深度对话:链上交易如何防范安全风险?交易所上币评估维度与项目风险识别
我们邀请了来自 Bitget 的研究员 Tommy 和慢雾安全团队的运营负责人 Lisa,共同探讨了交易所的上币风险评估、链上安全问题以及投资者如何保护自己的资产。两位嘉宾分享了在评估新项目、监控已上线代币和处理hacker攻击等方面的经验,同时也探讨了在当前加密货币市场中投资者和机构需要关注的安全隐患以及如何利用新工具提升安全性。
开场介绍
Tommy:
大家好,我是在加密交易所 Bitget 工作两年半的研究员。Bitget 从最初只有两三百人的团队,主要业务是合约和跟单交易,到如今合约产品市占率近 27%,平台月访问量超 3,000 万次,已发展为全生态的加密交易平台,在全球超 100 个国家和地区中拥有超过 2,500 万名注册用户。
在我两年多的工作经历中,除了为 VIP 客户组织分享会外,我几乎没有制作过 PPT。团队始终重视效率和结果导向,而非形式上的展示与繁琐的汇报。我们研究院的团队成员技能多样,既有擅长设计和落地 DeFi 产品的顶尖人才,也有在链上数据分析方面具有深厚经验的专家。
Lisa:
大家好,我是慢雾运营负责人 Lisa。慢雾是一家行业领先的区块链安全公司,拥有丰富的链上和链下安全经验,同时也在威胁情报方面积累了很多年。慢雾主要提供 “威胁发现到威胁防御一体化因地制宜的安全解决方案,如安全审计等服务。慢雾的名字来源于《三体》,慢雾区在三体里是一个安全区域,也象征着慢雾即为区块链这个充满危险的 “黑暗森林” 中的一个安全区域。我们还建立了一个名为 “慢雾区” 的白帽社区,目前已有 30 多万人参与。
上币前如何进行风险评估?对于新兴项目与知名项目的评估策略是否有所不同 ?
Tommy:
Bitget 的风险评估由研究院主导,审计和风控团队协助。首先,我们会全面审查项目的赛道、团队背景和资方历史。如果项目涉及 Bitget 的风控红线,如黄赌毒或政治敏感因素,我们会直接拒绝。此外,被 SEC 起诉或有负面口碑的项目也会被拒绝,比如 Pulsechain(PLS),尽管在 TGE 前热度很高,但因其与 SEC 的纠纷和负面评价,我们也暂时婉拒了合作。
其次,我们会评估项目的代币经济模型、上线时的 FDV 和初始流通市值。如果这些数值过高,我们可能会拒绝或要求调整,高市值与低潜力不符的项目往往会让散户成为接盘侠。我们最近也看到,一些融资不错的 VC Coin 上线后价格跌了 90%,这类代币我们将来也会规避。不过,无论如何,项目或代币的未来走势难以准确预测,我们只能通过方法论尽量减少交易者的损失。
对于非首发项目,尤其是最近上架的 Memecoins,我们会特别关注合约风险、筹码集中度、LP 池子的锁定情况等。对于新兴项目,我们会更加谨慎,但同时也会包容创新,比如 Bitegt 最早上线的 UNIBOT,最初 UNIBOT 因为其项目本身的设计需要,保留了 “交易税可改、黑 / 白名单机制” 等合约权限,存在一定弊端,但是研究团队经过对 Unibot 收益模型的分析,认为项目有一定的可持续发展性,没有 Rug 的理由,最终坚定上线,并为交易者带来了不俗的回报;另外一个例子是 ORDI,我们判断 BRC-20 的创新能重新激活BTC生态,得到矿工群体的支持。
展开全文
如何评估 VC 币和社区币?如何看待两者之间的差异 ?
Tommy:
从业务导向来看,Bitget 的核心目标是,在风险可控的前提下,尽量为用户提供丰富的资产选择和投资机会。一些 VC Coin 在 TGE 时声量很大,但在评估中认为其概念或代币经济设计不足以支撑其 FDV;然而,如果不上线这些代币可能会引发用户质疑,特别是散户和大客户都认为我们应该提供这类选择时。用户是否购买是他们的决定,我们也需要提供这个机会。对于市值较高的代币,我们通常会在上线当天或次日推出合约,供交易者做多或做空。
在内部,对于高流量、具有巨大上涨潜力的天王级项目,我们会给予 S 级别待遇。如果项目流量大、资方强,但产品不够坚实或社区表现一般,我们会将其降至 A 级。虽然 A 级项目不会像 S 级那样被强力推广,但从交易所的角度,这类项目仍然值得上线。
上币后如何持续监控项目的表现和风险 ?
