深度對話:鏈上交易如何防範安全風險?交易所上幣評估維度與項目風險識別
作者:吳說
我們邀請了來自 Bitget 的研究員 Tommy 和慢霧安全團隊的運營負責人 Lisa ,共同探討了交易所的上幣風險評估、鏈上安全問題以及投資者如何保護自己的資產。兩位嘉賓分享了在評估新項目、監控已上線代幣和處理黑客攻擊等方面的經驗,同時也探討了在當前加密貨幣市場中投資者和機構需要關注的安全隱患以及如何利用新工具提升安全性。
開場介紹
Tommy :
大家好,我是在加密交易所 Bitget 工作兩年半的研究員。 Bitget 從最初只有兩三百人的團隊,主要業務是合約和跟單交易,到如今合約產品市佔率近 27%,平台月訪問量超 3,000 萬次,已發展為全生態的加密交易平台,在全球超 100 個國家和地區中擁有超過 2,500 萬名註冊用戶。
在我兩年多的工作經歷中,除了為 VIP 客戶組織分享會外,我幾乎沒有製作過 PPT 。團隊始終重視效率和結果導向,而非形式上的展示與繁瑣的匯報。我們研究院的團隊成員技能多樣,既有擅長設計和落地 DeFi 產品的頂尖人才,也有在鏈上數據分析方面具有深厚經驗的專家。
Lisa :
大家好,我是慢霧運營負責人 Lisa 。慢霧是一家行業領先的區塊鏈安全公司,擁有豐富的鏈上和鏈下安全經驗,同時也在威脅情報方面積累了很多年。慢霧主要提供 "威脅發現到威脅防禦一體化因地制宜的安全解決方案,如安全審計及反洗錢追蹤溯源兩大服務。慢霧的名字來源於《三體》,慢霧區在三體裡是一個安全區域,也象徵著慢霧即為區塊鏈這個充滿危險的 "黑暗森林" 中的一個安全區域。我們還建立了一個名為 "慢霧區" 的白帽社區,目前已有 30 多萬人參與。
上幣前如何進行風險評估?對於新興項目與知名項目的評估策略是否有所不同 ?
Tommy :
Bitget 的風險評估由研究院主導,審計和風控團隊協助。首先,我們會全面審查項目的賽道、團隊背景和資方歷史。如果項目涉及 Bitget 的風控紅線,如黃賭毒或政治敏感因素,我們會直接拒絕。此外,被 SEC 起訴或有負面口碑的項目也會被拒絕,比如 Pulsechain ( PLS ),儘管在 TGE 前熱度很高,但因其與 SEC 的糾紛和負面評價,我們也暫時婉拒了合作。
其次,我們會評估項目的代幣經濟模型、上線時的 FDV 和初始流通市值。如果這些數值過高,我們可能會拒絕或要求調整,高市值與低潛力不符的項目往往會讓散戶成為接盤俠。我們最近也看到,一些融資不錯的 VC Coin 上線後價格跌了 90%,這類代幣我們將來也會規避。不過,無論如何,項目或代幣的未來走勢難以準確預測,我們只能通過方法論儘量減少交易者的損失。
對於非首發項目,尤其是最近上架的 Memecoins ,我們會特別關注合約風險、籌碼集中度、 LP 池子的鎖定情況等。對於新興項目,我們會更加謹慎,但同時也會包容創新,比如 Bitegt 最早上線的 UNIBOT ,最初 UNIBOT 因為其項目本身的設計需要,保留了 "交易稅可改、黑 / 白名單機制" 等合約權限,存在一定弊端,但是研究團隊經過對 Unibot 收益模型的分析,認為項目有一定的可持續發展性,沒有 Rug 的理由,最終堅定上線,並為交易者帶來了不俗的回報;另外一個例子是 ORDI ,我們判斷 BRC -20 的創新能重新激活比特幣生態,得到礦工群體的支持。
如何評估 VC 幣和社區幣?如何看待兩者之間的差異 ?
