BlockSec 首席执行官 Andy Zhou 受邀参加 Spraping Bits 播客,并讨论了 BlockSec 团队如何在混乱而复杂的 Web3 环境中识别和缓解潜在的安全漏洞。以下是我们精心整理的一系列精彩内容。要收听播客完整版,请点击 此处。
Andy Zhou 00:00
我们的团队有一个系统,可以在黑客发送攻击交易之前检测到攻击合约。这是因为他们需要部署一个攻击合约,然后发送交易来攻击协议。因此,即使在攻击交易发生之前,当黑客部署攻击智能合约时,我们基于人工智能的引擎就可以精确地识别出恶意合约。
Andy Zhou 00:53
谢谢 DeGatchi。我也非常荣幸能来到这里。
DeGatchi 00:56
荣幸。非常感谢。对于不熟悉您的人,您能介绍一下您是谁以及您做什么吗?
Andy Zhou 01:02
我叫 Andy,是 BlockSec 的 CEO,也是浙江大学的教授,浙江大学是中国顶尖的大学。我在网络安全领域有十多年的经验。之前我在智能手机安全领域工作,然后转向智能合约安全领域工作了几年。
DeGatchi 01:22
您在智能合约安全领域的早期工作是怎样的?您是做手动审计,还是直接转向自动化了?就像我一样。
Andy Zhou 01:30
对于智能合约安全,在公司和我们的研究团队,我们同时进行静态分析和动态分析。对于静态分析,我们开发了几种不同的技术来增强智能合约的静态分析。这是因为社区中目前可用的大多数工具都存在一些普遍问题,因为它们的误报太多。例如,如果你想使用该工具检测重入漏洞,将一个简单的智能合约输入该工具,它可能会报告许多重入漏洞或其他问题。但当你手动检查这份报告时,你会发现其中大部分都是误报。因此,我们发现误报是当前静态分析工具的主要问题。
Andy Zhou 02:20
造成这种误报的根本原因是缺乏对智能合约语义的理解。语义是指合约中变量及其关系背后的含义。例如,如果你有一个 ERC-20 代币,它有代表每个所有者余额的变量和已批准的金额,表明谁被批准向谁转移了多少金额。为了提高静态分析的精确性,必须准确识别哪些变量代表余额,哪些变量与授权和其他特定功能相关。通过这样做,我们可以实现更高的静态分析精确度。
Andy Zhou 03:00
我们在开发静态分析工具的经验中获得的一个见解是,需要一个强大的污点分析引擎来建立变量之间的关联。数据流分析是静态分析工具采用的一项基本技术,它起着至关重要的作用。它涉及对内存和存储的建模,以及如何在静态分析工具中精确有效地利用污点分析技术。这两种关键技术,污点分析和数据流分析,已被证明能有效增强我们静态分析工具的功能。
Andy Zhou 03:48
在我们的研究团队中,我们开发并部署了这项静态分析工具,并分析区块链上创建的每一个新智能合约。我们会将我们识别出的零日漏洞报告给开发者。不幸的是,一些开发者并不关心漏洞。我们甚至找不到有效的渠道向他们报告。这非常令人难过。
Andy Zhou 04:13
如果你想要一个非常有效的静态分析工具,你需要理解语义,并且需要有一个污点分析引擎。这是我们使用静态分析工具的经验。除了静态分析工具,我们的研究团队还有一个动态分析工具。这是因为除了有漏洞的智能合约,我们也想识别恶意交易,对吧?