Lisa:
相比完整的公链审计或者智能合约上审计,在协助交易所进行上币评估时,慢雾会更注重资产的安全威胁。技术层面的考量是重中之重。例如,我们会审查源代码的安全性,确保其在持续维护和更新。例如,我们会关注私钥的随机数安全,确保使用的是可靠的随机数源,同时检查密码学的安全性,确认所使用的算法经过行业评审,且密码学组件成熟可靠。我们也非常重视经济模型的风险,如潜在的死亡螺旋等问题。当然,团队风险也是关键,特别是是否存在特殊权限或代币过于集中,这可能导致跑路或砸盘的风险。
交易所常成为hacker攻击的目标,他们通常将服务器放置在防御系统的后方,管理资金的核心服务甚至需要离线托管。然而,由于区块链系统对数据完整性的严格要求,一些不良交易可能绕过外围安全系统的防护,导致假充值问题。常见的假充值攻击手法包括假币,尤其是在交易所对某些币种交易转账的判断逻辑存在漏洞时。攻击者可能虚构充值交易,使交易所误认为是合法的充值,从而给用户入账。此外,利用BTC协议中的 RBF 功能进行假充值也是一种常见手法,攻击者通过支付更高的手续费替换之前的交易,导致交易所误判并造成资产损失。
需要说明的是,假充值攻击并非区块链的漏洞,而是攻击者利用区块链的一些特性,构造出特殊的不良交易。为了防范假充值攻击,可以采取人工审核,尤其是对大额或高风险交易进行额外审核。此外,通过对外部 API 接口进行安全认证和定期审查,确保 API 的安全性,也可以有效避免未授权访问和潜在漏洞。
Tommy:
在项目上线后,如果出现风险,市场反应会更加迅速,Bitget 内部会立即讨论是否紧急下架该项目,并采取措施保护用户。我们也一直监控所有上线代币的表现,最近已开始加强这方面的管理,未来可能会有更多 ST(特殊处理)代币出现。
如果这些 ST 代币在规定期限内未能改善其基本面或流动性,我们会考虑将其下架。很多项目上线后表现不佳,项目方可能会 “摆烂”,不再积极推进项目,导致市场深度恶化,小白用户在买卖时遇到较大滑点,严重影响用户体验。我们正在积极解决这一问题。
在抵御代币风险方面,我们更多地在上币前完成工作。在第一波 Meme 代币热潮中,Bitget 拒绝了许多高风险的 Meme 代币,比如分发方式不合理,项目方持有过多代币筹码,且链上持币地址数据虚构。哪怕项目方提出支付上币费,我们也拒绝上线。
慢雾处理过哪些典型的链上安全事件?
Lisa:
自慢雾成立以来,我们已处理了大量链上安全事件。这里我分享两个案例类型:一个是项目方遭受攻击的事件,另一个是用户个人被盗的案例。
首先是 2021 年的 Poly Network 事件,这是当时损失最大的攻击事件之一,涉及金额高达 6.1 亿美元。事件发生后,Poly Network 当晚 20 点左右发布遭受攻击的消息,21 点左右 Tether 公司及时冻结了hacker地址上的部分 USDT。我们在当晚 11 点左右发现了攻击者的部分身份信息和 IP 地址,并开始追踪资金流向。次日下午,hacker开始归还资金。这次事件对慢雾来说是一个里程碑。通过此事件,我们总结出了一套应急预警和防御流程,包括快速响应,以减少损失并锁定资产。
另一类案例是用户个人被盗。今年 2 月,一位用户找到我们,称自己被盗。hacker伪装成知名媒体的记者,引导受害者点击带有不良脚本的链接,最终盗取了受害者的账户权限和资金。受害者在被盗后联系了我们,并公开了自己的遭遇。我们发现资金被转移到某交易所后,立即联系该交易所进行临时冻结。虽然立案过程复杂,但最终在三个半月后,受害者成功追回了被盗资金。这是台湾司法史上第一个在没有具体嫌疑人信息的情况下,通过追踪分析和钱包所有者证明,协助执法机关完成资金冻结并返还给受害者的案例。
通过这些案例,我想分享一些经验。如果不幸被盗,首先要及时止损,查看是否还有挽救的机会。例如,授权被盗时,及时取消授权;私钥或助记词被盗时,立即转移剩余资产;如果 PC 中了木马,第一时间断网但不要关机,以便后续取证,更改电脑中的保存的各个平台的密码,并且更换钱包。记录下被盗的时间线和详细说明,寻求第三方安全团队的帮助,在立案后请求执法部门协助。这些措施都是保护个人资产的重要步骤。
如何判断一个代币合约或交互项目是安全的 ?
