防御及风控。有7年软件研发经验，4年架构设计及技术团队管理经验，为企业提供技术研发支持多个项目拿过上亿的投资，保证亿级金融资产安全，设计了百万级别交易系统架构。

Nancy|主持人：

请问您对于最近发生的提币潮怎么看？

启富|慢雾科技合伙人

从客观上来讲，当前提币确实是比较稳妥的做法，短期来看，提币潮会对交易所会形成较大的压力，长期来看不太确定，需要看后期的发展，建议大家还是先以规避风险为主。同时，最近一些事情的出现，导致有些人会过分贬低中心化交易所，这里我想说，无论是钱包还是交易所，无论是中心化还是去中心化，都是行业在不同阶段产生的不同产品，大家按需选择就好。

王延巍|北京链安 COO

最近确实行业内发生了一些事件，多少引发了投资者的担忧，出现一些提币增加的情况也正常。但是我个人的判断是，交易毕竟是大量投资者的常见行为，交易所在效率和投资品种、流动性上依然有它的优势，所以等相关风波澄清或者过去，很多币还是会回流的。

当然，我们不排除以后投资者们的行为模式会发生变化，一些交易不频繁的投资者，可能不在像此前已有不交易的时候把币放着，可能先提出来，交易的时候再放交易所。当然，这可能也会倒逼交易所做出改进和投资品种、服务模式上的创新，去吸引投资者留下来。各行各业发展过程中，危机和事件常常成为行业提升和进步的契机，也希望我们在数字货币的金融领域看到最近的风波导向的是这样的方向。

MooN|HyperPay技术总监

我觉得这次提币潮是用户对于自身资产安全的一次重视，首先事情的诱因在于行业头部交易所的负责人被带走，但是交易所无法划转资金的情况，这就为后面另一家头部交易所出现情况时用户的反应埋下伏笔。

按照常理，交易所冷钱包资金应当多签共管，这种私钥维系于一人身上的行为，也着实令人恐慌。

但是从另一个角度出发，CEX的危机，恰巧是DEX的机遇，Uniswap创建于 2018 年 11 2 的去中心化交易平台至今已成立 2 年，据 Tops 数据统计，Uniswap 累计成交量达 310 亿美元（包含 v1 和 v2）。

根据 DeBank 数据显示，Uniswap 于 9 1 创下单成交量记录 9.95 亿美元，超过了全球最大的中心化交易平台之一 Coinbase。

             

Nancy|主持人：资金从CEX中逃离，DEX的交易量随之增加，是否DEX比CEX更为安全呢？用户在使用DEX过程中需要注意哪些问题？

启富|慢雾科技合伙人

从安全角度来看，CEX 是中心化托管，资金量巨大，很容易引来黑客的攻击，一旦出现问题几乎所有用户都会受到影响，此外还有平台方暴雷跑路的风险，所以CEX的安全问题靠的全是平台的技术能力与风控体系。DEX平台中，资金都是存在用户的钱包地址中，用户的交易操作都是点对点的交易，也就没什么可盗的。不过黑客也可以用钓鱼、诈骗、假币攻击等形式对单个用户进行攻击获利，这就要看用户本身的安全意识与认知水平了。要明确的一点是，没有绝对的安全。但总体说来，DEX 的安全性还是要高于 CEX。

我觉得大家在使用DEX的时候，对某些仿盘项目还是要慎重，注意检查项目智能合约是否有通过安全审计，同时在涉及approve授权的时候，要留心授权的目标是智能合约地址还是普通个人地址，避免被approve钓鱼导致资产被盗。

王延巍|北京链安 COO

首先，核心业务本身的技术安全问题，也就是智能合约开发过程中一些代码和逻辑本身的安全防护不好。其实在这个环节，倒是CEX经过千锤百炼，头部的交易所做的更好。

其次，规则和金融模型的安全问题，因为智能合约本身是对Defi在各类金融业务场景中规则和逻辑的实现，所以哪怕这个过程中技术上没有问题，你的规则本身就考虑不妥，有被他人利用规则漏洞的空间，那也会对使用者的资产造成威胁，某种程度来说这已经是“金融安全问题”

最后，生态的安全问题，底层是否有足够的支撑，或者生态上是否有足够的工具和机制保障，比如DEX上的“假币”问题。

事实上，在DEX上，技术风险、运营风险、市场风险、道德风险，从安全性上来体现DEX比CEX更加安全，我现在还看不出来，特别由于DEX还在初期，其实一些安全问题和乱象可能还多一些。

正因为如此，在使用DEX上，我的建议是：使用经过安全审计的DEX;使用运营过较长时间在业内主流的DEX;谨慎参与一些规则过于复杂的，机制让你犯晕的DEX，倒不是说这是个局，因为这样复杂的规则可能蕴含更多逻辑和金融风险;由于DEX上的交易对更具开放性，看起来品种可能更多，但是其中的“劣币”也可能成倍增加，请谨慎选择。