Andy Zhou 04:31
这不仅仅是分析有漏洞的智能合约,还包括检测任何可能攻击协议或其他智能合约的交易。为了实现这一点,我们拥有一个具有插桩功能的定制虚拟机。这允许我们编写自己的检测规则,这些规则可以轻松地挂接到任何给定智能合约的虚拟机或执行环境中。我们捕获各种信号来确定一笔交易是否是恶意的。例如,我们检查交易的发送者是否曾有过攻击历史,或者资金是否来自可疑来源。通过结合不同的信号,我们评估每笔交易的风险。我们的团队部署了这个检测引擎,使我们能够快速捕获和识别攻击交易。
DeGatchi 05:41
是的,这很有趣。我也用我的静态分析器做了同样的事情。污点分析基本上是必不可少的,然后是您对静态分析器的任何使用。您将所有这些数据传输到一个模糊测试器,对吗?我也在构建我的模糊测试器。看到人们如何处理这个问题真的很有趣。但是有很多很棒的解决方案。人们在这个领域里思考问题的方式过于顺序化,而有很多维度需要考虑,所以顺序化不是正确的答案。
DeGatchi 06:08
让我们谈谈维度。假设你有一笔交易的 calldata,对吧?你也有函数和合约。然后你还有另一个维度,那就是阶段。所以它非常依赖于上下文。所以现在你有这四个不同的变量、维度,它们都会受到最轻微调整的影响。例如,你可能有合约 A,合约 B,以及它们的所有函数。现在你必须以所有这些不同的方式对它们进行排序,但不仅仅是函数 A 和函数 B,函数 B 和函数 A。你还可以执行函数 A、函数 B,函数 B、函数 B、函数 A。这是一个非常棘手的问题。
DeGatchi 06:43
我认为你对你的项目所做的事情非常有趣。我知道你最近升级了 Phalcon,现在包括了交易检测。所以它更像是一个通用的抢跑器,但用于黑客攻击。在这样做的时候,它发人深省。抢跑游戏由专门的 MEV 团队主导,对吧?他们进行抢跑、三明治攻击、后跟攻击等。他们拥有专门的基础设施,高频交易的东西,延迟非常小,而且他们互相合作,构建区块,继电器,所有这些东西。所以问题是,你怎么能抢跑这些交易,而不是这些 MEV 团队?
Andy Zhou 07:24
是的,这是一个很好的问题。基本上,我们系统的主要目标不是抢跑 MEV 机器人,而是保护协议,我们针对的是黑客。
DeGatchi 07:37
但是,比如当黑客将交易提交到公共内存池时,如果是私有的,没有人能看到。但如果它是公共内存池,那么所有其他的通用抢跑者也会看到。所以你得跟他们竞争。那么你是如何击败他们的?你是如何击败他们的?
Andy Zhou 07:51
是的,我们一直说安全是好人与坏人之间的军备竞赛。早期很容易,因为坏人不知道我们团队和 MEV 机器人的存在。当时,这取决于你支付多少 Gas 费或向验证者行贿。这在早期要容易得多,但如今,黑客使用一些技术来保护自己免受抢跑。例如,我们看到黑客部署了一种非常有趣的技术来阻止他们的交易被 MEV 机器人抢跑。基本上,在他们的交易中,他们会先检查一些值,比如从另一个智能合约获取某个值,来检查这个值是否等于这个变量的初始值。在进行攻击时,黑客会先发送一笔交易来设置另一个智能合约中的变量以满足该检查,然后使用第二笔交易来实际执行黑客行为。因为 MEV 机器人使用的最常见技术是模拟单个交易。如果你只模拟第二笔交易,你就会失败,因为条件不满足。这是因为条件是由第一笔攻击交易设置的。由于这个棘手的部分,一些 MEV 机器人无法处理。我们可以处理,因为我们有一种技术来分析不同交易之间的关联。
DeGatchi 09:40
是的,你必须执行多次。你不能只执行一次,因为如果你只是进行通用抢跑,标准做法就是替换地址,或者如果涉及多个地址,你必须全部替换,你必须尝试每一种选择。
Andy Zhou 09:52
正是如此。
DeGatchi 09:53
如果他们进行多合约设置,那么他们会进行合约部署,然后他们会调用设置合约中的一个函数来设置新的东西,然后他们会在漏洞利用合约中使用它。但是解决这个问题的方法基本上就是再次模拟,但你必须实际检查被调用的状态。所以,如果这与原始合约的部署状态不符,那么你必须以某种方式设置它,找到像 CFG 这样的函数,找到任何东西,然后修改那个漏洞利用合约来设置它,或者甚至完全删除它。所以这非常困难,但你实际上已经这样做了而且现在它正在工作,这真是太疯狂了。
