慢霧余弦談鯨交所：安全走在行業最前端_EOS

在剛剛結束的鯨交所見面會廈門站活動現場，特邀演講嘉賓慢霧科技創始人余弦面對主持人和觀眾的“靈魂拷問”，以代碼審計方、黑客的視角，用專業、有力、幽默的方式，給予了精彩的解答。

以下摘取了慢霧科技創始人余弦與鯨交所CEO俊晶在提問環節時的精彩言論，讓我們換個視角來看鯨交所。

提問：鯨交所的代碼在你們審計的500多個項目中處于怎樣的水平？

余弦：我們合作的時候也很看重項目方的研發實力。在對鯨交所的審計過程中，會特別去看用戶資產相關的管理，還有關于簽名數據驗證等。這些如果做不好，會直接危害到用戶資產。還有風控方面，在代碼審計上主要指數據或者資產，因為攻防是一個系統化的整體。

鯨交所的審計重點在合約。當時在審計的時候，其實考驗還是很大的，單靠一些工具或者算法，比如像現在比較流行的形式化驗證，是不夠的，還要滿足具體的業務場景需求，這是關鍵。

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

所以，我們特別在意整個合約的邏輯性，這也是鯨交所合約復雜之處。基本上，用戶從授權、充值、提現，包括一些管理和操作，我們都會看，還有一些外部接口等。因為這些接口在合約上，合約在鏈上，有些工具可以直接標準化。如果這部分風控沒有做好的話，我們審計中也會發現。

我們審鯨交所合約花了很長時間，我們拿到審計文檔，然后鯨交所團隊過來我們這里密切交流，了解業務層的一些設計考慮，即使這樣，我們還算是花了一個月的時間，這只是第一期上線前的審計。

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

現在鯨交所合約多簽，我們是有一票否決權，如果我們發現更新后有安全問題，我們就會否定，不通過。

慢霧：Solana公鏈上發生大規模盜幣，建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息，據慢霧區情報，Solana公鏈上發生大規模盜幣事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤分析：

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻擊仍在進行，從交易特征上看，攻擊者在沒有使用攻擊合約的情況下，對賬號進行簽名轉賬，初步判斷是私鑰泄露。不少受害者反饋，他們使用過多種不同的錢包，以移動端錢包為主，我們推測可能問題出現在軟件供應鏈上。在新證據被發現前，我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置，等待事件分析結果。[2022/8/3 2:55:22]

提問：鯨交所的合約在不斷迭代更新，慢霧團隊日常是如何監看合約變動的呢？

聲音 | 慢霧：警惕“假充值”攻擊:慢霧分析預警，如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷，可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS，而且這些 EOS 可以進行正常交易。

慢霧安全團隊已經確認真實攻擊發生，但需要注意的是：EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似，更多責任應該屬于平臺方。由于這是一種新型攻擊手法，且攻擊已經在發生，相關平臺方如果對自己的充值校驗沒有十足把握，應盡快暫停 EOS 充提，并對賬自查。[2019/3/12]

余弦：我們開發了EOS天眼這個產品，用來監測鏈上合約的變動，任何用戶都可以到我們平臺上，訂閱你關注的合約，這個合約如果有更新，我們會自動發郵件給你提示。

提問：跨鏈進展如何？跨鏈后鯨交所還安全嗎？

金色財經獨家采訪 慢霧科技：此次EOS漏洞是真實存在的并且可信度非常高:今日，360表示EOS網絡存在漏洞，對此，金色財經獨家采訪了慢霧科技，慢霧科技表示：這個漏洞本身是存在的并且可信度非常高，而且是可以直接拿到EOS超級節點服務器的權限，360所描述的史詩級漏洞，這種表述不過分。360沒有披露漏洞細節是可以理解的，此次漏洞是在EOS網絡上發布的惡意智能合約，該智能合約可以同步到區塊鏈網絡上，每個超級節點都會同步。這個惡意的智能合約會導致合約的虛擬機被穿透，打穿虛擬機到服務器，從而控制服務器。EOS 超級節點攻擊有幾個入口P2P 端口、RPC 端口、惡意智能合約、服務器與集群等其他缺陷、人員安全缺陷。此次漏洞是第三點從智能合約對區塊鏈網絡進行的攻擊。[2018/5/29]

