Especialista em segurança de Blockchain revela: proteger a Chave privada, prevenir phishing e entender os mecanismos de autorização são as três chaves para a encriptação segura.
Convidado: Zhou Yajing, CEO de uma empresa de segurança em encriptação
Gravação: 2025.3.28
O âmbito de serviços e clientes-alvo da BlockSec
**Alex:**Neste episódio, vamos falar sobre a segurança no mundo da encriptação. Como construir um firewall para os seus ativos e investir em um ambiente seguro é um assunto essencial que devemos abordar antes de começarmos a nossa jornada na encriptação. Neste podcast, convidamos Zhou Yajin, de uma empresa de segurança em blockchain, para conversar connosco sobre o tema da segurança em encriptação. Professor Zhou, pode dar-nos um olá?
Zhou Yajing: Olá a todos, sou Zhou Yajing, atualmente sou CEO de uma empresa de segurança em blockchain, e também sou pesquisador na área de segurança cibernética na Universidade de Zhejiang. Estou muito feliz em conhecer todos vocês.
Alex: Ok, vamos entrar no assunto de hoje. Eu acredito que muitos dos ouvintes talvez não estejam tão familiarizados com as empresas de segurança e os serviços de segurança relacionados à blockchain. Por favor, Professor Zhou, poderia nos dar uma introdução sobre quais são os serviços que vocês oferecem e que tipos de pessoas ou instituições se tornariam seus clientes?
Zhou Yajin: Tudo bem, somos uma empresa de segurança Web3, fundada em 2021. Quando se fala sobre a segurança do Web3, a primeira coisa que vem à mente são as auditorias de segurança. Na verdade, nosso escopo de negócios não se limita apenas a auditorias de segurança; também oferecemos uma gama de outros produtos e serviços de segurança. Especificamente, os serviços podem ser divididos em três grandes áreas. A primeira área chamamos de segurança para protocolos on-chain. Protocolos on-chain referem-se a contratos inteligentes que são implantados na blockchain para realizar atividades como DeFi ou NFTs. Como garantir a segurança desses contratos? Nós oferecemos serviços de auditoria de segurança e produtos de monitoramento de segurança. A segunda área em que estamos mais focados é a segurança dos ativos. A segurança dos ativos refere-se aos bens que os usuários possuem, por exemplo, se esses ativos estão em suas carteiras de contratos ou investidos em alguns protocolos na blockchain, como garantir a segurança desses ativos dos usuários também está dentre nossos serviços. A terceira área é conformidade e regulamentação. Observamos que cada vez mais instituições financeiras tradicionais estão entrando na indústria de Crypto. Incluindo as notícias recentes que vimos, bancos tradicionais dos EUA emitindo ativos de stablecoin na blockchain, assim como a entrada da Crypto na indústria de pagamentos transfronteiriços. Na verdade, a entrada dessas instituições financeiras tradicionais no setor trouxe um dilema para os reguladores, que não sabem como regular, e essas instituições não sabem como estar em conformidade. Portanto, também ajudamos os reguladores a monitorar os jogadores que entram na indústria de Crypto, ou ajudamos essas instituições tradicionais que entram na indústria de Crypto a se manterem em conformidade. Essas são as três áreas do nosso negócio.
