Expertos en seguridad de la cadena de bloques revelan: proteger la llave privada, estar alerta contra el phishing y entender los mecanismos de autorización son las tres claves de la encriptación segura.
Sobre la profundidad de la encriptación de la seguridad
Presentador: Alex, investigador
Invitado: Zhou Yajin, CEO de una empresa de seguridad en la encriptación
Hora de grabación: 2025.3.28
El ámbito de servicios y los clientes objetivo de BlockSec
**Alex:**En este episodio, hablamos sobre la seguridad en el mundo de la encriptación. Cómo construir un cortafuegos para nuestros activos y asegurarnos de invertir en un entorno seguro es un tema fundamental que debemos abordar antes de iniciar nuestro viaje en la encriptación. En este podcast, hemos invitado a Zhou Yajin de una empresa de seguridad en blockchain para que hable con nosotros sobre este tema de seguridad en la encriptación. Profesor Zhou, ¿podría saludarnos?
Zhou Yajin: Hola a todos, soy Zhou Yajin, actualmente soy el CEO de una empresa de seguridad en la blockchain, y también soy investigador en ciberseguridad en la Universidad de Zhejiang, muy contento de conocer a todos.
**Alex:**Bien, entremos en el tema de hoy. Creo que muchos de los oyentes pueden no estar tan familiarizados con las empresas de seguridad en blockchain y los servicios de seguridad. Por favor, profesor Zhou, primero preséntenos aproximadamente qué servicios ofrecen, qué tipo de personas y qué tipo de instituciones se convertirán en sus clientes.
Zhou Yajing: Bien, somos una empresa de seguridad Web3, fundada en 2021. Cuando se habla de la seguridad de Web3, lo primero que a muchos les viene a la mente es la auditoría de seguridad. Sin embargo, nuestro rango de servicios no se limita solo a la auditoría de seguridad; también ofrecemos una serie de otros productos y servicios de seguridad. En concreto, nuestros servicios se pueden dividir en tres grandes áreas. La primera área la llamamos seguridad para protocolos en cadena. Los protocolos en cadena son aquellos contratos inteligentes que se despliegan en la blockchain para realizar actividades como DeFi o NFT, entre otras. ¿Cómo se puede garantizar la seguridad de estos contratos? Ofrecemos servicios de auditoría de seguridad y productos de monitoreo seguro. La segunda área en la que nos enfocamos es la seguridad de los activos. La seguridad de los activos se refiere a los activos que los usuarios poseen, por ejemplo, si estos activos están en su billetera de contrato o invertidos en algún protocolo en cadena, cómo se puede garantizar la seguridad de estos activos de los usuarios también es parte de nuestros servicios. La tercera área es el cumplimiento y la regulación. Hemos notado que cada vez más instituciones financieras tradicionales están ingresando a la industria de Crypto. Incluyendo las noticias recientes donde algunos bancos tradicionales de Estados Unidos emitieron activos de stablecoins en cadena, así como la entrada de Crypto en la industria de pagos transfronterizos. De hecho, la entrada de estas instituciones financieras tradicionales en la industria plantea un desafío para la regulación, ya que los organismos reguladores no saben cómo supervisar y estas instituciones no saben cómo cumplir con las normativas. Por lo tanto, también estamos ayudando a los organismos reguladores a supervisar a estos jugadores que ingresan a la industria de Crypto, o a ayudar a estas instituciones tradicionales que ingresan a la industria de Crypto a cumplir con las normativas. Estas son las tres áreas de nuestro negocio.
