Шифрувальний світ безпеки - Інтерв'ю з генеральним директором BlockSec Чжоу Яцзином
Ведучий: Алекс, партнер з досліджень Mint Ventures
Гість: Чжоу Яцзін, генеральний директор компанії з безпеки шифрування BlockSec
Час запису: 2025.3.28
Сфера послуг та цільова аудиторія BlockSec
Олексій: У цьому випуску ми поговоримо на тему, яка стосується кожного з вас, а саме про безпеку у світі шифрування. Часто, перш ніж зіткнутися з реальними ризиками, ми вважаємо, що не станемо жертвами безпекових інцидентів, про які повідомляють новини. Як побудувати для своїх активів стіну захисту і інвестувати в безпечному середовищі - це обов'язкова тема перед початком нашої подорожі в шифрування. У цьому випуску подкасту ми запросили Чжоу Яцзин з BlockSec, щоб поговорити з нами про безпеку шифрування. Запрошуємо вас, пане Чжоу, привітатися з нами.
Чжоу Яцзин: Всім привіт, я Чжоу Яцзин, наразі я є генеральним директором BlockSec, а також я є дослідником в галузі кіберпросторової безпеки в Університеті Чжецзян, дуже радий вас усіх бачити.
**Alex:**Добре, давайте перейдемо до суті сьогоднішньої теми. Я впевнений, що багато слухачів можуть не дуже добре розуміти компанії з безпеки в сфері шифрування та безпекових послуг. Будь ласка, пане Чжоу, розкажіть нам про BlockSec, які послуги ви надаєте, хто є вашими клієнтами?
Жоу Яцзин: Добре, BlockSec є компанією з безпеки Web3, ми були засновані у 2021 році. Говорячи про безпеку Web3, перше, що спадає на думку, це, напевно, безпековий аудит. Насправді, сфера діяльності BlockSec не обмежується лише безпековим аудитом, ми також надаємо ряд інших продуктів і послуг у сфері безпеки. Конкретно, послуги можна поділити на три основні блоки. Перший блок ми називаємо безпекою для протоколів на базі блокчейну. Протоколи на базі блокчейну – це ті, які ми говоримо, розгорнуті на блокчейні для виконання певних DeFi або NFT, або інших активностей, деяких смарт-контрактів. Як забезпечити безпеку цих контрактів? BlockSec пропонує послуги безпекового аудиту та продукти для безпечного моніторингу. Другий блок, на який ми звертаємо увагу, це безпека активів. Під безпекою активів мається на увазі безпека активів, які користувач має під рукою, наприклад, ці активи знаходяться у власному гаманці контракту або інвестовані в деякі протоколи на базі блокчейну, як забезпечити безпеку цих активів користувачів – це також одна з наших послуг BlockSec. Третій блок – це відповідність та регулювання. Ми помітили, що все більше традиційних фінансових установ входять у криптоіндустрію. У тому числі, ми нещодавно могли бачити новини, що традиційні банки в США випускають стабільні монети на блокчейні, включаючи крипто, що входить у сферу міжнародних платежів. Насправді, коли ці традиційні фінансові установи входять у цю галузь, це створює проблему для регуляторів, оскільки регулятори не знають, як регулювати, а ці установи не знають, як відповідати вимогам. Тому ми також допомагаємо регуляторам регулювати гравців, що входять у криптоіндустрію, або допомагаємо традиційним установам, які входять у криптоіндустрію, дотримуватися вимог. Це три сфери нашої діяльності.
