BlockSec 首席执行官周安迪受邀参加 Spraping Bits 播客,讨论 BlockSec 团队如何在动荡而错综复杂的 Web3 环境中识别和缓解潜在的安全漏洞。以下是我们精心整理的精彩内容集锦。要收听播客完整版,请点击此处。
周安迪 00:00
我们的团队有一个系统,可以在黑客发送攻击交易之前就能检测到攻击合约。这是因为他们需要部署一个攻击合约,然后发送交易来攻击协议。所以在攻击交易之前,当黑客部署攻击性智能合约时,我们基于人工智能的引擎就可以精确地识别恶意合约。
周安迪 00:53
感谢 DeGatchi。我也很荣幸能来到这里。
DeGatchi 00:56
荣幸。非常感谢。对于不熟悉您的人,您是谁?您是做什么的?
周安迪 01:02
我叫周安迪。我是 BlockSec 的 CEO,也是中国顶尖学府浙江大学的教授。我在网络安全领域有十多年的经验。之前我在智能手机安全领域工作,然后转向智能合约安全领域工作了几年。
DeGatchi 01:22
您在智能合约安全领域的早期是怎样的?您是手动审计,还是直接跳到了自动化?就像我一样。
周安迪 01:30
对于智能合约安全,在公司和我们的研究团队中,我们同时进行静态和动态分析。对于静态分析,我们开发了几种不同的技术来增强智能合约的静态分析。这是因为社区中当前可用的大多数工具都有一些常见问题,它们会产生太多的误报。例如,如果您想使用该工具检测重入漏洞,您将一个简单的智能合约输入该工具,它可能会报告许多重入漏洞或其他问题。但当您手动检查此报告时,您会发现大多数都是误报。因此,我们发现误报是当前静态分析工具的主要问题。
周安迪 02:20
产生如此多误报的根本原因是缺乏对智能合约语义的理解。语义是指合约中变量及其关系背后的含义。例如,如果您有一个 ERC-20 代币,它有代表每个所有者余额的变量以及已批准值的变量,表明谁批准了多少金额转给谁。为了提高静态分析的准确性,准确识别哪些变量代表余额,哪些变量与批准和其他特定功能相关至关重要。通过这样做,我们可以显著提高静态分析的准确性。
周安迪 03:00
我们在开发静态分析工具的经验中获得的一个见解是,需要一个强大的污点分析引擎来建立变量之间的关联。数据流分析是静态分析工具采用的基本技术,起着至关重要的作用。它涉及模型化内存和存储,以及如何在静态分析工具中精确有效地利用污点分析技术。这两种关键技术,污点分析和数据流分析,已被证明在增强我们静态分析工具的能力方面非常有效。
周安迪 03:48
在我们的研究团队中,我们开发并部署了此静态分析工具,并分析了区块链上创建的每个新智能合约。我们将识别出的零日漏洞报告给开发人员。不幸的是,有些开发人员不在乎漏洞。我们甚至找不到有效的渠道向他们报告。这非常令人难过。
周安迪 04:13
如果您想要一个非常有效的静态分析工具,您需要理解语义,并且需要有一个污点分析引擎。这是我们使用静态分析工具的经验。除了静态分析工具,我们的研究团队还有一个动态分析工具。这是因为除了易受攻击的智能合约之外,我们还想识别恶意交易,对吧?