Nuestro alcance de clientes es bastante amplio. Lo que todos pueden imaginar son proyectos que operan en la cadena para hacer finanzas descentralizadas o algunos otros servicios, como plataformas que ofrecen préstamos en la cadena, plataformas que ofrecen intercambios descentralizados; estos proyectos son nuestros clientes. Podemos ayudarlos a realizar auditorías de seguridad antes de que desplieguen sus contratos inteligentes en la cadena, revisando desde una perspectiva de seguridad si los contratos inteligentes que desarrollaron tienen vulnerabilidades. Si hay vulnerabilidades de seguridad, necesitan ser reparadas de inmediato. Al mismo tiempo, una vez que su protocolo está desplegado en la cadena, también tendremos una plataforma de monitoreo 24/7 para supervisar los riesgos de seguridad de su protocolo. Si ocurre algún riesgo de seguridad, nuestra plataforma puede notificar al protocolo de inmediato y puede interrumpir automáticamente riesgos y ataques. Por lo tanto, estos desarrolladores y proyectos que despliegan contratos inteligentes en la cadena son un tipo de cliente típico para nosotros. El segundo tipo de cliente típico son las personas que poseen activos, que pueden ser algunos clientes de alto patrimonio, que tienen algunos activos en billeteras de contratos, o que estos clientes de alto patrimonio invertirán en algunos protocolos en la cadena. Nuestros servicios y productos pueden ayudarles a monitorear mejor la seguridad de los protocolos en los que invierten. Así como el lado positivo y negativo de una moneda, desde la perspectiva de los proyectos del protocolo, podemos ayudarles a mejorar la seguridad de sus protocolos. Desde la perspectiva de los clientes de alto patrimonio que invierten en sus protocolos, podemos ayudarles a monitorear la seguridad de los protocolos en los que invierten. Una vez que el protocolo en el que invierten tiene un riesgo de seguridad, como un ataque, necesitan poder retirar sus fondos de inmediato. El tercer tipo de cliente es el que mencioné anteriormente, relacionado con la regulación y el cumplimiento; este tipo de clientes son principalmente algunas agencias reguladoras, como la Comisión de Valores de Hong Kong, que también es nuestro cliente, así como algunas agencias de aplicación de la ley en el extranjero que necesitan investigar crímenes relacionados con criptomonedas y requieren nuestras herramientas y plataformas para facilitar la extracción de evidencia, la trazabilidad de fondos y otras actividades de investigación. Esta es, en general, nuestra gama de negocios y nuestros clientes.
Sobre la encriptación seguridad tres puntos consejos
**Alex:**Entiendo, justo ahora el profesor Zhou habló sobre los tipos de clientes, qué necesidades tienen y una situación general de la industria. Así que la segunda pregunta puede estar más relacionada con los inversores individuales, especialmente porque muchos de nuestros oyentes son personas que recién están comenzando a entrar en Web3 para aprender y probar inversiones. Si tuvieras un amigo que acaba de entrar en el campo de la encriptación, y sabe que tú trabajas en servicios de seguridad encriptada, ¿cuáles serían los tres consejos sobre seguridad encriptada que le darías?
Zhou Yajin: Esa es una muy buena pregunta. Mis amigos también me piden a menudo algunos consejos de seguridad, y también quieren entrar en la industria, pero he oído que muchas personas parecen encontrar algunos riesgos. Solíamos bromear diciendo que si entrabas en el mundo de las criptomonedas y no eras víctima de phishing o estafa, no serías un jugador veterano en el campo. Por supuesto, esto es una broma, pero también se puede ver que hay muchos riesgos en esta industria. Si tuviera que hacer tres sugerencias, la primera que seguramente vendría a la mente de todos sería sobre la protección de claves privadas. En el campo de las criptomonedas, la forma de demostrar que eres el propietario de los fondos es en realidad utilizar la clave privada que posees para demostrar la propiedad de la cuenta. Una clave privada es una cadena de números, que no está vinculada a su identidad personal. Una vez que esta cadena de números se pierde o se filtra, otra persona puede tener el mismo control sobre sus propios fondos que usted. Esto es muy diferente de nuestro mundo real. En el mundo real, si la contraseña de su banco se ve comprometida, puede llamar al banco y pedir que se congele la cuenta, y nadie más tiene forma de retirar dinero. Pero en el mundo de las criptomonedas, si su clave privada se ve comprometida, la persona en posesión de su clave privada puede transferir sus fondos desde su cuenta sin restricciones. En términos generales, hay varias formas de proteger la clave privada, como por ejemplo tenemos una billetera de hardware, una billetera de contrato o una APP de teléfono móvil para proteger la clave privada. Cada método tiene sus propias ventajas y desventajas. A través de mi propia experiencia y la experiencia