邓永凯：盗币事件频发，你的数字资产真的安全吗？

imToken 是一款全球领先的区块链数字资产管理工具[ZB]，帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产，同时支持去中心化币币兑换功能 ...

安排小灵儿

由 Ear 制作

4月22日，耳朵财经邀请了灵石科技CEO邓永凯在耳朵财经区块链长征社区进行分享，原文如下：

大家下午好，我是灵石科技的邓永凯，很高兴今天下午能和大家分享一些关于区块链安全的知识。

首先简单介绍一下我们深圳市灵实科技有限公司，简称灵实科技，是一家专注于区块链生态应用安全的务实创新型网络安全公司。我们的业务涵盖了交易平台、钱包、链安、智能合约等区块链生态基础设施的各个环节，以及数字货币跟踪追溯和反洗钱业务。感兴趣的用户欢迎与我们交流。

零时技术简介

我们今天的话题是关于数字货币的安全性。我们应该如何保管手中的数字货币？如何投资才能让自己的数字货币更加安全，避免损失？

可能大家都知道区块链安全，区块链世界对于安全的需求非常强烈，安全攻击或者黑客盗窃事件几乎每天或者每时每刻都在发生。

近期区块链安全事件分析

近两个月，大大小小的区块链安全事件已经超过三十起，我们每个月都会跟踪区块链安全事件，主要包括一些交易所、钱包、Defi项目、个人钱包、数字货币诈骗等，而安全事件频发的原因，大多是因为用户自身的安全防护不够到位、安全意识不强。

交易所安全方面imToken，近期有Fcoin事件，OKex、币安DDOS攻击事件，交易所经常遭受攻击，2月份意大利某交易所因热钱包被盗损失大量数字货币。钱包方面，项目方钱包、交易所热钱包、个人用户钱包等大部分私钥被盗，导致大量数字资产损失。

最近一个很火的话题就是 DeFi 安全，包括上周日借贷平台 Lendf.Me 被黑客攻击，损失近 2500 万美元。这次被盗的主要原因是合约的安全性，是合约的设计缺陷，黑客利用重入漏洞滚雪球般地盗取了借贷平台的数字货币。

另外一个问题是个人安全意识的缺失，包括一些第三方托管平台被盗导致个人钱包私钥丢失，比如一个多月前，著名鲸鱼账户“ ”丢失了钱包里的1547个BTC和近6万个BCH，损失巨大。

在网络世界中，各种恶意攻击几乎每天、每时每刻都在发生，包括对个人钱包、交易平台、合约的攻击，因此用户在保障资产安全方面面临诸多问题和挑战。

硬币盗窃

我先分享第一个问题：我们的币放在交易所安全吗？或者说如果我们的币放在交易所，什么情况下会被盗？

其实在加密货币的世界里，绝大多数用户都是将自己的币存放在交易所的。那么如何才能保证自己的资产安全，防止被盗取呢？这时候我们就需要考虑交易所的一些安全措施以及相关情况。

如果用户将数字资产放在交易所，建议大家选择知名的交易所，比如火币、OKex等实力雄厚的交易所，有背书能力或者能抵御小规模的攻击。

将资产存放到交易所后，建议你开启两步验证，比如auth或者2faimtoken官方下载，并开启异常登录提醒。当然前提是你存放的第三方交易所有这个功能，如果没有，建议你不要存放。

个人账户同样可能被黑客入侵，我们收到不少用户因私钥被盗导致数字货币丢失的报告，例如社交网络的互联网信息泄露、个人遭受的钓鱼攻击、上网时的水坑攻击、PC和手机中的木马病毒等都可能导致钱包被黑客入侵。

如果将数字货币存放在交易所，主要看交易所是否足够安全。比如交易所被黑客攻击，或者交易所内部出现亏损跑路，用户的资产也会遭受相应的损失。另外，在缺乏监管和透明的标准和法规的情况下，用户只能靠自己，第三方平台无法保证你的币的绝对安全。

