本系列文章摘錄自 OKX Web3 與 BlockSec 共同策劃的 "Security Special Edition 05",旨在探討 DeFi 用戶及 DeFi 項目團隊所面臨的安全問題。
Q1:用戶在參與 DeFi 時應如何建立監控意識
OKX Web3 錢包安全團隊:以鯨魚用戶(巨鯨)為例,鯨魚主要是指資金規模較大,但通常缺乏強大安全團隊且不具備自研安全工具能力的個人投資者或小型投資機構。因此,迄今為止大多數鯨魚其實缺乏足夠的風險意識,否則他們也不會遭受如此顯著的損失。
由於面臨巨額虧損的風險,一些鯨魚用戶已自覺開始依賴多種公開的安全工具來監控與感知風險。目前市面上有許多團隊致力於監控產品的開發,但選擇至關重要。以下是幾個關鍵點:
首先是工具的使用成本。許多工具功能強大,但需要編程能力且使用費用高昂。對於用戶來說,理解合約結構甚至自行收集地址並非易事。
其次是精確度。沒有人希望半夜連續收到多次警報,結果卻發現是誤報。因此,準確性同樣至關重要。
最後是安全性。特別是在這種資金規模下,我們不能忽視工具開發及其團隊帶來的各種安全風險。據悉,最近的 Gala Game 攻擊事件就是因為引入了不安全的第三方服務供應商。因此,可靠的團隊與值得信賴的產品必不可少。
目前,許多鯨魚用戶也找到了我們,我們將為他們推薦專業的資產管理解決方案,讓鯨魚用戶在確保資金安全的前提下,同時兼顧「挖礦、提款與出金」等日常資金管理,感知風險,甚至在緊急情況下進行撤資。
Q2:參與 DeFi 並處理安全風險的安全建議
BlockSec 安全團隊:對於大額資金參與者而言,參與 DeFi 協議的首要考量是確保本金安全,這需要在對潛在安全風險進行充分研究後再進行投資。確保資金安全需考慮以下幾個層面:
首先,應針對項目方對安全性的重視程度以及投入情況進行多維度判斷。這包括項目是否經過嚴格的安全審計、項目方是否具備監控項目安全風險並自動響應的能力,以及是否擁有良好的社區治理機制。這些都能反映出項目方是否將用戶資金安全放在重要位置,以及對用戶資金安全是否持高度負責的態度。
其次,大額資金參與者也需要建立自己的安全監控與自動響應系統。一旦投資的協議發生安全事件,大型投資者應能夠在第一時間感知並撤出資金,以盡可能挽回損失,而非將所有希望寄託在項目方身上。觀察 2023 年 Curve、KyberSwap 和 Euler Finance 等項目的重大攻擊事件,可以發現大型投資者往往錯過及時警報,且缺乏自給自足的安全監控與緊急提款系統。
此外,投資者需要選擇優秀的安全合作夥伴,持續關注所投項目的安全性。項目方的任何代碼升級、重要參數變更等,都需要及時感知並評估風險。若是沒有專業的安全團隊與工具參與,這些任務很難達成。
最後,必須保護私鑰的安全。對於需要頻繁交易的帳戶,最好結合在線多簽與離線私鑰安全解決方案,以消除單個地址與單個私鑰丟失後的單點風險。
若所投資的項目面臨安全風險,該怎麼辦?