Andy Zhou 10:33
是的,它正在工作,但这需要你投入大量的开发工作。你还需要有一个非常好且高效的分析引擎来做到这一点。
DeGatchi 10:42
这非常令人印象深刻。你们已经阻止了 20 起黑客攻击,挽回了约 1500 万美元的损失。这还是在你们上线前的六个月内。
Andy Zhou 10:51
黑客攻击的预防工作已经持续了一年半。所以不是一个月或两个月。这是一年半的持续努力。
DeGatchi 11:04
但是,还是没有人这样做。这是一件非常了不起的事情,我认为每个人都应该至少拥有它,因为它很重要。即使它可能不是每个人的 100% 救星,因为他们必须注册,也许有一些微不足道的混淆技术会有所不同。它仍然比什么都没有好,对吧?就像你保存了东西,被黑客攻击就像是整个公司、所有用户、所有声誉的垮台——一切都消失了。所以这是一件非常重要的事情。你们是怎么构建这个的?你们使用人工智能了吗?或者,它不可能完全是启发式的。
Andy Zhou 11:41
基本上,我们将不同的技术结合在一起。对于黑客攻击的检测,我们将基于人工智能的解决方案与行为分析相结合。对于基于人工智能的解决方案,我们使用人工智能技术,机器学习技术来检测攻击合约。我们的团队有一个正在运行的系统,可以在黑客发送攻击交易之前就检测到攻击合约。这是因为他们需要部署一个攻击合约,然后发送交易来攻击协议。因此,即使在攻击交易发生之前,当黑客部署攻击智能合约时,我们基于人工智能的引擎就可以精确地识别出恶意合约。我不是说我们没有误报,但误报率相当低。因此,即使在这个阶段,在发生黑客交易之前,我们也可以检测到攻击智能合约。问题是,当你识别出一个攻击智能合约时,你可能不知道这次黑客攻击的实际受害者。这是因为目的地地址有时并没有硬编码在智能合约中。它们可以作为参数传递。你需要一些模糊测试技术来触发它。但是,如果所有的目标智能合约地址都通过参数传递,那么即使模糊测试也无济于事。
Andy Zhou 13:05
因此,对于这些复杂的攻击,我们无法在这个阶段识别攻击智能合约,我们需要在攻击交易检测阶段来处理它们。对于攻击交易,我们使用一些基于行为的解决方案来检测黑客交易。核心思想是,每个黑客都想获利。所以你需要精确地从交易中获得利润。在检测到这些攻击交易后,我们将自动合成一个类似于 MEV 机器人所做的攻击交易,替换利润地址,然后将其放到链上。这基本上是我们 BlockSec Phalcon 推出之前的系统工作方式。
DeGatchi 13:54
关于人工智能方面,我无法想象它是一个监督学习模型。我觉得它必须是强化学习,因为黑客攻击并不多,对吧?所以数据不足以真正做到这一点。
Andy Zhou 14:08
我认为您提到了一个非常好的关于机器学习的点。对于恶意智能合约检测,因为我们没有足够的样本来训练模型,所以它并不有效。在这种情况下,如何让这些东西奏效的关键在于你需要提取智能合约中的关键特征。有些人只是使用字节码的序列来训练模型。这不起作用,因为字节码的序列对于智能合约来说太通用且太常见了。你需要提取智能合约的独特特征。所以我们目前使用的包括控制流图,关键函数之间的数据流关系,我们还使用了一些地址标签或合约创建者的属性来训练模型,事实证明非常有效。
DeGatchi 14:55
所以你基本上提取了关键特征。例如,让我们说硬编码的地址或作为调用数据传递的地址。也许他们正在进行某种掩码,如果他们正在使用 Solidity。 这在 Solidity 中很常见。但如果是一个自定义的高代码合约,首先,那将是一个非常复杂的黑客。但是,那些精心策划的复杂黑客,100% 会使用自定义字节码的私有交易,甚至可能使用交易群来混淆。这是我一直在研究的,我对这些东西非常感兴趣。事实证明它很有效。实际上,我从未见过有人使用我发现的那种技术。我甚至可能要写一篇文章,因为我永远不会使用它们。但它很有趣。
Andy Zhou 15:46
是的,在进行这个研究项目之前,我也没觉得它能起作用。但六个月后,我们证明它非常有效。
DeGatchi 16:02
是的,是的,这太疯狂了。我认为这是朝着正确方向迈出的一个非凡的步骤,需要更多的工具。但这同时也引发了一个问题;你知道你在使用人工智能。你如何看待人工智能将如何影响你的业务?什么将被人工智能淘汰?以及一个人今天如何为这场革命做好准备?
