Блокчейн безпеки експерт розкриває: захист Закритого ключа, остерігатися фішингу та розуміти механізми авторизації є трьома ключовими аспектами шифрування безпеки
Гість: Чжоу Яцзин, CEO компанії з безпеки шифрування
Час запису: 2025.3.28
Область послуг та цільова аудиторія BlockSec
Алекс: У цьому випуску програми ми поговоримо про безпеку у світі шифрування. Як побудувати firewall для своїх активів, щоб інвестувати в безпечному середовищі, є обов'язковою темою, яку потрібно розглянути перед тим, як розпочати свою подорож у шифруванні. У цьому випуску подкасту ми запросили Чжоу Яцзиня з компанії з безпеки блокчейну, щоб обговорити тему шифрувальної безпеки. Запрошуємо пана Чжоу привітати нас.
Чжоу Яйцзінь: Всім привіт, я Чжоу Яйцзінь, наразі я є CEO компанії з безпеки в галузі шифрування, а також я є дослідником в галузі кіберпростору в університеті Чжецзян, дуже радий вас усіх бачити.
**Alex:**Добре, давайте перейдемо до основної теми на сьогодні. Я вірю, що багато слухачів, можливо, не дуже добре розуміють компанії з безпеки блокчейну та безпекові послуги. Будь ласка, пане Чжоу, спочатку розкажіть нам, які послуги ви надаєте, хто може стати вашими клієнтами, які люди та які установи.
Жоу Яцзин: Добре, ми компанія безпеки Web3, заснована в 2021 році. Коли йдеться про безпеку Web3, перше, що спадає на думку, це безпековий аудит. Насправді, наш спектр послуг не обмежується лише безпековим аудитом, ми також пропонуємо низку інших безпекових продуктів і послуг. Конкретно, наші послуги можна розділити на три основні блоки. Перший блок ми називаємо безпекою для протоколів на ланцюгу. Протоколи на ланцюгу — це смарт-контракти, які ми розгортаємо на блокчейні для проведення деяких DeFi або NFT, або інших активностей. Як забезпечити безпеку цих контрактів? Ми пропонуємо послуги безпекового аудиту та продукти для безпечного моніторингу. Другий блок, на якому ми зосереджені, це безпека активів. Під безпекою активів ми розуміємо активи, які є у користувача, наприклад, ці активи можуть бути у його контрактному гаманці або інвестовані в деякі протоколи на ланцюгу, як можна гарантувати безпеку цих активів користувачів — це також одна з наших послуг. Третій блок — це відповідність і регулювання. Ми помітили, що дедалі більше традиційних фінансових установ входять у Crypto-індустрію. Включаючи нещодавні новини про те, що традиційні банки в США випускають деякі стабільні монети на ланцюгу, а також про вхід Crypto в галузь міжнародних платежів. Насправді, коли ці традиційні фінансові установи входять у цю галузь, це створює труднощі для регулювання, оскільки регулятори не знають, як регулювати, а ці установи не знають, як відповідати вимогам. Тому ми також допомагаємо регуляторам контролювати гравців, які входять у Crypto-індустрію, або допомагаємо традиційним установам, які входять у Crypto-індустрію, дотримуватися вимог. Це три сфери нашої діяльності.
