Шифрування безпеки експерт Чжоу Яцзин говорить про безпеку Блокчейн
Ведучий: Алекс, партнер по дослідженням
Гість: Чжоу Яцзін, генеральний директор деякої компанії з безпеки Блокчейн
Час запису: 2025.3.28
Заява: Обговорення в цьому випуску подкасту не відображає поглядів установи, до якої належать гості, а згадані проекти не є інвестиційними порадами.
Сфера послуг та цільова аудиторія деякої безпекової компанії
Алекс: У цьому випуску ми поговоримо про безпеку в світі шифрування. Як побудувати вогневу стіну для своїх активів - це обов'язковий курс перед початком подорожі в шифруванні. Сьогодні ми запросили Чжоу Яцзина з певної компанії з безпеки Блокчейн, щоб обговорити цю тему шифрувальної безпеки. Будь ласка, привітайте нас, пане Чжоу.
Чжоу Яцзинь: Всім привіт, я Чжоу Яцзинь, в даний час я є генеральним директором однієї з безпекових компаній, а також я дослідник в галузі безпеки кіберпростору в Університеті Чжецзян, радий вас усіх бачити.
**Alex:**Гаразд, давайте перейдемо до справи. Будь ласка, пане Чжоу, спочатку розкажіть про вашу компанію, які послуги ви надаєте, хто може стати вашими клієнтами.
Чжоу Яцзинь: Добре, ми є компанією з безпеки Web3, заснованою в 2021 році. Наш бізнес можна поділити на три основні частини. Перший сегмент стосується безпеки на блокових протоколах, ми надаємо послуги з безпеки та моніторингу. Другий сегмент зосереджений на безпеці активів, захищаючи активи користувачів у гаманцях та протоколах. Третій сегмент - це відповідність та регулювання, ми допомагаємо традиційним фінансовим установам відповідати регуляторним вимогам під час входження в Crypto-індустрію.
Наші клієнти мають широкий спектр. По-перше, це розробники та проекти, які розгортають смарт-контракти в мережі, ми надаємо їм послуги з безпечного аудиту та моніторингу. По-друге, це заможні клієнти, які володіють великою кількістю шифрування активів, ми допомагаємо їм контролювати безпеку інвестиційних протоколів. Третя категорія - це регулятори, такі як Комісія з цінних паперів і ф'ючерсів Гонконгу та деякі правоохоронні органи, яким потрібні наші інструменти для розслідування злочинів, пов'язаних із цифровою валютою.
Про три поради щодо шифрування безпеки
Алекс: Якщо у вас є друзі, які тільки-но увійшли в сферу шифрування, які три поради щодо безпеки шифрування ви б їм дали?
Жоу Яцзин: Першою порадою є захист приватних ключів. Приватний ключ — це рядок цифр, який, якщо загубити або витікати, дозволяє іншим контролювати ваші кошти. Я рекомендую записати мнемонічну фразу приватного ключа і зберігати її в сейфі, не користуючись нею регулярно. У повсякденному використанні, використовуйте спеціалізований надійний пристрій (, наприклад, апаратний гаманець або телефон ) для зберігання приватного ключа.
Друга порада - це усвідомлення безпеки під час торгівлі на Блокчейн. Пам'ятайте, що на небі пиріжків не падає. Багато людей, включаючи відомих особистостей у сфері, зазнали фішингових атак. Якщо незнайомий сайт просить вас підключити гаманець для отримання аердропу, будьте обережні.
Третя порада - зрозуміти основи шифрування активів, особливо механізми авторизації. У світі шифрування ви можете надати активи контракту або іншим користувачам за допомогою підпису. Будьте особливо обережні при підписанні підписів гаманця, щоб уникнути помилкового підписання авторизаційних транзакцій.
Власний досвід атаки соціальних інженерів
**Alex:**Ви можете пояснити, що таке "соціальна інженерія"?
Жоу Яцзин: Соціальна інженерія — це повна назва атаки соціальної інженерії, яка використовує не технічні засоби, а методи атаки, розроблені на основі ваших робочих звичок, міжособистісних стосунків, обов'язків на роботі тощо. Я можу поділитися одним випадком, який я пережив особисто.