Lisa:
最简单的方法是查看代码。但如果不懂技术,作为一个小白或对技术不太了解的人,可以多了解一些经典的钓鱼或诈骗案例,识别其特征和形式,以提高警惕。要特别注意项目中的陷阱,比如只能买不能卖的假代币。在判断项目时,注意高收益、高回报率通常伴随高风险。考察团队是否公开透明、成员是否知名,可以减少遇到跑路或诈骗的概率。此外,查看代码是否经过安全审计也是一个保障。建议大家尽量参与头部项目,因为即使遭遇攻击,通常也有解决方案,相对更能保障资产安全。
Tommy:
我认为大部分普通玩家可能没有能力或时间检查代码安全。最简单的方法是使用一些靠谱的第三方工具,比如 GoPlus,这类工具支持很多链,尤其是 EVM 链。Solana 用户可以试试 RugCheck 和 gmgn ai,可以帮助检测代币的风险。在链上炒币时,有些代币可能未公布合约,或保留修改交易税的权限,这可能导致一些不良行为,比如项目方在大量资金涌入后,将卖出税率调到 99% 或 100%,这也是一种欺骗手段。
此外,现在 Bitget Wallet 等非托管钱包,也内置了风险提示功能,当交易高风险代币时会收到提醒,这对小白用户非常友好。对于参与 DeFi 理财的朋友,除了知名项目,我还会关注项目的 TVL。如果一个项目的 TVL 超过 5,000 万美元,我可能会考虑参与,但要注意这是否是通过多个用户的投入还是只有一两个大钱包。TVL 超过数千万美元的大池子,即便发生道德风险,问题也更容易能得到解决。
对于普通用户和机构用户,分别有哪些链上操作安全建议?
Tommy:
对于普通用户,我的建议如下:首先,访问网站时要仔细核对网址的真实性。其次,在授权代币时,避免无限额授权,并及时取消小项目的合约授权。如果不参与 DeFi 操作,可以选择具有储备证明的中心化交易所,进行简单的理财操作。如果是BTC持有者,使用硬件钱包是一个不错的选择。
对于机构用户,他们通常更了解安全措施,但仍建议使用多签钱包,并严格管理权限。发生安全事故时,要及时补救,避免忽视早期的小问题,因为这些问题可能会导致更大的损失。聘请专业安全人员进行安全审计和评估也非常重要,例如与安全机构合作进行渗透测试。
Lisa:
在谈到链上操作时,钱包安全是关键。钱包资产被盗通常分为三类:私钥或助记词被盗、授权签名被钓鱼,以及转账目标地址被篡改。
私钥和助记词被盗的防范重点是避免使用假钱包。很多用户会通过搜索引擎广告或第三方下载站获取钱包,这些渠道存在私钥助记词被盗的风险。此外,不良浏览器扩展也可能窃取用户认证信息和敏感数据。建议用户只安装来自可信来源的扩展,使用不同浏览器隔离插件浏览和资金交易,并定期使用杀毒软件检查设备。
关于钓鱼,最常见的是盲签,即用户在不明内容的情况下进行签名。特别是在离线签名中,用户常认为签名不上链且不消耗 gas,因此放松警惕,导致资金被盗。离线签名的授权痕迹仅在钓鱼者的地址中可见,受害者难以察觉。
防范链上操作风险的核心在于域名和签名。建议用户尽可能做到 “所见即所签”,拒绝盲签。如果不理解签名内容,最好放弃操作。此外,安装杀毒软件、启用双因素认证、谨慎点击不明链接等措施也能提升账户安全。最后,通过学习案例提高安全意识。不要因情绪冲动而贸然操作,怀疑时多方验证,确保安全。慢雾创始人余弦所著的《区块链黑暗森林自救手册》非常值得一读。
Memecoins 交易有哪些常见的安全隐患 ?