A nossa base de clientes é bastante ampla. O que todos podem imaginar são as partes interessadas que fazem finanças descentralizadas ou outros tipos de serviços na blockchain, como plataformas que oferecem empréstimos ou plataformas de negociação descentralizadas; essas partes interessadas são nossos clientes. Podemos ajudá-los a realizar auditorias de segurança antes de implantar contratos inteligentes na blockchain, revisando a partir de uma perspectiva de segurança se os contratos inteligentes que desenvolveram têm vulnerabilidades de segurança. Se houver vulnerabilidades de segurança, elas precisam ser corrigidas rapidamente. Além disso, quando seus protocolos forem implantados na blockchain, teremos uma plataforma de monitoramento 24 horas por dia para vigiar os riscos de segurança dos seus protocolos. Se ocorrer qualquer risco de segurança, nossa plataforma pode notificar o protocolo de forma rápida, e pode automatizar a interrupção de riscos e ataques. Portanto, esses desenvolvedores e partes interessadas que implantam contratos inteligentes na blockchain são um tipo de cliente típico. O segundo tipo de cliente típico é o possuidor de ativos, que pode ser alguns clientes de alto patrimônio, que mantêm ativos em carteiras de contratos, ou esses clientes de alto patrimônio poderão investir em alguns protocolos na blockchain. Nossos serviços e produtos podem ajudá-los a monitorar melhor a segurança dos protocolos em que investem. Assim como o lado positivo e negativo de uma moeda, do ponto de vista das partes interessadas no protocolo, podemos ajudá-los a aumentar a segurança do protocolo. Do ponto de vista dos clientes de alto patrimônio que investem em seus protocolos, podemos ajudá-los a monitorar a segurança do protocolo em que investem. Assim que o protocolo em que investem apresentar um risco de segurança, como um ataque, é necessário que possam retirar seus fundos imediatamente. O terceiro tipo de cliente é o que mencionei anteriormente sobre regulamentação e conformidade; esse tipo de cliente é principalmente órgãos reguladores, como a Comissão de Valores Mobiliários de Hong Kong, que também é nosso cliente, além de algumas agências de aplicação da lei no exterior, que precisam investigar crimes relacionados a moedas digitais, necessitando usar nossas ferramentas e plataformas para facilitar a extração de provas, rastreamento de fundos e outras atividades de investigação. Esta é basicamente a amplitude dos nossos negócios e a nossa base de clientes.
Sobre três recomendações para a segurança emcriptação
**Alex:**Entendi, o professor Zhou acabou de falar sobre os tipos de clientes, quais são suas necessidades e uma visão geral da situação do setor. Então, a segunda pergunta pode estar mais relacionada a investidores pessoais, especialmente porque muitos dos nossos ouvintes são pessoas que estão apenas começando a entrar no Web3 para aprender e tentar investir. Se você tiver um amigo que acabou de entrar no campo de encriptação, e ele sabe que você trabalha com serviços de segurança em encriptação, quais seriam os três conselhos sobre segurança em encriptação que você daria a ele?
Zhou Yajin: Essa é uma pergunta muito boa. Os meus amigos também me pedem frequentemente alguns conselhos de segurança e também querem entrar na indústria, mas ouvi dizer que muitas pessoas parecem encontrar alguns riscos. Nós costumávamos brincar que se você entrasse no mundo cripto e não fosse enganado ou enganado, você não seria um jogador veterano no campo. Claro, isso é uma piada, mas você também pode ver que há muitos riscos nesta indústria. Se eu tivesse que fazer três sugestões, a primeira que certamente viria à mente de todos era sobre a proteção de chaves privadas. No campo Crypto, como provar que você possui os fundos é, na verdade, usar a chave privada que você possui para provar sua propriedade da conta. Uma chave privada é uma sequência de números, que não está ligada à sua identidade pessoal. Uma vez que essa sequência de números é perdida ou vazada, outra pessoa pode ter o mesmo controle sobre seus próprios fundos que você. Isto é muito diferente do nosso mundo real. No mundo real, se a sua senha bancária estiver comprometida, você pode ligar para o banco e pedir que a conta seja congelada, e ninguém mais tem como sacar dinheiro. Mas no mundo cripto, se sua chave privada for comprometida, a pessoa em posse de sua chave privada pode transferir seus fundos de sua conta sem restrições. De um modo geral, existem várias formas de proteger a chave privada, como por exemplo temos uma carteira de hardware, uma carteira de contrato ou uma APP de telemóvel para proteger a chave privada. Cada método tem suas próprias vantagens e desvantagens. Através da minha própria experiência e da experiência geral de alguns