交易所可以采取的保护措施

因为很多用户把币存在交易所，从企业责任的角度，如何加强防护，让交易所更安全，让用户的资产更安全？其实安全是一个动态的过程，任何场景下都没有绝对的安全，也从来没有哪个机构或交易所说自己是100%安全的。

安全的核心在于攻防对抗，一切安全防御都是为了提高黑客攻击的成本，而且交易所面临的风险是多样的，并不存在单点问题。

如果发生传统的网络攻击，会出现核心业务的安全问题，包括合约问题，而最难防范的是内部攻击和高级APT攻击。

目前交易所被盗或被黑的案例，大多是高级渗透测试和APP钓鱼攻击造成的。黑客其实时刻都在盯着你的机构，而大多数交易所对于来自地下组织的黑客攻击，是无法防御的。比如黑客利用高级钓鱼，层层渗透，长期潜伏，一段时间后拿到你的私钥，盗取你交易所钱包里的币。在这个层面上，大多数交易所是没有防御能力的。

交易所面临的风险是多样、多维度的，这里主要说几点：交易所应该做好的安全防护，比如产品上线前的安全审计；新业务或新功能上线时定期做安全测试；生产环境包括网络要有专业的安全防护体系，比如云安全防护、内部生产环境和办公网络的APT攻击预警、风险管控体系等。

安全风控系统通过平台的交易数据进行建模分析，然后自动识别异常交易和正常交易。如果发现异常交易，可以及时发出警告和拦截，减少资金损失，或者可以对接第三方反洗钱系统。凌实科技也拥有这样的反洗钱系统和数据接口。

在前两天的借贷平台被盗事件中，如果合约中有一个风控机制，有一个一键开启和停止功能，如果发现异常交易，可以及时锁定合约中的交易，减少大额转账带来的损失。

此外，交易所需要有完善的钱包安全解决方案，比如常见的冷热分离、去中心化多重签名等；也可以在社区发布此类漏洞赏金，动员社区白帽子进行漏洞挖矿；还可以第一时间获取安全威胁情报。

灵石科技有区块链安全威胁情报中心，我们和耳朵财经有合作，大家可以下载耳朵财经APP第一时间关注行业最新的安全情报，这些安全情报可以在一定程度上提前阻断一些新的漏洞，一些新的攻击方式，提前预警可以减少黑客攻击带来的不必要的损失。

我丢失了我的硬币，可以找回吗？

下一个问题是：如果我丢失了代币怎么办？可以找回它们吗？

根据数据调查，越来越多的人逐渐将数字货币从交易平台提现到自己的钱包。这里最核心的问题是，如果我们的数字货币管理不善，被盗、丢失、转移错误，怎么找回？我们经常会收到用户的这样的反馈，下面举个例子。

此前有用户反映，自己记不住助记词，就放在了网盘里，有一天登录钱包时发现钱包里30万BTC不见了。我们根据他的情况进一步了解，最终发现他的网盘之前被别人登录过，密码也被改了，对方复制了他网盘里的助记词，恢复了钱包，把数字货币转走了。他当时并不知情，后来才发现自己的数字货币不见了。

但结果是好的，他反映情况后，我们跟踪他的钱包，发现黑客多次将数字货币转移到交易所，而交易所的地址在外网并没有标注，通过我们系统特有的分析方法，发现该地址就是交易所地址，我们联系他们后，他们也证实该地址就是他们的钱包地址。随后该用户联系第三方资产鉴定机构和监管机构，通过交易所取回了自己的数字货币。

还有一次，一个用户把十多万USDT转错了地址，一直拿不回来币，他找到我们，当时因为币被转错了地址，导致这个地址没有立刻成交，我们把它放到了我们的监控系统中，过了一周，这个地址上的币突然被转到OKex交易所，我们提示他联系OKex交易所，最后通过提交工单的方式，把这部分数字货币拿回来了。