Andy Zhou 16:23
坦白说,我不是人工智能专家。我们只是将人工智能应用于我们的研究领域,以检测恶意智能合约。我认为人工智能在安全领域的潜力尚未完全开发。原因之一是,要将人工智能应用于安全领域,我认为你需要对你正在解决的问题有深刻的理解。因为如果你对你正在解决的问题有深刻的理解,你就可以提取非常好的特征。我认为特征非常重要,对吧?所以即使对于同一个合约或同一个交易,如果你没有一个非常好的训练特征,结果就会完全不同。从我的角度来看,我认为人工智能的潜力尚未完全开发,因为你需要一个非常好的人工智能专家和一个非常懂领域的人来提取特征。
DeGatchi 17:30
我同意。这非常不同。它是两个领域的结合。首先,精通人工智能很难。然后学习它也需要时间。就像你必须了解数学,你必须了解人工智能方面的一切。就像你不知道软件包、库,然后你还必须身处加密货币领域,另一个领域是字节码和网络安全,这也需要时间。但我认为从纯人工智能领域转移到加密领域的人,不会像从加密领域转移到纯人工智能领域那么难,因为纯人工智能领域要难得多,因为你需要的数学知识和对当前架构的完全理解,以及它们是如何工作的。
DeGatchi 18:13
但这非常有趣。你认为什么会过时?因为人工智能显然会改变一切。而且我认为,如果你不使用人工智能,你在所有这些业务中就不会比其他人有优势,因为很难竞争。我用模糊测试器和堆栈分析器做了同样的事情,但我认识一些使用人工智能的人。这是有道理的,因为如果你考虑到这个无限的动作空间,你不能仅仅通过暴力破解。你需要某种直觉来过滤掉所有的动作,并知道真正要瞄准什么。所以你需要人工智能来做到这一点。你需要一些东西来学习重复的实例,尤其是当你在所有这些协议上运行东西时——所有的合约,数百万个实例或运行,对吧?它需要能够,就像,学习直觉。否则,你就是在自己身上建立这种直觉。这非常耗时,而且非常错误,因为你无法考虑所有这些维度,而且你最终不知道你不知道什么。我认为,就个人而言,如果你不涉足其中,无论如何都应该涉足。我甚至不懂数学,但我在涉足其中。所以如果我能做到,任何人都能做到。所以我们会拭目以待。但这需要很大的投入。
Andy Zhou 19:36
正是如此。我可以分享一个最近关于人工智能的实验。正如我所说,我们有一个智能合约模糊测试系统来查找漏洞,我们有一个内部系统来做到这一点。我们可以使用人工智能来生成模糊测试的种子输入,事实证明非常有效。我们是怎么做到的?例如,我们有五个智能合约需要模糊测试。我们首先将这些智能合约输入 ChatGPT,然后我们可以总结每个函数的主要功能,告诉 GPT:“这个函数,主要功能是这样,另一个函数是那样。”然后之后,我会要求 GPT:“请为这些函数生成 50 个不同的输入。”事实证明非常有效。然后我们将其用作种子输入,你知道,来模糊测试智能合约。
DeGatchi 20:38
有趣。我认为 LLM 实际上相当不错。就理解嵌入而言,我们拥有最好的,我不知道更多了,但它确实是目前最好的努力。所以这是有道理的。我认为很多人都在使用 ChatGPT,但这似乎是一个非常好的用例。我知道有些人喜欢用它来解释合约。所以它消除了所有理解的负担;它能帮助你快速上手,而不是试图理解整个代码库。因为代码库可能有上千行代码,对吧?或者多合约,成千上万行。很难看到一切之间的关系和依赖关系。
DeGatchi 21:18
