本文內(nèi)容來源三點(diǎn)鐘群，第三期首次開啟“雙閣主”模式，以“尋路區(qū)塊鏈”為主題，繼續(xù)帶你探索區(qū)塊鏈發(fā)展之路。

第三期第一場

大于、大象×慢霧團(tuán)隊(duì)

閣主：

大于，經(jīng)濟(jì)學(xué)博士、中國計(jì)算機(jī)學(xué)會(huì)區(qū)塊鏈專業(yè)委員會(huì)委員、區(qū)塊鏈產(chǎn)業(yè)資深研究者。

大象，游離于圈內(nèi)圈外，不明真相的吃瓜群眾、偶爾也明真相的區(qū)塊鏈路人甲。

嘉賓：

慢霧安全團(tuán)隊(duì)，這是由一支擁有十多年一線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)的安全成員創(chuàng)建，團(tuán)隊(duì)曾為Google、微軟、W3C、公安部、騰訊、阿里、百度等輸出過安全能力，團(tuán)隊(duì)多項(xiàng)成果也曾進(jìn)入過Black Hat等全球黑客大會(huì)。慢霧安全團(tuán)隊(duì)已經(jīng)與全球多家知名交易所、數(shù)字資產(chǎn)錢包、主鏈項(xiàng)目合作，為合作伙伴提供安全審計(jì)、安全顧問、防御部署及威脅情報(bào)分享。

前言

上期閣主孫健開場稱贊雙閣主模式非常應(yīng)景世界杯的主持模式，一個(gè)主攻一個(gè)助攻。在傳統(tǒng)節(jié)目“閣主交接儀式”之后，話題正式打開，進(jìn)入訪談環(huán)節(jié)。

本期嘉賓慢霧團(tuán)隊(duì)自稱是一支慢格調(diào)的安全團(tuán)隊(duì)?！奥F”這個(gè)詞取自《三體》，寓意黑暗森林里的安全區(qū)域。那么究竟信仰“守正出奇”的慢霧賦予星星以安全？還是賦予觀者以能力？或者是維護(hù)宇宙的基本平衡呢？

不必過于強(qiáng)調(diào)區(qū)塊鏈技術(shù)，恰如神秘的黑客“自帶奇”。因?yàn)檫@個(gè)這個(gè)世界不存在烏托邦，沒有完美的去中心化。

你還記得關(guān)于以太坊黑色情人事件、USDT“虛假充值”事件、日本CoinCheck交易所被盜事件嗎？好奇最新進(jìn)展嗎？關(guān)心區(qū)塊鏈企業(yè)的安全問題嗎？

在這個(gè)夜黑風(fēng)高的夜晚，神秘的黑客先生會(huì)展現(xiàn)怎樣的一種“超能力”呢？

以下為訪談實(shí)錄整理

▼

上期閣主孫健： 大于 大象新閣主久仰大名啊。傳授心得是瑯琊榜的老傳統(tǒng)，傳新閣主刨根問底大法。這個(gè)是我在上一季的心得。對談關(guān)鍵是走心，挖出嘉賓最想說的不重要，刨出大家最愛看的，才有趣。

很期待無厘頭的大象和正兒八經(jīng)的大于的混搭。

閣主大于：非常感謝寶貴經(jīng)驗(yàn)！我們努力！爭取為各位讀者提供幾道精神大餐！

閣主大象：對，我們的目標(biāo)是沒有蛀牙，開始吧。

主編趙一丹：感謝老閣主傳授武功心得！現(xiàn)在我宣布，第三期正式開場！

Q0

閣主大于：大家晚上好，歡迎收看第三期在線訪談節(jié)目，我是于佳寧（也就是大于），很榮幸能擔(dān)任本期瑯琊榜閣主（之一）。特別歡迎本期瑯琊榜首次受訪嘉賓——慢霧安全團(tuán)隊(duì)。

網(wǎng)絡(luò)安全是一個(gè)技術(shù)性、專業(yè)性很強(qiáng)的領(lǐng)域，天然帶著一定的神秘色彩，在正式訪談開始前，可否請慢霧安全團(tuán)隊(duì)先進(jìn)行一下自我介紹，說說慢霧是怎樣一個(gè)團(tuán)隊(duì)？以前做過什么？現(xiàn)在在做什么？未來還希望做什么？