Наші клієнти охоплюють досить широкий спектр. Все, що можна уявити, це проекти, що займаються децентралізованими фінансами на блокчейні або іншими послугами, наприклад, платформи, що надають кредитування на блокчейні, платформи для децентралізованої торгівлі, ці проекти є нашими клієнтами. Ми можемо допомогти їм провести деякі безпечні аудити перед розгортанням смарт-контрактів на блокчейні, переглянути з точки зору безпеки, чи не мають розроблені ними смарт-контракти безпечних вразливостей. Якщо є безпечні вразливості, їх потрібно терміново виправити. Одночасно, коли їх протоколи розгортаються на блокчейні, у нас також буде платформа моніторингу 7×24 годин для контролю за ризиками безпеки їх протоколів. Якщо виникає будь-який ризик безпеки, наша платформа може своєчасно повідомити про це протокол і автоматично заблокувати ризик та атаку. Тож ці розробники та проекти, що розгортають смарт-контракти на блокчейні, є нашими типовими клієнтами. Другою категорією типових клієнтів є власники активів, можливо, деякі заможні клієнти, які мають певні активи в гаманцях контрактів, або ж ці заможні клієнти інвестують у деякі протоколи на блокчейні. Наші послуги та продукти можуть допомогти їм краще контролювати безпеку тих протоколів, в які вони інвестують. Як дві сторони монети, з боку проектів протоколу ми можемо допомогти їм підвищити безпеку протоколу. З точки зору заможних клієнтів, які інвестують у їх протоколи, ми можемо допомогти їм контролювати безпеку протоколів, в які вони інвестують. Як тільки протокол, в який вони інвестували, має ризик безпеки, наприклад, під час атаки, їм потрібно мати можливість терміново повернути свої кошти. Третя категорія клієнтів – це регулятори та відповідність, ця категорія клієнтів в основному складається з регуляторних органів, наприклад, Комісія з цінних паперів і ф'ючерсів Гонконгу також є нашим клієнтом, а також деякі іноземні правоохоронні органи, які потрібно розслідувати у випадках, пов'язаних з кримінальними правопорушеннями в криптовалюті, їм потрібно використовувати наші інструменти та платформи, щоб полегшити проведення деяких доказових витягів, відстеження коштів та інших слідчих дій. Це, в основному, наш загальний бізнес та спектр наших клієнтів.
Про три поради щодо шифрування безпеки
Олексій: Розумію, тільки що вчитель Чжоу говорив про типи клієнтів, які в них є потреби, а також про загальну ситуацію в галузі. Отже, друге питання, можливо, більше пов'язане з особистими інвесторами, особливо враховуючи, що багато наших слухачів тільки починають входити в Web3, щоб вивчити та спробувати інвестувати. Якщо у вас є друг, який тільки що увійшов у сферу шифрування інвестицій, і він знає, що ви займаєтеся послугами безпеки шифрування, будь ласка, дайте йому три поради щодо безпеки шифрування, які ви б йому дали.
Жоу Яцзин: Це питання дуже хороше. Мої друзі також часто запитують мене про деякі поради щодо безпеки, вони хочуть увійти в цю галузь, але чули, що багато людей стикаються з певними ризиками. У нас колись була жартівлива фраза: якщо ти потрапив у Crypto коло і не потрапив на фішинг або не став жертвою шахрайства, ти не станеш досвідченим гравцем у цій сфері. Звичайно, це жарт, але дійсно можна помітити, що в цій галузі існує багато ризиків. Якщо сказати три поради, перша порада, безумовно, буде те, про що всі подумають, а саме про захист приватних ключів. У Crypto сфері, як довести, що ти володієш цими коштами? Насправді, ти доводиш своє право на цей рахунок за допомогою приватного ключа, який ти маєш. Приватний ключ - це ряд чисел, які не пов’язані з твоєю особистістю. Якщо цей ряд чисел загубиться або буде витікати, інші зможуть мати таку ж контроль над твоїми коштами, як і ти. Це дуже відрізняється від реального світу. У реальному світі, якщо твій пароль до банку витече, ти можеш зателефонувати до банку і попросити заморозити рахунок, інші не зможуть забрати гроші. Але у Crypto світі, якщо твій приватний ключ витече, то той, хто має твій ключ, може без обмежень перевести твої кошти з твого рахунку. Зазвичай є кілька способів захисту приватного ключа, наприклад, ми маємо апаратні гаманці, використовуємо контрактні гаманці або мобільні програми для захисту приватних ключів. Кожен із цих методів має свої переваги та недоліки. На основі мого