本系列文章摘录自OKX Web3与BlockSec联合策划的《安全特刊05》,旨在探讨DeFi用户和DeFi项目方所面临的安全隐患。
Q1:用户在参与DeFi时如何建立风险意识
OKX Web3钱包安全团队:以巨鲸用户为例,巨鲸主要指拥有大规模资金的个人投资者或小型投资机构,但通常没有强大的安全团队,也不具备自研安全工具的能力。因此,目前大多数巨鲸实际上缺乏足够的风险意识,否则也不会遭受如此巨大的损失。
由于巨额损失的风险,一些巨鲸用户已开始有意识地依赖一系列公开可用的安全工具来监测和感知风险。目前,许多团队都在从事监测产品的研发,但选择至关重要。以下是几个关键点:
首先,是工具的使用成本。许多工具虽然功能强大,但需要编程,并且使用成本昂贵。用户很难弄清楚合约结构,甚至收集地址。
其次,是准确性。没有人愿意深夜接到一连串的警报,结果却发现是误报。因此,准确性也至关重要。
最后,是安全性。尤其是在如此大规模的资金下,我们不能忽视工具开发及其团队的各种安全风险。最近的Gala Game攻击事件据说就是由于引入了不安全的服务提供商。因此,可靠的团队和值得信赖的产品是必不可少的。
目前,许多巨鲸也找到了我们,我们将为他们推荐专业的资产管理解决方案,让巨鲸用户在确保资金安全的同时,也能兼顾日常的“挖矿、提现、卖出”等资金管理感知风险,甚至在紧急情况下进行资金撤离。
Q2:参与DeFi及处理安全风险的安注意事项
BlockSec安全团队:对于大资金参与者而言,参与DeFi协议的首要考量是保障本金的安全,在充分研究潜在安全风险后再进行投资。以下几点是保障资金安全需要考虑的方面:
首先,要对项目方在安全方面的重视程度和投入进行多方面判断。这包括项目是否经过严格的安全审计,项目方是否具备监测项目安全风险并自动响应的能力,以及是否有良好的社区治理机制。这些都能反映出项目方是否将用户资金安全放在重要位置,以及其对用户资金安全是否抱有高度负责的态度。
其次,大资金参与者也需要建立自身的安全监控和自动响应体系。一旦所投资协议发生安全事件,大资金投资者应能在第一时间感知并撤离资金,最大限度地挽回损失,而非将所有希望寄托于项目方。回顾2023年Curve、KyberSwap、Euler Finance等项目遭受的高调攻击事件,不难发现大额投资者往往错失了及时警报,并且缺乏自给自足的安全监控和紧急撤离系统。
此外,投资者需要选择好的安全合作伙伴,持续关注所投资项目标的的安全。项目方代码的任何升级、重要参数的变动等,都需要及时感知并评估风险。这类任务如果没有专业安全团队和工具的参与,是难以完成的。
最后,需要保护好私钥的安全。对于需要频繁交易的账户,最好是结合线上多签和线下私钥安全方案,消除单一地址和单一私钥丢失后的单点风险。
如果所投资项目面临安全风险,应该怎么办?
相信对于任何巨鲸和投资者来说,在遇到安全事件时,第一反应必然是保护本金,首要任务是尽快撤离资金。但攻击者通常速度很快,人工操作往往来不及,因此最好是根据风险进行自动化的资金撤离。目前,我们的攻击监测和阻断平台Phalcon,在检测到攻击交易后,能够自动进行资金撤离,帮助用户先行规避风险。
其次,若有损失,除了吸取教训,应积极推动项目方寻求安全公司协助,追踪和监控受损资金。随着整个加密行业对安全的关注度提升,被追回资金的比例也在逐渐提高。
最后,对于有大量持仓的投资者,可以考虑聘请安全公司对您的整个投资组合进行审计,查找类似的漏洞。许多攻击都源于共同的根本原因,正如Compound V2事件那样,在其他项目中也存在类似情况。安全公司可以识别您投资组合中的风险,以便及时与项目方沟通或在必要时采取策略性退出。
OKX Web3钱包安全团队:在参与DeFi项目时,用户可以采取多种措施,更安全地参与DeFi项目,降低资金损失的风险,并享受去中心化金融带来的收益。我们将从用户层面和OKX Web3钱包层面进行阐述。
首先,对于用户:
- 1)选择已审计的项目:优先选择由知名第三方审计公司(如ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK)进行审计的项目,查阅其公开的审计报告,了解潜在风险和漏洞修复情况。
- 2)了解项目背景和团队:通过研究项目白皮书、官网以及开发团队的背景,确保项目的透明度和信誉。关注团队在社交媒体和开发社区的活跃度,了解其技术实力和社区支持情况。
- 3)分散投资:不要将所有资金投入单一DeFi项目或资产,分散投资可以降低风险。选择多种不同类型的DeFi项目,如借贷、DEX、farming等,以分散风险敞口。
- 4)小额测试:在进行大额交易之前,先进行小额测试交易,以确保操作和平台的安全性。
- 5)定期监控账户和应急处理:定期检查您的DeFi账户和资产,及时发现异常交易或活动。利用工具(如Etherscan)监控链上交易记录,确保资产安全。发现异常后,及时采取应急措施,如撤销账户的所有授权,联系钱包安全团队寻求支持等。
- 6)谨慎对待新项目:对新上线或未经充分验证的项目保持谨慎态度。可以先投入少量资金进行测试,观察其运行和安全性。
- 7)使用主流Web3钱包进行交易:仅使用主流Web3钱包与DeFi项目进行交互,这些钱包提供更好的安全保护。
- 8)防范钓鱼攻击:谨慎点击来自未知来源的不熟悉链接和邮件,不要在不可信网站上输入私钥或助记词,并确保您访问的链接是官方网站。通过官方渠道下载钱包和应用程序,以确保软件的真实性。
其次,从OKX Web3钱包的角度:
我们提供了许多安全机制来保护用户资金的安全:
-
1)风险域名检测:当用户访问DAPP时,OKX Web3钱包会在域名层面进行检测和分析。如果用户访问恶意DAPP,会进行拦截或提示,防止用户被欺骗。
-
2)蜜罐代币检测:OKX Web3钱包支持对蜜罐代币(Honeypot Token)进行全面检测,主动在钱包内阻止这些代币,防止用户与之交互。
-
3)地址标签库:OKX Web3钱包提供丰富且全面的地址标签库,在用户与可疑地址交互时,会及时向用户发出警报。
-
4)交易预执行:在任何交易提交之前,OKX Web3钱包会模拟交易的执行,并向用户展示资产和授权的变化,供用户参考。用户可以根据这些信息判断结果是否符合预期,并决定是否继续进行交易。
-
5)整合DeFi应用:OKX Web3钱包已整合了多家主流DeFi项目的服务,用户可以放心地与这些整合的DeFi项目进行交互。此外,OKX Web3钱包还为DEX、跨链桥等DeFi服务提供路径推荐,为用户提供最佳的DeFi服务和最优的Gas解决方案。
-
6)额外的安全服务:OKX Web3钱包正在逐步增加更多的安全功能,并开发更高级的安全防护服务,以更好、更高效地确保OKX钱包用户的安全。