嘉賓慢霧余弦：慢霧是一支比較喜歡慢格調(diào)的安全團(tuán)隊(duì)，慢霧這個(gè)詞來自科幻《三體》，寓意黑暗森林里的安全區(qū)域。過去十多年我們在安全領(lǐng)域做過不少細(xì)分領(lǐng)域：政企、云、金融等，現(xiàn)在聚集區(qū)塊鏈生態(tài)安全，獨(dú)立一家區(qū)塊鏈生態(tài)安全公司慢霧科技，未來希望跳出安全，創(chuàng)造更大價(jià)值。

閣主大于：很有意思，可否介紹一下慢霧科技的愿景？

嘉賓慢霧余弦：嗯，愿景我用一張圖文來說，這就是慢霧的愿景，比較低調(diào)。

閣主大于：是賦予星星以安全？還是賦予觀者以能力？或者是維護(hù)宇宙的基本平衡？

嘉賓慢霧余弦：如果想了解慢霧更多內(nèi)容，可以后續(xù)看我們的官網(wǎng)。慢霧只想做好一件事：區(qū)塊鏈生態(tài)安全。強(qiáng)調(diào)“生態(tài)”這個(gè)詞，是因?yàn)槲覀冇X得這里面角色很多，安全是環(huán)環(huán)相扣，甚至唇亡齒寒。

閣主大于：很帥氣的官網(wǎng)，清晰明了，值得點(diǎn)開一看，哈哈。

是的，安全問題已經(jīng)不再是某一個(gè)參與者單獨(dú)的問題，而是要從整體生態(tài)層次予以考慮，好，那我們下面進(jìn)入正式的訪談。

Q1

閣主大于：第一個(gè)問題，區(qū)塊鏈的核心是解決信任問題，而安全事件卻一次次打擊人們的信任，尤其是智能合約安全漏洞帶來的巨額損失。目前區(qū)塊鏈行業(yè)總體安全態(tài)勢是怎樣的？

嘉賓慢霧余弦：你們看到各種正規(guī)軍其實(shí)都在陸續(xù)進(jìn)來，這也包括地下黑客群體（也是我們常說的攻擊者），他們遠(yuǎn)比我們想象的職業(yè)。舉個(gè)例子，我們今年3月20號披露的一個(gè)大事件：以太坊黑色情人節(jié)（大家可以打開我們做的專題頁看看），這個(gè)攻擊其實(shí)2016年2月14日就發(fā)生了（這也是為什么我們命名這個(gè)為以太坊黑色情人節(jié)），持續(xù)了兩年多，自動(dòng)化盜取了近5萬枚以太幣，幾十億枚各種代幣。技術(shù)細(xì)節(jié)我們有專門的分析報(bào)告，這里就不談了，但是大家仔細(xì)琢磨下：為什么持續(xù)了兩年多，直到我們的進(jìn)來，才完整披露了呢？如果我們沒披露呢？

以太坊黑色情人節(jié)專題頁我發(fā)兩個(gè)截圖

閣主大于：這還真是一個(gè)令人驚詫的問題。

嘉賓慢霧余弦：然后，似乎有個(gè)錯(cuò)覺，有人說：你們慢霧進(jìn)來后，各種新型攻擊就層出不窮。就好像柯南每集都會(huì)死掉一個(gè)人，這不能怪柯南呀，劇情需要呀。

這些人是沒意識(shí)到：其實(shí)地下黑客正規(guī)軍早進(jìn)來了，我們的進(jìn)來也確實(shí)是時(shí)候，攻防對抗必然會(huì)升級。都說幣圈一天、人間一年，我們的攻防對抗當(dāng)然也是這樣，會(huì)越來越激烈，直到一種平衡。

閣主大于：影響范圍如此廣泛，數(shù)額如此巨大，居然還能持續(xù)如此長的時(shí)間，可見攻防對抗確實(shí)在相當(dāng)長一段時(shí)間內(nèi)處于失衡狀態(tài)，黑客的攻擊居然這么久都沒有被監(jiān)測發(fā)現(xiàn)，這在網(wǎng)絡(luò)安全領(lǐng)域也是難以想象的。

