SPACEKOL观点概览

从技术角度分析了交易所账户安全问题，指出通过设置请求头中的校验字段可以有效防止 cookie 被盗。

作为经验丰富的合约开发者，强调了严格的安全策略在资产操作中的必要性，并分享了个人在交易所安全策略上的观察和体验。

通过个人经历讲述了被黑客攻击的过程，提醒大家在使用 web3 钱包时的潜在风险。

作为安全研究员，分析了对敲交易的机制，并建议用户在下载浏览器插件时注意权限问题，避免潜在的安全风险。

分享了在 Manta负责 researchcontent 的工作经验，强调了社区在 DAO 治理中的重要性。

在自由讨论环节，专家们就以下问题进行了深入探讨：

• 个人资产放在钱包还是交易所更安全？大部分嘉宾认为，这取决于用户的个人风险偏好、资产规模和交易频次。钱包提供了最高的安全性，但便利性较低；而交易所虽然便捷，但安全性依赖于其安全体系。
• 如何提高个人资产的安全性？建议包括使用冷热钱包分离策略、多签技术、警惕钓鱼网站和欺诈信息，以及定期审计账户和资产。
• 监管在加密货币领域的作用？嘉宾们普遍认为，适度的监管介入有助于提高资产安全性，尤其是在资产被盗后的追回过程中。

Space精彩回顾

在 5 月 24 日的一起金额高达 500w 的 Web3 用户资产被盗事件中，黑客在未获得某交易所账号密码及二次验证信息的情况下，成功盗取了用户账户内所有资金。这起事件的关键在于黑客利用了对敲交易和浏览器插件的安全漏洞。那其中的对敲交易以及浏览器插件为什么可以让盗墓者的目的得以得逞呢？

当事人第一视角事件回顾

我是 17 年入圈的，两轮牛熊，归零 5 次。关于这次被盗事件，我并非通过交易所，而是使用了一款 Web3 钱包。

五天前的一个早晨，我离开酒店后浏览了我投资的项目官方信息。发现在官方账号的推文下，有人伪装成官方补充信息，其用户名和官方极为相似------尽管账号不同。我通常不会随意领取不明奖励，但那次却意外地想要尝试。回家后，我登录了钱包并复制了一个链接。在钱包浏览器中打开链接，页面上仅有一个"连接钱包"的按钮。由于我对技术不太熟悉，便认为这是一个常规操作。连接后，我意识到需要授权才能转移资产，但当我连接后立刻感觉到了不对劲。我仔细检查后发现链接名称有误，这时我意识到可能遭遇了盗窃。这就是我的整个经历。谢谢。

问题一：如何保护个人资产免受黑客攻击？

首先，交易所账户和二次验证机制实际上是为了获取用户的登录状态，也就是我们熟知的 cookie。通过这种状态，可以绕过传统的账号密码直接访问系统，这在网络攻防中很常见。

从技术角度来看，浏览器插件拥有极高的权限，能够访问网站的所有数据，包括用户的 cookie。例如，浏览器的密码管理器就是一个插件，能够利用 JS 代码将用户名和密码输入到相应的输入框中，因此它也能够获取用户的 cookie。个人用户应避免安装来源不明的浏览器插件。如果必须安装，最好先检查源代码，确认没有可疑的 cookie 抓取函数或关键字。

严格来说，这并不算是一个漏洞，CVE 也不会将其归类为漏洞。但从技术层面上，交易所完全有能力避免因用户 cookie 泄露导致的账户被接管的问题。例如，可以在请求头中设置一个 token 等校验字段，用这些校验字段作为用户凭证，而不仅仅依赖 cookie，这样可以有效地防止 cookie 被盗用。这些是我的一些看法。

技术层面Jim已全面分析，我从策略角度分享我的观点。国内多家银行软件的安全策略严格，如在切换屏幕后重新输入密码，这在资产操作中尤为重要。例如，早期的某交易所要求用户在登录后设置资金密码，以解锁短期交易权限，虽然过程繁琐，但提供了额外的安全保障。然而，随着交易便捷性的需求增加，某交易所取消了这一策略，这在对敲交易等安全问题上显得不够保险。

对敲交易并非新现象，早在 2021 年就有用户因此类问题遭受损失。这再次提醒我们，中心化交易所的安全策略亟需加强。安全策略的制定应平衡用户便利性和资产保护，以防止类似对敲交易的事件发生。中心化交易所作为资产守护的重要一环，必须重视并持续优化其安全机制。

我想补充一下关于交易所资金密码的重要性。资金密码可以在一定程度上防止资产被盗。即使黑客通过盗取 cookie 登录了交易所账户，没有资金密码他们也无法进行交易。

对敲交易是一种常见的手法，黑客可能选择流动性较低的币种，通过受害者账户挂单，再以自己的账户以较低的价格买入，从而将资金转移到自己账户上，造成损失。

此外，我想强调浏览器插件的安全性。Chrome 浏览器插件权限很大，下载后浏览器会提示用户插件所需的权限。我个人建议，对于任何看起来权限过大或不明确的插件，最好先阅读权限说明，如果不确定其安全性，应选择卸载避免使用。这是预防类似安全事件的有效方法。