власного досвіду та досвіду деяких наших безпечних друзів, основний принцип - це мнемонічна фраза для приватного ключа, запам’ятати її та покласти у сейф, незалежно від того, чи це сейф у твоєму домі, чи в банку, зберігати її там належним чином і не чіпати, зазвичай це не знадобиться. А потім використовувати відносно надійний пристрій, будь то апаратний гаманець чи телефон, щоб зберегти свій приватний ключ. Цей телефон має бути спеціалізованим пристроєм, не займатися жодними іншими операціями, а лише управляти своїми цифровими активами. Це перша порада. Друга порада - під час торгівлі на ланцюгу завжди мати усвідомлення безпеки та ризиків. В принципі, потрібно запам’ятати одну фразу: на небі пиріжків не падає. Ми виявили, що під час торгівлі на ланцюгу користувачі стикаються з великим ризиком фішингу. Навіть багато KOL і OG з криптосвіту, яких ми знаємо, стикалися з фішинговими атаками та втрачали великі суми коштів. Якщо якийсь незнайомий сайт просить тебе підключити гаманець для отримання так званих аірдропів, у цей момент потрібно бути особливо обережним, варто пам’ятати про безпеку. Третя порада - потрібно трохи розуміти основи криптоактивів. Основи стосуються того, що в криптоактивах ми зазвичай маємо поняття авторизації. Це відрізняється від традиційних фінансів. Наприклад, якщо ти володієш певним цифровим активом, USDT або USDC, через підпис на ланцюгу ти можеш надати активи для використання контракту або іншим користувачам, і ця авторизація відбувається лише через підпис твого гаманця на якійсь незрозумілій для тебе інформації. Отже, коли ти підписуєш підпис гаманця, якщо ти не зовсім розумієш або, скажімо, став жертвою обману, підписуєш авторизацію, тоді інші можуть використати всі твої цифрові активи. Тож варто мати базове розуміння авторизації, щоб не підписувати помилкові авторизаційні угоди. Підсумовуючи, основні рекомендації: перше - захистити свій приватний ключ, надати деякі практичні методи; друге - під час торгівлі на ланцюгу бути завжди обережним, мати усвідомлення безпеки, щоб не потрапити на фішинг; третє - розуміти механізм авторизації в Crypto, щоб не підписувати помилкові авторизаційні угоди.
Alex: Насправді, у мене є досить багато друзів з високим рівнем статків, які також є OG або досвідченими в цій галузі. За логікою, те, що ви згадали про усвідомлення безпеки, у них, напевно, є часткова обізнаність, але кожного року я чую про те, як деякі великі гравці стали жертвами крадіжок. У галузі існує вислів, що якщо професійний хакер на вас націлився, і він знає, що ваш гаманець має гроші, якщо він використає всі доступні ресурси, вам зазвичай буде дуже важко уникнути цього. Як ви вважаєте, це справедливо? Чи дійсно це так?
Жоу Яцзин: Ваше питання дуже хороше. Насправді, питання безпеки, особливо коли йдеться про шифрування, по суті є асиметричною протидією. Якщо у вашому гаманці є достатньо активів, ви стаєте легкою мішенню для цілеспрямованих атак. І як тільки ви стаєте ціллю, інші зможуть задіяти багато ресурсів, будь то соціальна інженерія, технічні ресурси або інші ресурси, щоб розробити методи атаки, виходячи з ваших звичних поведінкових моделей, звичок тощо. У такій ситуації не можна сказати, що ймовірність успіху захисту становить 100%, але складність захисту дуже висока, оскільки інші використовують багато ресурсів проти вас, в той час як у вас є лише ви самі. Таким чином, це дуже асиметрична протидія. У цій ситуації я вважаю, що основний принцип, по-перше, у китайців є вислів "не показуй своє багатство", тобто вам не слід публічно демонструвати свої активи, потрібно уникати розкриття зв'язку між вашою особистою офлайн-ідентичністю та ідентичністю активів в блокчейні. По-друге, навіть якщо ви є клієнтом з високими статками, можливо, про вас вже стало відомо, то вам потрібно зробити все можливе для ізоляції активів. Це означає, що активи, які ви зазвичай використовуєте, в спеціалізованому гаманці можуть становити максимум 100 000, і якщо хтось на вас націлений, він зможе вкрасти лише ці 100 000. А всі ваші інші значні активи повинні зберігатися в гаманці, який ви зазвичай не використовуєте. Якщо вам потрібно скористатися цими активами, зверніться до експертів з безпеки, щоб разом перевірити набір процедур і норм, які можуть допомогти уникнути великих ризиків.