general de algunos de nuestros amigos de seguridad, el principio básico es la frase mnemotécnica de la clave privada, escríbala y póngala en la caja fuerte, ya sea que la caja fuerte sea su propia casa o el banco, guárdela, no la toque, básicamente no puede usarla. Luego, use un dispositivo en el que pueda confiar relativamente bien, ya sea una billetera de hardware o un teléfono móvil, para almacenar sus claves privadas. Este teléfono debe ser un dispositivo dedicado, no para realizar ninguna otra actividad operativa, solo para administrar sus propios activos digitales. Esta es la primera sugerencia. El segundo consejo es ser consciente de la seguridad y los riesgos al realizar transacciones en la cadena. Esencialmente, solo tienes que recordar una frase: no hay pastel en el cielo. Hemos descubierto que al realizar transacciones en la cadena, los usuarios están expuestos a un riesgo muy alto de phishing. Muchos KOL y OG, incluidos los del mundo de las criptomonedas con los que estamos familiarizados, han experimentado ataques de phishing y han perdido mucho dinero. Si un sitio web inexplicable le pide que conecte su billetera para obtener la llamada recompensa de airdrop, debe tener más cuidado en este momento y tener en cuenta la seguridad. El tercer consejo es que necesitas saber un poco sobre los conceptos básicos de los criptoactivos. Los conocimientos básicos se refieren al hecho de que en los criptoactivos, solemos tener el concepto de autorización. Esto es diferente de las finanzas tradicionales. Digamos que posee un tipo de activo digital, USDT o USDC, y a través de firmas en la cadena, puede autorizar el activo a un contrato o a otros usuarios para que lo usen, y esta autorización se puede lograr firmando un montón de cosas extrañas que no puede entender a través de su billetera. Entonces, cuando firma la firma de la billetera, porque no entiende del todo o es engañado, firma la transacción autorizada, luego otra persona puede usar todos sus activos digitales. Por lo tanto, debe tener un poco de comprensión básica de la autorización, para que no firme una transacción de este tipo por error al firmar la firma de la billetera. En resumen, el consejo básico es: el primero es proteger su propia clave privada y dar algunos métodos operativos; La segunda es que hay que tener cuidado en todo momento al realizar transacciones on-chain, y hay que tener una sensación de seguridad y no ser víctima de phishing; La tercera es tener una comprensión básica del mecanismo de autorización de Crypto, para que no firme por error algunas transacciones autorizadas.
Alex: En realidad, tengo muchos amigos de alto patrimonio a mi alrededor, que también son OG o veteranos en la industria. Según lo que usted mencionó sobre la conciencia de seguridad, ellos tienen algo de eso, pero cada año escucho sobre algunos grandes inversores que han sido robados. En la industria hay un dicho que dice que si un hacker profesional te tiene en la mira y sabe que tu billetera tiene dinero, si utiliza todos los recursos disponibles, a menudo es muy difícil escapar. ¿Cree usted que esto tiene sentido? ¿Es realmente así?
Zhou Yajing: Tu pregunta es muy buena. En realidad, el problema de seguridad, especialmente en lo que respecta a la encriptación, es esencialmente una confrontación desequilibrada. Si tu billetera tiene suficientes activos, es muy fácil que te conviertas en el objetivo de un ataque dirigido. Y una vez que te conviertes en el objetivo de un ataque dirigido, otros utilizarán muchos recursos, ya sean recursos de ingeniería social, recursos técnicos u otros recursos, para diseñar métodos de ataque específicos basados en tu patrón de comportamiento diario, hábitos de vida, etc. En esta situación, no se puede decir que es un cien por ciento, pero la dificultad para defenderse es muy alta, porque otros han utilizado muchos recursos en tu contra, mientras que tú solo cuentas contigo mismo. Por lo tanto, es una confrontación muy asimétrica. En esta situación, creo que el principio básico es, primero, los chinos tenemos un dicho que dice que la riqueza no debe ser ostentosa, lo que significa que no debes hacer público los activos que posees, y debes evitar revelar la relación entre tu identidad personal fuera de línea y tu identidad de activos en línea. El segundo punto es que, incluso si eres un usuario de alto valor neto, es posible que ya te hayan expuesto, por lo que debes hacer todo lo posible para aislar tus activos. Es decir, los activos que operas normalmente, en una billetera dedicada, no deben exceder los 100,000. Si alguien te dirige un ataque, lo máximo que puede robarte son esos 100,000. Y tus otros activos significativos deben estar en una billetera que no necesites usar normalmente. Si necesitas acceder a estos activos, debes buscar la ayuda de un experto en seguridad para revisar un conjunto de procesos y normas de operación bastante buenos, así puedes evitar riesgos significativos.