但我想问一下:既然你已经进行了这次新的交易阻止,你现在有了交易阻止,但为什么还要更进一步,去寻找所有的零日漏洞和所有的合约呢?因为如果你想想,如果他们是技术高超的黑客,并且真的知道他们在做什么,并且他们会瞄准某个人,比如说像 Ronin 那样价值 6 亿美元的黑客攻击,或者可能更现实的是协议上的 2 亿美元或 2000 万美元的攻击,他们只会发送私有交易,而你将无法阻止他们。为什么你不完全投入到零日漏洞的预防中呢?因为如果你找到了,你只需发送私有交易,一开始就节省一切。
Andy Zhou 22:02
是的,一个很好的问题。BlockSec 内部实际上有一些针对项目的提案。目前对于 BlockSec Phalcon,我们可以检测链上或内存池中的恶意交易。但对于私有交易,我们无法看到。这是目前的阶段。我们也想进一步努力,在黑客之前就检测到智能合约的漏洞。正如我刚才所说,我们有模糊测试系统来做到这一点,但目前我们仍在改进我们的模糊测试系统,以检测已部署在区块链上的智能合约的安全漏洞。
Andy Zhou 22:55
我相信在进行智能合约模糊测试以识别漏洞时存在一些挑战。模糊测试智能合约的挑战之一是为目标合约生成输入,特别是交易。此外,对于智能合约,你需要生成一系列交易来触发漏洞,而不是单个交易。有时交易的序列相互依赖。你需要有第一笔交易,第二笔,第三笔,并且只有这三笔交易的完整序列才能触发漏洞。你需要生成一系列交易,并且你需要理解这些交易的依赖关系。这目前非常困难。这是挑战一。第二个挑战是,你需要有一个预言机来确定是否存在漏洞。比方说,你向智能合约发送一笔交易,那么你如何确定你已经触发了漏洞?当然,我们可以使用类似的技术来计算利润。如果这笔交易触发了非常高的利润,或者导致某个借贷协议的健康因子异常,那么我们就看到了漏洞。但是你需要有不同类型的预言机来总结给模糊测试器。这是第二个挑战。
DeGatchi 24:35
这是第二部分。这很有趣,因为如果有一个新的协议出来,它有一个代币,它没有与大型代币的流动性池。它可能与其他代币一起。你甚至无法对其进行定价,对吧?所以这是一个巨大的障碍。你是否考虑过如何用那种预言机来解决这个问题?
Andy Zhou 24:57
是的,正是如此。所以这是另一个挑战,因为你需要为模糊测试器和 DEX 池准备环境。你需要准备不同的代币,并且你需要将每种代币的价格输入系统。你需要为模糊测试器准备各种各样的东西。这非常复杂。对于像重入这样的简单漏洞,模糊测试器很容易触发。但对于一些复杂的漏洞,比如价格操纵,就很难了。我们仍在开发一个系统,但还需要一些时间。但你说得对,我们正在朝这个方向努力。
DeGatchi 25:43
是的,这绝非易事。它需要很多复杂性,对吧?你需要考虑很多相互依赖的事情。所以就像你问一个问题,然后就会得到两个更多的问题,它们现在相互关联,然后一直向下延伸。但是那个预言机可能是最难的东西之一。它也是最重要的东西之一,因为预言机操纵可能是最大的攻击因素。一切都依赖于此。无论它是什么,它可能是一个内部汇率,它可能是一个外部汇率与内部汇率的对比。
DeGatchi 26:22
所以就像一些他们没有考虑到的套利,一切都有 bug,因为人为错误是肯定的。而且交互的数量将不会被考虑在内。新协议每天都在出现。你当前的协议现在可以与之交互。在这方面,它可能是一系列五种不同的协议。
DeGatchi 26:45
这并不容易。我认为你需要人工智能,因为你必须在空间上考虑所有这些不同的函数以及不同合约中的漏洞,你不能按顺序处理它们,因为可能性太多了,对吧?所以我认为我今年早些时候和某人谈论过这个,我当时谈论了 Pickle Finance 的漏洞利用。这是一个非常有趣的案例,因为它有八个漏洞。如果你错过了其中一个,你就不会有漏洞利用,而且它必须是特定的顺序。而且这个漏洞利用实际上由五个自定义合约组成。所以是五个自定义合约来基本上构建上下文,在这些上下文中,漏洞函数序列可以以特定方式使用。