Tommy :
從業務導向來看, Bitget 的核心目標是,在風險可控的前提下,儘量為用戶提供豐富的資產選擇和投資機會。一些 VC Coin 在 TGE 時聲量很大,但在評估中認為其概念或代幣經濟設計不足以支撐其 FDV ;然而,如果不上線這些代幣可能會引發用戶質疑,特別是散戶和大客戶都認為我們應該提供這類選擇時。用戶是否購買是他們的決定,我們也需要提供這個機會。對於市值較高的代幣,我們通常會在上線當天或次日推出合約,供交易者做多或做空。
在內部,對於高流量、具有巨大上漲潛力的天王級項目,我們會給予 S 級別待遇。如果項目流量大、資方強,但產品不夠堅實或社區表現一般,我們會將其降至 A 級。雖然 A 級項目不會像 S 級那樣被強力推廣,但從交易所的角度,這類項目仍然值得上線。
上幣後如何持續監控項目的表現和風險 ?
Lisa :
相比完整的公鏈審計或者智能合約上審計,在協助交易所進行上幣評估時,慢霧會更注重資產的安全威脅。技術層面的考量是重中之重。例如,我們會審查源代碼的安全性,確保其在持續維護和更新。例如,我們會關注私鑰的隨機數安全,確保使用的是可靠的隨機數源,同時檢查密碼學的安全性,確認所使用的算法經過行業評審,且密碼學組件成熟可靠。我們也非常重視經濟模型的風險,如潛在的傳銷模式或死亡螺旋等問題。當然,團隊風險也是關鍵,特別是是否存在特殊權限或代幣過於集中,這可能導致跑路或砸盤的風險。
交易所常成為黑客攻擊的目標,他們通常將伺服器放置在防禦系統的後方,管理資金的核心服務甚至需要離線托管。然而,由於區塊鏈系統對數據完整性的嚴格要求,一些惡意交易可能繞過外圍安全系統的防護,導致假充值問題。常見的假充值攻擊手法包括假幣,尤其是在交易所對某些幣種交易轉賬的判斷邏輯存在漏洞時。攻擊者可能構造虛假的充值交易,使交易所誤認為是合法的充值,從而給用戶入賬。此外,利用比特幣協議中的 RBF 功能進行假充值也是一種常見手法,攻擊者通過支付更高的手續費替換之前的交易,導致交易所誤判並造成資產損失。
需要說明的是,假充值攻擊並非區塊鏈的漏洞,而是攻擊者利用區塊鏈的一些特性,構造出特殊的惡意交易。為了防範假充值攻擊,可以採取人工審核,尤其是對大額或高風險交易進行額外審核。此外,通過對外部 API 接口進行安全認證和定期審查,確保 API 的安全性,也可以有效避免未授權訪問和潛在漏洞。
Tommy :
在項目上線後,如果出現風險,市場反應會更加迅速, Bitget 內部會立即討論是否緊急下架該項目,並採取措施保護用戶。我們也一直監控所有上線代幣的表現,最近已開始加強這方面的管理,未來可能會有更多 ST (特殊處理)代幣出現。
如果這些 ST 代幣在規定期限內未能改善其基本面或流動性,我們會考慮將其下架。很多項目上線後表現不佳,項目方可能會 "擺爛",不再積極推進項目,導致市場深度惡化,小白用戶在買賣時遇到較大滑點,嚴重影響用戶體驗。我們正在積極解決這一問題。
在抵禦代幣風險方面,我們更多地在上幣前完成工作。在第一波 Meme 代幣熱潮中, Bitget 拒絕了許多高風險的 Meme 代幣,比如分發方式不合理,項目方持有過多代幣籌碼,且鏈上持幣地址數據造假。哪怕項目方提出支付上幣費,我們也拒絕上線。
慢霧處理過哪些典型的鏈上安全事件?