前面的嘉宾已经覆盖了很多要点。我想补充的是，首先，我们应该避免下载来源不明的插件，即便某些插件得到了 KOL 的推荐 ，那些国外 KOL 曾经推广过的我们也要保持警惕。有时，KOL 或者项目方官方可能会发布空投等福利信息，但即便如此，我建议大家还是先耐心等待，不要急于参与。因为这些信息很可能来自被盗的账号，发布的是虚假信息。总之，谨慎是关键，谢谢大家。

问题二：AI 换脸技术的安全挑战如何应对？

Deepfake 技术正成为网络攻击的一种常见手段。黑产利用这种技术制造假物料，发起批量攻击，并通过认证绕过手段，如利用缺陷生成假脸，来进行攻击。

在安全领域，防火墙无法防范这类认证绕过攻击。例如，某些交易所在用户忘记密码后，可能仅依赖单一的人脸认证，缺乏纵深防御体系，这可能导致安全漏洞。在高安全要求的场景下，特别是在设备首次登录或异常环境下，不推荐仅使用 OCR 和人脸认证，而应结合短信等双因素认证。

对于算法对抗，人脸认证领域的攻防非常激烈，存在众多变异特征和工具，不能仅依赖单一算法。我们应建立完整的人脸防御体系，如同支付宝所做的那样，结合终端安全、体系化算法对抗，并根据当前攻防态势进行快速响应。

如果个人遇到此类攻击，排查困难，应立即联系交易所报告账号被盗情况，并尽可能冻结账户，修改访问信息，并启用双因素认证。同时，保留相关证据，尝试追回资产。

Deepfake 技术虽然先进，但生成过程中可能出现 bug，比如面部特征失真。目前，采用支付宝级别的安全验证措施，应该足以应对这类问题。然而，从个人防护角度来说，提供具体的防护建议非常困难。

个人信息泄露等问题普遍存在，个人用户很难独立防范。我认为，应该呼吁交易所等机构提高人脸识别的安全性和认证标准，从根本上解决问题，而不是让用户自己去研究如何防护。个人防护能力有限，需要安全公司的合作和专业技术的支持，这才是最好的解决方案。

我想从一个普通用户的角度谈谈我的看法。虽然及时通知交易所冻结可疑账户是一种有效手段，但这种方法并非完美。黑客往往有组织的，他们转移资产的速度非常快。我亲身经历过这样的情况，当我的资产被盗后，黑客迅速将资产转移，等我联系交易所冻结对方账户时，账户里的资产已经被提空了。

这表明，我们在追回被盗资产时，速度很难跟上黑客。维权过程非常困难，因为我们往往处于劣势。

关于 AI 事件，我认为问题在于交易所的安全设置不足。邮箱安全性相对较低，通常修改密码需要邮箱验证码、手机验证码或双重验证。然而，该事件中，黑客仅通过上传身份证和 AI 视频便绕过了其他安全验证，显示出风控措施的缺失。

当安全设置被重置后，交易所应至少在 24 小时内限制相关操作，并将重置状态通知用户，以便用户有足够的时间做出反应并保护账户。但在这个案例中，黑客在 24 小时内就转移了资产，这是不可接受的。

我还经历过在某个交易所通过 C2C 购买某稳定币后，没有受到任何提币限制，这存在洗钱风险。目前看来，交易所的风控措施还有待加强。关于被盗资产的追踪，交易所反应迟缓或要求提供大量材料后才冻结账户，这使得追踪和恢复被盗资产变得极其困难。尽管我们正尝试与交易所合作沟通，但目前这仍是一个棘手的问题。

我非常赞同之前嘉宾提出的观点。首先，我认为交易所应立即修改安全设置，在 24 小时内限制提现操作。此外，将资产存入交易所本身就基于一种安全假设。如果交易所内部有人出卖用户信息，这实际上很难防范。作为普通用户，我们能做的就是保留证据，向交易所申诉并维权，希望能够得到赔偿。

另外，对于普通用户，包括我自己在内，我建议不要在公共场合或社交媒体上炫耀财富，以免泄露个人信息。例如，我了解到有币圈朋友在巴厘岛旅行时，因为在路上玩手机被飞车党抢走手机，并在手机上打开了他的钱包应用，导致资产被盗。因此，我们应该避免在公共场合暴露自己的财务状况。

还有，之前发生过黑客在线下活动中通过扫码体验项目的方式传播木马程序的事件。所以，提醒大家在参加各类活动时要保持警惕，不要轻易扫码或下载不明来源的应用程序。这些都是我们在保护个人资产时需要注意的重要事项。谢谢。

问题三：用户的个人资产放在钱包更安全，还是交易所更安全

关于资产存储的选择，我认为应依据个人的风险偏好、资产规模和交易频率来决定。持有私钥的钱包在安全性上是最高的，尽管可能会牺牲一些便利性。同时，私钥的管理至关重要，需要防范网络钓鱼等社会工程学攻击。

对于资产较大且交易不频繁的用户，使用钱包可能更合适。而选择交易所存储，意味着将私钥托管给交易所，安全性完全依赖于交易所的安全体系。目前，许多交易所在网络安全和风控体系方面存在不足，缺乏