DeGatchi 27:44
另一部分是理解 Athena 的绝缘体,你有一个地址和 bytes 20,它们都有相同的含义。人们会忽略这一点,因为你需要知道这些类型意味着什么。但基本上他们所做的,我发现这非常迷人,是他们创建了这些合约,就像一个假的底层代币。而且假的底层代币 dot balance of 返回一个地址,而不是一个实际金额。这不是真的,因为实际金额只是 bytes 32,而地址是 bytes 20。所以你可以将地址作为你想要 2,5,6,因为它技术上就是如此,对吧?所以这实际上取决于,这实际上创造了整个链,因为它创造了一种委托代码的情况,在那里它被使用。这也是这样发生的。但它非常有趣。你知道,你必须创建执行特定功能的合约,这些功能可以启用新的序列。而且能够创建合约来启用五个漏洞的利用,这完全不是小事。这是一个极其迷人的问题,我认为这是一个非常刺激的问题。我认为没有比这更好的了。我非常喜欢它。
DeGatchi 29:06
但这种事情真的很困难。你有没有考虑过所有这些事情?你现在正在研究哪些技术?显然,我刚才说的是在空间上,研究独立的函数以及它们如何相互交互。关系绝对是最难的部分,取决于你如何解决它。因为污点分析,坦率地说是不够的。
Andy Zhou 29:26
是的,关于不同智能合约之间的关系,我们目前正在做一件非常有趣的事情。我们手动收集了顶级 DeFi 协议的智能合约。然后我们进行手动分析,绘制出不同智能合约之间关系的图。例如,如果 wstETH 可以在某个协议(例如 ABC)中用作抵押品,我们就会在这些协议之间画一条线。如果一个代币可以作为另一个智能合约的底层代币,那么我们将连接这些协议。
Andy Zhou 30:02
所以基本上,我们手动使用一些脚本来全面了解顶级协议之间的关系。然后我们将利用这些见解来防御静态分析和模糊测试技术。
Andy Zhou 30:15
这是我们目前正在做的一件事。它仍处于早期阶段,但我们生成的关系有时对静态分析和模糊系统很有帮助。我们目前正在做的另一项工作是类型推断。我们想推断输入数据的类型,例如,智能合约调用中的调用数据。例如,从 call data 的第 0 字节到第 20 字节,我们可以推断类型是地址。而从输入的其他部分,类型是另一个。这对于模糊测试将非常有帮助。我们试图利用静态分析来进行类型推断。
DeGatchi 30:55
有趣。是的,上述事物之间的关系有点像一个图。你所做的事情很困难。因为,比如说,这些也是一些技术。如果你有一个合约,它里面有其他合约的引用,比如硬编码的地址,对吧?这相当简单。这意味着你知道你可以访问的空间类型以及它们如何相互连接。但也有一些合约甚至不直接引用彼此。你可以通过 call data 来引用它们,或者你可以创建一个现在引用新合约的池。我想它叫做 Iron Vault 或者什么的。它在另一个生态系统中。
Andy Zhou 31:33
是的,这并不容易,但我们可以利用链上交易来连接它们,因为链上交易可以揭示不同智能合约之间的交互。
DeGatchi 31:44
但是,其中最重要的是,你正在观察正常的函数序列,对吧?要找到一个零日漏洞,你必须打破常规,做一些不同的事情。嗯,我认为识别什么是正常的很好,现在你知道什么不应该做,以及如何打破它,这是好事。有趣。那么你对模糊测试器的计划是什么?你打算将它与某种神经网络模糊测试配对吗?这是 Trail of Bits 的尝试。不值得,但坦率地说,只是没有正确实现。那么你对模糊测试器的计划是什么?你打算进行神经网络模糊测试辅助,还是完全人工智能?现在要往哪个方向走?