Las tres incidentes de seguridad que más me impresionaron.
Alex: Entiendo, este consejo es realmente muy importante. ¿Podría compartir con nosotros los tres eventos de seguridad más memorables que ha experimentado en su carrera? Pueden ser experiencias personales, de amigos cercanos o algunas cosas que ha presenciado.
Zhou Yajin: Puedo compartir con todos ustedes un incidente de seguridad en el que realmente participamos y que me dejó una impresión profunda. El primer ejemplo que recuerdo es que alrededor del 10 de febrero de 2023, hubo un protocolo en la cadena llamado protocolo de pato que fue atacado. Es una plataforma que combina préstamos con otras funciones. Este protocolo tenía una vulnerabilidad de seguridad, y los hackers a través de esta vulnerabilidad robaron cerca de 9 millones de dólares en activos. Lo que me dejó una impresión profunda sobre este asunto es que los hackers cometieron un error al atacar el protocolo de pato. Cuando atacaron el contrato inteligente, necesitaron desarrollarlo ellos mismos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
10
Republicar
Compartir
Comentar
0/400
NFTFreezer
· 08-16 13:21
Nuevo curso imprescindible para tontos.
Ver originalesResponder0
RegenRestorer
· 08-16 06:08
Si no entiendes este nivel de conocimiento sobre seguridad, mejor no juegues con moneda.
Ver originalesResponder0
ForkLibertarian
· 08-15 22:38
Los tontos nuevamente vienen a dar una lección.
Ver originalesResponder0
SelfRugger
· 08-13 23:47
Ay, resulta que es el viejo Zhou, el gran experto en seguridad.
Ver originalesResponder0
FundingMartyr
· 08-13 23:47
¿Es realmente tan importante la seguridad de la cadena de bloques? La billetera puede ser robada tanto si mueres pronto como si mueres tarde.
Ver originalesResponder0
ConsensusBot
· 08-13 23:47
¿Estás seguro de que es 2025? Vaya, qué suerte tienes de poder viajar en el tiempo.
Ver originalesResponder0
gas_fee_trauma
· 08-13 23:45
Perder dinero me ha vuelto tonto, cada vez el gas es tan alto.
Ver originalesResponder0
SignatureVerifier
· 08-13 23:43
mmh... *otra* charla de seguridad pero cero mención de almacenamiento en frío o pruebas zk? técnicamente insuficiente para ser honesto
Ver originalesResponder0
MetaDreamer
· 08-13 23:32
Otra explicación de seguridad en un lenguaje sencillo... me aburro hasta morir.
Expertos en seguridad de la cadena de bloques revelan: proteger la llave privada, estar alerta contra el phishing y entender los mecanismos de autorización son las tres claves de la encriptación segura.
Sobre la profundidad de la encriptación de la seguridad
Presentador: Alex, investigador
Invitado: Zhou Yajin, CEO de una empresa de seguridad en la encriptación
Hora de grabación: 2025.3.28
El ámbito de servicios y los clientes objetivo de BlockSec
**Alex:**En este episodio, hablamos sobre la seguridad en el mundo de la encriptación. Cómo construir un cortafuegos para nuestros activos y asegurarnos de invertir en un entorno seguro es un tema fundamental que debemos abordar antes de iniciar nuestro viaje en la encriptación. En este podcast, hemos invitado a Zhou Yajin de una empresa de seguridad en blockchain para que hable con nosotros sobre este tema de seguridad en la encriptación. Profesor Zhou, ¿podría saludarnos?
Zhou Yajin: Hola a todos, soy Zhou Yajin, actualmente soy el CEO de una empresa de seguridad en la blockchain, y también soy investigador en ciberseguridad en la Universidad de Zhejiang, muy contento de conocer a todos.