Наші клієнти охоплюють досить широкий спектр. Усі можуть думати про проекти, які займаються децентралізованими фінансами на блокчейні або іншими послугами, такими як платформи для кредитування на блокчейні, платформи для децентралізованої торгівлі - ці проекти є нашими клієнтами. Ми можемо допомогти їм здійснити безпечний аудит їхніх смарт-контрактів до їхнього розгортання на блокчейні, перевіряючи з безпечної точки зору, чи є у них уразливості. Якщо виявлено уразливості, їх потрібно своєчасно виправити. Одночасно, коли їхній протокол буде розгорнуто на блокчейні, у нас також буде платформа моніторингу, яка цілодобово стежитиме за ризиками безпеки їхнього протоколу. Якщо виникне будь-який ризик безпеки, наша платформа може своєчасно сповістити протокол і автоматично заблокувати ризик та атаку. Тому розробники та проекти, які розгортають смарт-контракти на блокчейні, є нашими типічними клієнтами. Другий тип типових клієнтів - це люди, які мають активи, можливо, це деякі клієнти з високим рівнем доходу, які мають активи в гаманцях контрактів або інвестують у деякі протоколи на блокчейні. Наші послуги та продукти можуть допомогти їм краще контролювати безпеку тих протоколів, у які вони інвестують. Як дві сторони монети, з точки зору проектів протоколів, ми можемо допомогти їм підвищити безпеку протоколів. З точки зору клієнтів з високим рівнем доходу, які інвестують у їхні протоколи, ми можемо допомогти їм контролювати безпеку інвестованих протоколів. Якщо протокол, в який вони інвестували, має ризик безпеки, наприклад, якщо він піддається атаці, вони повинні мати можливість негайно забрати свої кошти. Третій тип клієнтів - це регулятори та комплаєнс, ця категорія клієнтів складається головним чином з регуляторних органів, наприклад, Комісія з цінних паперів Гонконгу також є нашим клієнтом, а також деякі іноземні правоохоронні органи, які потребують використання наших інструментів та платформ, щоб зручніше проводити розслідування, пов'язані з злочинами, що стосуються цифрових валют, такі як вилучення доказів, відстеження коштів та інші слідчі дії. Це в основному вся наша діяльність та сфера нашої клієнтської бази.
Про три поради щодо шифрування безпеки
Alex: Розумію, щойно пан Чжоу говорив про типи клієнтів, їхні потреби та загальну ситуацію в галузі. Отже, друге питання, можливо, буде більш пов'язане з особистими інвесторами, особливо тому, що серед наших слухачів багато тих, хто тільки починає вивчати та пробувати інвестування в Web3. Якщо у вас є друг, який щойно увійшов у сферу шифрування, і він знає, що ви займаєтеся послугами безпеки в цій області, будь ласка, дайте йому три поради щодо шифрування, які ви б йому дали?
Чжоу Яцзінь: Це дуже гарне запитання. Мої друзі також часто звертаються до мене за порадою щодо безпеки, і вони також хочуть увійти в індустрію, але я чув, що багато людей, здається, стикаються з деякими ризиками. Раніше ми жартували, що якщо ви увійшли в криптосвіт і не стали жертвою фішингу чи шахрайства, ви не станете гравцем-ветераном у цій галузі. Звичайно, це жарт, але також видно, що ризиків у цій галузі дуже багато. Якби мені довелося зробити три пропозиції, то перше, яке напевно спало б на думку кожному, стосувалося захисту приватних ключів. У полі «Криптовалюта» спосіб довести, що ви є власником коштів, насправді полягає в тому, щоб використовувати приватний ключ, яким ви володієте, щоб довести своє право власності на обліковий запис. Приватний ключ – це рядок цифр, який не прив'язаний до вашої особистої особистості. Як тільки цей рядок чисел буде втрачено або витік, хтось інший зможе контролювати ваші власні кошти так само, як і ви. Це дуже відрізняється від нашого реального світу. У реальному світі, якщо пароль вашого банку скомпрометовано, ви можете зателефонувати в банк і попросити заморозити рахунок, і ніхто інший не зможе зняти гроші. Але в криптосвіті, якщо ваш приватний ключ буде скомпрометовано, то особа, яка володіє вашим приватним ключем, може переказати ваші кошти з вашого рахунку без обмежень. Взагалі кажучи, є кілька способів захистити приватний ключ, наприклад, у нас є апаратний гаманець, контрактний гаманець або додаток для мобільного телефону для захисту приватного ключа. Кожен спосіб має свої переваги і недоліки. З мого власного досвіду та загального досвіду деяких наших друзів з безпеки, основний принцип – це мнемонічна фраза приватного