CertiK近日接受CoinDesk Korea采访,对Web3.0项目如何保障用户资产安全做出解答。
面对接连发生的黑客事件,CertiK认为KYC与冷热钱包分离是中心化机构保护用户资产,减少私钥泄漏的有效措施。CertiK还呼吁项目方遵守地区反洗钱和KYC要求,强化尽职调查,更好地识别和防范可疑行为。
以下是本次采访全文翻译?。
近期,韩国Web3.0项目Galaxia、Ozys、PlayDapp等接连发生黑客攻击事件,给投资者造成了巨大损失。有安全专家指出,应采取措施加强Web3.0项目的安全保障。
Web3.0安全机构CertiK于19日表示,为Web3.0项目引入KYC可以大大降低恶意行为发生的可能性。CertiK以上个月发生的Ozys-Orbit链黑客攻击事件为例——此次攻击导致了价值1052亿韩元(约7877万美元)的Web3.0资产被盗。Ozys指出该事件可能涉及内部人员,并向已离职的CISO提起了损害赔偿诉讼。
“通过KYC进行严格的身份验证,可以降低项目内部发生恶意行为的可能性,”CertiK安全团队表示,“一旦发生黑客攻击,项目团队即可将攻击者的身份信息提供给执法部门配合调查。”
去年11月,Hyosung集团下属区块链公司Galaxia Metaverse在一次黑客攻击中损失了约3.8亿枚Galaxia,当时价值约30亿韩元(约225万美元)。此次攻击是通过Galaxia Metaverse所拥有的一个钱包进行的。
“私钥泄露是并不高发但具备最大破坏性的攻击类型之一,”CertiK指出,“去年发生了47起该类型安全事件,造成了约8.81亿美元的损失,占全年损失的近50%。”
创建Web3.0钱包时生成的私钥就像银行账户的密码一样——无论是受到黑客攻击还是因用户的粗心大意,私钥一旦泄漏都会造成重大损失。
Web3.0钱包根据其网络连接属性分为热钱包和冷钱包。热钱包随时在线,可以进行实时交易,虽然很方便但更容易遭受攻击。去年4月,韩国Web3.0交易所GDAC的热钱包遭到黑客攻击,导致约180亿韩元(约1348万美元)的资产被盗。
冷钱包是离线管理的,不能用于实时交易,受到黑客攻击的风险也低于热钱包。根据韩国将于7月生效的《虚拟资产用户保护法》,Web3.0项目必须将至少80%的用户资产存储在冷钱包中,相比于目前70%的要求有所提高。
资产一旦被盗,就很难再跟踪和识别其流向,所以CertiK强调了项目团队未雨绸缪的重要性:“即使有了KYC和区块链提供的透明信息,要了解资产流向仍是一项挑战。虽然目前的链上监控和交易分析系统可用于识别可疑地址和洗钱活动,但最重要的仍然是需通过进行KYC和智能合约审计等安全措施,在资金被盗之前主动发现潜在漏洞和风险。”
“自FTX破产以来,资金「隔离」已成为Web3.0项目的普遍做法,将用户的资产保存在冷钱包中有助于提高项目和资产的稳定性与安全性,”CertiK认为,“此外,各Web3.0交易所和平台需要遵守当地反洗钱(AML)和KYC的要求,并通过强化尽职调查(EDD)识别可疑用户和交易——项目团队可在合规软件的帮助下做到这一点。”
来源:金色财经