本系列文章节选自 OKX Web3 与 BlockSec 联合策划的《安全专刊05》,旨在探讨 DeFi 用户和 DeFi 项目团队所面临的安全挑战。
Q1:用户在参与 DeFi 时如何建立监控意识?
OKX Web3 钱包安全团队:以巨鲸用户为例,巨鲸主要指拥有大量资金但通常没有非常强大的安全团队、也不具备自研安全工具能力的个人投资者或小型投资机构。因此,目前大多数巨鲸实际上缺乏足够的风险意识,否则也不会遭受如此巨大的损失。
由于巨额损失的风险,一些巨鲸用户已经开始有意识地依赖一些公开的安全工具来监控和感知风险。目前,有许多团队在开发监控产品,但选择至关重要。以下是几个关键点:
首先,工具的使用成本。许多工具虽然功能强大,但需要编程且使用费用不菲。用户很难弄清楚合约结构,甚至收集地址。
其次,准确性。没有人愿意晚上躺在床上,连续收到好几条警报,结果却发现都是误报。因此,准确性也至关重要。
最后,是安全性。尤其是在如此大规模的资金面前,我们不能忽视工具开发及其团队的各种安全风险。最近的 Gala Game 攻击事件据说就是由于引入了不安全第三方服务商所致。因此,可靠的团队和值得信赖的产品必不可少。
目前,许多巨鲸也找到了我们,我们将为他们推荐专业的资产管理解决方案,让巨鲸用户在保障资金安全的同时,也能兼顾“挖矿、提现、卖出”等日常资金管理感知风险,甚至在紧急情况下进行资金撤离。
Q2:参与 DeFi 并处理安全风险的安全提示
BlockSec 安全团队:对于大资金参与者而言,在参与 DeFi 协议时,首要关注的是保障本金安全,在充分研究潜在安全风险后再进行投资。确保资金安全有以下几个方面:
首先,应对项目方对安全的重视和投入进行多维度判断。这包括项目是否经过全面的安全审计,项目方是否有能力监控项目安全风险并自动响应,是否有良好的社区治理机制。所有这些都能反映出项目方是否将用户资金安全放在重要位置,以及是否对用户资金安全负有高度责任感。
其次,大资金参与者也需要建立自身的安全监控和自动响应体系。一旦投资的协议发生安全事件,大资金投资者应能在第一时间感知并撤出资金,尽最大可能挽回损失,而不是寄希望于项目方。纵观 2023 年 Curve、KyberSwap、Euler Finance 等项目的高调攻击事件,往往可以看到大额投资者经常错过及时预警,且缺乏自主的安全监控和紧急提款系统。
此外,投资者需要选择好的安全合作伙伴,持续关注所投资项目标的的安全。项目方代码的任何升级、重要参数的变更等,都需要及时感知并评估风险。没有专业安全团队和工具的参与,这类任务难以完成。
最后,需要保护好私钥的安全。对于需要频繁交易的账户,最好结合线上多签和线下私钥安全解决方案,彻底消除单一地址和单一私钥丢失后的单点风险。
如果所投资的项目面临安全风险,应该怎么做?
笔者相信,对于任何巨鲸和投资者来说,遇到安全事件的第一反应一定是保护本金,首要任务是尽快撤出资金。但攻击者通常速度很快,人工操作往往来不及,所以最好能根据风险进行自动撤出。目前,我们推出的攻击监测与拦截平台 Phalcon,在检测到攻击交易后,可以自动进行资金撤出,帮助用户优先撤离。
其次,如发生损失,除了吸取教训,还应积极推动项目方寻求安全公司帮助,追踪监测受损资金。随着整个加密行业对安全的重视,资金追回的比例在逐渐提高。
最后,对于大额持有人,可以考虑聘请安全公司对您的整个投资组合进行审计,查找类似漏洞。许多攻击都源于常见的根本原因,就像 Compound V2 事件一样,在其他项目中也有类似的情况。安全公司可以识别您各项投资中的风险,从而能够及时与项目方沟通或进行战略性撤资。
OKX Web3 钱包安全团队:在参与 DeFi 项目时,用户可以采取多种措施,以便更安全地参与 DeFi 项目,降低资金损失的风险,并享受去中心化金融带来的好处。我们将从用户层面和 OKX Web3 钱包层面两个方面进行阐述:
首先,从用户层面:
- 1)选择经过审计的项目:优先选择已由知名第三方审计公司(如 ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK)审计的项目,查阅其公开的审计报告,了解潜在风险和漏洞修复情况。
- 2)了解项目背景和团队:通过研究项目的白皮书、官方网站以及开发团队的背景,确保项目的透明度和可信度。关注团队在社交媒体和开发社区的活动,了解其技术实力和社区支持情况。
- 3)分散投资:不要将所有资金投入单一 DeFi 项目或资产,分散投资可以降低风险。选择多个不同类型的 DeFi 项目,如借贷、DEX、挖矿等,以分散风险敞口。
- 4)小额测试:在进行大额交易前,先进行小额的测试交易,确保操作和平台是安全的。
- 5)定期监控账户和紧急处理:定期检查您的 DeFi 账户和资产,及时发现异常交易或活动。利用工具(如 Etherscan)监控链上交易记录,确保资产安全。发现异常后,及时采取紧急措施,如撤销账户的所有授权,联系钱包安全团队寻求支持等。
- 6)谨慎对待新项目:对刚刚上线或未经检验的项目保持谨慎态度。可以先投入少量资金进行测试,观察其运行情况和安全性。
- 7)使用主流 Web3 钱包进行交易:只使用主流 Web3 钱包与 DeFi 项目进行交互,这些钱包提供更好的安全防护。
- 8)防范钓鱼攻击:谨慎点击来自未知来源的不熟悉链接和邮件,切勿在不可信网站上输入私钥或助记词,确保您访问的链接是官方网站。通过官方渠道下载钱包和应用程序,确保软件的真实性。
其次,从 OKX Web3 钱包的角度:
我们提供了许多安全机制来保护用户资金的安全:
-
1)风险域名检测:当用户访问 DAPP 时,OKX Web3 钱包会在域名层面进行检测和分析。如果用户访问恶意 DAPP,将进行拦截或提醒,防止用户受骗。
-
2)蜜罐代币检测:OKX Web3 钱包支持对蜜罐代币进行全面检测,主动在钱包内屏蔽这些代币,防止用户与之交互。
-
3)地址标签库:OKX Web3 钱包提供丰富全面的地址标签库,当用户与可疑地址交互时,会及时向用户发出警报。
-
4)交易预执行:在提交任何交易之前,OKX Web3 钱包会模拟交易的执行过程,并向用户展示资产和授权的变化,供用户参考。用户可以根据这些信息判断结果是否符合预期,并决定是否继续进行交易。
-
5)DeFi 应用集成:OKX Web3 钱包已集成了众多主流 DeFi 项目的服务,用户可以放心与这些集成 DeFi 项目进行交互。此外,OKX Web3 钱包还为 DEX、跨链桥等 DeFi 服务提供了路径推荐,为用户提供最佳的 DeFi 服务和最优 gas 解决方案。
-
6)其他安全服务:OKX Web3 钱包正在逐步增加更多安全功能,并开发更高级别的安全防护服务,以更好地、更高效地保障 OKX 钱包用户的安全。