周安迪 04:31
这不仅仅是分析易受攻击的智能合约,还包括检测任何可能攻击协议或其他智能合约的交易。为了实现这一点,我们有一个具有仪表化能力的定制虚拟机。这使我们能够编写自己的检测规则,可以轻松地挂钩到任何给定智能合约的虚拟机或执行环境中。我们捕获各种信号来确定交易是否恶意。例如,我们检查交易发送者是否有攻击历史,或者资金是否来自可疑来源。通过组合不同的信号,我们评估每笔交易的风险。我们的团队部署了这个检测引擎,使我们能够快速捕获和识别攻击交易。
DeGatchi 05:41
是的,这很有趣。我的静态分析器也做了同样的事情。污点分析基本上是必不可少的,然后使用您使用静态分析器所做的一切。您将所有数据传输到一个模糊测试器,对吧?我也在构建我的模糊测试器。看看人们如何处理它很有趣。但也有非常有趣的解决方案。人们在这个空间中非常按顺序思考,而有很多维度需要思考,所以按顺序思考不是正确的答案。
DeGatchi 06:08
让我们来谈谈维度。假设您有交易的 calldata,对吧?您还有函数和合约。然后您还有另一个维度,那就是阶段。所以它非常依赖于上下文。因此,现在您有了这四个不同的变量、维度,它们都以最微小的调整相互影响。例如,您可能有合约 A,合约 B,它们的所有函数。现在您必须以所有这些不同的方式排列它们,但不仅仅是函数 A 和函数 B,函数 B 和函数 A 的单一组合。您还可以做到函数 A、函数 B,函数 B、函数 B、函数 A。这是一个非常棘手的问题。
DeGatchi 06:43
我认为您在您的项目中所做的事情非常有趣。我知道您最近将 Phalcon 进行了升级,使其现在包含交易检测。所以它更像是通用的抢跑,但针对黑客。在这样做的时候,它非常发人深省。抢跑游戏由专门的 MEV 团队主导,对吧?他们进行抢跑、三明治交易、反向交易等。他们拥有专门的基础设施、高频交易的东西,延迟非常小,并且他们互相合作,区块构建者、中继器,所有这些东西。所以问题是,您如何能够抢跑这些交易而不是这些 MEV 团队?
周安迪 07:24
是的,这是一个很好的问题。基本上,我们系统的主要目标不是抢跑 MEV Bot,而是保护协议,我们针对的是黑客。
DeGatchi 07:37
但是,比如当黑客将交易提交到公共内存池时,如果是私有的,没有人能看到。但如果是公共内存池,那么所有其他通用抢跑者都会看到。所以您必须与之竞争。那么您是如何击败他们的?您是如何击败他们的?
周安迪 07:51
是的,我们一直说安全是正义方和邪恶方之间的军备竞赛。早期很容易,因为坏人不知道我们团队和 MEV Bot 的存在。那时,这取决于您支付的 gas 费或您向验证者支付的贿赂。早期这要容易得多,但现在,黑客使用了一些技术来保护自己免受抢跑。例如,我们看到黑客部署了一种非常有趣的技术来阻止他们的交易被 MEV Bot 抢跑。基本上,在他们的交易中,他们会先检查一些值,比如从另一个智能合约获取某个值来检查这个特定值是否等于该变量的初始值。在执行攻击时,黑客会先发送一笔交易来设置另一个智能合约中的变量以满足该检查,然后使用第二笔交易来实际执行黑客行为。因为 MEV Bot 使用的常见技术是模拟单个交易。如果您只模拟第二笔交易,您就会失败,因为条件不满足。这是因为条件是由第一笔攻击交易设置的。由于这个棘手的点,一些 MEV Bot 无法处理。我们可以处理,因为我们有一种技术来分析不同交易之间的关联。
DeGatchi 09:40
是的,您必须进行多次操作。您不能只做一次,因为如果您只进行通用抢跑,标准就是替换地址,或者如果是多个地址,您就必须替换所有地址,您必须尝试所有选项。
周安迪 09:52
没错。
DeGatchi 09:53
如果他们进行涉及设置的多合约操作,那么他们会进行合约部署,然后调用设置合约中的一个函数来设置新事物,然后他们在利用合约中使用它。但您修复它的方式基本上就像再次模拟,但您必须实际检查被调用的状态。因此,如果这与原始合约的部署状态不匹配,那么您就必须以某种方式设置它,找到像 CFG 这样的函数,找到任何该有的东西,然后修改该利用合约以同样设置它,甚至完全移除它。所以这非常困难,但您实际上已经完成了并且现在正在奏效,这真是太疯狂了。