嘉賓慢霧余弦：嗯，這也是我們覺得區(qū)塊鏈這個(gè)世界充滿魔力的原因。

閣主大于：那相比于傳統(tǒng)互聯(lián)網(wǎng)的安全態(tài)勢，區(qū)塊鏈安全有哪些新的特點(diǎn)和趨勢？

嘉賓慢霧余弦：當(dāng)大家關(guān)心幣價(jià)的時(shí)候，也可以回過頭來，琢磨琢磨這些問題。

比起傳統(tǒng)的攻防來說，區(qū)塊鏈生態(tài)會(huì)有自己的特別點(diǎn)，比如幣屬性，自帶金融屬性，攻擊者有時(shí)候不一定要盜走這個(gè)幣，想辦法做空做多就好。

然后這個(gè)生態(tài)里做個(gè)溯源其實(shí)更難，法幣溯源有國家力量，這個(gè)生態(tài)這些幣的溯源，沒什么力量，太分散，大家自掃門前雪，偶爾還會(huì)看到互相嘲諷。

但是我們得意識(shí)到，安全這個(gè)東西，是整個(gè)生態(tài)的事，攻擊者喜聞樂見幣圈的亂，越亂，他們越喜歡，收割起來毫不留情。有句話是：莊家收割韭菜、地下黑客收割莊家。

閣主大于：那區(qū)塊鏈生態(tài)出現(xiàn)安全問題，最嚴(yán)重的情況下會(huì)導(dǎo)致什么后果？

嘉賓慢霧余弦：區(qū)塊鏈生態(tài)安全發(fā)生危險(xiǎn)最嚴(yán)重的就是團(tuán)隊(duì)資金破產(chǎn)及信譽(yù)破產(chǎn)。

但是呢……其實(shí)我們是樂觀的，有時(shí)候安全這東西也沒那么夸張，一個(gè)生態(tài)之所以是生態(tài)，就具備生態(tài)的一個(gè)屬性：自愈能力其實(shí)很強(qiáng)……

閣主大于：從安全角度，您說的生態(tài)的自愈能力應(yīng)該怎么理解呢？

嘉賓慢霧余弦：受損后會(huì)恢復(fù)，生態(tài)的容錯(cuò)性就是這樣。安全這東西，到頭來還是人，人這個(gè)物種就是詭辯、聰明、進(jìn)化。感覺這部分細(xì)節(jié)很難在這展開。

我之所以會(huì)這樣說，是因?yàn)橄氡砻鳎喊踩@東西，有時(shí)候太神秘化不好。

閣主大于：哈哈，有點(diǎn)感受到安全問題的本質(zhì)了。

面對如此錯(cuò)綜復(fù)雜的區(qū)塊鏈安全形勢，我們目前掌握的相對比較有效的應(yīng)對方式有哪些？

這個(gè)問題很重要，所以追問有點(diǎn)多哈。

嘉賓慢霧余弦：最好的應(yīng)對方式是：提高安全感，把安全去神秘化，把黑客去神秘化。

閣主大于：在區(qū)塊鏈?zhǔn)澜缋?，意識(shí)、共識(shí)永遠(yuǎn)是很重要的。

嘉賓慢霧余弦：有句話：無知者無畏；其實(shí)，知者更無畏。

慢霧的做法是開放：我們的安全做法、我們的安全理念，來自區(qū)塊鏈，最終得回到區(qū)塊鏈，你說的：共識(shí)。

閣主大于：您說的這句話我認(rèn)為很重要，可否再多解釋幾句？（慢霧的做法是開放：我們的安全做法、我們的安全理念，來自區(qū)塊鏈，最終得回到區(qū)塊鏈，你說的：共識(shí)。）

群友廠長：基于共識(shí)慢霧愿意做白帽，也服務(wù)于共識(shí)。所以才叫來自區(qū)塊鏈，也回到區(qū)塊鏈。而且開源精神和共識(shí)本就是同根同源。

嘉賓慢霧余弦：比如，我們在我們官網(wǎng)開放了我們安全審計(jì)的一些做法，還有不少，我們都會(huì)陸續(xù)更新。

再比如，我們重度GitHub使用者。我們在我們的GitHub上公開了很多解決方案與研究，你們回頭可以看看。我們覺得安全這東西一定要首先解決信任這個(gè)大問題、