Як генеральний директор компанії, я часто отримую запрошення на участь у заходах та контакти від інвестиційних установ. Одного разу, особа, яка представилася інвестиційною установою, зв'язалася зі мною через корпоративну електронну пошту, сказала, що хоче обговорити інвестиційні можливості. Хоча ми проводимо перевірку, ця установа виглядала досить респектабельно. Під час домовленості про відеоконференцію вони не надали посилання на зустріч, а ближче до часу зустрічі надіслали посилання з вимогою завантажити програмне забезпечення. Якщо через поспіх без обережності встановити його, це може призвести до крадіжки приватного ключа з комп'ютера.
Ця атака використовує мою позицію та робочі обов'язки, а також психологію терміновості в створенні можливостей перед зустріччю. Це типовий випадок соціальної інженерії.
з принципами безпеки під час взаємодії з Блокчейн-протоколом
Alex: Які принципи безпеки потрібно дотримуватися під час взаємодії з DeFi протоколами? Як звичайні користувачі можуть знизити ризики?
Жоу Яцзін: По-перше, потрібно провести перевірку проектної команди. Дослідити фон засновників, перевірити, чи пройшов проект аудит у провідних компаній з безпеки. По-друге, використовувати поступовий спосіб інвестування, не вкладати велику суму відразу. Для користувачів з великими обсягами фінансування рекомендується використовувати професійні засоби безпеки для моніторингу ризиків вкладених угод.
Для звичайних користувачів основна мета полягає в запобіганні ризикам фішингу. Не вірте в твердження, що на вас падають пиріжки з неба, під час взаємодії потрібно підтверджувати, що це офіційний веб-сайт, а не підроблений. Можна використовувати безпечні інструменти для виявлення фішингових сайтів.
Крім того, потрібно регулярно перевіряти та скасовувати невикористовувані дозволи. Ми виявили, що багато користувачів надали дозволи десяткам протоколів, з яких чимало вже неактивні, що може становити загрозу безпеці.
Стан і потенціал індустрії безпеки Блокчейн
**Alex:**Який наразі розмір, стан розвитку та рівень прибутків у сфері безпеки Блокчейн?
Жоу Яцзин: Згідно з деякими звітами та оцінками, річний обсяг ринку безпеки Блокчейн становить приблизно 3 мільярди доларів, що все ще є досить малим у порівнянні з традиційною галуззю кібербезпеки обсягом 100 мільярдів доларів. Це пов'язано з стадією розвитку всього Блокчейн-індустрії.
Наразі розвиток галузі стикається з деякими перешкодами, TVL з найвищого піку у 177 мільярдів доларів знизився до приблизно 99 мільярдів доларів. Але ми також бачимо новий потенціал, а саме, що традиційні фінансові установи входять у цю сферу. Наприклад, традиційні банки випускають стейблкоїни на блокчейні, а платіжні компанії підтримують платежі в криптовалютах тощо.
З огляду на приєднання традиційних фінансових установ та відповідність галузі, я вважаю, що в майбутньому в індустрії безпеки Блокчейн ще є великий простір для розвитку.
Рів для компанії з безпеки
**Alex:**Які, на вашу думку, основні фактори конкурентної переваги провідних компаній з безпеки?
Жоу Яцзинь: Я вважаю, що є три аспекти:
Бренд і довіра. Аудит безпеки має високі вимоги до впізнаваності бренду, провідні компанії все ще знаходяться в стані дефіциту.
Інноваційні технології безпеки. Окрім аудиту, також потрібні рішення безпеки, які можуть охоплювати весь життєвий цикл смарт-контрактів, такі як моніторинг та блокування атак.
Вимоги до відповідності, регулювання та геополітичні фактори. Розвиток галузі повинен відбуватися в рамках регуляторних вимог, тому важливо заздалегідь планувати продукти та послуги в цій сфері. Одночасно, різні регіони можуть мати геополітичні міркування при виборі постачальників.
**Alex:**Дуже дякую Чжоу Яцзіну за сьогоднішню доповідь, сподіваюсь, що в майбутньому буде ще можливість поговорити про більше пов'язані теми.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
7
Репост
Поділіться
Прокоментувати
0/400
0xSoulless
· 3год тому
невдахи а невдахи захист від кого
Переглянути оригіналвідповісти на0
FallingLeaf
· 22год тому
Чув про цю компанію, їхні можливості непогані.
Переглянути оригіналвідповісти на0
Web3ExplorerLin
· 08-09 07:38
гіпотеза: хоча безпека залишається важливою, чи не є справжнім філософським парадоксом те, що абсолютна безпека заперечує суть децентралізації web3?