Nancy|主持人：我们也经常在各种媒体平台上看到慢雾和链安发布xx事件被攻击的始末，彰显了强大的团队实力，那么从这个角度出发，项目经由审计，是否意味着项目的安全在某种程度上得到保证？或者两位嘉宾可以简单的和大家聊一下审计的要素与重要性吗？

启富|慢雾科技合伙人

 我们知道，只要是由人编写的程序，就一定会出现错误和缺陷。比如YAM，就因为合约代码的问题导致项目代币的价格暴跌99%。提前做好审计工作，非常大的好处就是先于黑客发现系统的漏洞，找出系统的安全隐患，提高项目的安全性。

俗话说“术业有专攻”，第三方安全公司对智能合约安全、业务逻辑安全有深厚的沉淀及安全审计经验。结合我们过去审计的金融类 DApp 合约案例，安全审计能够帮助项目方的主要方向有：

1、已知漏洞检查：帮助项目方规避历史已披露的攻击手法、漏洞；

2、数据边界安全检查：研发人员在项目开发时可能会忽视极端场景下的 input output 数据；

3、业务逻辑安全优化：安全审计可以挖掘当用户不按正常流程操作时，系统可能会出现的异常情况；

4、风控体系及外部系统风险优化：提升平台风控系统的健壮性，提前发现外部系统风险。

王延巍|北京链安 COO

对于“安全”我们需要有个客观的认识，那就是没有绝对的安全，但是安全可以给予一个系统更强的保证。为曾经举个例子，你说100个交易所，黑客扫描到了，你没做任何安全措施，可能和其它类似的50个交易所马上就被列为黑客的攻击目标。做了安全措施，有可能黑客殚精竭虑也有办法，但是有了性价比更高的攻击目标，他弄你干啥？所以，包括审计等一系列安全措施指的是对已知安全问题和设定的安全检查项目的安全问题的检查、修复和确认。同时，安全措施本身也有边际，比如我们做合约审计，就不能涉及使用合约的外围网站、App带来的安全问题。

从安全审计本身来看，一般技术安全还是首位，包括对合约的一般审计项目的检查，比如整型溢出之类，结合项目特征的一些安全问题的重点检查。同时，我们也会与项目方沟通，了解其规则机制，从技术角度尽可能去涉及针对性的检查项。通过这些措施，我们努力在技术角度保障项目的安全性。

Nancy|主持人：近期用户大量资金从交易所转出，资金该如何安置呢，钱包当是大家的首选！那钱包的安全性应该从哪几个维度去考虑？钱包存在的风险应该如何去评判，用户应该如何去挑选适合自己的钱包

启富|慢雾科技合伙人

去中心化钱包的安全涉及到很多方面，最核心的是对私钥、助记词的存储及加密。用户在选择钱包时尽量选择国际知名、一流的钱包，同时注意看钱包App的代码是否开源、代码是否经过安全审计、团队内是否有CSO或安全负责人，这些都可能影响到钱包不断迭代、升级过程中的安全是否有保障。同时，作为用户一定要从钱包的官网下载App，避免误入钓鱼网站下载到被植入了后门的钱包App。

王延巍|北京链安 COO

钱包的选择本身是安全和需求的结合，比如如果你的需求是在自我掌握私钥对资产可控的基础上，还希望可以方便的参与一些Defi项目，那么现在一些钱包App可以更好的满足你的需求。但是如果你更看重安全，本身又是屯币流，那么选择安全性较高的钱包即可。如果涉及的数字资产价值很大，你就应该选择一款冷钱包了。此外，一些安全问题则不是钱包的问题，需要你自己做好管理，典型的就是助记词的管理。

总之，应该是在安全第一的前提下，结合需求和便捷性选择你的钱包。

MooN|HyperPay技术总监

我认为钱包安全性可以从几个维度来参考：

一、团队实力，看创始成员的背景、履历和口碑，看技术团队占比是否高；

二、安全策略及安全审计，钱包做了哪些安全防护措施，是否进行了冷热钱包分离，是否通过了业内知名安全团队的安全审计，最好提供审计报告；

三、投资机构，如果有知名的投资机构投资也能间接说明团队比较靠谱；

四、钱包属性，钱包是中心化钱包还是去中心化钱包，去中心化相对更安全；

五、核心资产模块是否开源；

六、资产的公开和透明程度；

七、合作伙伴，通过合作伙伴的实力和数量也能间接提现团队的靠谱程度；

八、商业模式或者业务说明，这一项针对一些中心化钱包的理财服务，如果钱包提供了很高的理财收益，但是又没有说清楚收益是怎么来的，就要特别注意；

九、是否有硬件钱包，硬件钱包可以让资产管理更加安全。

然后就是看钱包的易用性和其他附属功能是否丰富。对小白用户是否友好，是否能满足去中心化的要求，支持的币种是否足够多，是否提供交易功能和理财增值服务。这些都能让用户拥有更好的体验，让用户不用离开钱包就能满足各种需求。