ключа, запишіть його та покладіть у сейф, незалежно від того, чи це ваш власний будинок чи банк, зберігайте його, не чіпайте його, в принципі, ви не можете його використовувати. Потім використовуйте пристрій, якому ви можете відносно довіряти, будь то апаратний гаманець або мобільний телефон, для зберігання ваших приватних ключів. Цей телефон повинен бути спеціальним пристроєм, не займатися будь-якими іншими операційними діями, а лише керувати власними цифровими активами. Це перша пропозиція. Друга порада полягає в тому, щоб пам'ятати про безпеку та ризики під час транзакцій у мережі. По суті, вам просто потрібно запам'ятати одне речення: в небі немає пирога. Ми виявили, що під час транзакцій у мережі користувачі наражаються на дуже високий ризик фішингу. Багато KOL і OG, у тому числі в знайомому нам криптосвіті, зазнали фішингових атак і втратили багато грошей. Якщо незрозумілий сайт просить вас підключити гаманець, щоб отримати так звану винагороду за аірдроп, вам потрібно бути обережнішим у цей час і пам'ятати про безпеку. Третя порада полягає в тому, що вам потрібно знати трохи про основи криптоактивів. Під базовими знаннями мається на увазі той факт, що в криптоактивах ми зазвичай маємо поняття авторизації. Це відрізняється від традиційних фінансів. Скажімо, у вас є тип цифрового активу, USDT або USDC, і за допомогою підписів у ланцюжку ви можете авторизувати актив контракту або іншим користувачам використовувати його, і ця авторизація може бути досягнута шляхом підписання купи дивних речей, які ви не можете зрозуміти через свій гаманець. Тому, коли ви підписуєте підпис гаманця, тому що не зовсім розумієте або вас обманюють, ви підписуєте авторизовану транзакцію, тоді хтось інший може скористатися всіма вашими цифровими активами. Тому потрібно мати трохи базового розуміння авторизації, щоб не підписати таку транзакцію помилково при підписанні підпису гаманця. Підводячи підсумок, можна сказати, що основна порада така: перший - захистити власний приватний ключ і дати кілька оперативних методів; Друге полягає в тому, що вам потрібно завжди бути обережним під час проведення транзакцій у мережі, і ви повинні мати почуття безпеки та не бути жертвою фішингу; Третє - мати базове розуміння механізму авторизації Crypto, щоб ви не помилково підписали деякі авторизовані транзакції.
**Alex:**Насправді у мене є чимало друзів з високим рівнем доходу, які також є OG або досвідченими гравцями в цій галузі. Як ви зазначили, цієї свідомості безпеки вони мають хоч трішки, але кожного року я чую, що деякі великі гравці стають жертвами крадіжок. У галузі існує думка, що якщо на вас націлився професійний хакер, і він знає, що ваш гаманець має кошти, якщо він використає всі доступні ресурси, ви часто не зможете втекти. Як ви вважаєте, це має сенс? Це справді так?
**Чжоу Яцзин: ** Ваше запитання дуже хороше. Насправді питання безпеки, особливо що стосується шифрування, по суті є нерівномірним протистоянням. Якщо у вашому гаманці є достатньо активів, ви стаєте легкою мішенню для цілеспрямованих атак. І як тільки ви стаєте ціллю, інші задіють багато ресурсів, незалежно від того, чи це ресурси соціальної інженерії, технічні ресурси або інші ресурси, щоб спланувати атаки на основі ваших звичних дій, звичок тощо. У цій ситуації не можна сказати, що це на сто відсотків, але ваша здатність захищатися є дуже високою, оскільки інші витрачають багато ресурсів на протистояння вам, а у вас є лише ви самі. Тому це дуже асиметричне протистояння. У цій ситуації я вважаю, що основний принцип, по-перше, ми, китайці, маємо вислів: «не показуй своє багатство», що означає, що ви не повинні розголошувати свої активи, намагайтеся уникати розкриття зв'язку між вашою особистістю в офлайні та ідентичністю активів у мережі. По-друге, навіть якщо ви є користувачем з високою чистою вартістю, вас можуть вже розкрити, тому вам потрібно максимально ізолювати свої активи. Це означає, що активи, якими ви зазвичай користуєтеся, у спеціальному гаманці можуть бути максимум 10 тисяч гривень, і якщо хтось націлений на вас, то максимум, що вони можуть вкрасти, - це ці 10 тисяч гривень. А ваші інші великі активи повинні знаходитися в гаманці, який зазвичай не потребує використання. Якщо вам потрібно використати ці активи, вам слід знайти експерта з безпеки, щоб разом перевірити набір хороших процесів і норм, щоб уникнути величезних ризиків.
