SPACEKOL觀點概覽

從技術角度分析了交易所帳戶安全問題，指出通過設置請求頭中的校驗字段可以有效防止 cookie 被盜。

作爲經驗豐富的合約開發者，強調了嚴格的安全策略在資產操作中的必要性，並分享了個人在交易所安全策略上的觀察和體驗。

通過個人經歷講述了被黑客攻擊的過程，提醒大家在使用 web3 錢包時的潛在風險。

作爲安全研究員，分析了對敲交易的機制，並建議用戶在下載瀏覽器插件時注意權限問題，避免潛在的安全風險。

分享了在 Manta負責 researchcontent 的工作經驗，強調了社區在 DAO 治理中的重要性。

在自由討論環節，專家們就以下問題進行了深入探討：

• 個人資產放在錢包還是交易所更安全？大部分嘉賓認爲，這取決於用戶的個人風險偏好、資產規模和交易頻次。錢包提供了最高的安全性，但便利性較低；而交易所雖然便捷，但安全性依賴於其安全體系。
• 如何提高個人資產的安全性？建議包括使用冷熱錢包分離策略、多籤技術、警惕釣魚網站和欺詐信息，以及定期審計帳戶和資產。
• 監管在加密貨幣領域的作用？嘉賓們普遍認爲，適度的監管介入有助於提高資產安全性，尤其是在資產被盜後的追回過程中。

Space精彩回顧

在 5 月 24 日的一起金額高達 500w 的 Web3 用戶資產被盜事件中，黑客在未獲得某交易所帳號密碼及二次驗證信息的情況下，成功盜取了用戶帳戶內所有資金。這起事件的關鍵在於黑客利用了對敲交易和瀏覽器插件的安全漏洞。那其中的對敲交易以及瀏覽器插件爲什麼可以讓盜墓者的目的得以得逞呢？

當事人第一視角事件回顧

我是 17 年入圈的，兩輪牛熊，歸零 5 次。關於這次被盜事件，我並非通過交易所，而是使用了一款 Web3 錢包。

五天前的一個早晨，我離開酒店後瀏覽了我投資的項目官方信息。發現在官方帳號的推文下，有人僞裝成官方補充信息，其用戶名和官方極爲相似------盡管帳號不同。我通常不會隨意領取不明獎勵，但那次卻意外地想要嘗試。回家後，我登入了錢包並復制了一個連結。在錢包瀏覽器中打開連結，頁面上僅有一個"連接錢包"的按鈕。由於我對技術不太熟悉，便認爲這是一個常規操作。連接後，我意識到需要授權才能轉移資產，但當我連接後立刻感覺到了不對勁。我仔細檢查後發現連結名稱有誤，這時我意識到可能遭遇了盜竊。這就是我的整個經歷。謝謝。

問題一：如何保護個人資產免受黑客攻擊？

首先，交易所帳戶和二次驗證機制實際上是爲了獲取用戶的登入狀態，也就是我們熟知的 cookie。通過這種狀態，可以繞過傳統的帳號密碼直接訪問系統，這在網路攻防中很常見。

從技術角度來看，瀏覽器插件擁有極高的權限，能夠訪問網站的所有數據，包括用戶的 cookie。例如，瀏覽器的密碼管理器就是一個插件，能夠利用 JS 代碼將用戶名和密碼輸入到相應的輸入框中，因此它也能夠獲取用戶的 cookie。個人用戶應避免安裝來源不明的瀏覽器插件。如果必須安裝，最好先檢查原始碼，確認沒有可疑的 cookie 抓取函數或關鍵字。

嚴格來說，這並不算是一個漏洞，CVE 也不會將其歸類爲漏洞。但從技術層面上，交易所完全有能力避免因用戶 cookie 泄露導致的帳戶被接管的問題。例如，可以在請求頭中設置一個 token 等校驗字段，用這些校驗字段作爲用戶憑證，而不僅僅依賴 cookie，這樣可以有效地防止 cookie 被盜用。這些是我的一些看法。

技術層面Jim已全面分析，我從策略角度分享我的觀點。國內多家銀行軟件的安全策略嚴格，如在切換屏幕後重新輸入密碼，這在資產操作中尤爲重要。例如，早期的某交易所要求用戶在登入後設置資金密碼，以解鎖短期交易權限，雖然過程繁瑣，但提供了額外的安全保障。然而，隨着交易便捷性的需求增加，某交易所取消了這一策略，這在對敲交易等安全問題上顯得不夠保險。

對敲交易並非新現象，早在 2021 年就有用戶因此類問題遭受損失。這再次提醒我們，中心化交易所的安全策略亟需加強。安全策略的制定應平衡用戶便利性和資產保護，以防止類似對敲交易的事件發生。中心化交易所作爲資產守護的重要一環，必須重視並持續優化其安全機制。

我想補充一下關於交易所資金密碼的重要性。資金密碼可以在一定程度上防止資產被盜。即使黑客通過盜取 cookie 登入了交易所帳戶，沒有資金密碼他們也無法進行交易。

對敲交易是一種常見的手法，黑客可能選擇流動性較低的幣種，通過受害者帳戶掛單，再以自己的帳戶以較低的價格買入，從而將資金轉移到自己帳戶上，造成損失。

此外，我想強調瀏覽器插件的安全性。Chrome 瀏覽器插件權限很大，下載後瀏覽器會提示用戶插件所需的權限。我個人建議，對於任何看起來權限過大或不明確的插件，最好先閱讀權限說明，如果不確定其安全性，應選擇卸載避免使用。這是預防類似安全事件的有效方法。