閣主大于：很深刻，這些都是很寶貴的資料哎，之后我們還要仔細(xì)研究和學(xué)習(xí)。

嘉賓慢霧余弦：如果我們的客戶、我們的伙伴對我們不信任，他們不會(huì)和我們合作。如何解決信任：1.開放開源；2.口碑傳播。

閣主大于：精辟！基本有些感覺了。

Q2

閣主大于：第二問，國家信息技術(shù)安全研究中心主任俞克群曾表示，目前區(qū)塊鏈還處在初級階段，風(fēng)險(xiǎn)不僅來自于外部有意的惡意攻擊，也有可能來自區(qū)塊鏈本身體系內(nèi)生的原因。我想問，區(qū)塊鏈本身體系內(nèi)生風(fēng)險(xiǎn)源是什么？區(qū)塊鏈技術(shù)本身存在安全缺陷嗎？

嘉賓慢霧余弦：說實(shí)話這個(gè)問題上下文我沒了解，區(qū)塊鏈技術(shù)本身當(dāng)然存在安全缺陷呀。沒絕對的安全，這也算是我們做安全的基本共識(shí)。

閣主大于：能不能把區(qū)塊鏈本身的安全缺陷再講一講。雖然我想很多朋友可能有所理解，但是理解的有很有可能有偏差，或者不到位。

嘉賓慢霧余弦：好的，我找個(gè)我之前發(fā)的文字片段，稍等。研究區(qū)塊鏈安全的可以參考以太坊漏洞賞金計(jì)劃。

里面對安全的分類有：

-協(xié)議安全

-實(shí)現(xiàn)安全，包括：

1.客戶端協(xié)議實(shí)現(xiàn)安全

2.網(wǎng)絡(luò)安全

3.節(jié)點(diǎn)安全

4.客戶端應(yīng)用安全

5.算法使用安全

6.Solidity語言安全

7.ENS安全

然后還有不少已經(jīng)披露的案例可以供參考，拿到賞金不是件難事。這是我們看到知名公鏈以太坊這個(gè)區(qū)塊鏈本身的安全缺陷類型。供參考，細(xì)節(jié)可以回頭細(xì)聊。

閣主大于：對于安全問題，專業(yè)性很強(qiáng)，您覺得，對于一般的區(qū)塊鏈從業(yè)者而言，應(yīng)該學(xué)習(xí)關(guān)注到什么層次？

嘉賓慢霧余弦：一般的區(qū)塊鏈從業(yè)者，保持空杯心態(tài)吧，至少能保護(hù)好自己的私鑰。

閣主大于：哈哈，這個(gè)建議很中肯，不過做到也不那么容易啊。

嘉賓慢霧余弦：技多不壓身，大家會(huì)看到越來越多攻擊手法被披露，至少保持理解為什么會(huì)這樣。比如前面說的以太坊黑色情人節(jié)事件，為什么為什么為什么會(huì)發(fā)生？

閣主大于：是的，這個(gè)概念的理解還是很重要的，即使不能從代碼層面理解，也要有這種意識(shí)，不過好像學(xué)習(xí)起來真的挺難，沒有看到相對通俗但又權(quán)威系統(tǒng)的學(xué)習(xí)材料。

嘉賓慢霧余弦：本質(zhì)就是以太坊全節(jié)點(diǎn)的私鑰機(jī)制與相關(guān)端口開放的綜合攻擊手法的工程化問題……

有時(shí)候深入挖掘會(huì)發(fā)現(xiàn)這比魔法還魔法，難怪黑客容易被神秘化。

閣主大于：雖然之前做了很多功課，但是看這個(gè)概念，說實(shí)話還是不太明白。

嘉賓慢霧余弦：確實(shí)術(shù)業(yè)有專攻，有門檻。

閣主大于：我覺得以后真的有必要搞一些通俗易懂的區(qū)塊鏈安全科普材料，至少讓大家有基本的認(rèn)識(shí)，才能達(dá)成共識(shí)。

Q3

閣主大于：第三個(gè)問題，歷來人們都對擁有超能力的人有更多的質(zhì)疑，能力越強(qiáng)責(zé)任越大，在區(qū)塊鏈?zhǔn)澜?，慢霧科技其實(shí)上可以認(rèn)為是有“超能力”的公司，我想知道，你們是如何約束自身的“超能力”的？有哪些不可違背的行事原則？除了觀念和文化上的約束，慢霧科技對內(nèi)部成員有怎樣的實(shí)質(zhì)性約束？

