Btok X Beosin 大咖直播AMA——Web3钱包安全与科普
自我介绍:大家好,我是Beosin的安全研究员Eaton。目前在Beosin从事智能合约,用户安全相关的研究工作。今天很高兴和大家相聚在Btok。
Beosin介绍:Beosin 是一家致力于守护全球 Web3 生态的区块链安全公司,总部位于新加坡,团队有 100 多位成员分布在世界各地,其中 40 多位成员拥有博士及以上的学历,在安全领域拥有 20 年的从业经验。业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品 + 服务,目前已为全球 2000 多个区块链企业提供安全技术服务,审计智能合约超过 3000 份,保护客户资产高达 5000 多亿美元。
Btok介绍:Btok 专注于区块链世界,是一个集社交、媒体、金融、Web3 应用为一体的新一代区块链社交 APP。 自 2017 年创立以来,已走过6年多的历程,作为一个Web3 社交平台,为用户提供社交、资讯、去中心化数字身份(DID)、数字代币红包空投、资产存储等多种功能和服务。现如今推出去中心化钱包和社交型聚合交易,更将为社群用户提供更便捷的一站式加密货币解决方案,大大降低用户进入WEB3世界的门槛,让用户轻松管理WEB3.0投资组合,发现最新的投资机遇。
Q1:目前区块链钱包的种类和区别
钱包,作为 Web3.0 的入口,一直是各项目方和投资人非常关注的赛道。目前钱包主要分为冷钱包,热钱包,MPC钱包和智能合约钱包。
冷钱包是将私钥存储在未连接到因特网的设备中的钱包,常见的冷钱包就是我们平时提到的硬件钱包。冷钱包因为离线保存私钥,很难被恶意软件入侵或窃取,其安全性要高于热钱包。但冷钱包提取资金比较麻烦,并且存储在冷钱包的资产与DeFi相关的收益机会如质押收益无缘。
热钱包是一种用于存储私钥的软件,在连接到互联网的计算机上运行。常见的热钱包为metamask小狐狸钱包。因为热钱包连接到互联网,资产可以按需提取并与区块链项目交互,比较方便。缺点是因为私钥触网,那么私钥比较容易被钓鱼攻击/恶意软件获取导致资产被盗。热钱包私钥被盗的安全事件几乎每个月都有发生,每次的损失在几万到百万美金。
MPC钱包是目前区块链行业中重点发展的一个钱包种类。MPC全称Multi-Party Computation,即多方计算,在不泄露参与方的隐私输入和输出的前提下让多方合作计算任意函数。MPC钱包,是通过对私钥进行多方计算在链下实现“多签“、”跨链“等等更复杂的验证方式。简单来说,就是将一个私钥打碎成多片,将私钥碎片交与一个去中心化的网络进行计算和加密。当需要私钥签名时,则将多方的私钥碎片再拼接起来形成一个完整的私钥。MPC钱包的核心思路为分散私钥以达到分散风险的目的,有效避免了私钥泄露的问题。其缺点是目前MPC算法并没有标准化,也没有得到硬件设备厂商的原生支持,大多是单独定制产品。而且许多MPC库和解决方案都不是开源的,因此如果MPC钱包出现问题,区块链安全公司很难进行安全事故分析。
智能合约钱包是类似钱包的智能合约,其本质上是一个运行链上,允许用户管理资金、登录web3并与dapp交互的智能合约。与私钥钱包不同,智能钱包的创建需要花费gas部署到链上。像多签钱包就是一种智能合约钱包。智能合约钱包的优点在于可拓展性。智能合约钱包可以在钱包的基础上创建一个模块生态系统,用户可以选择将这些模块添加到自己的钱包中,为NFT借贷、DAO投票和非托管资产管理服务等新功能创建一个应用程序商店,同时还可以兼容当前的各类钱包。其缺点是交易费用较高,目前无法与不可升级的合约兼容,且非EVM的链需要定制开发。
Q2:Btok Wallet解决的问题是什么,与其它钱包相比有什么优势和特点
Btok Wallet解决的是当前Web3用户进入门槛高,钱包体验繁琐的问题。Btok作为一款安全可信赖的非托管、去中心化的 Web3 钱包,通过 VSS(verifiable secret sharing) 算法、多重加密及多重验证协议,用户无需备份助记词只需要记住密码即可轻松登录和恢复钱包,最大程度简化用户操作门槛。
此外,Btok钱包对所有数据进行加密存储,用户钱包的助记词加密以后存储于本地 KeyStore 中,并通过二次验证以及签名确认机制,增强用户钱包安全性和使用安全。
Q3:Btok Wallet是如何实现安全性的
1. 采用MPC技术中的VSS密钥分享算法以排除单点故障,没有哪个人或者项目方可以单独控制钱包和签署交易。即使用户这边丢失了部分私钥信息也无需担心资产损失。
2. 对钱包数据进行加密存储,私钥信息只存储在本地。
3. Btok钱包不会在设备内存中记录用户的密码
4. 开启二次验证以增强安全性
Btok Wallet——安全可信赖的非托管、去中心化WEB3钱包,降低用户的使用门槛,增强易用性,同时,以最高的安全性保护您的数字资产是Btok Wallet的使命。
Q4:Btok Swap的优势和特点
Btok Swap 是 Web3 社交聚合交易,提供一站式去中心化加密货币交易解决方案。对于用户来说,优势有以下3点。
1. 便捷高效。用户只需要连接钱包,在 Btok 任意群组内即可使用聚合交易功能,实现代币快速查找和一键交易,这大大简化了用户参与交易的步骤,无需让用户在多个APP甚至切换客户端进行代币交易。