Найбільш запам'ятовувані три події безпеки
**Alex:**Розумію, ця порада дійсно дуже важлива. Чи не могли б ви поділитися з нами трьома найбільш вражаючими випадками безпеки за час вашої роботи? Це можуть бути випадки, які ви особисто пережили, або те, що сталося з вашими друзями чи вашими спостереженнями.
Чжоу Яцзин: Я можу поділитися з вами деякими випадками безпеки, в яких ми особисто брали участь і які справили на мене великий враження. Перший приклад, який я пам'ятаю, це в середині лютого 2023 року, на ланцюгу був протокол під назвою протокол качиного дзьоба, який був атакований. Це платформа, що поєднує позики та інші функції. У цього протоколу була уразливість, і хакери через цю уразливість вкрали приблизно 9 мільйонів USD активів. Ця ситуація справила на мене велике враження, оскільки хакер під час атаки на протокол качиного дзьоба зробив помилку. Коли він атакував смарт-контракт, йому потрібно було самостійно розробити.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
10
Репост
Поділіться
Прокоментувати
0/400
NFTFreezer
· 08-16 13:21
Новий курс для невдах вже готовий.
Переглянути оригіналвідповісти на0
RegenRestorer
· 08-16 06:08
Цю базову безпеку не розумієш, то не грайся з монетами.
Переглянути оригіналвідповісти на0
ForkLibertarian
· 08-15 22:38
Старі невдахи знову прийшли популяризувати знання.
Переглянути оригіналвідповісти на0
SelfRugger
· 08-13 23:47
Ой, справді це старий Чжоу, великий спеціаліст з безпеки!
Переглянути оригіналвідповісти на0
FundingMartyr
· 08-13 23:47
Блокчейн безпека справді така важлива? Рано чи пізно Гаманець все одно буде вкрадено.
Переглянути оригіналвідповісти на0
ConsensusBot
· 08-13 23:47
Ти впевнений, що це 2025 рік? Справді, як ти зміг подорожувати в часі?
Переглянути оригіналвідповісти на0
gas_fee_trauma
· 08-13 23:45
Втрачаю гроші, став дурним. Кожного разу gas такий високий.
Переглянути оригіналвідповісти на0
SignatureVerifier
· 08-13 23:43
ммх... *інша* розмова про безпеку, але жодного згадування про холодне зберігання або zk-докази? технічно недостатньо, чесно кажучи.
Переглянути оригіналвідповісти на0
MetaDreamer
· 08-13 23:32
Ще одна стаття про безпеку простими словами... нудно до смерті
Блокчейн безпеки експерт розкриває: захист Закритого ключа, остерігатися фішингу та розуміти механізми авторизації є трьома ключовими аспектами шифрування безпеки
Про глибину розмови про шифрування безпеки
Ведучий: Алекс, дослідник
Гість: Чжоу Яцзин, CEO компанії з безпеки шифрування
Час запису: 2025.3.28
Область послуг та цільова аудиторія BlockSec
Алекс: У цьому випуску програми ми поговоримо про безпеку у світі шифрування. Як побудувати firewall для своїх активів, щоб інвестувати в безпечному середовищі, є обов'язковою темою, яку потрібно розглянути перед тим, як розпочати свою подорож у шифруванні. У цьому випуску подкасту ми запросили Чжоу Яцзиня з компанії з безпеки блокчейну, щоб обговорити тему шифрувальної безпеки. Запрошуємо пана Чжоу привітати нас.
Чжоу Яйцзінь: Всім привіт, я Чжоу Яйцзінь, наразі я є CEO компанії з безпеки в галузі шифрування, а також я є дослідником в галузі кіберпростору в університеті Чжецзян, дуже радий вас усіх бачити.