俊晶：已經全部開發完成！很快將有獨家跨鏈資產首發鯨交所！

余弦：有我們在，當然安全了！

提問：曾有一個關于交易所安全的評分，其中安全最高的是Coinbase，大概80多分，第二名好像是幣安40-50分。余弦怎么看這個評分？鯨交所自評有多少分？

余弦：這些評分基本都不靠譜的，考量的指標都比較簡單。因為你真的要去評估交易所，如果沒有和團隊或內部核心開發緊密交流的話，都很難做出客觀的評價。

俊晶：打分不太合適，還是請慢霧來評價。對于安全，我認為，一方面是成本投入，一方面是意識。交易所從上之下都要重視。鯨交所與慢霧有過非常深度和密切的交流。

余弦：我們評價，就不按照分數來了，按照對抗的級別來，可以分為國家級、省級、縣級、村級等，很遺憾，沒有一家能擋住國家級的。鯨交所至少在省級。

俊晶：關于“國家級”，再補充一句：如果是國家需要，我們捐給國家！不過，大家的資產鯨交所無法觸碰，用戶自己掌控資產權限，所以用戶資產是無法捐出去的啊！

余弦：慢霧也一樣！

提問：今天現場很多都是鯨東，他們都很關心團隊的情況。慢霧團隊和鯨交所團隊有著較長時間合作，應該說是最緊密的伙伴了，因為要去同步審計他們的合約情況。從你的角度來評價，鯨交所是怎樣的一個團隊？

余弦：我們拜訪過鯨交所，之前主要在上海，現在在杭州，對團隊感覺戰斗力非常強，能力非常強，戰略戰術的打法很清晰。去鯨交所去看下就能感受到“996”了！

提問：你們審計后一般都會給項目方一個證書進行評價。給鯨交所審計完，你們證書上給的評價是什么？

余弦：那肯定是優秀了！

提問：鯨交所是基于EOS開發的，假如有一條新的公鏈出來，超越了EOS，你們會怎么做？

俊晶：EOS是當時我們的最優選擇，EOS交易免費和TPS高，我們在以太坊根本沒法用。我認為，目前的公鏈中，都不足以支持WEB3.0。

鯨交所從設計之初到現在，我們都保留了遷移的能力。如果有更好的公鏈，我們會考慮的。我們目前已經有多鏈資產，不會局限在一個鏈上。我們的原則是，選擇最合適的鏈，做去中心化的交易所。

提問：關于去中心化交易所的定義，有不同的說法。有的去中心化交易所不碰用戶資產，也不通過合約托管。相比現在鯨交所目前的形態來說，哪個更好？

俊晶：從交易所的業務來看，不托管用戶資產的這種去中心化交易所，在以太坊上就有的——以德。但以德最終還是小水洼里面的DEX。為什么？

交易所到底是為了去中心化而去中心化？還是一門運營的生意？剛你提到的這種DEX，合約其實很容易，直接部署在EOS上，目前國內外都有。

但交易所是強運營的事情，無法單純的應用去中心化的技術來實現平臺的高速運轉和成長。再有，用戶使用EOS需要處理CPU、RAM等，這些與用戶間的摩擦，是無法讓用戶留存的。

我們舉例鯨礦池，鯨礦池你投入后什么都不用管。其實，在EOS中投票權是隨著時間有衰減的，如果是你個人，就需要自己去處理這些來實現利益最大化，而目前我們是平臺來做的。一種是放在那不用管的躺賺，一種是需要自己處理操作，你會選擇哪個？

這只是DEX的一個細節，還有很多。用戶體驗好，才能讓DEX流行起來。我們選擇這種模式，也與愿景有關。

余弦：兩個團隊互相交流很多，我們審計除了合約外，還有非合約層的代碼，包括業務層、風控等。比較驚訝地是，鯨交所對安全的細節很在意。“在意”分為兩種，一種是不懂，一種是很懂，知道敬畏，鯨交所屬于后者。

合約多簽是鯨交所第一個做的，每個版本都需要我們審計的，很少有項目這樣做。當然，同時也能看出他們996挺瘋狂的。后來我跟他們說，你們也不用不好意思找我們，因為我們是7*24小時的。

在安全方面，鯨交所做的很多，很確定的是，用戶的資產絕對是在你們自己這里的。鯨交所官方是沒法作惡的，內部出問題也沒法作惡，好幾個角色在把關。比如說私鑰，有人可能擔心用鯨交所App私鑰在本地保存的，是否能提取出來？這些我們有驗證，他們做了很多密碼學的加密，破解很難。

還有離線保險箱，他們首創的，防止蘋果企業證書掉簽，很多安全上的做法，都走在行業最前面，會給同業或其他產品很多啟發。慢霧內部有獨立團隊專門響應鯨交所。

回到提問，關于多少比例是去中心化的，這個意義不大，重要看兩點：一是用戶資產的權限一定要在你自己這里。二是誤操作你的權限丟了怎么處理。這兩點上，鯨交所是我們看到做的最好的。至于業務層的平衡，這是很好理解的。

提問：假設鯨交所CEO俊晶有一天要是跑路了，鯨交所的合約、用戶資產是否會出問題?

余弦：大家都知道Google有句話：don'tbeevil，鯨交所已經做到了can'tbeevil。

結語

去中心化交易所一定是未來的趨勢，而鯨交所已經走在了前列，正在邁向星辰大海，讓我們拭目以待！

Tags：EOSSTASTAKStakingIEOs WinStarship DogeSTAK幣staking幣圈

OKB