Andy Zhou 32:23
关于模糊测试,首先我们试图拥有一个非常好的类型推断系统,以促进种子输入的生成和模糊测试输入的变异。我们还利用人工智能来帮助我们生成种子输入。我们也试图加快模糊测试过程,因为我们想要一个非常高效的系统来快速识别漏洞。我们有三个不同的工作部分来改进模糊测试器。
DeGatchi 33:01
好的,有趣。当我们思考这个领域时,有一些与这个工具对话不同的东西,对吧?你是一名教授,所以你了解这些。
DeGatchi 33:10
很多人在解释如何成为顶级的审计师。像 Spearbit 或 Trail of Bits 的安全研究负责人——甚至是独立审计师——都在随着新审计师的涌入而做得很好,对吧?你打算如何在这种新进入者、其他公司和其他想要拥有这些技能的人的竞争中脱颖而出?显然,他们人数不多,但他们仍然在涌入。而且随着更聪明的人的涌入,甚至可能借助人工智能。我知道像 and testify 这样的人正在进行人工智能漏洞利用生成。我敢肯定你听说过他们。你正在做什么来真正与这些人区分开来,因为新审计师和新参与者正在进入这个领域?
Andy Zhou 33:55
是的,这是一个非常具有挑战性的问题。我认为从我的角度来看,你需要对这个特定领域的趋势有很好的理解,例如 DeFi 协议安全领域。有不同的攻击向量和新型漏洞。你需要有很好的动力或技能来尝试研究这些新事物。如何快速学习这些新事物以及如何快速消化新知识是我的优势。当然,有很多聪明人会进入这个领域。但我想说,因为我受过博士训练,我知道如何快速进入一个新领域,如何快速理解前沿技术,如何快速找到一个好的问题来解决,以及如何将其他领域的技巧借用到这个领域来解决这个问题。我认为这就是我与他人不同的地方。
DeGatchi 34:56
百分之百。我认为如果你考虑一群人,他们都很聪明并且有能力,那么主要区别就是创造力;似乎如果你都在同一个水平线上,而这从来不是真的,或者说大家一样聪明。最大的事情就是创造力,对吧?我们都以不同的方式思考,有不同的观点。所以我认为这是主要的,像真正相信自己,相信别人不相信你的时候,你可以做到,而且没有人真正这样做,而你相信它可以做到,而你可能不知道如何做到,但只要你坚持下去,并有热情找到它,这确实是主要的。能够识别新趋势并加以利用是主要的。这种情况经常发生,你只需要做好准备,拥有必要的知识来利用它并抓住机会。
DeGatchi 35:45
不幸的是,我没有,因为我不知道人工智能。这都是关于身处正确的时间、地点,拥有正确的技能。我认为人工智能是真正的下一个前沿,任何不进行升级的人,我认为都会落伍。在开发者领域,你有领域知识,也有人工智能,但如果你将它们结合起来,你并没有创造巨大的区别,因为你对两个领域都有了解。因此,你可以设想出更好的问题解决方案,而不是孤立的知识。我想一个很好的例子就是理解数学。你看待世界的方式与不理解它的人不同。如果你将它与不同的东西结合起来,比如金融领域,那么你就可以设想构建非常高效的算法交易系统,对吧?并获得巨大的竞争优势。我认为这个人实际上在 AVAX 上捕获了,我认为是 90% 的所有套利,因为他只是拥有数学优势。这就是我的意思。如果你只懂两个领域,你就能抓住很多机会。因为这很难学习。而且你了解的领域越多,它们结合起来,竞争就越少,它就会消失。
DeGatchi 36:55
那么您如何看待您和 BlockSec 的未来?您如何看待您在职业生涯和公司本身的进步?您认为行业将走向何方,又应该走向何方?