Lisa :
自慢霧成立以來,我們已處理了大量鏈上安全事件。這裡我分享兩個案例類型:一個是項方遭受攻擊的事件,另一個是用戶個人被盜的案例。
首先是 2021 年的 Poly Network 事件,這是當時損失最大的攻擊事件之一,涉及金額高達 6.1 億美元。事件發生後, Poly Network 當晚 20 點左右發布遭受攻擊的消息,21 點左右 Tether 公司及時凍結了黑客地址上的部分 USDT 。我們在當晚 11 點左右發現了攻擊者的部分身份信息和 IP 地址,並開始追蹤資金流向。次日下午,黑客開始歸還資金。這次事件對慢霧來說是一個里程碑。通過此事件,我們總結出了一套應急預警和防禦流程,包括快速響應和鏈上反洗錢,以減少損失並鎖定資產。
另一類案例是用戶個人被盜。今年 2 月,一位用戶找到我們,稱自己被盜。黑客偽裝成知名媒體的記者,引導受害者點擊帶有惡意腳本的鏈接,最終盜取了受害者的賬戶權限和資金。受害者在被盜後聯系了我們,並公開了自己的遭遇。我們發現資金被轉移到某交易所後,立即聯系該交易所進行臨時凍結。雖然立案過程複雜,但最終在三個半月後,受害者成功追回了被盜資金。這是台灣司法史上第一個在沒有具體嫌疑人信息的情況下,通過追蹤分析和錢包所有者證明,協助執法機關完成資金凍結並返還給受害者的案例。
通過這些案例,我想分享一些經驗。如果不幸被盜,首先要及時止損,查看是否還有挽救的機會。例如,授權被盜時,及時取消授權;私鑰或助記詞被盜時,立即轉移剩餘資產;如果 PC 中了木馬,第一時間斷網但不要關機,以便後續取證,更改電腦中的保存的各個平台的密碼,並且更換錢包。記錄下被盜的時間線和詳細說明,尋求第三方安全團隊的幫助,在立案後請求執法部門協助。這些措施都是保護個人資產的重要步驟。
如何判斷一個代幣合約或交互項目是安全的 ?
Lisa :
最簡單的方法是查看代碼。但如果不懂技術,作為一個小白或對技術不太了解的人,可以多了解一些經典的釣魚或詐騙案例,識別其特徵和形式,以提高警惕。要特別注意項目中的陷阱,比如只能買不能賣的假代幣。在判斷項目時,注意高收益、高回報率通常伴隨高風險。考察團隊是否公開透明、成員是否知名,可以減少遇到跑路或詐騙的概率。此外,查看代碼是否經過安全審計也是一個保障。建議大家儘量參與頭部項目,因為即使遭遇攻擊,通常也有賠償方案,相對更能保障資產安全。
Tommy :
我認為大部分普通玩家可能沒有能力或時間檢查代碼安全。最簡單的方法是使用一些靠譜的第三方工具,比如 GoPlus ,這類工具支持很多鏈,尤其是 EVM 鏈。 Solana 用戶可以試試 RugCheck 和 gmgn ai ,可以幫助檢測代幣的風險。在鏈上炒幣時,有些代幣可能未公布合約,或保留修改交易稅的權限,這可能導致一些不良行為,比如項目方在大量資金湧入後,將賣出稅率調到 99% 或 100%,這也是一種騙局。
此外,現在 Bitget Wallet 等非托管錢包,也內置了風險提示功能,當交易高風險代幣時會收到提醒,這對小白用戶非常友好。對於參與 DeFi 理財的朋友,除了知名項目,我還會關注項目的 TVL 。如果一個項目的 TVL 超過 5,000 萬美元,我可能會考慮參與,但要注意這是否是通過多個用戶的投入還是只有一兩個大錢包。 TVL 超過數千萬美元的大池子,即便發生道德風險,問題也更容易能得到解決。
對於普通用戶和機構用戶,分別有哪些鏈上操作安全建議?