**Alex:**Добре, давайте перейдемо до основної теми на сьогодні. Я вірю, що багато слухачів, можливо, не дуже добре розуміють компанії з безпеки блокчейну та безпекові послуги. Будь ласка, пане Чжоу, спочатку розкажіть нам, які послуги ви надаєте, хто може стати вашими клієнтами, які люди та які установи.
Жоу Яцзин: Добре, ми компанія безпеки Web3, заснована в 2021 році. Коли йдеться про безпеку Web3, перше, що спадає на думку, це безпековий аудит. Насправді, наш спектр послуг не обмежується лише безпековим аудитом, ми також пропонуємо низку інших безпекових продуктів і послуг. Конкретно, наші послуги можна розділити на три основні блоки. Перший блок ми називаємо безпекою для протоколів на ланцюгу. Протоколи на ланцюгу — це смарт-контракти, які ми розгортаємо на блокчейні для проведення деяких DeFi або NFT, або інших активностей. Як забезпечити безпеку цих контрактів? Ми пропонуємо послуги безпекового аудиту та продукти для безпечного моніторингу. Другий блок, на якому ми зосереджені, це безпека активів. Під безпекою активів ми розуміємо активи, які є у користувача, наприклад, ці активи можуть бути у його контрактному гаманці або інвестовані в деякі протоколи на ланцюгу, як можна гарантувати безпеку цих активів користувачів — це також одна з наших послуг. Третій блок — це відповідність і регулювання. Ми помітили, що дедалі більше традиційних фінансових установ входять у Crypto-індустрію. Включаючи нещодавні новини про те, що традиційні банки в США випускають деякі стабільні монети на ланцюгу, а також про вхід Crypto в галузь міжнародних платежів. Насправді, коли ці традиційні фінансові установи входять у цю галузь, це створює труднощі для регулювання, оскільки регулятори не знають, як регулювати, а ці установи не знають, як відповідати вимогам. Тому ми також допомагаємо регуляторам контролювати гравців, які входять у Crypto-індустрію, або допомагаємо традиційним установам, які входять у Crypto-індустрію, дотримуватися вимог. Це три сфери нашої діяльності.
Наші клієнти охоплюють досить широкий спектр. Усі можуть думати про проекти, які займаються децентралізованими фінансами на блокчейні або іншими послугами, такими як платформи для кредитування на блокчейні, платформи для децентралізованої торгівлі - ці проекти є нашими клієнтами. Ми можемо допомогти їм здійснити безпечний аудит їхніх смарт-контрактів до їхнього розгортання на блокчейні, перевіряючи з безпечної точки зору, чи є у них уразливості. Якщо виявлено уразливості, їх потрібно своєчасно виправити. Одночасно, коли їхній протокол буде розгорнуто на блокчейні, у нас також буде платформа моніторингу, яка цілодобово стежитиме за ризиками безпеки їхнього протоколу. Якщо виникне будь-який ризик безпеки, наша платформа може своєчасно сповістити протокол і автоматично заблокувати ризик та атаку. Тому розробники та проекти, які розгортають смарт-контракти на блокчейні, є нашими типічними клієнтами. Другий тип типових клієнтів - це люди, які мають активи, можливо, це деякі клієнти з високим рівнем доходу, які мають активи в гаманцях контрактів або інвестують у деякі протоколи на блокчейні. Наші послуги та продукти можуть допомогти їм краще контролювати безпеку тих протоколів, у які вони інвестують. Як дві сторони монети, з точки зору проектів протоколів, ми можемо допомогти їм підвищити безпеку протоколів. З точки зору клієнтів з високим рівнем доходу, які інвестують у їхні протоколи, ми можемо допомогти їм контролювати безпеку інвестованих протоколів. Якщо протокол, в який вони інвестували, має ризик безпеки, наприклад, якщо він піддається атаці, вони повинні мати можливість негайно забрати свої кошти. Третій тип клієнтів - це регулятори та комплаєнс, ця категорія клієнтів складається головним чином з регуляторних органів, наприклад, Комісія з цінних паперів Гонконгу також є нашим клієнтом, а також деякі іноземні правоохоронні органи, які потребують використання наших інструментів та платформ, щоб зручніше проводити розслідування, пов'язані з злочинами, що стосуються цифрових валют, такі як вилучення доказів, відстеження коштів та інші слідчі дії. Це в основному вся наша діяльність та сфера нашої клієнтської бази.