Три найяскравіші інциденти безпеки
**Alex:**Розумію, ця пропозиція дійсно дуже важлива. Чи не могли б ви поділитися з нами трьома найбільш вражаючими випадками безпеки, які ви зустрічали за весь час роботи? Це можуть бути випадки, які ви самі пережили, або історії від ваших друзів чи спостереження.
Чжоу Яцзин: Я можу поділитися з усіма деякими безпосередніми випадками безпеки, в яких ми брали участь і які залишили глибоке враження. Перший приклад, який я пам'ятаю, стався приблизно 10-12 лютого 2023 року, коли на блокчейні було атаковано один протокол. Це була платформа, що об'єднує кредитування та інші функції. У цього протоколу була вразливість безпеки, і хакери скористалися цим недоліком, приблизно
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
20 лайків
Нагородити
20
9
Репост
Поділіться
Прокоментувати
0/400
AirdropHunter007
· 5год тому
Фаєрвол може працювати? Почнемо з магнітних посилань.
Переглянути оригіналвідповісти на0
Anon32942
· 10год тому
Безпека в криптосвіті справді має бути на першому місці
Переглянути оригіналвідповісти на0
PriceOracleFairy
· 08-10 19:59
мгм... ще одна розмова про безпеку, але не можу не зізнатися, що blocksec має деякі алфи щодо тих mev патернів
Переглянути оригіналвідповісти на0
AllInDaddy
· 08-10 13:14
Давайте спочатку зрозуміємо безпеку, перш ніж торгувати криптовалютою.
Переглянути оригіналвідповісти на0
DegenMcsleepless
· 08-10 13:12
Безпека - це не легка справа.
Переглянути оригіналвідповісти на0
TooScaredToSell
· 08-10 13:04
З аудиторської сфери про не можна не слухати.
Переглянути оригіналвідповісти на0
BlockchainThinkTank
· 08-10 13:03
Знову розповідають історії, щоб обдурити невдах. Рекомендуємо новачкам триматися подалі.
Переглянути оригіналвідповісти на0
FlashLoanLarry
· 08-10 12:48
безпека альфа перед історіями про рект... краще дійсно дослідити, друже, якщо чесно
Генеральний директор BlockSec Чжоу Яцзин розкриває безпеку Web3: захист закритого ключа, ризики транзакцій та механізми авторизації
Шифрувальний світ безпеки - Інтерв'ю з генеральним директором BlockSec Чжоу Яцзином
Ведучий: Алекс, партнер з досліджень Mint Ventures
Гість: Чжоу Яцзін, генеральний директор компанії з безпеки шифрування BlockSec
Час запису: 2025.3.28
Сфера послуг та цільова аудиторія BlockSec
Олексій: У цьому випуску ми поговоримо на тему, яка стосується кожного з вас, а саме про безпеку у світі шифрування. Часто, перш ніж зіткнутися з реальними ризиками, ми вважаємо, що не станемо жертвами безпекових інцидентів, про які повідомляють новини. Як побудувати для своїх активів стіну захисту і інвестувати в безпечному середовищі - це обов'язкова тема перед початком нашої подорожі в шифрування. У цьому випуску подкасту ми запросили Чжоу Яцзин з BlockSec, щоб поговорити з нами про безпеку шифрування. Запрошуємо вас, пане Чжоу, привітатися з нами.
Чжоу Яцзин: Всім привіт, я Чжоу Яцзин, наразі я є генеральним директором BlockSec, а також я є дослідником в галузі кіберпросторової безпеки в Університеті Чжецзян, дуже радий вас усіх бачити.