dos nossos amigos de segurança, o princípio básico é a frase mnemónica da chave privada, escreva-a e coloque-a no cofre, quer o cofre seja a sua própria casa ou o banco, guarde-a, não toque nela, basicamente não pode usá-la. Em seguida, use um dispositivo em que você possa confiar relativamente bem, seja uma carteira de hardware ou um telefone celular, para armazenar suas chaves privadas. Este telefone deve ser um dispositivo dedicado, não para fazer quaisquer outras atividades operacionais, apenas para gerenciar seus próprios ativos digitais. Esta é a primeira sugestão. O segundo conselho é estar ciente da segurança e dos riscos ao realizar transações on-chain. Essencialmente, você só tem que se lembrar de uma frase: não há torta no céu. Descobrimos que, ao transacionar on-chain, os usuários estão expostos a um risco muito alto de phishing. Muitos KOLs e OGs, incluindo aqueles no mundo cripto com os quais estamos familiarizados, sofreram ataques de phishing e perderam muito dinheiro. Se um site inexplicável pede que você conecte sua carteira para obter a chamada recompensa airdrop, você precisa ter mais cuidado neste momento e estar ciente da segurança. O terceiro conselho é que você precisa saber um pouco sobre o básico de criptoativos. O conhecimento básico refere-se ao fato de que, em criptoativos, geralmente temos o conceito de autorização. Isto é diferente das finanças tradicionais. Digamos que você possui um tipo de ativo digital, USDT ou USDC, e através de assinaturas on-chain, você pode autorizar o ativo para um contrato ou outros usuários para usá-lo, e essa autorização pode ser alcançada assinando um monte de coisas estranhas que você não consegue entender através de sua carteira. Então, quando você assina a assinatura da carteira, porque você não entende bem ou é enganado, você assina a transação autorizada, então outra pessoa pode usar todos os seus ativos digitais. Portanto, você precisa ter um pouco de compreensão básica de autorização, para que você não assine tal transação por engano ao assinar a assinatura da carteira. Em suma, o conselho básico é: o primeiro é proteger a sua própria chave privada e dar alguns métodos operacionais; A segunda é que você precisa ter cuidado em todos os momentos ao realizar transações on-chain, e você deve ter uma sensação de segurança e não ser enganado; O terceiro é ter uma compreensão básica do mecanismo de autorização do Crypto, para que você não assine erroneamente algumas transações autorizadas.
**Alex:**Na verdade, tenho muitos amigos de alto patrimônio ao meu redor, que também são OGs ou veteranos da indústria. Em teoria, eles têm algum nível de consciência de segurança, como você mencionou, mas todo ano ouço falar de grandes investidores sendo roubados. Há uma afirmação na indústria que diz que se um hacker profissional fixar o alvo em você e souber que sua carteira tem dinheiro, se ele utilizar todos os recursos disponíveis, é geralmente muito difícil escapar. Você acha que essa afirmação faz sentido? É realmente assim?
Zhou Yajing: Essa é uma ótima pergunta. Na verdade, questões de segurança, especialmente relacionadas à segurança de criptomoedas, são essencialmente uma luta assimétrica. Se a sua carteira contém um valor significativo de ativos, você facilmente se torna um alvo de ataques direcionados. E uma vez que você se torna um alvo, os atacantes mobilizam muitos recursos, sejam recursos sociais, técnicos ou outros, para projetar métodos de ataque com base nos padrões de comportamento diário e hábitos de vida do alvo. Nessa situação, não se pode dizer que é 100% seguro, mas a dificuldade de defesa é muito alta, porque os atacantes estão utilizando muitos recursos contra você, enquanto você conta apenas consigo mesmo. Portanto, é uma luta muito assimétrica. Nesse contexto, eu acredito que os princípios básicos são, primeiro, que temos um ditado na China que diz 'não exiba riqueza', o que significa que você não deve tornar públicos os ativos que possui, e deve evitar revelar a relação entre sua identidade pessoal offline e sua identidade de ativos online. O segundo ponto é que mesmo que você seja um usuário de alto patrimônio líquido, pode já ter sido exposto. Portanto, você deve fazer o possível para isolar seus ativos. Isso significa que os ativos que você utiliza em suas operações diárias devem estar em uma carteira dedicada, que deve conter no máximo 100 mil. Se alguém direcionar um ataque contra você, eles poderão roubar no máximo esses 100 mil. Seus outros ativos significativos devem estar em uma carteira que você não utiliza regularmente. Se precisar acessar esses ativos, você deve encontrar um especialista em segurança para ajudá-lo a revisar um bom processo e normas operacionais, assim você poderá evitar riscos significativos.