嘉賓慢霧余弦：有必要，這問題真好??！

我覺得這首先是價(jià)值觀問題了，我們是職業(yè)做安全，過去十多年，圈子是有口碑的，而且我們很明白該遵守什么規(guī)則，比如我們國家有網(wǎng)絡(luò)安全法。

我一直給團(tuán)隊(duì)共識(shí)我們的紅線，我們在招人時(shí)尤其注意這個(gè)，價(jià)值觀是第一需要考慮的，然后才是其他。還有，我們也和公安相關(guān)部門有合作，在自我約束這方面，我們非常嚴(yán)肅。

我總說：確認(rèn)過眼神，我們一起干事，還不止確認(rèn)過眼神。

我也總說：守正出奇。比如，黑客這個(gè)身份，自帶奇……

但是你得守正，價(jià)值觀一致，還得敬畏法律，敬畏規(guī)則。

群友廠長：好純潔。

閣主大于：文化+制度+監(jiān)管。

嘉賓慢霧余弦：不，純潔這個(gè)詞不適合我們。

閣主大于：守正應(yīng)該是出奇的前提。那讓您選一個(gè)詞來描述慢霧，你會(huì)選擇什么詞？

嘉賓慢霧余弦：好吧，想不到。

閣主大于：其實(shí)如果讓我來想的話，好像也沒有比“守正出奇”更加合適的詞了。

嘉賓慢霧余弦：是這樣，我們也不會(huì)提白帽這個(gè)詞。

閣主大于：白帽這個(gè)概念已經(jīng)越來越深入人心了。

嘉賓慢霧余弦：我們有我們的行事準(zhǔn)則，確實(shí)，守正出奇是最合適的形容。

Q4

閣主大于：第四問，您曾經(jīng)說“這個(gè)社會(huì)不存在完美的去中心化，不存在烏托邦，去中心化+中心化才是區(qū)塊鏈落地的真正未來?！蹦J(rèn)為完全的去中心化不可能嗎？去中心化+中心化指得是一種新的共識(shí)機(jī)制，還是一種治理機(jī)制？

嘉賓慢霧余弦：嗯。完全去中心化不可能，因?yàn)槿诵?，我高中就看《自私的基因》，里面描述了人性非常底層的本質(zhì)行為：利己與利他。

閣主大于：能再具體解釋一下嗎？

嘉賓慢霧余弦：區(qū)塊鏈落地的真正未來，其實(shí)，我并不覺得區(qū)塊鏈技術(shù)有什么需要特別去強(qiáng)調(diào)的，我們應(yīng)該看人類的未來，比如生產(chǎn)關(guān)系與生產(chǎn)力，大趨勢來看（不考慮黑天鵝事件），生產(chǎn)關(guān)系肯定是越來越好（比如區(qū)塊鏈技術(shù)讓信任成本盡可能降低），生產(chǎn)力越來越強(qiáng)。

區(qū)塊鏈并沒什么特別，就好像我一直說黑客沒什么特別。我想表達(dá)的是：我們不必過于強(qiáng)調(diào)。對了，別忘了：區(qū)塊鏈可不僅僅是技術(shù)，還有經(jīng)濟(jì)和政治。

閣主大于：我很同意，技術(shù)永遠(yuǎn)是中性的，只能推動(dòng)既有趨勢而不能根本改變。

所以說，技術(shù)只能強(qiáng)化原有的產(chǎn)業(yè)邏輯和趨勢，比如如果能通過分布式協(xié)作增加效率，那使用區(qū)塊鏈一定是很好的。但是恐怕不能用技術(shù)憑空創(chuàng)造出來不存在的趨勢。

好，我提問的部分就到這里。接下來請另外一位閣主大象提問，也就是要從一本正經(jīng)切換到輕松愉快模式了。雙閣主的模式，嘉賓很辛苦，觀眾很嗨皮。

Q5

閣主大象：我是一名觀察者。

作為觀察者，我觀察到您有一條發(fā)在朋友圈的信息：“我們說慢霧無對手，有投資人估計(jì)當(dāng)我們神經(jīng)病，現(xiàn)在這個(gè)環(huán)境，沒點(diǎn)格局及想象力還真就別出來做事了……不用給我們假設(shè)對手，小龍蝦都沒吃過兩頓的你覺得能談出個(gè)鬼？一個(gè)電話就自以為無敵的，不見……”這句話的感覺，不好說低調(diào)，更像是在說“燕雀安知鴻鵠之志”，所以你覺得如果要成為你的對手，需要哪些條件？