Tommy :
對於普通用戶,我的建議如下:首先,訪問網站時要仔細核對網址的真實性。其次,在授權代幣時,避免無限額授權,並及時取消小項目的合約授權。如果不參與 DeFi 操作,可以選擇具有儲備證明的中心化交易所,進行簡單的理財操作。如果是比特幣持有者,使用硬件錢包是一個不錯的選擇。
對於機構用戶,他們通常更了解安全措施,但仍建議使用多簽錢包,並嚴格管理權限。發生安全事故時,要及時補救,避免忽視早期的小問題,因為這些問題可能會導致更大的損失。聘請專業安全人員進行安全審計和評估也非常重要,例如與安全機構合作進行滲透測試。
Lisa :
在談到鏈上操作時,錢包安全是關鍵。錢包資產被盜通常分為三類:私鑰或助記詞被盜、授權簽名被釣魚,以及轉賬目標地址被篡改。
私鑰和助記詞被盜的防範重點是避免使用假錢包。很多用戶會通過搜索引擎廣告或第三方下載站獲取錢包,這些渠道存在私鑰助記詞被盜的風險。此外,惡意瀏覽器擴展也可能竊取用戶認證信息和敏感數據。建議用戶只安裝來自可信來源的擴展,使用不同瀏覽器隔離插件瀏覽和資金交易,並定期使用殺毒軟件檢查設備。
關於釣魚,最常見的是盲簽,即用戶在不明內容的情況下進行簽名。特別是在離線簽名中,用戶常認為簽名不上鏈且不消耗 gas ,因此放鬆警惕,導致資金被盜。離線簽名的授權痕跡僅在釣魚者的地址中可見,受害者難以察覺。
防範鏈上操作風險的核心在於域名和簽名。建議用戶儘可能做到 "所見即所簽",拒絕盲簽。如果不理解簽名內容,最好放棄操作。此外,安裝殺毒軟件、啟用雙因素認證、謹慎點擊不明鏈接等措施也能提升賬戶安全。最後,通過學習案例提高安全意識。不要因情緒衝動而貿然操作,懷疑時多方驗證,確保安全。慢霧創始人余弦所著的《區塊鏈黑暗森林自救手冊》非常值得一讀。
Memecoins 交易有哪些常見的安全隱患 ?
Tommy :
對於預售的 Memecoin ,許多交易者會在開盤時迅速入場,通過 bot 、自編代碼,或者使用 gmgn ai 等平台進行狙擊。然而,項目方可能會因各種原因推遲開盤時間,導致許多人狙擊到假代幣。這些代幣的 ticker name 和圖像相同,當真正的代幣開盤時,市場上已經有四五個準備跑路的假代幣。因此,參與這種高熱度的預售代幣時,一定要等項目方確認的合約上線,否則容易被骗。
目前 Meme coin 合約權限的放棄、籌碼的分散、 LP 的銷毀,已經成為基本要求。 Meme Trader 們對這些要求非常嚴格,一旦發現疑似項目方內部人員提前買入,其他人就不願再參與。
除了這些基本要求,我認為 LP 池的流動性至少要達到 30 萬 到 50 萬美元,這是最低標準。小池子 Rug 的風險極高,且收益有限。此外, TGE 時的 FDV 不能太高。如果一個 Memecoin 在鏈上交易量不大,社交媒體討論熱度不高,卻有著千萬級別的 FDV ,這就非常可疑。
另外,許多 Memecoin 的開發者不僅會發布一個代幣,還會同時發布多個。如果開發者之前曾發布過多個 Rug 的 Memecoin ,那麼他再次 Rug 的可能性也很高。因此,大家應對這些開發者的新項目保持警惕。
Lisa :
在以太坊和 Solana 鏈上衝 Memecoin 時,存在一些不同的鏈上風險。 EVM 系列的公鏈代幣發行的自由度較高,代幣的邏輯由開發者實現;而 Solana 則通過官方渠道發行代幣,因此它們的鏈上交易風險也有所不同。
常見的風險類型包括惡意代幣和 Rug Pull 代幣。例如,有些 Memecoin 的討論度很高,但當用戶想要賣出時,卻發現地址被拉黑,無法賣出。這些代幣通常通過設置特殊的邏輯限制轉賬,導致用戶無法出售代幣。此外, Rug Pull 代幣可能包含大量增發代幣的後門邏輯,項目方可以通過特權函數或凍結用戶地址進行惡意操作。
有哪些新技術和新工具可以幫助用戶提升鏈上安全性?