Os três eventos de segurança que mais me impressionaram
**Alex:**Compreendo, esta sugestão é realmente muito importante. Poderia compartilhar connosco os três incidentes de segurança mais marcantes que já experienciou durante a sua carreira? Podem ser experiências pessoais, ou de amigos próximos, ou ainda algumas observações suas.
Zhou Yajin: Posso compartilhar com todos vocês um incidente de segurança que realmente participamos pessoalmente e que ficou bastante gravado em minha memória. O primeiro exemplo que lembro foi em meados de fevereiro de 2023, quando um protocolo chamado Protocolo Ornitorrinco foi atacado. É uma plataforma que combina empréstimos e outras funcionalidades. Este protocolo tinha uma vulnerabilidade de segurança, e os hackers conseguiram roubar cerca de 9 milhões de USD em ativos por meio dessa falha. O motivo pelo qual isso ficou tão marcado para mim é que os hackers cometeram um erro ao atacar o Protocolo Ornitorrinco. Ao atacar o contrato inteligente, eles precisavam desenvolver por conta própria.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
10
Repostar
Compartilhar
Comentário
0/400
NFTFreezer
· 08-16 13:21
Novo curso essencial para idiotas.
Ver originalResponder0
RegenRestorer
· 08-16 06:08
Se você não entende nem mesmo esse básico de segurança, é melhor não brincar com moedas.
Ver originalResponder0
ForkLibertarian
· 08-15 22:38
Os idiotas estão de volta a ensinar.
Ver originalResponder0
SelfRugger
· 08-13 23:47
Ai, afinal é o velho Zhou, o grande mestre da segurança!
Ver originalResponder0
FundingMartyr
· 08-13 23:47
A segurança do Blockchain é realmente tão importante? Seja cedo ou tarde, a Carteira ainda pode ser roubada.
Ver originalResponder0
ConsensusBot
· 08-13 23:47
Tem certeza de que é 2025? Impressionante como você consegue viajar no tempo!
Ver originalResponder0
gas_fee_trauma
· 08-13 23:45
Perdi tanto dinheiro que estou estúpido. Sempre que o gás é tão alto.
Ver originalResponder0
SignatureVerifier
· 08-13 23:43
mmh... *outra* conversa sobre segurança, mas zero menção de armazenamento a frio ou provas zk? tecnicamente insuficiente, para ser honesto
Ver originalResponder0
MetaDreamer
· 08-13 23:32
Mais um artigo de divulgação científica sobre segurança... que aborrecido!
Especialista em segurança de Blockchain revela: proteger a Chave privada, prevenir phishing e entender os mecanismos de autorização são as três chaves para a encriptação segura.
Sobre a profundidade da encriptação de segurança
Moderador: Alex, pesquisador
Convidado: Zhou Yajing, CEO de uma empresa de segurança em encriptação
Gravação: 2025.3.28
O âmbito de serviços e clientes-alvo da BlockSec
**Alex:**Neste episódio, vamos falar sobre a segurança no mundo da encriptação. Como construir um firewall para os seus ativos e investir em um ambiente seguro é um assunto essencial que devemos abordar antes de começarmos a nossa jornada na encriptação. Neste podcast, convidamos Zhou Yajin, de uma empresa de segurança em blockchain, para conversar connosco sobre o tema da segurança em encriptação. Professor Zhou, pode dar-nos um olá?
Zhou Yajing: Olá a todos, sou Zhou Yajing, atualmente sou CEO de uma empresa de segurança em blockchain, e também sou pesquisador na área de segurança cibernética na Universidade de Zhejiang. Estou muito feliz em conhecer todos vocês.
Alex: Ok, vamos entrar no assunto de hoje. Eu acredito que muitos dos ouvintes talvez não estejam tão familiarizados com as empresas de segurança e os serviços de segurança relacionados à blockchain. Por favor, Professor Zhou, poderia nos dar uma introdução sobre quais são os serviços que vocês oferecem e que tipos de pessoas ou instituições se tornariam seus clientes?