周安迪 10:33
是的,它正在奏效,但您需要投入大量的开发工作。您还需要一个非常好且高效的分析引擎。
DeGatchi 10:42
这令人印象深刻。你们已经阻止了 20 次黑客攻击,损失了约 1500 万美元。而这还是在您推出前的六个月内。
周安迪 10:51
黑客的阻止工作已经进行了一年半。不是一两个月。这是一年半的持续努力。
DeGatchi 11:04
但仍然,没有其他人这样做。这是一件非常棒的事情,我认为每个人都应该至少拥有它,因为它很重要。即使它可能不是每个人的 100% 救星,因为他们必须注册,可能还有一些几乎被混淆的技术会很不一样。但它仍然比什么都没有好,对吧?就像您保存的东西,被黑客攻击就像公司、所有用户、所有声誉的毁灭——都消失了。所以这是一件非常重要的事情。你们是如何构建这个的?你们使用了人工智能吗?或者,它不可能完全是启发式的。
周安迪 11:41
基本上,我们将不同的技术结合在一起。对于黑客的检测,我们将基于人工智能的解决方案与行为分析相结合。对于基于人工智能的解决方案,我们使用人工智能技术,机器学习技术来检测攻击合约。我们的团队有一个系统,可以在黑客发送攻击交易之前就检测到攻击合约。这是因为他们需要部署一个攻击合约,然后发送交易来攻击协议。所以在攻击交易之前,当黑客部署攻击性智能合约时,我们基于人工智能的引擎就可以精确地识别恶意合约。我并不是说我们没有误报,但误报率非常低。所以即使在这个阶段,在攻击交易之前,我们也可以检测到攻击性智能合约。问题是,当你识别了一个攻击性智能合约时,你可能不知道这次黑客攻击的实际受害者。这是因为有时目标地址并没有硬编码在智能合约中。它们可以作为参数传递。您需要一些模糊测试技术来触发它。但如果所有目标智能合约地址都从参数中传递,那么即使是模糊测试也无济于事。
周安迪 13:05
因此,对于这些复杂的攻击,我们在这个阶段无法识别攻击性智能合约,我们需要在攻击交易检测阶段处理它们。对于攻击交易,我们使用一些基于行为的解决方案来检测黑客交易。核心思想是,每个黑客都想获利。所以你需要精确地从交易中获利。在检测到这些攻击交易后,我们会自动合成一个与 MEV Bot 类似的攻击交易,替换获利地址,然后将其放到链上。这基本上是 BlockSec Phalcon 推出之前系统的原始工作方式。
DeGatchi 13:54
关于人工智能,我无法想象它是监督学习模型。我觉得它必须是强化学习,因为黑客攻击并不多,对吧?所以数据不足以真正做到这一点。
周安迪 14:08
我认为您提到了一个很好的机器学习观点。对于恶意智能合约检测,因为我们没有足够多的样本来训练模型,所以效果不佳。在这种情况下,如何让这些东西奏效的关键在于,您需要提取智能合约内的关键特征。有人只是使用字节码序列来训练模型。这不起作用,因为字节码序列对于智能合约来说太通用、太常见了。您需要提取智能合约的独特特征。所以我们目前使用的,包括控制流图、关键函数之间的数据流关系,我们还使用了一些地址标签或合约创建者的属性来训练模型。事实证明非常有效。
DeGatchi 14:55
所以您基本上提取了关键特征。例如,假设硬编码的地址或作为调用数据传递的地址。如果他们使用 Solidity,他们可能会进行掩码。 这在 Solidity 中很常见。但如果是自定义高级代码合约,首先得有一个非常老练的黑客。但那些非常有计划的老练黑客,100% 会使用自定义字节码的私有交易,甚至可能使用交易群来混淆。这是我一直在研究的,我对这些东西非常感兴趣。这确实非常有效。实际上,我从未见过有人使用我发现的那些技术。我甚至可能写一篇关于它的文章,因为我永远不会使用它们。但这很有趣。
周安迪 15:46
是的,在进行这个研究项目之前,我也没想到它会奏效。但在六个月后,我们证明了它非常有效。
DeGatchi 16:02
是的,是的,这太疯狂了。我认为这是朝着正确方向迈出的非常显著的一步,需要更多的工具。但这同时也引发了一个问题;您知道您正在使用人工智能。您如何看待人工智能将如何影响您的业务?哪些东西将因人工智能而过时?以及个人今天可以为这场革命做些什么准备?