Lisa :
在開始時我們提到了 Scam Sniffer ,這款釣魚風險阻斷插件非常好用,我個人也在使用。此外,他們的授權管理工具也值得推薦。 Revoke . Cash 也是一個經典的工具,用於取消和檢查授權。再者,我們提到的殺毒軟件,如 AVG 和卡巴斯基,也都是比較可靠的選擇。
除了這些授權和釣魚阻斷工具, GoPlus 也是一款很好的工具,能夠有效檢測貔貅盤和貔貅幣,我強烈推薦。此外,還有一些與本地設備相關的工具,比如 1Password 這種知名的密碼管理器,以及 2FA 認證工具,雖然需要備份以防丟失,但它們的安全性遠勝於不使用雙重認證。
另外,我還想特別推薦一下慢霧的 MistTrack 反洗錢追蹤系統。我們推出了一個基於 MistTrack 的黑 U 檢測工具,用戶可以通過輸入交易地址來查看其評分,幫助識別和避免洗錢風險。
這些工具能幫助提升鏈上安全性,但無法保證絕對安全。新版本可能會出現 bug ,甚至植入後門。因此,我建議大家在使用這些工具時保持獨立思考,踐行零信任原則,並持續驗證。記住沒有絕對的安全,這種心態至關重要。
你們認為加密行業還有哪些方面需要加強安全措施?
Lisa :
加密行業無法忽視安全問題,一個錯誤可能導致損失數百萬美元,進而導致項目癱瘓或者個人破產,各個領域都面臨黑客攻擊的風險。基於安全的木桶效應,安全措施的加強是一個整體性的需求,因為每一個環節------包括用戶、項目方和供應鏈都至關重要,每一塊都不能出現安全短板,任何一個環節的疏漏都會破壞整個安全閉環,需要技術防禦 + 人工防禦結合的方式進行完整的體系化防禦。
首先,需要提升用戶的安全意識。慢霧提供了一個被盜 / 騙表單提交系統,用戶被盜 / 騙後可以提交相關信息,我們會為他們進行免費的資金追蹤和社區性評估。通過這些反饋,我們發現許多用戶的安全意識亟需提高。他們往往忽視安全事件和提醒,沉浸在 FOMO 情緒中,對常見的攻擊手法缺乏了解。
無論是項目方還是個人用戶,都需要了解常見的攻擊手法,並預先制定應急計劃,以便在損失發生時能夠及時定位問題並加以控制。我們在慢霧通過《區塊鏈黑暗森林自救手冊》和推特傳播安全知識,但許多用戶更關注資金,而不願深入了解安全問題。這需要各方共同努力,為用戶資金安全提供更好的保障。
最近推特上有許多假冒項目方的釣魚評論。 SpaceX 的工程師們推出了一項新功能,允許用戶在回覆中禁用鏈接,這是一項有效的安全措施,能夠大大減少網絡釣魚的風險。這些都是行業的積極進展,希望未來能有更多這樣的安全服務,幫助用戶提高風險防範能力。
Tommy :
作為一個從業者、用戶和玩家,我希望工具類產品能夠不斷完善,減少我在安全問題上的顧慮。我期望這些工具在風險出現時能及時提醒我,甚至直接阻止潛在的危險操作。這種方式更加用戶友好,我相信 Web3 的使用體驗最終會達到甚至超越當前的 Web2 水平。
只有當越來越多的圈外用戶能夠順利融入 Crypto 領域,這個行業才能真正發展壯大。這些基礎設施的完善不僅能幫助用戶抵禦風險,還能為新入圈的用戶提供更好的體驗,避免因被騙而對整個行業產生抵觸情緒。