Переглянути оригіналвідповісти на0
ServantOfSatoshi
· 08-08 06:16
Коли невдахи будуть масово обірвані, чи потрібна ще безпека?
Переглянути оригіналвідповісти на0
ApeWithAPlan
· 08-08 06:08
Молоді люди повинні бути раціональними. Грати з монетами і все. Чому це так професійно?
Жоу Яцзин розкриває безпеку Web3: захист закритого ключа, соціальна інженерія та ризики інвестицій у децентралізовані фінанси
Шифрування безпеки експерт Чжоу Яцзин говорить про безпеку Блокчейн
Ведучий: Алекс, партнер по дослідженням
Гість: Чжоу Яцзін, генеральний директор деякої компанії з безпеки Блокчейн
Час запису: 2025.3.28
Заява: Обговорення в цьому випуску подкасту не відображає поглядів установи, до якої належать гості, а згадані проекти не є інвестиційними порадами.
Сфера послуг та цільова аудиторія деякої безпекової компанії
Алекс: У цьому випуску ми поговоримо про безпеку в світі шифрування. Як побудувати вогневу стіну для своїх активів - це обов'язковий курс перед початком подорожі в шифруванні. Сьогодні ми запросили Чжоу Яцзина з певної компанії з безпеки Блокчейн, щоб обговорити цю тему шифрувальної безпеки. Будь ласка, привітайте нас, пане Чжоу.
Чжоу Яцзинь: Всім привіт, я Чжоу Яцзинь, в даний час я є генеральним директором однієї з безпекових компаній, а також я дослідник в галузі безпеки кіберпростору в Університеті Чжецзян, радий вас усіх бачити.
**Alex:**Гаразд, давайте перейдемо до справи. Будь ласка, пане Чжоу, спочатку розкажіть про вашу компанію, які послуги ви надаєте, хто може стати вашими клієнтами.
Чжоу Яцзинь: Добре, ми є компанією з безпеки Web3, заснованою в 2021 році. Наш бізнес можна поділити на три основні частини. Перший сегмент стосується безпеки на блокових протоколах, ми надаємо послуги з безпеки та моніторингу. Другий сегмент зосереджений на безпеці активів, захищаючи активи користувачів у гаманцях та протоколах. Третій сегмент - це відповідність та регулювання, ми допомагаємо традиційним фінансовим установам відповідати регуляторним вимогам під час входження в Crypto-індустрію.
Наші клієнти мають широкий спектр. По-перше, це розробники та проекти, які розгортають смарт-контракти в мережі, ми надаємо їм послуги з безпечного аудиту та моніторингу. По-друге, це заможні клієнти, які володіють великою кількістю шифрування активів, ми допомагаємо їм контролювати безпеку інвестиційних протоколів. Третя категорія - це регулятори, такі як Комісія з цінних паперів і ф'ючерсів Гонконгу та деякі правоохоронні органи, яким потрібні наші інструменти для розслідування злочинів, пов'язаних із цифровою валютою.
Про три поради щодо шифрування безпеки
Алекс: Якщо у вас є друзі, які тільки-но увійшли в сферу шифрування, які три поради щодо безпеки шифрування ви б їм дали?
Жоу Яцзин: Першою порадою є захист приватних ключів. Приватний ключ — це рядок цифр, який, якщо загубити або витікати, дозволяє іншим контролювати ваші кошти. Я рекомендую записати мнемонічну фразу приватного ключа і зберігати її в сейфі, не користуючись нею регулярно. У повсякденному використанні, використовуйте спеціалізований надійний пристрій (, наприклад, апаратний гаманець або телефон ) для зберігання приватного ключа.
Друга порада - це усвідомлення безпеки під час торгівлі на Блокчейн. Пам'ятайте, що на небі пиріжків не падає. Багато людей, включаючи відомих особистостей у сфері, зазнали фішингових атак. Якщо незнайомий сайт просить вас підключити гаманець для отримання аердропу, будьте обережні.
Третя порада - зрозуміти основи шифрування активів, особливо механізми авторизації. У світі шифрування ви можете надати активи контракту або іншим користувачам за допомогою підпису. Будьте особливо обережні при підписанні підписів гаманця, щоб уникнути помилкового підписання авторизаційних транзакцій.