周安迪 16:23
老实说,我不是人工智能专家。我们只是将人工智能应用于我们的研究领域,以检测恶意智能合约。我认为人工智能在安全领域的潜力尚未被充分挖掘。一个原因是,要在安全领域应用人工智能,您需要对您正在解决的问题有深刻的理解。因为如果您对您正在解决的问题有深刻的理解,您就可以提取非常好的特征。我认为特征非常重要,对吧?所以即使是同一个合约或同一个交易,如果您没有一个很好的特征来进行训练,那么结果将完全不同。从我的角度来看,我认为人工智能的潜力尚未被充分挖掘,因为您需要一位非常出色的人工智能专家与一位领域专家相结合来提取特征。
DeGatchi 17:30
我同意。这非常不同。它是两个领域、两个领域的结合。首先,擅长人工智能本身就很困难。然后学习这些东西也需要时间。就像您需要了解数学,您需要了解所有关于人工智能的东西。就像您不知道软件包、库,然后您还必须进入加密空间,这是另一个领域,也就是字节码和网络安全,这也需要时间。但我认为从纯人工智能领域转向加密领域的人,不会像从加密领域转向人工智能那样困难,因为在纯人工智能领域需要了解数学,并且需要对当前架构及其工作原理有总体的理解,所以进入门槛会高得多。
DeGatchi 18:13
但这非常有趣,我认为。您认为什么将会过时?因为人工智能显然将改变一切。而且我认为,如果您不使用人工智能,您将在所有这些业务中没有优势,因为很难竞争。我用模糊测试器和堆栈分析器做了同样的事情,但我认识一些做人工智能的人。这是有道理的,因为如果您考虑这个无限的动作空间,您就不能仅仅蛮力。您需要某种直觉来过滤掉所有动作,并知道实际上应该针对什么。所以您需要人工智能来做到这一点。您需要一些能够从重复的实例中学习的东西,特别是如果您在所有这些协议上运行东西——所有的合约,数百万个实例或运行。它需要能够,就像,学习直觉。否则,您就是在自己身上建立这种直觉。这非常耗时,而且也很容易出错,因为您无法考虑所有这些维度,而且您最终不知道自己不知道什么。我认为,就我个人而言,如果您不涉足其中,您就应该涉足其中,无论如何。我甚至不懂数学,但我正在涉足其中。所以如果我能做到,任何人都能做到。所以我们拭目以待。但这需要很大的投入。
周安迪 19:36
没错。我可以分享一个最近关于人工智能的实验。正如我所说,我们有一个用于智能合约模糊测试的系统,以发现漏洞;我们有一个内部系统来做到这一点。我们可以使用人工智能来生成模糊测试的种子输入,事实证明非常有效。我们是如何做到的?例如,我们有五个智能合约需要进行模糊测试。我们首先将这些智能合约输入 ChatGPT,然后我们可以通过告诉 GPT 来总结每个函数的主要功能,说,“这个函数,主要功能是做这个,另一个函数是做那个。”然后之后,我会要求 GPT 说,“请为这些函数生成 50 个不同的输入。”事实证明非常有效。我们将其用作种子输入,您知道,用于模糊测试智能合约。
DeGatchi 20:38
有趣。我认为 LLM 实际上非常好。我认为它们是目前最好的。我不太了解更多,但它是目前最好的努力。所以这是有道理的。我认为很多人都在使用 ChatGPT,但这似乎是一个非常好的用例。我知道有些人喜欢用它来向他们解释合约。所以它消除了所有的理解障碍;它能让你快速上手,而不是试图理解整个代码库。因为代码库可能有数千行代码。或者多合约,数千行代码。很难看到所有内容之间的关系和依赖关系。
DeGatchi 21:18