Про три поради щодо шифрування безпеки
Alex: Розумію, щойно пан Чжоу говорив про типи клієнтів, їхні потреби та загальну ситуацію в галузі. Отже, друге питання, можливо, буде більш пов'язане з особистими інвесторами, особливо тому, що серед наших слухачів багато тих, хто тільки починає вивчати та пробувати інвестування в Web3. Якщо у вас є друг, який щойно увійшов у сферу шифрування, і він знає, що ви займаєтеся послугами безпеки в цій області, будь ласка, дайте йому три поради щодо шифрування, які ви б йому дали?
Чжоу Яцзінь: Це дуже гарне запитання. Мої друзі також часто звертаються до мене за порадою щодо безпеки, і вони також хочуть увійти в індустрію, але я чув, що багато людей, здається, стикаються з деякими ризиками. Раніше ми жартували, що якщо ви увійшли в криптосвіт і не стали жертвою фішингу чи шахрайства, ви не станете гравцем-ветераном у цій галузі. Звичайно, це жарт, але також видно, що ризиків у цій галузі дуже багато. Якби мені довелося зробити три пропозиції, то перше, яке напевно спало б на думку кожному, стосувалося захисту приватних ключів. У полі «Криптовалюта» спосіб довести, що ви є власником коштів, насправді полягає в тому, щоб використовувати приватний ключ, яким ви володієте, щоб довести своє право власності на обліковий запис. Приватний ключ – це рядок цифр, який не прив'язаний до вашої особистої особистості. Як тільки цей рядок чисел буде втрачено або витік, хтось інший зможе контролювати ваші власні кошти так само, як і ви. Це дуже відрізняється від нашого реального світу. У реальному світі, якщо пароль вашого банку скомпрометовано, ви можете зателефонувати в банк і попросити заморозити рахунок, і ніхто інший не зможе зняти гроші. Але в криптосвіті, якщо ваш приватний ключ буде скомпрометовано, то особа, яка володіє вашим приватним ключем, може переказати ваші кошти з вашого рахунку без обмежень. Взагалі кажучи, є кілька способів захистити приватний ключ, наприклад, у нас є апаратний гаманець, контрактний гаманець або додаток для мобільного телефону для захисту приватного ключа. Кожен спосіб має свої переваги і недоліки. З мого власного досвіду та загального досвіду деяких наших друзів з безпеки, основний принцип – це мнемонічна фраза приватного ключа, запишіть його та покладіть у сейф, незалежно від того, чи це ваш власний будинок чи банк, зберігайте його, не чіпайте його, в принципі, ви не можете його використовувати. Потім використовуйте пристрій, якому ви можете відносно довіряти, будь то апаратний гаманець або мобільний телефон, для зберігання ваших приватних ключів. Цей телефон повинен бути спеціальним пристроєм, не займатися будь-якими іншими операційними діями, а лише керувати власними цифровими активами. Це перша пропозиція. Друга порада полягає в тому, щоб пам'ятати про безпеку та ризики під час транзакцій у мережі. По суті, вам просто потрібно запам'ятати одне речення: в небі немає пирога. Ми виявили, що під час транзакцій у мережі користувачі наражаються на дуже високий ризик фішингу. Багато KOL і OG, у тому числі в знайомому нам криптосвіті, зазнали фішингових атак і втратили багато грошей. Якщо незрозумілий сайт просить вас підключити гаманець, щоб отримати так звану винагороду за аірдроп, вам потрібно бути обережнішим у цей час і пам'ятати про безпеку. Третя порада полягає в тому, що вам потрібно знати трохи про основи криптоактивів. Під базовими знаннями мається на увазі той факт, що в криптоактивах ми зазвичай маємо поняття авторизації. Це відрізняється від традиційних фінансів. Скажімо, у вас є тип цифрового активу, USDT або USDC, і за допомогою підписів у ланцюжку ви можете авторизувати актив контракту або іншим користувачам використовувати його, і ця авторизація може бути досягнута шляхом підписання купи дивних речей, які ви не можете зрозуміти через свій гаманець. Тому, коли ви підписуєте підпис гаманця, тому що не зовсім розумієте або вас обманюють, ви підписуєте авторизовану транзакцію, тоді хтось інший може скористатися всіма вашими цифровими активами. Тому потрібно мати трохи базового розуміння авторизації, щоб не підписати таку транзакцію помилково при підписанні підпису гаманця. Підводячи підсумок, можна сказати, що основна порада така: перший - захистити власний приватний ключ і дати кілька оперативних методів; Друге полягає в тому, що вам потрібно завжди бути обережним під час проведення транзакцій у мережі, і ви повинні мати почуття безпеки та не бути жертвою фішингу; Третє - мати базове розуміння механізму авторизації Crypto, щоб ви не помилково підписали деякі авторизовані транзакції.
