在刚刚结束的鲸交所见面会厦门站活动现场,特邀演讲嘉宾慢雾科技创始人余弦面对主持人和观众的“灵魂拷问”,以代码审计方、黑客的视角,用专业、有力、幽默的方式,给予了精彩的解答。
以下摘取了慢雾科技创始人余弦与鲸交所CEO俊晶在提问环节时的精彩言论,让我们换个视角来看鲸交所。
提问:鲸交所的代码在你们审计的500多个项目中处于怎样的水平?
余弦:我们合作的时候也很看重项目方的研发实力。在对鲸交所的审计过程中,会特别去看用户资产相关的管理,还有关于签名数据验证等。这些如果做不好,会直接危害到用户资产。还有风控方面,在代码审计上主要指数据或者资产,因为攻防是一个系统化的整体。
鲸交所的审计重点在合约。当时在审计的时候,其实考验还是很大的,单靠一些工具或者算法,比如像现在比较流行的形式化验证,是不够的,还要满足具体的业务场景需求,这是关键。
IMF:数字资产实质规模已不容小觑,足以对其他资产形成外溢风险:2月24日消息,国际货币基金组织(IMF) 在其金融稳定笔记中提到,数字资产作为一种资产类别,其实质规模已经不容小觑,足以对其他资产形成外溢风险,股票的波动与回报受到了比特币的影响。(Foresight News)[2022/2/24 10:12:23]
所以,我们特别在意整个合约的逻辑性,这也是鲸交所合约复杂之处。基本上,用户从授权、充值、提现,包括一些管理和操作,我们都会看,还有一些外部接口等。因为这些接口在合约上,合约在链上,有些工具可以直接标准化。如果这部分风控没有做好的话,我们审计中也会发现。
我们审鲸交所合约花了很长时间,我们拿到审计文档,然后鲸交所团队过来我们这里密切交流,了解业务层的一些设计考虑,即使这样,我们还算是花了一个月的时间,这只是第一期上线前的审计。
公告 | 币安将于7月5日17:00上线MFT:币安将于2018年07月05日17:00上线Mainframe(MFT),并开通MFT/BNB、MFT/BTC、MFT/ETH交易市场。[2018/7/5]
现在鲸交所合约多签,我们是有一票否决权,如果我们发现更新后有安全问题,我们就会否定,不通过。
提问:鲸交所的合约在不断迭代更新,慢雾团队日常是如何监看合约变动的呢?
余弦:我们开发了EOS天眼这个产品,用来监测链上合约的变动,任何用户都可以到我们平台上,订阅你关注的合约,这个合约如果有更新,我们会自动发邮件给你提示。
提问:跨链进展如何?跨链后鲸交所还安全吗?
俊晶:已经全部开发完成!很快将有独家跨链资产首发鲸交所!
余弦:有我们在,当然安全了!
IMF官员:央行正与数字货币进行竞争:据Coinduck消息,国际货币基金组织(IMF)货币与资本市场部副主任何东近日发表题为“数字时代的货币政策”的文章,文章称中央银行目前正在与数字货币市场竞争,央行如果什么都不做将会落后。何东提出央行需要努力的两个方向,分别是:提高竞争优势,如速度;市场监管,如税收。[2018/6/1]
提问:曾有一个关于交易所安全的评分,其中安全最高的是Coinbase,大概80多分,第二名好像是币安40-50分。余弦怎么看这个评分?鲸交所自评有多少分?
余弦:这些评分基本都不靠谱的,考量的指标都比较简单。因为你真的要去评估交易所,如果没有和团队或内部核心开发紧密交流的话,都很难做出客观的评价。
俊晶:打分不太合适,还是请慢雾来评价。对于安全,我认为,一方面是成本投入,一方面是意识。交易所从上之下都要重视。鲸交所与慢雾有过非常深度和密切的交流。
HBTC霍比特交易所与慢雾科技达成安全战略合作:今日,HBTC 霍比特交易所(原BHEX交易所)与慢雾科技达成安全战略合作,双方针对数字货币行业中的底层公链安全研究、链上数据分析、威胁情报同步、OTC 反(AML)等多个环节保持密切合作,共同维护区块链生态安全。
HBTC 霍比特交易所是技术驱动的加密资产交易平台,由火币、OKEx 等 56 家优质资本共同投资,主营币币、合约、OTC、期权、理财等业务,平台上主流币及合约交易拥有行业顶级的流动性和深度。慢雾科技是国内成立最早且国际化的区块链安全公司,主要通过安全审计与防御部署服务了全球许多头部或知名的项目。[2020/4/13]
余弦:我们评价,就不按照分数来了,按照对抗的级别来,可以分为国家级、省级、县级、村级等,很遗憾,没有一家能挡住国家级的。鲸交所至少在省级。
俊晶:关于“国家级”,再补充一句:如果是国家需要,我们捐给国家!不过,大家的资产鲸交所无法触碰,用户自己掌控资产权限,所以用户资产是无法捐出去的啊!