但我确实想问:既然您已经进行了这项新的交易阻止,现在您有了交易阻止,但为什么还要更进一步,去尝试找到所有的零日漏洞和所有合约呢?因为如果你想一想,如果他们是老练的黑客并且他们知道自己在做什么并且会瞄准某人,然后假设这是一次像 Ronin 那样的 6 亿美元黑客攻击,或者可能更实际的像 2 亿美元或 2000 万美元的协议黑客攻击,他们只会发送私有交易,而您无法阻止他们。为什么您不全身心地投入到零日漏洞预防中呢?因为如果您找到了,您只需发送一个私有交易,然后从一开始就拯救一切。
周安迪 22:02
是的,一个很好的问题。我们实际上有一些 BlockSec 内部项目的提案。目前对于 BlockSec Phalcon,我们可以检测链上或内存池中的恶意交易。但对于私有交易,我们看不到。这是目前阶段。我们也希望将我们的努力进一步向前推进,在黑客之前就检测到智能合约的漏洞。正如我刚才所说,我们有模糊测试系统来做到这一点,但目前我们仍在改进我们的模糊测试系统,以检测部署在区块链上的智能合约的安全漏洞。
周安迪 22:55
我相信在对智能合约进行模糊测试以识别漏洞时存在一些挑战。模糊测试智能合约的一个挑战是为目标合约生成输入,特别是交易。此外,对于智能合约,您需要生成一系列交易来触发漏洞,而不是单个交易。而且有时交易序列相互依赖。您需要第一笔交易、第二笔和第三笔交易,并且只有这三笔交易的完整序列才能触发漏洞。您需要生成一系列交易,并且您需要理解这些交易的依赖关系。这目前非常困难。这是挑战一。第二个挑战是您需要一个预言机来确定是否存在漏洞。假设您向智能合约发送了一笔交易,然后您如何确定您触发了漏洞?当然,我们可以使用类似的技术来计算利润。如果这笔交易触发了非常高的利润或导致某些借贷协议的健康因子异常,那么我们就会看到存在漏洞。但您需要为模糊测试器准备不同类型的预言机。这是第二个挑战。
DeGatchi 24:35
这是第二部分。这很有趣,因为如果您有一个新协议出现并且它有一个代币,它没有与大代币的流动性池。它可能与另一个代币有关。您甚至无法定价,对吧?所以这是一个巨大的障碍。您是否考虑过如何用那种预言机来处理它?
周安迪 24:57
是的,没错。所以这是另一个挑战,因为您需要为模糊测试器和 DEX 池准备环境。您需要准备不同的代币,并且需要将每种代币的价格输入系统。您需要为模糊测试器准备各种各样的东西。这非常复杂。对于简单的漏洞,如重入漏洞,模糊测试器很容易触发。但对于一些复杂的漏洞,如价格操纵,则很困难。我们仍在开发一个系统,但仍需要一些时间。但您说得对,我们正在朝这个方向努力。
DeGatchi 25:43
是的,这绝非易事。这需要极高的复杂性,对吧?您需要考虑很多相互依赖的事情。所以就像您问一个问题,然后只得到两个更多问题,现在它们相互关联,并且不断向下发展。但那个预言机可能是最难的部分之一。它也是最重要的部分之一,因为预言机操纵可能是最大的攻击因素。一切都依赖于此。无论它以何种方式可能是内部汇率,可能是外部与内部的比较。
DeGatchi 26:22
因此,就像他们没有考虑到的套利一样,所有东西都存在错误,因为人为错误是确定的。而且交互次数将不会被考虑在内。新协议每天都在出现。您当前的协议现在可以与之交互。在这种情况下,它可能是五种不同协议的序列。
DeGatchi 26:45
这并不容易。我认为您需要人工智能,因为您必须从空间上考虑所有这些不同的函数在易受攻击的各种合约中,您无法按顺序找出它们,因为可能性太多了,对吧?所以我想我在今年早些时候和某人谈过这个,我谈到了 Pickle Finance 的利用。这是一个非常有趣的例子,因为它有八个漏洞。如果您错过了其中一个,您就不会获得利用,而且它必须是特定的顺序。这个利用实际上包含五个自定义合约。所以有五个自定义合约基本上构建了这些易受攻击函数序列可以以特定方式使用的上下文。