嘉賓慢霧余弦：得罪人。

閣主大象：不會(huì)得罪人的，因?yàn)閷κ挚赡苓€沒誕生……

嘉賓慢霧余弦：這句話其實(shí)有當(dāng)時(shí)的心境。

這個(gè)生態(tài)才剛開始熱鬧，就天天喊打喊殺的，任何事業(yè)想做好都需要有個(gè)馬拉松心態(tài)。

龍典：最近看了一個(gè)電影：《我是誰：沒有絕對安全的系統(tǒng)》感覺黑客特別厲害。

嘉賓慢霧余弦：慢霧的使命是給這個(gè)區(qū)塊鏈生態(tài)帶來安全感。愿景前面也通過了。慢霧是個(gè)慢格調(diào)的公司，不喜歡競爭。

《我是誰：沒有絕對安全的系統(tǒng)》這部電影拍的不錯(cuò)。

群友劉韓：知道創(chuàng)宇、armors應(yīng)該在行業(yè)都是比較領(lǐng)先的吧。

嘉賓慢霧余弦：知道創(chuàng)宇是我老東家。我在老東家做了9年安全，負(fù)責(zé)安全能力。是的，他們很強(qiáng)。我覺得區(qū)塊鏈生態(tài)有它極大的魅力，可玩性其實(shí)很高很高，現(xiàn)在談對手，太早。

Q6

閣主大象：剛才有講到要去神秘化，我們知道暗網(wǎng)是最神秘的組織，匿名交易者在這上面交易毒品、假身份證、火藥還有黑客軟件等被法律禁止的物品。人們通過加密的隱身軟件才能進(jìn)入這個(gè)普通搜索引擎不能發(fā)現(xiàn)的空間，一切交易都通過執(zhí)法人員監(jiān)管不到的虛擬貨幣隱秘進(jìn)行?？梢越o大家科普一下，你們所認(rèn)識(shí)的暗網(wǎng)嗎？

嘉賓慢霧余弦：暗網(wǎng)其實(shí)是個(gè)很泛的概念，里面有太多大大小小的組織或個(gè)人，霍炬這篇科普文章：寫得很好，推薦之后看看。

我題外話說下地下世界現(xiàn)在最有意思的我覺得是門羅幣，但是這個(gè)題外話回頭可以再展開。

閣主大象：講講嘛，不要吊大家胃口……

嘉賓慢霧余弦：門羅幣不小心創(chuàng)造了個(gè)網(wǎng)絡(luò)和平世界，因?yàn)槠銫PU/GPU算力友好，對抗職業(yè)礦機(jī)（比如ASIC芯片）。且門羅是最早的一批，算是匿名幣的龍頭。地下黑客入侵大量服務(wù)器，以前是勒索、竊取機(jī)密，現(xiàn)在大規(guī)模做CPU挖礦。比如一段代碼：（由于代碼太長……已略）

閣主大象：這是科普……

嘉賓慢霧余弦：這里的蠕蟲修補(bǔ)了相關(guān)漏洞入口，殺掉了蠕蟲對手，安全加固了相關(guān)機(jī)制，然后它僅挖礦……不少企業(yè)入侵事件的發(fā)現(xiàn)不是因?yàn)榘l(fā)現(xiàn)蠕蟲，而是發(fā)現(xiàn)服務(wù)器或主機(jī)卡了……這些蠕蟲挖的主要就是門羅。

這樣的挖礦收益高呀，更好的蠕蟲還會(huì)合理利用服務(wù)器資源，讓你還不一定發(fā)現(xiàn)得了。好了先科普這點(diǎn)。

閣主大象：挖門羅幣？感覺詭異，換個(gè)話題。

嘉賓慢霧余弦：嗯，很神奇的世界。

Q7

閣主大象：說回您自己，6月28日晚間，慢霧科技在官方微博上表示，發(fā)現(xiàn)交易所在進(jìn)行USDT充值交易確認(rèn)時(shí)存在邏輯缺陷，導(dǎo)致“假充值真交易”。對此，okex和LBank等平臺(tái)相繼做出回應(yīng)表示，他們已針對該漏洞做出了排查，兩家平臺(tái)均不存在以上漏洞；但由于LBank無法保證其他交易平臺(tái)及USDT整體的安全性，所以決定暫時(shí)關(guān)閉USDT充值。