Власний досвід атаки соціальних інженерів
**Alex:**Ви можете пояснити, що таке "соціальна інженерія"?
Жоу Яцзин: Соціальна інженерія — це повна назва атаки соціальної інженерії, яка використовує не технічні засоби, а методи атаки, розроблені на основі ваших робочих звичок, міжособистісних стосунків, обов'язків на роботі тощо. Я можу поділитися одним випадком, який я пережив особисто.
Як генеральний директор компанії, я часто отримую запрошення на участь у заходах та контакти від інвестиційних установ. Одного разу, особа, яка представилася інвестиційною установою, зв'язалася зі мною через корпоративну електронну пошту, сказала, що хоче обговорити інвестиційні можливості. Хоча ми проводимо перевірку, ця установа виглядала досить респектабельно. Під час домовленості про відеоконференцію вони не надали посилання на зустріч, а ближче до часу зустрічі надіслали посилання з вимогою завантажити програмне забезпечення. Якщо через поспіх без обережності встановити його, це може призвести до крадіжки приватного ключа з комп'ютера.
Ця атака використовує мою позицію та робочі обов'язки, а також психологію терміновості в створенні можливостей перед зустріччю. Це типовий випадок соціальної інженерії.
з принципами безпеки під час взаємодії з Блокчейн-протоколом
Alex: Які принципи безпеки потрібно дотримуватися під час взаємодії з DeFi протоколами? Як звичайні користувачі можуть знизити ризики?
Жоу Яцзін: По-перше, потрібно провести перевірку проектної команди. Дослідити фон засновників, перевірити, чи пройшов проект аудит у провідних компаній з безпеки. По-друге, використовувати поступовий спосіб інвестування, не вкладати велику суму відразу. Для користувачів з великими обсягами фінансування рекомендується використовувати професійні засоби безпеки для моніторингу ризиків вкладених угод.
Для звичайних користувачів основна мета полягає в запобіганні ризикам фішингу. Не вірте в твердження, що на вас падають пиріжки з неба, під час взаємодії потрібно підтверджувати, що це офіційний веб-сайт, а не підроблений. Можна використовувати безпечні інструменти для виявлення фішингових сайтів.
Крім того, потрібно регулярно перевіряти та скасовувати невикористовувані дозволи. Ми виявили, що багато користувачів надали дозволи десяткам протоколів, з яких чимало вже неактивні, що може становити загрозу безпеці.
Стан і потенціал індустрії безпеки Блокчейн
**Alex:**Який наразі розмір, стан розвитку та рівень прибутків у сфері безпеки Блокчейн?
Жоу Яцзин: Згідно з деякими звітами та оцінками, річний обсяг ринку безпеки Блокчейн становить приблизно 3 мільярди доларів, що все ще є досить малим у порівнянні з традиційною галуззю кібербезпеки обсягом 100 мільярдів доларів. Це пов'язано з стадією розвитку всього Блокчейн-індустрії.
Наразі розвиток галузі стикається з деякими перешкодами, TVL з найвищого піку у 177 мільярдів доларів знизився до приблизно 99 мільярдів доларів. Але ми також бачимо новий потенціал, а саме, що традиційні фінансові установи входять у цю сферу. Наприклад, традиційні банки випускають стейблкоїни на блокчейні, а платіжні компанії підтримують платежі в криптовалютах тощо.
З огляду на приєднання традиційних фінансових установ та відповідність галузі, я вважаю, що в майбутньому в індустрії безпеки Блокчейн ще є великий простір для розвитку.
Рів для компанії з безпеки
**Alex:**Які, на вашу думку, основні фактори конкурентної переваги провідних компаній з безпеки?
Жоу Яцзинь: Я вважаю, що є три аспекти:
Бренд і довіра. Аудит безпеки має високі вимоги до впізнаваності бренду, провідні компанії все ще знаходяться в стані дефіциту.
Інноваційні технології безпеки. Окрім аудиту, також потрібні рішення безпеки, які можуть охоплювати весь життєвий цикл смарт-контрактів, такі як моніторинг та блокування атак.
Вимоги до відповідності, регулювання та геополітичні фактори. Розвиток галузі повинен відбуватися в рамках регуляторних вимог, тому важливо заздалегідь планувати продукти та послуги в цій сфері. Одночасно, різні регіони можуть мати геополітичні міркування при виборі постачальників.
**Alex:**Дуже дякую Чжоу Яцзіну за сьогоднішню доповідь, сподіваюсь, що в майбутньому буде ще можливість поговорити про більше пов'язані теми.
**周亚金:**Дякую, Alex.