Nancy|主持人：最近DeFi市场上也出现了类如harvest被攻击事件，项目方和用户都面临资产损失的风险，这种情况可以规避吗

启富|慢雾科技合伙人

harvest被攻击事件慢雾也第一时间发出了分析，，总的来说是harvest自己的规则被攻击者“合理”利用了。DeFi有些风险还是可以规避的，下面我具体谈谈作为一个普通用户参与到 DeFi的时候 ，可以去注意和规避风险的点。

首先，你在参与 DeFi 的时候，要注意平台用的智能合约有没有开源、平台本身有没有安全审计、智能合约有没有问题，如果有漏洞或者说有后门，你的本金有可能直接就会出现损失。同时一定要找经过安全审计的，而且是知名的安全公司的安全审计。慢雾审计过的项目都会在官方微博或公众号上公布，具体大家可以通过以下网址查询https://www.slowmist.com/service-smart-contract-security-audit.html

第二个，它其实跟用户的操作也是比较相关的，例如说你在操作的时候，如果你本金不太多，以太坊拥堵的时候，可能手续费一笔好几百人民币或者几十美金，这也是其中有可能会出现的一个风险。

第三，如果合约有经过安全审计，但是有可能它有一些权限，这个权限最好它能够有多签的方式，尽可能不要是项目方里面某一个用户账号，因为这个用户账号项目方里面有一些内鬼盗取了这个私钥，通过其他方式转走。

另外，一个用户在挖矿的时候，它其实有无偿损失，如果是在这里面挖得比较久挖得比较多也会有这样的一个概念，无偿损失其实也是在一些币价下跌的时候的风险。

如果你真的想要去参与这个 DeFi 的挖矿，一定要做好一些基础的概念的学习，通过网页用 Metamask 或者钱包 APP，通过这样的方式调用相应合约的函数，正确的路径去操作。

王延巍|北京链安 COO

这个问题就如发生了金融危机之后，我们总会问，下一次可以规避吗？下次会不一样吗？

类似的，在类似安全问题上，我们能做的是预期说是“规避风险”，不如说是有效的“管理风险”，比如对已知的安全问题做好防范，尽可能降低这类问题重复发生的可能。与此同时，对于特别业务逻辑方面，项目方要做个各种Case下的测试，包括一些极端市场环境和交易的测试，包括自身项目与其它项目合约间关联性方面的安全测试，这个类似于金融监管做的一种所谓叫“压力测试”，尽可能发现一些问题。最后，建立有效的风控机制，比如发现异常交易后及时将一些地址加入黑名单，甚至提前拒绝一些异常交易，这些都可以在项目设计和合约实现中提前考虑，这样将可以有效降低出现问题的时候的损失。近期，我们也发现更多项目提前有了“出了问题后怎么办”的功能思考，这其实是对“怎么完全避免问题”更深一层次的思考。

Nancy|主持人：基于给加密资产提供安全这样一个契机，想问一下各位嘉宾我们能够为这个行业做些什么？又或是慢雾、北京链安与HyperPay、HyperMate后续在哪些领域中有合作的可能性？

启富|慢雾科技合伙人

数字货币的安全问题一直是用户最关心的问题。HyperPay 作为一款钱包更是应该重视安全。数字资产钱包关联的私钥意味着数字资产的所有权，私钥的安全性直接决定数字资产的安全性。之前 HyperPay 钱包也全项通过了慢雾科技钱包安全审计，希望 HyperPay 继续保持高效安全，融合更多的功能打造出一款具有革命性和独创性的区块链钱包产品。慢雾希望与 HyperPay 团队持续保持密切战略合作，共同维护区块链生态安全。

王延巍|北京链安 COO

我们在安全领域有多维度的合作方式、HyperPay、HyperMate后续如果有安全需求可以提出、北京链安有多种安全合作方案可供参考！

MooN|HyperPay技术总监

HyperPay钱包App每年都会经由安全公司进行审计，确保无漏洞，保障用户资产安全，硬件钱包也和安全审计公司进行了深度合作，细致征求了慢雾的建议并相应改进，涉及到合约方面，我们也会聘请慢雾、北京链安作为安全顾问，另外，此次硬件钱包的销量也十分喜人，也有行业安全审计公司的一份功劳，正是因为行业内有这样细致负责的安全审计公司查漏补缺，才有用户资产的安全边际。

 

在后续的业务进展中，HyperPay仍然会秉持安全为初心 增值为使命的理念，与慢雾、北京链安这样的行业顶级安全公司展开全面深度的合作，为用户提供安全的资产存储环境。