目前該事件有什么最新進(jìn)展？慢霧最近又發(fā)現(xiàn)了哪些新型且隱秘的攻擊手法？

嘉賓慢霧余弦：關(guān)于USDT“虛假充值”的事件，目前許多交易所也都發(fā)了公告聲明說不存在該問題了，存在該問題的交易所也都獲取了情報(bào)在第一時(shí)間修復(fù)了，目前應(yīng)該已經(jīng)不存在此問題了。

我們披露的基本都是已經(jīng)有攻擊事件發(fā)生的，而不是一個(gè)單純的漏洞，單純漏洞沒意思。

當(dāng)時(shí)我朋友圈發(fā)了段文字：我們一般不披露那些還沒出現(xiàn)攻擊事件的情報(bào)。比如單純漏洞這玩意，擠擠總會(huì)有的，多重磅都可以搞個(gè)出來，沒什么好說，但只要是事件，就代表已經(jīng)發(fā)生，披露我們盡最大努力走負(fù)責(zé)任路線。我們在給甲方做安全時(shí)，會(huì)全面帶入我們的情報(bào)網(wǎng)絡(luò)，這種價(jià)值，似乎還不好量化，但懂的人，會(huì)很感激我們。

其實(shí)我們發(fā)現(xiàn)不少隱秘攻擊，有些還不是時(shí)候披露，我們一般是先通知合作方，修復(fù)后，再想辦法合理披露。

比如這個(gè)#預(yù)警#新型攻擊手法披露：以太坊黑色情人節(jié)事件里已經(jīng)出現(xiàn)的隱蔽攻擊方式！

一次次顛覆許多人的認(rèn)知。這個(gè)過程挺有趣的，就像破案，抽絲剝繭……但是你們知道，不是什么都可以立馬公開談，因?yàn)榧词刮覀兛纯幢救?00人，有攻擊者嗎？你們覺得？你們回頭加我微信，你又能知道我就是我？

群友幣圈小吳：問題以后越來越多。那么實(shí)際上，中心化也未必是壞事。

閣主大于：細(xì)思極恐。

Q8

閣主大象：這讓我想起早前比較大的新聞，今年年初日本CoinCheck交易所被盜近5億美元的新經(jīng)幣（XEM），當(dāng)時(shí)新經(jīng)幣的開發(fā)團(tuán)隊(duì)開發(fā)了自動(dòng)標(biāo)記系統(tǒng)，用來追蹤所有CoinCheck被盜資金。但是，最終被盜的新經(jīng)幣還是被黑客清洗干凈了。安全已然成為區(qū)塊鏈行業(yè)必須重視的話題，那么區(qū)塊鏈企業(yè)自身應(yīng)該采取哪些措施應(yīng)對高發(fā)的區(qū)塊鏈安全問題呢?

嘉賓慢霧余弦：建議其實(shí)好多，簡單說幾個(gè)：1.做好各方面的安全加固；2.找專業(yè)團(tuán)隊(duì)做安全審計(jì)，把專業(yè)的事情交給專業(yè)的人來做；3.共同促進(jìn)生態(tài)安全。

閣主大象：剛才我問了第八問，再追問一句，號稱是可以追溯來源的加密貨幣真的沒有辦法將這些“贓款”鎖定嗎？

嘉賓慢霧余弦：不一定，比如智能合約代幣如果加了鎖機(jī)制，那可以，但這樣你們不覺得很可怕？項(xiàng)目方權(quán)限也太大了吧？

閣主大象：這就是兩難悖論。

Q9

閣主大象：EOS主網(wǎng)上線前夕，360安全團(tuán)隊(duì)公布了EOS的“史詩級”安全漏洞，我們當(dāng)然相信360團(tuán)隊(duì)認(rèn)真負(fù)責(zé)地公布漏洞的態(tài)度。但是部分EOS支持者卻認(rèn)為360做空EOS，周鴻祎借勢入局。我想請問余弦先生，作為一個(gè)擁有“超能力”的黑客，一個(gè)“守正出奇”的黑客，在區(qū)塊鏈行業(yè)從事安全工作遭遇過哪些非議？其中您最不能容忍的指責(zé)是什么？

嘉賓慢霧余弦：好問題。非議多得很，比如前面說的以太坊黑色情人節(jié)事件，我們披露后，有人就留言我：你們盜了不少幣了吧？披露是不是想混淆視聽？你們?yōu)槭裁床槐I幣，披露干什么...