Tommy:
对于预售的 Memecoin,许多交易者会在开盘时迅速入场,通过 bot、自编代码,或者使用 gmgn ai 等平台进行狙击。然而,项目方可能会因各种原因推迟开盘时间,导致许多人狙击到假代币。这些代币的 ticker name 和图像相同,当真正的代币开盘时,市场上已经有四五个准备跑路的假代币。因此,参与这种高热度的预售代币时,一定要等项目方确认的合约上线,否则容易被骗。
目前 Memecoin 合约权限的放弃、筹码的分散、LP 的销毁,已经成为基本要求。Meme Trader 们对这些要求非常严格,一旦发现疑似项目方内部人员提前买入,其他人就不愿再参与。
除了这些基本要求,我认为 LP 池的流动性至少要达到 30 万 到 50 万美元,这是最低标准。小池子 Rug 的风险极高,且收益有限。此外,TGE 时的 FDV 不能太高。如果一个 Memecoin 在链上交易量不大,社交媒体讨论热度不高,却有着千万级别的 FDV,这就非常可疑。
另外,许多 Memecoin 的开发者不仅会发布一个代币,还会同时发布多个。如果开发者之前曾发布过多个 Rug 的 Memecoin,那么他再次 Rug 的可能性也很高。因此,大家应对这些开发者的新项目保持警惕。
Lisa:
在以太坊和 Solana 链上冲 Memecoin 时,存在一些不同的链上风险。EVM 系列的公链代币发行的自由度较高,代币的逻辑由开发者实现;而 Solana 则通过官方渠道发行代币,因此它们的链上交易风险也有所不同。
常见的风险类型包括不良代币和 Rug Pull 代币。例如,有些 Memecoin 的讨论度很高,但当用户想要卖出时,却发现地址被拉黑,无法卖出。这些代币通常通过设置特殊的逻辑限制转账,导致用户无法出售代币。此外,Rug Pull 代币可能包含大量增发代币的后门逻辑,项目方可以通过特权函数或冻结用户地址进行不良操作。
有哪些新技术和新工具可以帮助用户提升链上安全性?
Lisa:
在开始时我们提到了 Scam Sniffer,这款钓鱼风险阻断插件非常好用,我个人也在使用。此外,他们的授权管理工具也值得推荐。Revoke.Cash 也是一个经典的工具,用于取消和检查授权。再者,我们提到的杀毒软件,如 AVG 和卡巴斯基,也都是比较可靠的选择。
除了这些授权和钓鱼阻断工具,GoPlus 也是一款很好的工具,能够有效检测貔貅盘和貔貅币,我强烈推荐。此外,还有一些与本地设备相关的工具,比如 1Password 这种知名的密码管理器,以及 2FA 认证工具,虽然需要备份以防丢失,但它们的安全性远胜于不使用双重认证。
另外,我还想特别推荐一下慢雾的 MistTrack 追踪系统。我们推出了一个基于 MistTrack 的黑 U 检测工具,用户可以通过输入交易地址来查看其评分,帮助识别和避免潜在风险。
这些工具能帮助提升链上安全性,但无法保证绝对安全。新版本可能会出现 bug,甚至植入后门。因此,我建议大家在使用这些工具时保持独立思考,践行零信任原则,并持续验证。记住没有绝对的安全,这种心态至关重要。
你们认为加密行业还有哪些方面需要加强安全措施?
Lisa:
加密行业无法忽视安全问题,一个错误可能导致损失数百万美元,进而导致项目瘫痪或者个人破产,各个领域都面临hacker攻击的风险。基于安全的木桶效应,安全措施的加强是一个整体性的需求,因为每一个环节——包括用户、项目方和供应链都至关重要,每一块都不能出现安全短板,任何一个环节的疏漏都会破坏整个安全闭环,需要技术防御 + 人工防御结合的方式进行完整的体系化防御。
首先,需要提升用户的安全意识。慢雾提供了一个被盗 / 骗表单提交系统,用户被盗 / 骗后可以提交相关信息,我们会为他们进行免费的资金追踪和社区性评估。通过这些反馈,我们发现许多用户的安全意识亟需提高。他们往往忽视安全事件和提醒,沉浸在 FOMO 情绪中,对常见的攻击手法缺乏了解。
无论是项目方还是个人用户,都需要了解常见的攻击手法,并预先制定应急计划,以便在损失发生时能够及时定位问题并加以控制。我们在慢雾通过《区块链黑暗森林自救手册》和推特传播安全知识,但许多用户更关注资金,而不愿深入了解安全问题。这需要各方共同努力,为用户资金安全提供更好的保障。
最近推特上有许多假冒项目方的钓鱼评论。SpaceX 的工程师们推出了一项新功能,允许用户在回复中禁用链接,这是一项有效的安全措施,能够大大减少网络钓鱼的风险。这些都是行业的积极进展,希望未来能有更多这样的安全服务,帮助用户提高风险防范能力。
Tommy:
作为一个从业者、用户和玩家,我希望工具类产品能够不断完善,减少我在安全问题上的顾虑。我期望这些工具在风险出现时能及时提醒我,甚至直接阻止潜在的危险操作。这种方式更加用户友好,我相信 Web3 的使用体验最终会达到甚至超越当前的 Web2 水平。
只有当越来越多的圈外用户能够顺利融入 Crypto 领域,这个行业才能真正发展壮大。这些基础设施的完善不仅能帮助用户抵御风险,还能为新入圈的用户提供更好的体验,避免因被骗而对整个行业产生抵触情绪。
评论