无论是平台账号被盗、助记词被盗、币转错地址、钱包密码遗忘等情况，并非每一种情况下的数字货币都是可以找回的，这取决于您通知我们丢失币种的时间以及当时的情况，才可以一定程度上避免损失。

如果你把币放在银行账户，然后被转走了，你不会及时看到通知，这时候你不知道你的资产全部被转走了或者被盗了。如果你把钱包地址绑定到我们的监控平台，我们会第一时间通知你钱包动态。我们之前监控到过一个恶意洗钱操作，我们花了8个小时才在区块链浏览器上看到这笔交易，但我们的监控第一时间发现了，并尽力挽回了你的损失。

如果资产被盗，我们可以进行追踪，一旦到达某个交易平台，就可以联系相关司法鉴定机构对资产进行评估，并配合安保机构通过技术手段进行追回。

当然，并不是每一枚丢失或被盗的币都能被找回，这取决于你的币丢失或被盗的具体情况，必须尽快联系专业的安全团队，获取更多信息，以便追踪溯源，进而进行资产识别。我们可以提供技术指导，你也可以选择报警。

如果盗币的人是个笨贼，留下很多线索，找回的几率会大一些，如果他是惯犯，或者手段高明，找回的几率就小一些。这个需要具体情况具体分析，但我们一定会用技术手段和数据，尽可能的帮助用户减少或者挽回损失。

如何保护我们的个人数字资产？

最后，个人用户应该如何最安全地存储我们的数字货币？

如果你是刚接触区块链的新用户或者持币量不大的用户，建议你将资产托管在知名的全球交易平台，并开启二次认证和登录保护。如果你对区块链有一定的了解，对数字货币市场有比较好的了解，那么去中心化钱包是更好的选择，但一定要选择国际知名的钱包。

选择去中心化钱包存储数字货币时，请离线备份助记词，尽量多备份。使用实体介质存储，尽量不要上网。保存助记词时，一定要确保复制正确。如果资金量较大，对安全性要求比较高，可以选择知名的硬件钱包或者专业的资产托管商。

助记词被盗用的情况比较常见，所以如果你个人保存了助记词，不要对私钥和助记词进行截图，尽量不要上网。比如不要把助记词发到网盘，不要通过邮件传输，不要发到社交软件，这些都是非常危险的行为。

如果是日常使用，可以把一些币放在热钱包，如果是大额的数字货币，可以放在知名的硬件冷钱包，如果对安全级别要求较高，可以申请加密账户进行存储。

最后，最重要的是大家要提高个人网络安全意识。比如尽量不要在社交网络上留下一些个人真实用户信息，下载软件时尽量从官方渠道下载，遇到邮件中不熟悉的附件不要随便点击。提高个人上网安全能很大程度上保障资产安全。

关于交易所的安全检测和防护指南，包括我们个人网络安全意识指南，我们官方微信公众号有一系列的文章，大家可以关注和了解。比如，我们会从各个方面详细讲解交易所到底存在哪些安全问题；我们应该如何加强交易所的安全检测和安全加固；个人用户应该从哪些方面提高安全意识；哪些地方容易受到攻击和黑客攻击；从各个方面进行详细介绍，提高我们的安全防护能力。

我们近期还会推出企业级区块链安全审计与防护书籍，以及用户如何提升个人网络安全意识的书籍，大家可以关注我们的官方消息并在市场上购买。

安全是一个动态的过程，也是一个攻防的过程，没有绝对的安全，也没有100%安全的项目或公司，随着业务的发展，也会引入新的安全问题，每个职业都有自己的专长，无论是机构还是个人，都需要提高网络安全意识，加强网络安全防范。

若出现数字货币丢失或者机构项目平台遭受攻击等情况，请及时联系我们，我们将尽力帮助您减少或挽回资金损失。

私钥在手，资产就在手，希望大家都能找到适合自己的方式来管理自己的私钥，也希望各项目方、交易所都更不容易受到黑客的攻击。

今天的分享就到这里，非常感谢大家抽出时间来讨论区块链和数字货币的安全性！