DeGatchi 27:44
另一部分是理解 Athena 的隔离器,您有一个地址和一个 bytes20,它们都意味着相同的事情。人们会忽略这一点,因为您确实需要了解这些类型意味着什么。但基本上,他们所做的,我发现非常迷人,是他们创建了这些合约,这些合约就像一个假的底层代币。而假的底层代币的 balance of 返回了一个地址,而不是返回一个实际金额。这是不正确的,因为实际金额只是 bytes32,而地址是 bytes20。所以您可以将地址作为您进入 2,5,6,因为它在技术上就是这样,对吧?然后这实际上依赖于,这实际上造成了整个链条,因为它造成了类似代理代码的情况,它被使用了。这就是事情的发生方式。但它非常有趣。您需要生成执行特定操作的合约,这些操作可以实现新的序列。而生成合约来启用至少五个合约的利用,这绝非易事。这是一个极其迷人的问题,我认为它非常激励人心。而且我认为没有什么比这个更好了。我太爱它了。
DeGatchi 29:06
但这类事情确实很难。您考虑过所有这些事情吗?您现在正在研究哪些技术?很明显,我刚才说的是空间上的,研究孤立的函数以及它们如何相互作用。关系绝对是最难的部分之一,这取决于您如何解决它。因为污点分析,坦率地说是不够的。
周安迪 29:26
是的,所以对于不同智能合约之间的关系,我们目前正在做一件非常有趣的事情。我们手动收集了顶级 DeFi 协议的智能合约。然后我们进行手动分析,绘制出不同智能合约之间关系的图。例如,如果 wstETH 可以在某个协议(例如 ABC)中用作抵押品,我们将在这些协议之间绘制一条线。如果一种代币可以作为另一个智能合约的底层代币,那么我们将连接这些协议。
周安迪 30:02
所以基本上,我们手动使用一些脚本来获取不同顶级协议之间关系的全貌。然后我们将利用这些见解来指导静态分析和模糊测试技术。
周安迪 30:15
这是我们目前正在进行的一项工作。它仍处于早期阶段,但我们生成的关系有时对静态分析和模糊测试系统很有帮助。我们目前正在进行的另一项工作是类型推断。我们希望推断输入数据的类型,例如智能合约调用中的调用数据。例如,从 call data 的第 0 字节到第 20 字节,我们可以推断类型是地址。而从输入的另一个片段,类型是另一个。这在模糊测试中会非常有帮助。我们尝试利用静态分析来进行类型推断。
DeGatchi 30:55
有趣。是的,上述事物之间的关系有点像图。您正在做的事情很困难。因为,让我们说,这些也是一些技术。如果您有一个合约,并且它引用了其他合约,比如说硬编码的地址,对吧?这很简单。这意味着您知道可以访问的空间以及它们是如何连接的。但也有一些合约甚至不直接引用彼此。您可以通过 call data 引用它们,或者您可以创建一个现在引用新合约的池。我想它叫做 Iron Vault 之类的。它在另一个生态系统中。
周安迪 31:33
是的,这并不容易,但我们可以利用链上交易来连接它们,因为链上交易可以揭示不同智能合约之间的交互。
DeGatchi 31:44
但其中的流程是您正在查看正常函数序列,对吧?要找到零日漏洞,您必须打破常规,做些不同的事情。好吧,我认为识别常态很重要,这样您就知道不该做什么以及如何打破它,这很好。有趣。那么您对模糊测试器的计划是什么?您会将其与某种神经网络模糊测试配对吗?Trail of Bits 尝试过。但这不值得,坦率地说,只是没有正确实现。那么您对模糊测试器的计划是什么?您会进行神经网络模糊测试辅助,还是完全人工智能?现在的发展方向是什么?