Andy Zhou 37:05
我认为对于这个行业来说,因为 Web3 是一个非常新的领域,我们仍处于这个新领域的早期阶段。从我的角度来看,这个行业发展非常迅速。同时,这个行业还有很多尚未解决的安全问题。我们正试图用我们自己的解决方案来帮助生态系统快速发展,同时也能安全地发展。我们拥有保护其资产的产品和协议。这是一件事。我们还看到未来这个领域会有很多不同的 Web3 用户。用户也需要安全保护,因为他们目前使用 Web3 产品有些复杂。他们需要有很好的方法来保护他们的私钥和资产,因为大多数用户不理解 ERC20 代币的批准过程。他们只是批准了所有代币给恶意合约。
Andy Zhou 38:10
因此,我们需要为 DeFi 用户提供非常好的保护系统,而这是当前行业尚未解决的问题。当然,有些公司正在做这件事,但有更好的方法来保护用户。
DeGatchi 38:27
我认为除了模糊测试器,你还可以扩展到类似钱包的东西,当我们谈论保护用户时。我的意思是,有两种或三种不同的方式。就像待处理的交易,它们不是 100% 确定的。所以你必须变得非常细致。这可能就像找到零日漏洞本身。但如果那不是一个选项,那么即使只是一个快速的分析,嵌入到钱包本身也可能是一个不错的选择。他们会做代币或者他们挖掘的东西。但如果你能在他们进行交易之前进行一些分析,我认为有人已经这样做了。
Andy Zhou 39:01
有几家公司正在做这件事,模拟交易并告诉用户他们签署交易的后果。
DeGatchi 39:10
我认为这非常聪明,而且我认为这是公司或任何从事安全工作的公司的简单进展,我认为这是一个很好的方式。所以直接给他们。我认为是 Fire 或者什么,我记不清了。但是的,这些模拟非常好,但我认为它们有些缺陷,因为你正在进行一笔交易到 LP,例如。人们会使用自定义字节码并进行条件功能。假设那 100 种 LP 切换到做别的事情。所以最初的模拟,当他们有钱或者任何东西的时候,就不会出现,除非你测试了所有内容,所有函数路径。这是我一直在想的事情。但同时,有很多困难的问题。你必须选择你的毒药。你对网络安全、网络安全和人工智能的结合的未来感到兴奋吗?我敢肯定你会用得更多。你的计划是什么?你打算如何走这条路?
Andy Zhou 40:06
嗯,至于我的计划,我认为我们想要,你知道,将这些新技术结合起来,更好地保护社区和用户。我们将继续将资源投入人工智能,因为人工智能与 Web3 安全相结合将产生更好的产品。我们希望进一步推动,拥有更好的攻击检测系统、更好的模糊测试系统以及更好的解决方案来保护用户资产。所以这是我们 BlockSec 当前的计划。
DeGatchi 40:36
有趣。好的。我相信它会变得更好,你也能做更多的事情。你已经在努力防止所有这些黑客攻击了。但我认为还有很大的创新空间,而且它才刚刚开始。我认为一旦人们开始注意到这一点,并且你阻止了更多的黑客攻击,它就会变得更加突出,竞争也会更加激烈,这很好。健康的竞争以阻止黑客攻击并实际扩展生态系统。因为最终目标是取代 CeFi,对吧?你不想等四个月才能从银行账户中取出钱。这太荒谬了。信息领域的工作对于零售商和现有协议来说实际上是被低估的。他们只有在被黑客攻击后才知道。我相信有些人实际上就是这样开始的。但是,男人,我为你正在构建的东西感到非常兴奋,我对网络安全和加密货币的未来感到非常乐观。但是,男人,我真的很感激你来了。我很高兴成为你参加的第一个播客。是的,我真的很感谢你的时间,Andy。这是一次很棒的谈话。
Andy Zhou 41:38
是的,很荣幸能来到这里。谢谢 DeGatchi。