**Alex:**Bien, entremos en el tema de hoy. Creo que muchos de los oyentes pueden no estar tan familiarizados con las empresas de seguridad en blockchain y los servicios de seguridad. Por favor, profesor Zhou, primero preséntenos aproximadamente qué servicios ofrecen, qué tipo de personas y qué tipo de instituciones se convertirán en sus clientes.
Zhou Yajing: Bien, somos una empresa de seguridad Web3, fundada en 2021. Cuando se habla de la seguridad de Web3, lo primero que a muchos les viene a la mente es la auditoría de seguridad. Sin embargo, nuestro rango de servicios no se limita solo a la auditoría de seguridad; también ofrecemos una serie de otros productos y servicios de seguridad. En concreto, nuestros servicios se pueden dividir en tres grandes áreas. La primera área la llamamos seguridad para protocolos en cadena. Los protocolos en cadena son aquellos contratos inteligentes que se despliegan en la blockchain para realizar actividades como DeFi o NFT, entre otras. ¿Cómo se puede garantizar la seguridad de estos contratos? Ofrecemos servicios de auditoría de seguridad y productos de monitoreo seguro. La segunda área en la que nos enfocamos es la seguridad de los activos. La seguridad de los activos se refiere a los activos que los usuarios poseen, por ejemplo, si estos activos están en su billetera de contrato o invertidos en algún protocolo en cadena, cómo se puede garantizar la seguridad de estos activos de los usuarios también es parte de nuestros servicios. La tercera área es el cumplimiento y la regulación. Hemos notado que cada vez más instituciones financieras tradicionales están ingresando a la industria de Crypto. Incluyendo las noticias recientes donde algunos bancos tradicionales de Estados Unidos emitieron activos de stablecoins en cadena, así como la entrada de Crypto en la industria de pagos transfronterizos. De hecho, la entrada de estas instituciones financieras tradicionales en la industria plantea un desafío para la regulación, ya que los organismos reguladores no saben cómo supervisar y estas instituciones no saben cómo cumplir con las normativas. Por lo tanto, también estamos ayudando a los organismos reguladores a supervisar a estos jugadores que ingresan a la industria de Crypto, o a ayudar a estas instituciones tradicionales que ingresan a la industria de Crypto a cumplir con las normativas. Estas son las tres áreas de nuestro negocio.
Nuestro alcance de clientes es bastante amplio. Lo que todos pueden imaginar son proyectos que operan en la cadena para hacer finanzas descentralizadas o algunos otros servicios, como plataformas que ofrecen préstamos en la cadena, plataformas que ofrecen intercambios descentralizados; estos proyectos son nuestros clientes. Podemos ayudarlos a realizar auditorías de seguridad antes de que desplieguen sus contratos inteligentes en la cadena, revisando desde una perspectiva de seguridad si los contratos inteligentes que desarrollaron tienen vulnerabilidades. Si hay vulnerabilidades de seguridad, necesitan ser reparadas de inmediato. Al mismo tiempo, una vez que su protocolo está desplegado en la cadena, también tendremos una plataforma de monitoreo 24/7 para supervisar los riesgos de seguridad de su protocolo. Si ocurre algún riesgo de seguridad, nuestra plataforma puede notificar al protocolo de inmediato y puede interrumpir automáticamente riesgos y ataques. Por lo tanto, estos desarrolladores y proyectos que despliegan contratos inteligentes en la cadena son un tipo de cliente típico para nosotros. El segundo tipo de cliente típico son las personas que poseen activos, que pueden ser algunos clientes de alto patrimonio, que tienen algunos activos en billeteras de contratos, o que estos clientes de alto patrimonio invertirán en algunos protocolos en la cadena. Nuestros servicios y productos pueden ayudarles a monitorear mejor la seguridad de los protocolos en los que invierten. Así como el lado positivo y negativo de una moneda, desde la perspectiva de los proyectos del protocolo, podemos ayudarles a mejorar la seguridad de sus protocolos. Desde la perspectiva de los clientes de alto patrimonio que invierten en sus protocolos, podemos ayudarles a monitorear la seguridad de los protocolos en los que invierten. Una vez que el protocolo en el que invierten tiene un riesgo de seguridad, como un ataque, necesitan poder retirar sus fondos de inmediato. El tercer tipo de cliente es el que mencioné anteriormente, relacionado con la regulación y el cumplimiento; este tipo de clientes son principalmente algunas agencias reguladoras, como la Comisión de Valores de Hong Kong, que también es nuestro cliente, así como algunas agencias de aplicación de la ley en el extranjero que necesitan investigar crímenes relacionados con criptomonedas y requieren nuestras herramientas y plataformas para facilitar la extracción de evidencia, la trazabilidad de fondos y otras actividades de investigación. Esta es, en general, nuestra gama de negocios y nuestros clientes.