**Alex:**Добре, давайте перейдемо до суті сьогоднішньої теми. Я впевнений, що багато слухачів можуть не дуже добре розуміти компанії з безпеки в сфері шифрування та безпекових послуг. Будь ласка, пане Чжоу, розкажіть нам про BlockSec, які послуги ви надаєте, хто є вашими клієнтами?
Жоу Яцзин: Добре, BlockSec є компанією з безпеки Web3, ми були засновані у 2021 році. Говорячи про безпеку Web3, перше, що спадає на думку, це, напевно, безпековий аудит. Насправді, сфера діяльності BlockSec не обмежується лише безпековим аудитом, ми також надаємо ряд інших продуктів і послуг у сфері безпеки. Конкретно, послуги можна поділити на три основні блоки. Перший блок ми називаємо безпекою для протоколів на базі блокчейну. Протоколи на базі блокчейну – це ті, які ми говоримо, розгорнуті на блокчейні для виконання певних DeFi або NFT, або інших активностей, деяких смарт-контрактів. Як забезпечити безпеку цих контрактів? BlockSec пропонує послуги безпекового аудиту та продукти для безпечного моніторингу. Другий блок, на який ми звертаємо увагу, це безпека активів. Під безпекою активів мається на увазі безпека активів, які користувач має під рукою, наприклад, ці активи знаходяться у власному гаманці контракту або інвестовані в деякі протоколи на базі блокчейну, як забезпечити безпеку цих активів користувачів – це також одна з наших послуг BlockSec. Третій блок – це відповідність та регулювання. Ми помітили, що все більше традиційних фінансових установ входять у криптоіндустрію. У тому числі, ми нещодавно могли бачити новини, що традиційні банки в США випускають стабільні монети на блокчейні, включаючи крипто, що входить у сферу міжнародних платежів. Насправді, коли ці традиційні фінансові установи входять у цю галузь, це створює проблему для регуляторів, оскільки регулятори не знають, як регулювати, а ці установи не знають, як відповідати вимогам. Тому ми також допомагаємо регуляторам регулювати гравців, що входять у криптоіндустрію, або допомагаємо традиційним установам, які входять у криптоіндустрію, дотримуватися вимог. Це три сфери нашої діяльності.
Наші клієнти охоплюють досить широкий спектр. Все, що можна уявити, це проекти, що займаються децентралізованими фінансами на блокчейні або іншими послугами, наприклад, платформи, що надають кредитування на блокчейні, платформи для децентралізованої торгівлі, ці проекти є нашими клієнтами. Ми можемо допомогти їм провести деякі безпечні аудити перед розгортанням смарт-контрактів на блокчейні, переглянути з точки зору безпеки, чи не мають розроблені ними смарт-контракти безпечних вразливостей. Якщо є безпечні вразливості, їх потрібно терміново виправити. Одночасно, коли їх протоколи розгортаються на блокчейні, у нас також буде платформа моніторингу 7×24 годин для контролю за ризиками безпеки їх протоколів. Якщо виникає будь-який ризик безпеки, наша платформа може своєчасно повідомити про це протокол і автоматично заблокувати ризик та атаку. Тож ці розробники та проекти, що розгортають смарт-контракти на блокчейні, є нашими типовими клієнтами. Другою категорією типових клієнтів є власники активів, можливо, деякі заможні клієнти, які мають певні активи в гаманцях контрактів, або ж ці заможні клієнти інвестують у деякі протоколи на блокчейні. Наші послуги та продукти можуть допомогти їм краще контролювати безпеку тих протоколів, в які вони інвестують. Як дві сторони монети, з боку проектів протоколу ми можемо допомогти їм підвищити безпеку протоколу. З точки зору заможних клієнтів, які інвестують у їх протоколи, ми можемо допомогти їм контролювати безпеку протоколів, в які вони інвестують. Як тільки протокол, в який вони інвестували, має ризик безпеки, наприклад, під час атаки, їм потрібно мати можливість терміново повернути свої кошти. Третя категорія клієнтів – це регулятори та відповідність, ця категорія клієнтів в основному складається з регуляторних органів, наприклад, Комісія з цінних паперів і ф'ючерсів Гонконгу також є нашим клієнтом, а також деякі іноземні правоохоронні органи, які потрібно розслідувати у випадках, пов'язаних з кримінальними правопорушеннями в криптовалюті, їм потрібно використовувати наші інструменти та платформи, щоб полегшити проведення деяких доказових витягів, відстеження коштів та інших слідчих дій. Це, в основному, наш загальний бізнес та спектр наших клієнтів.