Zhou Yajin: Tudo bem, somos uma empresa de segurança Web3, fundada em 2021. Quando se fala sobre a segurança do Web3, a primeira coisa que vem à mente são as auditorias de segurança. Na verdade, nosso escopo de negócios não se limita apenas a auditorias de segurança; também oferecemos uma gama de outros produtos e serviços de segurança. Especificamente, os serviços podem ser divididos em três grandes áreas. A primeira área chamamos de segurança para protocolos on-chain. Protocolos on-chain referem-se a contratos inteligentes que são implantados na blockchain para realizar atividades como DeFi ou NFTs. Como garantir a segurança desses contratos? Nós oferecemos serviços de auditoria de segurança e produtos de monitoramento de segurança. A segunda área em que estamos mais focados é a segurança dos ativos. A segurança dos ativos refere-se aos bens que os usuários possuem, por exemplo, se esses ativos estão em suas carteiras de contratos ou investidos em alguns protocolos na blockchain, como garantir a segurança desses ativos dos usuários também está dentre nossos serviços. A terceira área é conformidade e regulamentação. Observamos que cada vez mais instituições financeiras tradicionais estão entrando na indústria de Crypto. Incluindo as notícias recentes que vimos, bancos tradicionais dos EUA emitindo ativos de stablecoin na blockchain, assim como a entrada da Crypto na indústria de pagamentos transfronteiriços. Na verdade, a entrada dessas instituições financeiras tradicionais no setor trouxe um dilema para os reguladores, que não sabem como regular, e essas instituições não sabem como estar em conformidade. Portanto, também ajudamos os reguladores a monitorar os jogadores que entram na indústria de Crypto, ou ajudamos essas instituições tradicionais que entram na indústria de Crypto a se manterem em conformidade. Essas são as três áreas do nosso negócio.
A nossa base de clientes é bastante ampla. O que todos podem imaginar são as partes interessadas que fazem finanças descentralizadas ou outros tipos de serviços na blockchain, como plataformas que oferecem empréstimos ou plataformas de negociação descentralizadas; essas partes interessadas são nossos clientes. Podemos ajudá-los a realizar auditorias de segurança antes de implantar contratos inteligentes na blockchain, revisando a partir de uma perspectiva de segurança se os contratos inteligentes que desenvolveram têm vulnerabilidades de segurança. Se houver vulnerabilidades de segurança, elas precisam ser corrigidas rapidamente. Além disso, quando seus protocolos forem implantados na blockchain, teremos uma plataforma de monitoramento 24 horas por dia para vigiar os riscos de segurança dos seus protocolos. Se ocorrer qualquer risco de segurança, nossa plataforma pode notificar o protocolo de forma rápida, e pode automatizar a interrupção de riscos e ataques. Portanto, esses desenvolvedores e partes interessadas que implantam contratos inteligentes na blockchain são um tipo de cliente típico. O segundo tipo de cliente típico é o possuidor de ativos, que pode ser alguns clientes de alto patrimônio, que mantêm ativos em carteiras de contratos, ou esses clientes de alto patrimônio poderão investir em alguns protocolos na blockchain. Nossos serviços e produtos podem ajudá-los a monitorar melhor a segurança dos protocolos em que investem. Assim como o lado positivo e negativo de uma moeda, do ponto de vista das partes interessadas no protocolo, podemos ajudá-los a aumentar a segurança do protocolo. Do ponto de vista dos clientes de alto patrimônio que investem em seus protocolos, podemos ajudá-los a monitorar a segurança do protocolo em que investem. Assim que o protocolo em que investem apresentar um risco de segurança, como um ataque, é necessário que possam retirar seus fundos imediatamente. O terceiro tipo de cliente é o que mencionei anteriormente sobre regulamentação e conformidade; esse tipo de cliente é principalmente órgãos reguladores, como a Comissão de Valores Mobiliários de Hong Kong, que também é nosso cliente, além de algumas agências de aplicação da lei no exterior, que precisam investigar crimes relacionados a moedas digitais, necessitando usar nossas ferramentas e plataformas para facilitar a extração de provas, rastreamento de fundos e outras atividades de investigação. Esta é basicamente a amplitude dos nossos negócios e a nossa base de clientes.