我們沒什么不能容忍的，因?yàn)槲覀兩羁堂靼走@個(gè)世界就是如此;-)

兩本好書：《自私的基因》，《烏合之眾》。

閣主大象：哈哈哈，寬恕。

嘉賓慢霧余弦：沒什么問題是一頓小龍蝦解決不了的，如果有，那就兩頓。

閣主大象：可以，天天來。我最不能解決的問題是小龍蝦為什么要去殼，這么麻煩。

Q10

閣主大象：那繼續(xù)我的第10問？慢霧現(xiàn)在遇到的幾乎所有智能合約的安全問題都是以太坊上的。最近這段時(shí)間頻繁地有團(tuán)隊(duì)爆出智能合約安全問題，例如早期從BEC、SMT爆出的問題，還有最近EDU、BAI的問題。團(tuán)隊(duì)該如何做好風(fēng)控呢？

嘉賓慢霧余弦：很聚焦的問題，安全最佳實(shí)踐早有了，然后上線前請職業(yè)的安全團(tuán)隊(duì)做個(gè)安全審計(jì)，不費(fèi)事。以太坊智能合約——最佳安全開發(fā)指南。

這里，別偷懶，回頭認(rèn)真看。

Q11

閣主大象：第十一問，這是我的個(gè)人愛好，以權(quán)謀私一下。我也很喜歡看《三體》，對水滴印象很深，水滴既是監(jiān)視者又是攻擊者，讓人細(xì)思極恐。在區(qū)塊鏈的發(fā)展中存在這樣的角色么？

嘉賓慢霧余弦：偶爾，我之前反駁過一個(gè)人：你對力量一無所知。這也是我們常說的：上帝視角。凡事都得看具體場景。

閣主大象：補(bǔ)充一句，在我問慢霧科技是干什么的時(shí)候，有人回答我，慢霧既是監(jiān)視者又是守衛(wèi)者……

嘉賓慢霧余弦：謝謝。

閣主大象：一共十一問，OK，我的問題結(jié)束。

嘉賓慢霧余弦：慢霧背后有一支Red Team，以攻促防，只有了解攻擊者的手法與心理還有這個(gè)群體的生存模式，才能真正做好防御。

自由提問環(huán)節(jié)

群友：請問，現(xiàn)在交易所那么多如何看待越來越多的新交易所至少安全角度而言，會(huì)不會(huì)只是個(gè)空架子？

嘉賓慢霧余弦：安全角度，我們覺得這個(gè)生態(tài)沒誰是漂亮的。但是，相對優(yōu)質(zhì)的是有的。而且我們也發(fā)現(xiàn)，其實(shí)普遍來說，區(qū)塊鏈生態(tài)里大家已經(jīng)把安全當(dāng)成必選項(xiàng)了。

群友：能承受這么大的DDOS攻擊和數(shù)據(jù)量嗎，競爭對手惡意攻擊讓這個(gè)生態(tài)更混亂了還是清楚劣質(zhì)交易所呢？

嘉賓慢霧余弦：客觀說，絕大多數(shù)安全性堪憂，擋不住職業(yè)攻擊者。整體來說一切的生態(tài)發(fā)展都是從混亂到正規(guī)。

未來可期。我建議大家搞好自家安全時(shí)，也多促進(jìn)整個(gè)生態(tài)的安全感，這方面需要一些共識(shí)。比如：1.不夸大恐嚇式宣傳；2.不拿安全當(dāng)黑公關(guān)能力去踩對手。大家共同努力吧，也歡迎監(jiān)督我們。謝謝，我準(zhǔn)備吃小龍蝦去了……

群友：問一個(gè)可能比較冒昧的問題：慢霧目前是運(yùn)動(dòng)員還是裁判員呢？會(huì)不會(huì)將來兩者都會(huì)牽涉呢？

嘉賓慢霧余弦：啊，好問題。

我們努力做好區(qū)塊鏈生態(tài)安全這一件事，我上面說的內(nèi)容，也歡迎監(jiān)督。我知道中立其實(shí)很難很難很難，但是我們努力。