公告 | 慢雾区发布EOS假账号安全风险预警:慢雾区发布EOS假账号安全风险预警称:如果EOS钱包开发者没对节点确认进行严格判断,比如应该至少判断15个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。
攻击示意如下:
1.用户使用某款EOS钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功;
2.用户立即拿这个账号去某交易所做提现操作;
3.如果这个过程任意环节作恶,都可能再抢注aaaabbbbcccc这个账号,导致用户提现到一个已经不是自己账号的账号里。
防御建议:轮询节点,返回不可逆区块信息再提示成功。[2018/7/16]
余弦:慢雾也一样!
提问:今天现场很多都是鲸东,他们都很关心团队的情况。慢雾团队和鲸交所团队有着较长时间合作,应该说是最紧密的伙伴了,因为要去同步审计他们的合约情况。从你的角度来评价,鲸交所是怎样的一个团队?
余弦:我们拜访过鲸交所,之前主要在上海,现在在杭州,对团队感觉战斗力非常强,能力非常强,战略战术的打法很清晰。去鲸交所去看下就能感受到“996”了!
提问:你们审计后一般都会给项目方一个证书进行评价。给鲸交所审计完,你们证书上给的评价是什么?
余弦:那肯定是优秀了!
提问:鲸交所是基于EOS开发的,假如有一条新的公链出来,超越了EOS,你们会怎么做?
俊晶:EOS是当时我们的最优选择,EOS交易免费和TPS高,我们在以太坊根本没法用。我认为,目前的公链中,都不足以支持WEB3.0。
鲸交所从设计之初到现在,我们都保留了迁移的能力。如果有更好的公链,我们会考虑的。我们目前已经有多链资产,不会局限在一个链上。我们的原则是,选择最合适的链,做去中心化的交易所。
提问:关于去中心化交易所的定义,有不同的说法。有的去中心化交易所不碰用户资产,也不通过合约托管。相比现在鲸交所目前的形态来说,哪个更好?
俊晶:从交易所的业务来看,不托管用户资产的这种去中心化交易所,在以太坊上就有的——以德。但以德最终还是小水洼里面的DEX。为什么?
交易所到底是为了去中心化而去中心化?还是一门运营的生意?刚你提到的这种DEX,合约其实很容易,直接部署在EOS上,目前国内外都有。
但交易所是强运营的事情,无法单纯的应用去中心化的技术来实现平台的高速运转和成长。再有,用户使用EOS需要处理CPU、RAM等,这些与用户间的摩擦,是无法让用户留存的。
我们举例鲸矿池,鲸矿池你投入后什么都不用管。其实,在EOS中投票权是随着时间有衰减的,如果是你个人,就需要自己去处理这些来实现利益最大化,而目前我们是平台来做的。一种是放在那不用管的躺赚,一种是需要自己处理操作,你会选择哪个?
这只是DEX的一个细节,还有很多。用户体验好,才能让DEX流行起来。我们选择这种模式,也与愿景有关。
余弦:两个团队互相交流很多,我们审计除了合约外,还有非合约层的代码,包括业务层、风控等。比较惊讶地是,鲸交所对安全的细节很在意。“在意”分为两种,一种是不懂,一种是很懂,知道敬畏,鲸交所属于后者。
合约多签是鲸交所第一个做的,每个版本都需要我们审计的,很少有项目这样做。当然,同时也能看出他们996挺疯狂的。后来我跟他们说,你们也不用不好意思找我们,因为我们是7*24小时的。
在安全方面,鲸交所做的很多,很确定的是,用户的资产绝对是在你们自己这里的。鲸交所官方是没法作恶的,内部出问题也没法作恶,好几个角色在把关。比如说私钥,有人可能担心用鲸交所App私钥在本地保存的,是否能提取出来?这些我们有验证,他们做了很多密码学的加密,破解很难。
还有离线保险箱,他们首创的,防止苹果企业证书掉签,很多安全上的做法,都走在行业最前面,会给同业或其他产品很多启发。慢雾内部有独立团队专门响应鲸交所。
回到提问,关于多少比例是去中心化的,这个意义不大,重要看两点:一是用户资产的权限一定要在你自己这里。二是误操作你的权限丢了怎么处理。这两点上,鲸交所是我们看到做的最好的。至于业务层的平衡,这是很好理解的。
提问:假设鲸交所CEO俊晶有一天要是跑路了,鲸交所的合约、用户资产是否会出问题?
余弦:大家都知道Google有句话:don'tbeevil,鲸交所已经做到了can'tbeevil。
结语
去中心化交易所一定是未来的趋势,而鲸交所已经走在了前列,正在迈向星辰大海,让我们拭目以待!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。