**Alex:**Насправді у мене є чимало друзів з високим рівнем доходу, які також є OG або досвідченими гравцями в цій галузі. Як ви зазначили, цієї свідомості безпеки вони мають хоч трішки, але кожного року я чую, що деякі великі гравці стають жертвами крадіжок. У галузі існує думка, що якщо на вас націлився професійний хакер, і він знає, що ваш гаманець має кошти, якщо він використає всі доступні ресурси, ви часто не зможете втекти. Як ви вважаєте, це має сенс? Це справді так?
**Чжоу Яцзин: ** Ваше запитання дуже хороше. Насправді питання безпеки, особливо що стосується шифрування, по суті є нерівномірним протистоянням. Якщо у вашому гаманці є достатньо активів, ви стаєте легкою мішенню для цілеспрямованих атак. І як тільки ви стаєте ціллю, інші задіють багато ресурсів, незалежно від того, чи це ресурси соціальної інженерії, технічні ресурси або інші ресурси, щоб спланувати атаки на основі ваших звичних дій, звичок тощо. У цій ситуації не можна сказати, що це на сто відсотків, але ваша здатність захищатися є дуже високою, оскільки інші витрачають багато ресурсів на протистояння вам, а у вас є лише ви самі. Тому це дуже асиметричне протистояння. У цій ситуації я вважаю, що основний принцип, по-перше, ми, китайці, маємо вислів: «не показуй своє багатство», що означає, що ви не повинні розголошувати свої активи, намагайтеся уникати розкриття зв'язку між вашою особистістю в офлайні та ідентичністю активів у мережі. По-друге, навіть якщо ви є користувачем з високою чистою вартістю, вас можуть вже розкрити, тому вам потрібно максимально ізолювати свої активи. Це означає, що активи, якими ви зазвичай користуєтеся, у спеціальному гаманці можуть бути максимум 10 тисяч гривень, і якщо хтось націлений на вас, то максимум, що вони можуть вкрасти, - це ці 10 тисяч гривень. А ваші інші великі активи повинні знаходитися в гаманці, який зазвичай не потребує використання. Якщо вам потрібно використати ці активи, вам слід знайти експерта з безпеки, щоб разом перевірити набір хороших процесів і норм, щоб уникнути величезних ризиків.
Найбільш запам'ятовувані три події безпеки
**Alex:**Розумію, ця порада дійсно дуже важлива. Чи не могли б ви поділитися з нами трьома найбільш вражаючими випадками безпеки за час вашої роботи? Це можуть бути випадки, які ви особисто пережили, або те, що сталося з вашими друзями чи вашими спостереженнями.
Чжоу Яцзин: Я можу поділитися з вами деякими випадками безпеки, в яких ми особисто брали участь і які справили на мене великий враження. Перший приклад, який я пам'ятаю, це в середині лютого 2023 року, на ланцюгу був протокол під назвою протокол качиного дзьоба, який був атакований. Це платформа, що поєднує позики та інші функції. У цього протоколу була уразливість, і хакери через цю уразливість вкрали приблизно 9 мільйонів USD активів. Ця ситуація справила на мене велике враження, оскільки хакер під час атаки на протокол качиного дзьоба зробив помилку. Коли він атакував смарт-контракт, йому потрібно було самостійно розробити.