周安迪 32:23
关于模糊测试,首先我们尝试拥有一个非常好的类型推断系统,以方便生成种子输入和输入变异。我们还利用人工智能来帮助我们生成种子输入。我们还试图加快模糊测试过程,因为我们希望有一个非常高效的系统来快速识别漏洞。我们正在从三个不同的方面改进模糊测试器。
DeGatchi 33:01
好的,有趣。当我们谈论这个领域时,有一些事情与这个工具对话不同,对吧?您是教授,所以您对此有所了解。
DeGatchi 33:10
很多人在解释如何成为一名顶级审计师。像 Spearbit 或 Trail of Bits 的安全研究负责人——甚至是独立审计师——由于新审计师的涌入,都做得很好,对吧?您如何打算在这些新进入者、其他公司和其他想要拥有这些技能的人中真正脱颖而出?显然,他们人数不多,但他们仍在涌入。随着他们的到来,那些更聪明的人也随之而来,甚至可能借助人工智能。我知道像 and testify 这样的人在进行人工智能漏洞利用生成。我相信您已经听说过他们了。您在做什么来真正区分自己与这些新审计师和新玩家进入这个领域?
周安迪 33:55
是的,这是一个非常具有挑战性的问题。我认为从我的角度来看,您需要对这个特定领域(例如,DeFi 协议安全领域)的趋势有很好的理解。存在不同的攻击向量和新型漏洞。您需要有很好的动力或技能来尝试研究这些新事物。如何快速学习这些新事物以及如何快速消化新知识是我的优势。当然,有很多聪明人会进入这个领域。但我想说的是,因为我接受过博士训练,我知道如何快速进入一个新领域,如何快速理解最先进的技术,如何快速找到一个好的问题来解决,以及如何将其他领域的技术借鉴到这个领域来解决这个问题。我认为这就是我与众不同的地方。
DeGatchi 34:56
百分之百。我认为如果您考虑一群人,他们都很聪明且有能力,主要的区别就是创造力;这似乎是,如果您都在同一个水平的竞争领域,这从来不是真的,或者就像同样聪明。最大的事情就是创造力,对吧?我们都以不同的方式思考,有不同的观点。所以我认为这是主要的,就像真正相信自己,并且在别人不相信你能做某事的时候相信自己,而没有人真正这样做,而你相信它可以做到,你可能不知道如何做到,但只要你坚持下去并有热情去找到它,这就是关键。能够识别新趋势并利用它们是关键。而且这种情况经常发生,您只需要做好知识准备来利用它并抓住机会。
DeGatchi 35:45
不幸的是,我没有,因为我不知道人工智能。这完全是关于身处正确的时间、正确的地点,拥有正确的技能。我认为人工智能确实是下一个前沿,任何不升级到人工智能的人,我认为都将被甩在后面。开发世界中,您既有领域知识,也有人工智能,但如果您将它们结合起来,您并没有做出巨大的改变,因为您了解这两个领域。因此,您可以想到更好的问题解决方案,而不是分隔的知识。我想一个很好的例子是理解数学。您看待世界的方式与不理解它的人不同。如果您将其与金融等不同领域相结合,您就可以找到构建非常高效的算法交易系统的方法,对吧?并获得巨大的竞争优势。我认为这个家伙在 AVAX 上捕捉到了,我认为是 90% 的套利,因为他拥有数学优势。这就是我的意思。如果您有两个领域,您可以抓住很多机会。因为学习这些东西很困难。您了解的领域越多,竞争就越少,它们就会被淘汰。
DeGatchi 36:55
那么,您如何看待自己和 BlockSec 的未来?您如何看待自己在职业生涯和公司本身的进步?您如何看待行业的发展方向,以及它应该走向何方?