Про три поради щодо шифрування безпеки
Олексій: Розумію, тільки що вчитель Чжоу говорив про типи клієнтів, які в них є потреби, а також про загальну ситуацію в галузі. Отже, друге питання, можливо, більше пов'язане з особистими інвесторами, особливо враховуючи, що багато наших слухачів тільки починають входити в Web3, щоб вивчити та спробувати інвестувати. Якщо у вас є друг, який тільки що увійшов у сферу шифрування інвестицій, і він знає, що ви займаєтеся послугами безпеки шифрування, будь ласка, дайте йому три поради щодо безпеки шифрування, які ви б йому дали.
Жоу Яцзин: Це питання дуже хороше. Мої друзі також часто запитують мене про деякі поради щодо безпеки, вони хочуть увійти в цю галузь, але чули, що багато людей стикаються з певними ризиками. У нас колись була жартівлива фраза: якщо ти потрапив у Crypto коло і не потрапив на фішинг або не став жертвою шахрайства, ти не станеш досвідченим гравцем у цій сфері. Звичайно, це жарт, але дійсно можна помітити, що в цій галузі існує багато ризиків. Якщо сказати три поради, перша порада, безумовно, буде те, про що всі подумають, а саме про захист приватних ключів. У Crypto сфері, як довести, що ти володієш цими коштами? Насправді, ти доводиш своє право на цей рахунок за допомогою приватного ключа, який ти маєш. Приватний ключ - це ряд чисел, які не пов’язані з твоєю особистістю. Якщо цей ряд чисел загубиться або буде витікати, інші зможуть мати таку ж контроль над твоїми коштами, як і ти. Це дуже відрізняється від реального світу. У реальному світі, якщо твій пароль до банку витече, ти можеш зателефонувати до банку і попросити заморозити рахунок, інші не зможуть забрати гроші. Але у Crypto світі, якщо твій приватний ключ витече, то той, хто має твій ключ, може без обмежень перевести твої кошти з твого рахунку. Зазвичай є кілька способів захисту приватного ключа, наприклад, ми маємо апаратні гаманці, використовуємо контрактні гаманці або мобільні програми для захисту приватних ключів. Кожен із цих методів має свої переваги та недоліки. На основі мого власного досвіду та досвіду деяких наших безпечних друзів, основний принцип - це мнемонічна фраза для приватного ключа, запам’ятати її та покласти у сейф, незалежно від того, чи це сейф у твоєму домі, чи в банку, зберігати її там належним чином і не чіпати, зазвичай це не знадобиться. А потім використовувати відносно надійний пристрій, будь то апаратний гаманець чи телефон, щоб зберегти свій приватний ключ. Цей телефон має бути спеціалізованим пристроєм, не займатися жодними іншими операціями, а лише управляти своїми цифровими активами. Це перша порада. Друга порада - під час торгівлі на ланцюгу завжди мати усвідомлення безпеки та ризиків. В принципі, потрібно запам’ятати одну фразу: на небі пиріжків не падає. Ми виявили, що під час торгівлі на ланцюгу користувачі стикаються з великим ризиком фішингу. Навіть багато KOL і OG з криптосвіту, яких ми знаємо, стикалися з фішинговими атаками та втрачали великі суми коштів. Якщо якийсь незнайомий сайт просить тебе підключити гаманець для отримання так званих аірдропів, у цей момент потрібно бути особливо обережним, варто пам’ятати про безпеку. Третя порада - потрібно трохи розуміти основи криптоактивів. Основи стосуються того, що в криптоактивах ми зазвичай маємо поняття авторизації. Це відрізняється від традиційних фінансів. Наприклад, якщо ти володієш певним цифровим активом, USDT або USDC, через підпис на ланцюгу ти можеш надати активи для використання контракту або іншим користувачам, і ця авторизація відбувається лише через підпис твого гаманця на якійсь незрозумілій для тебе інформації. Отже, коли ти підписуєш підпис гаманця, якщо ти не зовсім розумієш або, скажімо, став жертвою обману, підписуєш авторизацію, тоді інші можуть використати всі твої цифрові активи. Тож варто мати базове розуміння авторизації, щоб не підписувати помилкові авторизаційні угоди. Підсумовуючи, основні рекомендації: перше - захистити свій приватний ключ, надати деякі практичні методи; друге - під час торгівлі на ланцюгу бути завжди обережним, мати усвідомлення безпеки, щоб не потрапити на фішинг; третє - розуміти механізм авторизації в Crypto, щоб не підписувати помилкові авторизаційні угоди.