相信對於任何鯨魚或投資者而言,遇到安全事件的第一反應必定是保護本金,且首要任務是盡快撤出資金。然而,攻擊者行動通常十分迅速,手動操作往往來不及,因此最好根據風險設置自動撤資。目前,我們的攻擊監控與阻斷平台 Phalcon 可以在偵測到攻擊交易後自動撤資,協助用戶率先撤離。
其次,如果遭受損失,除了吸取教訓外,還應積極推動項目方尋求安全公司的協助,以追蹤並監控受損資金。隨著整個加密產業對安全性的關注提升,資金追回的比例正在逐步增加。
最後,對於大額持有者,建議聘請安全公司審計您的整個投資組合,檢查是否存在類似的漏洞。許多攻擊源自共同的根源,正如 Compound V2 事件在其他項目中也有類似情況。安全公司可以識別您投資中的風險,從而與項目團隊及時溝通,或在必要時進行策略性撤資。
OKX Web3 錢包安全團隊:用戶在參與 DeFi 項目時,可以採取多種措施來更安全地參與,降低資金損失風險,並享受去中心化金融帶來的收益。我們將從用戶層面與 OKX Web3 錢包層面詳細說明。
首先,對於用戶而言:
- 1)選擇經過審計的項目:優先考慮經過知名第三方審計公司(如 ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK)審計的項目,查閱其公開審計報告,了解潛在風險與漏洞修復情況。
- 2)了解項目背景與團隊:透過研究項目白皮書、官網以及開發團隊背景,確保項目的透明度與可信度。關注團隊在社交媒體與開發者社區的活躍度,以評估其技術實力與社區支持。
- 3)分散投資:切勿將所有資金投入單一 DeFi 項目或資產;分散投資可以降低風險。選擇多種不同類型的 DeFi 項目,例如借貸、DEX、流動性挖礦等,以分散風險敞口。
- 4)小額測試:在進行大額交易之前,先進行小額交易測試,確保操作與平台的安全性。
- 5)定期監控帳戶與緊急處理:定期檢查您的 DeFi 帳戶與資產,及時發現異常交易或活動。使用工具(例如 Etherscan)監控鏈上交易紀錄以確保資產安全。檢測到異常後,及時採取緊急措施,例如撤銷帳戶的所有授權、聯繫錢包安全團隊尋求支援等。
- 6)謹慎對待新項目:對於剛上線或未經驗證的項目保持謹慎態度。您可以先投入少量資金進行測試,觀察其運作與安全性。
- 7)使用主流 Web3 錢包進行交易:僅使用主流 Web3 錢包與 DeFi 項目互動,這些錢包提供更好的安全防護。
- 8)防範釣魚攻擊:點擊來自不明來源的陌生鏈接與郵件時要保持警惕,切勿在不信任的網站輸入私鑰或助記詞,並確保訪問的鏈接是官方網站。使用官方渠道下載錢包與應用程序,以確保軟體的真實性。
其次,從 OKX Web3 錢包的角度來看:
我們提供了許多安全機制來保護用戶資金安全:
-
1)風險域名偵測:用戶訪問 DApp 時,OKX Web3 錢包會在域名層面進行偵測與分析。若用戶訪問了惡意 DApp,系統將進行攔截或提醒,以防止用戶受騙。
-
2)蜜罐代幣偵測:OKX Web3 錢包支援對蜜罐代幣(Honeypot Token)的全面偵測,在錢包內主動封鎖這些代幣,防止用戶與其互動。
-
3)地址標籤庫:OKX Web3 錢包提供豐富且全面的地址標籤庫,在用戶與可疑地址互動時及時發出警報。
-
4)交易預執行:在提交任何交易之前,OKX Web3 錢包會模擬交易執行,並顯示資產與授權的變化供用戶參考。用戶能根據這些資訊判斷結果是否符合預期,並決定是否繼續進行交易。
-
5)DeFi 應用整合:OKX Web3 錢包整合了多個主流 DeFi 服務,讓用戶可以放心地與這些整合項目互動。此外,OKX Web3 錢包還提供 DEX、跨鏈橋等 DeFi 服務的路徑推薦,為用戶提供最佳的 DeFi 服務與最優的 Gas 解決方案。
-
6)額外的安全服務:OKX Web3 錢包正逐步加入更多安全功能,持續開發先進的安全防護服務,以更有效率地確保 OKX 錢包用戶的資金安全。