周安迪 37:05
我认为对于这个行业来说,Web3 是一个非常新的领域,我们仍处于这个新领域的早期阶段。从我的角度来看,这个行业发展非常迅速。同时,行业还没有解决许多安全问题。我们正试图利用自己的解决方案来帮助生态系统快速发展,同时也安全地发展。我们有产品和协议来保护他们的资产。这是其中之一。我们还看到未来这个领域会有一些不同的 Web3 用户。用户也需要安全保护,因为目前使用 Web3 产品对他们来说有点复杂。他们需要有非常好的方法来保护他们的私钥和资产,因为大多数用户不理解 ERC20 代币的授权过程。他们只是在恶意合约中批准了所有代币。
周安迪 38:10
因此,我们需要一个非常好的 DeFi 用户保护系统,而这是当前行业尚未解决的问题。当然,有一些公司正在做这件事,但有更好的方法来保护用户。
DeGatchi 38:27
我认为在模糊测试器之上,当您谈论保护用户时,您可以扩展到类似钱包的东西。我的意思是,有两种或三种不同的方式。就像待处理的交易,它们并不 100% 确定。所以您需要做到精细。这可能就像找到零日漏洞本身。但如果那不是一个选项,那么即使只是快速分析,将分析嵌入钱包本身可能也很好。他们会处理代币或其他他们挖掘的东西。但如果您能在他们进行交易之前进行一些分析,我认为有人已经这样做了。
周安迪 39:01
有几家公司正在这样做,模拟交易并告知用户他们签署交易的后果。
DeGatchi 39:10
我认为这非常明智,而且我认为这是一个很容易进入公司或任何安全公司的发展方向,我认为这是一个非常好的方式。所以直接给他们。我认为是 Fire 或类似的公司。我不记得了。但是,是的,这些模拟非常好,但我认为它们有些缺陷,因为您正在进行一项交易,例如进入 LP。人们会使用自定义字节码并执行条件功能。假设那 100 种 LP 切换到做其他事情。所以最初的模拟,当它拥有他们的钱或任何东西时,就不会出现,除非您实际测试了每一个函数路径。这是我一直在想的事情。但也有很多困难的问题。您必须选择您的毒药。您对网络安全、网络安全与人工智能结合的未来感到兴奋吗?我相信您将使用更多。您的计划是什么?您如何看待自己沿着这条路前进?
周安迪 40:06
是的,至于我的计划,我认为我们希望,你知道,将这些新技术结合起来,更好地保护社区和用户。我们将继续将我们的资源投入到人工智能中,因为人工智能与 Web3 安全场景的结合将产生更好的产品。我们希望进一步推进,拥有更好的攻击检测系统、更好的模糊测试系统以及更好的解决方案来保护用户的资产。这就是我们 BlockSec 目前的计划。
DeGatchi 40:36
有趣。好的。我确信它会变得更好,您能做得更多。您已经做了很多工作来阻止所有这些黑客攻击。但我认为仍有很大的创新空间,而且这才刚刚开始。我认为一旦人们开始关注它,并且您阻止了更多的黑客攻击,它就会变得更加突出,竞争也会更加激烈,这很好。健康的竞争是为了阻止黑客攻击并实际扩展生态系统。因为最终目标是取代 CeFi,对吧?您不想等待四个月才能从银行账户中取出钱。这很荒谬。信息部门的努力实际上被低估了,零售商和现有协议。他们只在被黑客攻击后才知道。我相信这实际上是有些人进入这个行业的方式。但伙计,我非常兴奋您们正在构建的东西,我对网络安全和加密的未来非常乐观。但伙计,我真的很感谢您来参加。我很高兴能成为您第一个参加的播客。是的,我真的很感谢您的时间,安迪。这是一次很棒的聊天。
周安迪 41:38
是的,很荣幸来到这里。谢谢,DeGatchi。