Sobre la encriptación seguridad tres puntos consejos
**Alex:**Entiendo, justo ahora el profesor Zhou habló sobre los tipos de clientes, qué necesidades tienen y una situación general de la industria. Así que la segunda pregunta puede estar más relacionada con los inversores individuales, especialmente porque muchos de nuestros oyentes son personas que recién están comenzando a entrar en Web3 para aprender y probar inversiones. Si tuvieras un amigo que acaba de entrar en el campo de la encriptación, y sabe que tú trabajas en servicios de seguridad encriptada, ¿cuáles serían los tres consejos sobre seguridad encriptada que le darías?
Zhou Yajin: Esa es una muy buena pregunta. Mis amigos también me piden a menudo algunos consejos de seguridad, y también quieren entrar en la industria, pero he oído que muchas personas parecen encontrar algunos riesgos. Solíamos bromear diciendo que si entrabas en el mundo de las criptomonedas y no eras víctima de phishing o estafa, no serías un jugador veterano en el campo. Por supuesto, esto es una broma, pero también se puede ver que hay muchos riesgos en esta industria. Si tuviera que hacer tres sugerencias, la primera que seguramente vendría a la mente de todos sería sobre la protección de claves privadas. En el campo de las criptomonedas, la forma de demostrar que eres el propietario de los fondos es en realidad utilizar la clave privada que posees para demostrar la propiedad de la cuenta. Una clave privada es una cadena de números, que no está vinculada a su identidad personal. Una vez que esta cadena de números se pierde o se filtra, otra persona puede tener el mismo control sobre sus propios fondos que usted. Esto es muy diferente de nuestro mundo real. En el mundo real, si la contraseña de su banco se ve comprometida, puede llamar al banco y pedir que se congele la cuenta, y nadie más tiene forma de retirar dinero. Pero en el mundo de las criptomonedas, si su clave privada se ve comprometida, la persona en posesión de su clave privada puede transferir sus fondos desde su cuenta sin restricciones. En términos generales, hay varias formas de proteger la clave privada, como por ejemplo tenemos una billetera de hardware, una billetera de contrato o una APP de teléfono móvil para proteger la clave privada. Cada método tiene sus propias ventajas y desventajas. A través de mi propia experiencia y la experiencia general de algunos de nuestros amigos de seguridad, el principio básico es la frase mnemotécnica de la clave privada, escríbala y póngala en la caja fuerte, ya sea que la caja fuerte sea su propia casa o el banco, guárdela, no la toque, básicamente no puede usarla. Luego, use un dispositivo en el que pueda confiar relativamente bien, ya sea una billetera de hardware o un teléfono móvil, para almacenar sus claves privadas. Este teléfono debe ser un dispositivo dedicado, no para realizar ninguna otra actividad operativa, solo para administrar sus propios activos digitales. Esta es la primera sugerencia. El segundo consejo es ser consciente de la seguridad y los riesgos al realizar transacciones en la cadena. Esencialmente, solo tienes que recordar una frase: no hay pastel en el cielo. Hemos descubierto que al realizar transacciones en la cadena, los usuarios están expuestos a un riesgo muy alto de phishing. Muchos KOL y OG, incluidos los del mundo de las criptomonedas con los que estamos familiarizados, han experimentado ataques de phishing y han perdido mucho dinero. Si un sitio web inexplicable le pide que conecte su billetera para obtener la llamada recompensa de airdrop, debe tener más cuidado en este momento y tener en cuenta la seguridad. El tercer consejo es que necesitas saber un poco sobre los conceptos básicos de los criptoactivos. Los conocimientos básicos se refieren al hecho de que en los criptoactivos, solemos tener el concepto de autorización. Esto es diferente de las finanzas tradicionales. Digamos que posee un tipo de activo digital, USDT o USDC, y a través de firmas en la cadena, puede autorizar el activo a un contrato o a otros usuarios para que lo usen, y esta autorización se puede lograr firmando un montón de cosas extrañas que no puede entender a través de su billetera. Entonces, cuando firma la firma de la billetera, porque no entiende del todo o es engañado, firma la transacción autorizada, luego otra persona puede usar todos sus activos digitales. Por lo tanto, debe tener un poco de comprensión básica de la autorización, para que no firme una transacción de este tipo por error al firmar la firma de la billetera. En resumen, el consejo básico es: el primero es proteger su propia clave privada y dar algunos métodos operativos; La segunda es que hay que tener cuidado en todo momento al realizar transacciones on-chain, y hay que tener una sensación de seguridad y no ser víctima de phishing; La tercera es tener una comprensión básica del mecanismo de autorización de Crypto, para que no firme por error algunas transacciones autorizadas.