Alex: Насправді, у мене є досить багато друзів з високим рівнем статків, які також є OG або досвідченими в цій галузі. За логікою, те, що ви згадали про усвідомлення безпеки, у них, напевно, є часткова обізнаність, але кожного року я чую про те, як деякі великі гравці стали жертвами крадіжок. У галузі існує вислів, що якщо професійний хакер на вас націлився, і він знає, що ваш гаманець має гроші, якщо він використає всі доступні ресурси, вам зазвичай буде дуже важко уникнути цього. Як ви вважаєте, це справедливо? Чи дійсно це так?
Жоу Яцзин: Ваше питання дуже хороше. Насправді, питання безпеки, особливо коли йдеться про шифрування, по суті є асиметричною протидією. Якщо у вашому гаманці є достатньо активів, ви стаєте легкою мішенню для цілеспрямованих атак. І як тільки ви стаєте ціллю, інші зможуть задіяти багато ресурсів, будь то соціальна інженерія, технічні ресурси або інші ресурси, щоб розробити методи атаки, виходячи з ваших звичних поведінкових моделей, звичок тощо. У такій ситуації не можна сказати, що ймовірність успіху захисту становить 100%, але складність захисту дуже висока, оскільки інші використовують багато ресурсів проти вас, в той час як у вас є лише ви самі. Таким чином, це дуже асиметрична протидія. У цій ситуації я вважаю, що основний принцип, по-перше, у китайців є вислів "не показуй своє багатство", тобто вам не слід публічно демонструвати свої активи, потрібно уникати розкриття зв'язку між вашою особистою офлайн-ідентичністю та ідентичністю активів в блокчейні. По-друге, навіть якщо ви є клієнтом з високими статками, можливо, про вас вже стало відомо, то вам потрібно зробити все можливе для ізоляції активів. Це означає, що активи, які ви зазвичай використовуєте, в спеціалізованому гаманці можуть становити максимум 100 000, і якщо хтось на вас націлений, він зможе вкрасти лише ці 100 000. А всі ваші інші значні активи повинні зберігатися в гаманці, який ви зазвичай не використовуєте. Якщо вам потрібно скористатися цими активами, зверніться до експертів з безпеки, щоб разом перевірити набір процедур і норм, які можуть допомогти уникнути великих ризиків.
Три найяскравіші інциденти безпеки
**Alex:**Розумію, ця пропозиція дійсно дуже важлива. Чи не могли б ви поділитися з нами трьома найбільш вражаючими випадками безпеки, які ви зустрічали за весь час роботи? Це можуть бути випадки, які ви самі пережили, або історії від ваших друзів чи спостереження.
Чжоу Яцзин: Я можу поділитися з усіма деякими безпосередніми випадками безпеки, в яких ми брали участь і які залишили глибоке враження. Перший приклад, який я пам'ятаю, стався приблизно 10-12 лютого 2023 року, коли на блокчейні було атаковано один протокол. Це була платформа, що об'єднує кредитування та інші функції. У цього протоколу була вразливість безпеки, і хакери скористалися цим недоліком, приблизно