2. 以最优的价格成交。Btok Swap作为聚合交易平台,汇集了区块链中尽可能多的各种代币的流动性及最新的报价。用户可以以最优的价格交易任何他们想交易的资产,实现最优价格的高效成交。
3. 去中心化。Btok swap完全去中心化,用户通过钱包发起交易,对自己的资产有100%的所有权。
对于项目方来说,优势有以下两点:
1. 增加大量曝光,提高项目代币交易转化率。项目方可以在群组内的聚合交易页面设置默认交易币种,用户打开交易页面最先看到的将是项目方的代币,以此获得海量曝光。
2. 增加项目代币流动性。通过增加曝光吸引更多用户和聚合交易提高代币的流动性。
Btok Swap——开创Web3社交聚合交易,提供一站式去中心化加密货币交易解决方案。用户只需要连接钱包,在Btok任意群组内即可使用聚合交易功能,实现代币快速查找和一键交易。
相比于传统的DEX交易,Btok Swap更加便捷、高效和简单 。用户在Btok群组内即可使用聚合交易功能,只需要连接钱包,即可快速交易代币。Btok Swap简洁明了的操作界面和操作流程,能够用户带来更好的交易体验,同时能够让用户更加灵活的进行交易和管理
Q5:Swap时需要注意的安全事项
首先要注意的是授权风险。对于类似erc20的代币,用户直接从钱包地址向目标合约转账,合约是接收不到的。因此在swap时需要授权dex中的swap合约去直接调取用户钱包中的资产,这就让一些dex的合约有了过大的权限去转移用户的资产。所以对于未经审计的合约,用户应当非常小心地考虑是否授权以及授权多少额度给合约。Btok Swap已通过Beosin的安全审计,大家可以放心使用。
其次是swap时夹子机器人的攻击。普通用户可以选择以下方法来避免被夹:
1. 调高gas,将滑点调低。这样可以将夹子机器人抢跑所获得的利润降至最低,甚至没有利润,那么夹子机器人便不会抢跑你的交易。
2. Dex与支持Flashbot 服务的矿工合作,直接向合作的矿工广播交易,而不向公共内存池广播交易。这样夹子机器人无法获取你的待确认的交易信息以抢跑你的交易。但这样通常需要用户支付额外的手续费给Dex,所以请大家自行选择防夹方案。
这里的建议是交易金额不大的话,调高gas,将滑点调低即可。如果交易金额较大,对流动性池子的价格影响较大,请选择与支持 Flashbot 服务的矿工合作的dex。
Q6:常见的代币合约漏洞有哪些
最常见的是整数溢出,重入攻击和权限问题。整数溢出发生的原因是因为寄存器能表示的数值位数有限,当存储的数值大于能表示的最大范围后,数值发生溢出,或称为反转。最大值溢出会变成最小值,最小值溢出会变成最大值,导致合约执行结果与预期结果不匹配。
重入攻击是在合约调用其它合约的过程中,当某一合约调用仍在执行时,用另一合约调用该合约,导致某些函数被重复执行。
权限问题主要是对资金权限和函数调用权限的设置错误。黑客可以通过外部调用函数来攻击合约,一些rugpull的项目方可以通过设置权限来转移合约中的代币甚至是用户钱包中的代币。前几天zksync上的Merlin dex就是项目方自身的权限过高,最后卷款跑路。
对于一些通缩山寨币,它们可能会在以下逻辑中出现问题:
通缩代币通常为holder提供激励,从交易者扣除代币转移到holder手中。在这一过程的代码逻辑中有多个参数,如果设置不对或是可以被外部调用更改,那么通缩代币会被黑客套利,最后归零,所以大家要小心通缩代币的风险。具体有关通缩代币的风险可以查看Beosin的这篇安全文章https://coinmarketcap.com/community/articles/64045b1f8ad5f32ca85df433/
还有一些复杂的合约业务逻辑漏洞不在今天的讨论范围内,业务逻辑漏洞是因项目而异,无法找到规律,只能通过安全审计专家进行人工审计才有可能发现。
Q7:Btok未来的发展规划:还会有什么新产品推出?
Btok与Beosin将深入战略合作。Beosin将结合多年来服务全球顶级企业的经验为Btok提供专业和全面的安全技术支持,Beosin将提供恶意网站地址库与KYT的API接口给Btok,保证Btok用户在社交过程和交易过程的安全,共同优化Btok wallet用户体验。
Beosin EagleEye 使用 AI 构建分析模型,通过自动检测合约安全状态,监控链上运行状态、实时交易行为,自动识别异常交易,全面评估项目安全运行状态。EagleEye 将帮助Btok及其合作的项目方及时预警诸如闪电贷攻击、套利交易、可疑大额转账等风险,提供 7x24 小时的安全服务。
此外,Beosin Alert防钓鱼工具也将集成在Btok Wallet中,帮助用户识别恶意网站,避免用户遭受私钥泄漏和资产损失。
目前,Btok Swap正在进行合伙人计划招募,Btok Swap合伙人计划初步招募 100 位认同Btok Swap价值观和使命,愿意推广Btok Swap的合伙人。Btok Swap致力于为全球用户提供数字资产钱包聚合交易的快速渠道。身为计划的一员,Btok将为您提供群组聚合交易上币服务、账号管理和结算系统等功能。
成为Btok Swap合伙人您不仅可以完全专注于业务发展,同时可以利用Btok的流量入口和市场深度获取。
若您的项目想参与合伙人计划,请填写本表单:https://biyongsg.mikecrm.com/MEx4nD2
Last updated