行走笔记：区块链网络安全治理圆桌（一）哪些领域是黑客攻击的重点

科技是一把双刃剑，在区块链技术创新发展的同时，也伴随着背后一系列的违法犯罪以及重大的网络安全事件。链上的白帽和安全公司不断的与黑客进行斗智斗勇，而链下的警方也是重拳出击，打击违法犯罪活动，保护公民的合法财产及权益。

本篇笔记来自7月24日杭州世界区块链大会创新融合与区块链安全治理论坛。这场圆桌的主题是“区块链网络安全治理”。为我们带来圆桌论坛的嘉宾有来自刑侦队伍的资深专家，有专业的计算机安全专家和法律专家，他们将围绕安全治理展开深度对话。笔记会分三期输出。

以下，Enjoy：

圆桌主持人：《财经》区块链频道链新主编 朱星

圆桌嘉宾：浙江省公安厅刑侦总队区块链犯罪课题研究负责人 徐昱

无极实验室首席研究员 史金涛

派盾创始人兼CEO 蒋旭宪

北京市中伦律师事务所律师 谭天

主持人：我来币圈也好几年了，没有赚到钱的原因还是挺多的。看巴比特对我们这场圆桌的宣传是我们几位嘉宾是正义者联盟。

我想先请各位嘉宾介绍一下自已是从事什么的，为什么大家在炒币或者做投资的时候，需要有这样一群人在背后守候我们的资产？

浙江省公安厅 徐昱：我是浙江省公安厅刑侦总队的民警徐玉。今天会和大家交流一些区块链安全相关的问题。我自己是从事了多年的新型涉网犯罪、打击、研判、研究的工作，也接触了很多区块链相关的犯罪案件。

我来到现场时，很多人会关心我会在现场讲些什么。其实我作为一名刑警，不会更多讨论监管相关问题，我会更多关心案件和安全相关的问题。

我们在平时对案件研判的过程中，也和行业内的一些企业有着非常良好的沟通和互动。那希望更多的从业者可以关心、关注区块链犯罪相关的案件。希望和大家有一个非常良好的互动。

无极实验室 史金涛：无极实验室是一家聚焦于区块链情报、区块链安全、区块链链上犯罪研究的机构。

我们团队包括我在内，大多数来源于传统的信息安防领域。我们这个行业之前大多数的工作是聚焦在传统信息安全领域的攻防对抗、安全建设。来到区块链行业之后几年的时间里，算是亲历了从区块链安全攻防态势，到犯罪趋势的变化。

派盾 蒋旭宪：派盾是一家专注区块链安全的公司，我们是一家创业公司，成立有三年时间了。

北京中伦律师事务所 谭天：我们律师事务所是1993年成立的，目前是国内规模最大的律师事务所之一。我们从2015年开始，就针对区块链相关的一些法律监管和法律合规问题进行研究。也为很多企业、项目提供了法律方面的一些咨询，包括合规的法律建议和法律服务。巴比特也是我们提供法律顾问的单位之一。

主持人：想先问蒋总一个问题。你演讲中提到BTC分为受监管的和不受监管的。你是怎么定义它的？

派盾 蒋旭宪：我们在交易所之间提币的时候，特别是从国内交易所提到国外交易所的时候，我们的报告里专门分析了这一部分币的流向。而且我们的预估还是相当的保守的。因为国外有的交易所是受到国外监管的，所以我们认为是在跨境的规模上、资金流量上来说是属于未受监管的规模。但BTC是去中心化的，大家可以有自己的钱包，所以钱可能转到自己的个人钱包中。这个时候至少是没有算在监管范围之内的。也因为这样的原因，我们希望对全球各大交易所都做相应的地址递要性的画像，追踪、分析。我们对各大全球各大交易所之间的资产规模、余额情况，是实时的做项目追踪的。

主持人：问徐警官一个问题。公安部公布了一个数据，涉及到灰产的，包括各种诈骗的，进来赌博的虚拟货币的团体，在今年上半年已经端掉了2.4万人，打掉了380个团伙。

我想知道您办的一些案子或者具体了解的案子，在涉及区块链或者加密资产的时候，它有哪些特点？或者我们在行业中从业，无论是投资也好，还是从业也好，应该避开哪些坑？

浙江省公安厅 徐昱：对投资者而言，首先要知道，有很多新的区块链相关的案件发生，它的趋势和传统犯罪的趋势是一样的。几年以前更多的犯罪是线下的盗窃、抢夺、抢劫，但是随着电子支付以及互联网的发展，往往抢不到、偷不到现金了。同时，随着路面的监控以及人像识别技术不断的发展，传统的犯罪越来越少。在三、四年前，线上的犯罪已经超过了线下的犯罪。