前面的嘉賓已經覆蓋了很多要點。我想補充的是，首先，我們應該避免下載來源不明的插件，即便某些插件得到了 KOL 的推薦 ，那些國外 KOL 曾經推廣過的我們也要保持警惕。有時，KOL 或者項目方官方可能會發布空投等福利信息，但即便如此，我建議大家還是先耐心等待，不要急於參與。因爲這些信息很可能來自被盜的帳號，發布的是虛假信息。總之，謹慎是關鍵，謝謝大家。

問題二：AI 換臉技術的安全挑戰如何應對？

Deepfake 技術正成爲網路攻擊的一種常見手段。黑產利用這種技術制造假物料，發起批量攻擊，並通過認證繞過手段，如利用缺陷生成假臉，來進行攻擊。

在安全領域，防火牆無法防範這類認證繞過攻擊。例如，某些交易所在用戶忘記密碼後，可能僅依賴單一的人臉認證，缺乏縱深防御體系，這可能導致安全漏洞。在高安全要求的場景下，特別是在設備首次登入或異常環境下，不推薦僅使用 OCR 和人臉認證，而應結合短信等雙因素認證。

對於算法對抗，人臉認證領域的攻防非常激烈，存在衆多變異特徵和工具，不能僅依賴單一算法。我們應建立完整的人臉防御體系，如同支付寶所做的那樣，結合終端安全、體系化算法對抗，並根據當前攻防態勢進行快速響應。

如果個人遇到此類攻擊，排查困難，應立即聯繫交易所報告帳號被盜情況，並盡可能凍結帳戶，修改訪問信息，並啓用雙因素認證。同時，保留相關證據，嘗試追回資產。

Deepfake 技術雖然先進，但生成過程中可能出現 bug，比如面部特徵失真。目前，採用支付寶級別的安全驗證措施，應該足以應對這類問題。然而，從個人防護角度來說，提供具體的防護建議非常困難。

個人信息泄露等問題普遍存在，個人用戶很難獨立防範。我認爲，應該呼籲交易所等機構提高人臉識別的安全性和認證標準，從根本上解決問題，而不是讓用戶自己去研究如何防護。個人防護能力有限，需要安全公司的合作和專業技術的支持，這才是最好的解決方案。

我想從一個普通用戶的角度談談我的看法。雖然及時通知交易所凍結可疑帳戶是一種有效手段，但這種方法並非完美。黑客往往有組織的，他們轉移資產的速度非常快。我親身經歷過這樣的情況，當我的資產被盜後，黑客迅速將資產轉移，等我聯繫交易所凍結對方帳戶時，帳戶裏的資產已經被提空了。

這表明，我們在追回被盜資產時，速度很難跟上黑客。維權過程非常困難，因爲我們往往處於劣勢。

關於 AI 事件，我認爲問題在於交易所的安全設置不足。郵箱安全性相對較低，通常修改密碼需要郵箱驗證碼、手機驗證碼或雙重驗證。然而，該事件中，黑客僅通過上傳身分證和 AI 視頻便繞過了其他安全驗證，顯示出風控措施的缺失。

當安全設置被重置後，交易所應至少在 24 小時內限制相關操作，並將重置狀態通知用戶，以便用戶有足夠的時間做出反應並保護帳戶。但在這個案例中，黑客在 24 小時內就轉移了資產，這是不可接受的。

我還經歷過在某個交易所通過 C2C 購買某穩定幣後，沒有受到任何提幣限制，這存在洗錢風險。目前看來，交易所的風控措施還有待加強。關於被盜資產的追蹤，交易所反應遲緩或要求提供大量材料後才凍結帳戶，這使得追蹤和恢復被盜資產變得極其困難。盡管我們正嘗試與交易所合作溝通，但目前這仍是一個棘手的問題。

我非常贊同之前嘉賓提出的觀點。首先，我認爲交易所應立即修改安全設置，在 24 小時內限制提現操作。此外，將資產存入交易所本身就基於一種安全假設。如果交易所內部有人出賣用戶信息，這實際上很難防範。作爲普通用戶，我們能做的就是保留證據，向交易所申訴並維權，希望能夠得到賠償。

另外，對於普通用戶，包括我自己在內，我建議不要在公共場合或社交媒體上炫耀財富，以免泄露個人信息。例如，我了解到有幣圈朋友在巴釐島旅行時，因爲在路上玩手機被飛車黨搶走手機，並在手機上打開了他的錢包應用，導致資產被盜。因此，我們應該避免在公共場合暴露自己的財務狀況。

還有，之前發生過黑客在線下活動中通過掃碼體驗項目的方式傳播木馬程序的事件。所以，提醒大家在參加各類活動時要保持警惕，不要輕易掃碼或下載不明來源的應用程序。這些都是我們在保護個人資產時需要注意的重要事項。謝謝。

問題三：用戶的個人資產放在錢包更安全，還是交易所更安全

關於資產存儲的選擇，我認爲應依據個人的風險偏好、資產規模和交易頻率來決定。持有私鑰的錢包在安全性上是最高的，盡管可能會犧牲一些便利性。同時，私鑰的管理至關重要，需要防範網絡釣魚等社會工程學攻擊。

對於資產較大且交易不頻繁的用戶，使用錢包可能更合適。而選擇交易所存儲，意味着將私鑰托管給交易所，安全性完全依賴於交易所的安全體系。目前，許多交易所在網路安全和風控體系方面存在不足，缺乏