Alex: En realidad, tengo muchos amigos de alto patrimonio a mi alrededor, que también son OG o veteranos en la industria. Según lo que usted mencionó sobre la conciencia de seguridad, ellos tienen algo de eso, pero cada año escucho sobre algunos grandes inversores que han sido robados. En la industria hay un dicho que dice que si un hacker profesional te tiene en la mira y sabe que tu billetera tiene dinero, si utiliza todos los recursos disponibles, a menudo es muy difícil escapar. ¿Cree usted que esto tiene sentido? ¿Es realmente así?
Zhou Yajing: Tu pregunta es muy buena. En realidad, el problema de seguridad, especialmente en lo que respecta a la encriptación, es esencialmente una confrontación desequilibrada. Si tu billetera tiene suficientes activos, es muy fácil que te conviertas en el objetivo de un ataque dirigido. Y una vez que te conviertes en el objetivo de un ataque dirigido, otros utilizarán muchos recursos, ya sean recursos de ingeniería social, recursos técnicos u otros recursos, para diseñar métodos de ataque específicos basados en tu patrón de comportamiento diario, hábitos de vida, etc. En esta situación, no se puede decir que es un cien por ciento, pero la dificultad para defenderse es muy alta, porque otros han utilizado muchos recursos en tu contra, mientras que tú solo cuentas contigo mismo. Por lo tanto, es una confrontación muy asimétrica. En esta situación, creo que el principio básico es, primero, los chinos tenemos un dicho que dice que la riqueza no debe ser ostentosa, lo que significa que no debes hacer público los activos que posees, y debes evitar revelar la relación entre tu identidad personal fuera de línea y tu identidad de activos en línea. El segundo punto es que, incluso si eres un usuario de alto valor neto, es posible que ya te hayan expuesto, por lo que debes hacer todo lo posible para aislar tus activos. Es decir, los activos que operas normalmente, en una billetera dedicada, no deben exceder los 100,000. Si alguien te dirige un ataque, lo máximo que puede robarte son esos 100,000. Y tus otros activos significativos deben estar en una billetera que no necesites usar normalmente. Si necesitas acceder a estos activos, debes buscar la ayuda de un experto en seguridad para revisar un conjunto de procesos y normas de operación bastante buenos, así puedes evitar riesgos significativos.
Las tres incidentes de seguridad que más me impresionaron.
Alex: Entiendo, este consejo es realmente muy importante. ¿Podría compartir con nosotros los tres eventos de seguridad más memorables que ha experimentado en su carrera? Pueden ser experiencias personales, de amigos cercanos o algunas cosas que ha presenciado.
Zhou Yajin: Puedo compartir con todos ustedes un incidente de seguridad en el que realmente participamos y que me dejó una impresión profunda. El primer ejemplo que recuerdo es que alrededor del 10 de febrero de 2023, hubo un protocolo en la cadena llamado protocolo de pato que fue atacado. Es una plataforma que combina préstamos con otras funciones. Este protocolo tenía una vulnerabilidad de seguridad, y los hackers a través de esta vulnerabilidad robaron cerca de 9 millones de dólares en activos. Lo que me dejó una impresión profunda sobre este asunto es que los hackers cometieron un error al atacar el protocolo de pato. Cuando atacaron el contrato inteligente, necesitaron desarrollarlo ellos mismos.