Sobre três recomendações para a segurança emcriptação
**Alex:**Entendi, o professor Zhou acabou de falar sobre os tipos de clientes, quais são suas necessidades e uma visão geral da situação do setor. Então, a segunda pergunta pode estar mais relacionada a investidores pessoais, especialmente porque muitos dos nossos ouvintes são pessoas que estão apenas começando a entrar no Web3 para aprender e tentar investir. Se você tiver um amigo que acabou de entrar no campo de encriptação, e ele sabe que você trabalha com serviços de segurança em encriptação, quais seriam os três conselhos sobre segurança em encriptação que você daria a ele?
Zhou Yajin: Essa é uma pergunta muito boa. Os meus amigos também me pedem frequentemente alguns conselhos de segurança e também querem entrar na indústria, mas ouvi dizer que muitas pessoas parecem encontrar alguns riscos. Nós costumávamos brincar que se você entrasse no mundo cripto e não fosse enganado ou enganado, você não seria um jogador veterano no campo. Claro, isso é uma piada, mas você também pode ver que há muitos riscos nesta indústria. Se eu tivesse que fazer três sugestões, a primeira que certamente viria à mente de todos era sobre a proteção de chaves privadas. No campo Crypto, como provar que você possui os fundos é, na verdade, usar a chave privada que você possui para provar sua propriedade da conta. Uma chave privada é uma sequência de números, que não está ligada à sua identidade pessoal. Uma vez que essa sequência de números é perdida ou vazada, outra pessoa pode ter o mesmo controle sobre seus próprios fundos que você. Isto é muito diferente do nosso mundo real. No mundo real, se a sua senha bancária estiver comprometida, você pode ligar para o banco e pedir que a conta seja congelada, e ninguém mais tem como sacar dinheiro. Mas no mundo cripto, se sua chave privada for comprometida, a pessoa em posse de sua chave privada pode transferir seus fundos de sua conta sem restrições. De um modo geral, existem várias formas de proteger a chave privada, como por exemplo temos uma carteira de hardware, uma carteira de contrato ou uma APP de telemóvel para proteger a chave privada. Cada método tem suas próprias vantagens e desvantagens. Através da minha própria experiência e da experiência geral de alguns dos nossos amigos de segurança, o princípio básico é a frase mnemónica da chave privada, escreva-a e coloque-a no cofre, quer o cofre seja a sua própria casa ou o banco, guarde-a, não toque nela, basicamente não pode usá-la. Em seguida, use um dispositivo em que você possa confiar relativamente bem, seja uma carteira de hardware ou um telefone celular, para armazenar suas chaves privadas. Este telefone deve ser um dispositivo dedicado, não para fazer quaisquer outras atividades operacionais, apenas para gerenciar seus próprios ativos digitais. Esta é a primeira sugestão. O segundo conselho é estar ciente da segurança e dos riscos ao realizar transações on-chain. Essencialmente, você só tem que se lembrar de uma frase: não há torta no céu. Descobrimos que, ao transacionar on-chain, os usuários estão expostos a um risco muito alto de phishing. Muitos KOLs e OGs, incluindo aqueles no mundo cripto com os quais estamos familiarizados, sofreram ataques de phishing e perderam muito dinheiro. Se um site inexplicável pede que você conecte sua carteira para obter a chamada recompensa airdrop, você precisa ter mais cuidado neste momento e estar ciente da segurança. O terceiro conselho é que você precisa saber um pouco sobre o básico de criptoativos. O conhecimento básico refere-se ao fato de que, em criptoativos, geralmente temos o conceito de autorização. Isto é diferente das finanças tradicionais. Digamos que você possui um tipo de ativo digital, USDT ou USDC, e através de assinaturas on-chain, você pode autorizar o ativo para um contrato ou outros usuários para usá-lo, e essa autorização pode ser alcançada assinando um monte de coisas estranhas que você não consegue entender através de sua carteira. Então, quando você assina a assinatura da carteira, porque você não entende bem ou é enganado, você assina a transação autorizada, então outra pessoa pode usar todos os seus ativos digitais. Portanto, você precisa ter um pouco de compreensão básica de autorização, para que você não assine tal transação por engano ao assinar a assinatura da carteira. Em suma, o conselho básico é: o primeiro é proteger a sua própria chave privada e dar alguns métodos operacionais; A segunda é que você precisa ter cuidado em todos os momentos ao realizar transações on-chain, e você deve ter uma sensação de segurança e não ser enganado; O terceiro é ter uma compreensão básica do mecanismo de autorização do Crypto, para que você não assine erroneamente algumas transações autorizadas.