区块链这个领域也是类似的。几年之前更多的是使用区块链作为一个工具去进行犯罪，比如说洗钱。但现在的区块链犯罪侵害的客体更多是区块链生态本身。

主持人：下面的问题是问做安全方面的公司的。您了解目前关于黑客攻击的或者接触的一些案子，有哪些手段？或者未来可能会有哪些新的手段出来，我们要进行防控的？

无极实验室 史金涛：黑客的攻击手段要根据面对的不同的角色，攻击手段是不一样的。我分成三个不同的任务角色来聊：

1、首先是针对中心化机构。比如一些交易所，一些私募基金。最大的威胁或者黑客常用的手段依然还是来自于传统的信息安全；

传统信息安全领域的攻防对抗，在区块链行业依然会存在而且到目前为止我认为是最大的一个挑战。从18年年底到19年年初，截止到2020年有大量的专业化机构，尤其是交易所，包括我知道的可能还有一些私募基金，都在受到各种黑客的攻击。而且这些黑客的攻击开始逐渐变得国际化，甚至于某些组织是有商业化的运作模式的。甚至有一些背后还有国家的势力存在。

这种情况下我们感觉明显攻防势力就不对等了。背后的攻击团队是一个很专业化的团队，但是防守的力量，首先区块链行业比较新；另外这方面的人才也比较少。明显就属于防护方被压制的状态；

2、第二方面是来自于链上的安全。比如双花或者假充值。

中心化的机构可能遇到的双花攻击会比较多。根据无极实验室目前大概追踪了一年多的情况来看，我们现在定位到一个专门做双花攻击的团队。这个团队的成员大多来自于东欧，他们有着非常丰富的经验来干这些事情。同时他们还有很强的资源，包括资产。包括他们自己有矿场来干这样的事情。

除了双花攻击，还有针对传统链上的攻击，包括对token、智能合约、最近比较火的Defi的黑客攻击。攻击的方式大多数是去寻找链底层或者是token、智能合约里本身存在的一些业务逻辑的漏洞。或者合约本身编码不规范的时候可以被利用的一些漏洞。

这方面因为技术比较新，同时防护的时候，大家去写代码的时候的编码规范，包括开发团队对金融领域的认知还不够透彻。这是第二个方面。

3、第三个是对于普通用户的攻击。黑客对普通用户的攻击手法普遍聚焦在钓鱼和诈骗这两个层面上。

大概从18年开始，原来的一些钓鱼的手段纷纷都用到了区块链行业里。原来是在传统行业怎么钓，在区块链行业还是怎么钓。搞一些什么活动，假的空投，甚至于告诉你要去投资一个什么样的东西。有可能你进去之后就再也出不来了。你想要利息，人家要你的本金。

主持人：蒋总刚也盘点了2021年上半年的很多黑客攻击事件。你觉得接下来哪些领域可能会成为黑客攻击的重点领域？我们做投资或者做企业的需要着重关注哪些？

派盾 蒋旭宪：在回答这个问题之前，我想接着刚才嘉宾的发言说几句。我们看到的问题可能会跟你的角度稍微有点不一样。我们看到了新的一些工具发展的趋势，更多的是链上、链下的融合，尤其是给勒索软件，提供了很好的一种变现渠道和通道。

包括因为区块链这样的新兴行业，在早期发展的时候，跑路、诈骗算是很有市场的，确实规模也是很大的。

另外一方面我们看到在信息工具里，尤其在新兴的Defi协议，从去年夏天开始开始一年以来它的变化情况来看，DeFI协议的攻击者都是很有准备的，不仅是协议漏洞的利用，还包括跨链资产的转移，混币服务的使用，一连串的操作，一般攻击发生之后，钱在半小时之内已经洗得干干净净了。这是给监管带来很大挑战的地方。

尤其是那些没有自动化的工具来辅助进行分析的时候，防范攻击的难度就变得非常大。

回到问题。我建议如果是真的对这个领域感兴趣的，首先千万不要拿身家性命去投资。要拿你能承受损失的金额基础上，然后多做一些相关的监调。不要相信所谓的专家、内部人士