**Alex:**Na verdade, tenho muitos amigos de alto patrimônio ao meu redor, que também são OGs ou veteranos da indústria. Em teoria, eles têm algum nível de consciência de segurança, como você mencionou, mas todo ano ouço falar de grandes investidores sendo roubados. Há uma afirmação na indústria que diz que se um hacker profissional fixar o alvo em você e souber que sua carteira tem dinheiro, se ele utilizar todos os recursos disponíveis, é geralmente muito difícil escapar. Você acha que essa afirmação faz sentido? É realmente assim?
Zhou Yajing: Essa é uma ótima pergunta. Na verdade, questões de segurança, especialmente relacionadas à segurança de criptomoedas, são essencialmente uma luta assimétrica. Se a sua carteira contém um valor significativo de ativos, você facilmente se torna um alvo de ataques direcionados. E uma vez que você se torna um alvo, os atacantes mobilizam muitos recursos, sejam recursos sociais, técnicos ou outros, para projetar métodos de ataque com base nos padrões de comportamento diário e hábitos de vida do alvo. Nessa situação, não se pode dizer que é 100% seguro, mas a dificuldade de defesa é muito alta, porque os atacantes estão utilizando muitos recursos contra você, enquanto você conta apenas consigo mesmo. Portanto, é uma luta muito assimétrica. Nesse contexto, eu acredito que os princípios básicos são, primeiro, que temos um ditado na China que diz 'não exiba riqueza', o que significa que você não deve tornar públicos os ativos que possui, e deve evitar revelar a relação entre sua identidade pessoal offline e sua identidade de ativos online. O segundo ponto é que mesmo que você seja um usuário de alto patrimônio líquido, pode já ter sido exposto. Portanto, você deve fazer o possível para isolar seus ativos. Isso significa que os ativos que você utiliza em suas operações diárias devem estar em uma carteira dedicada, que deve conter no máximo 100 mil. Se alguém direcionar um ataque contra você, eles poderão roubar no máximo esses 100 mil. Seus outros ativos significativos devem estar em uma carteira que você não utiliza regularmente. Se precisar acessar esses ativos, você deve encontrar um especialista em segurança para ajudá-lo a revisar um bom processo e normas operacionais, assim você poderá evitar riscos significativos.
Os três eventos de segurança que mais me impressionaram
**Alex:**Compreendo, esta sugestão é realmente muito importante. Poderia compartilhar connosco os três incidentes de segurança mais marcantes que já experienciou durante a sua carreira? Podem ser experiências pessoais, ou de amigos próximos, ou ainda algumas observações suas.
Zhou Yajin: Posso compartilhar com todos vocês um incidente de segurança que realmente participamos pessoalmente e que ficou bastante gravado em minha memória. O primeiro exemplo que lembro foi em meados de fevereiro de 2023, quando um protocolo chamado Protocolo Ornitorrinco foi atacado. É uma plataforma que combina empréstimos e outras funcionalidades. Este protocolo tinha uma vulnerabilidade de segurança, e os hackers conseguiram roubar cerca de 9 milhões de USD em ativos por meio dessa falha. O motivo pelo qual isso ficou tão marcado para mim é que os hackers cometeram um erro ao atacar o Protocolo Ornitorrinco. Ao atacar o contrato inteligente, eles precisavam desenvolver por conta própria.