FX168财经网_全球视野外汇黄金加密货币NFT资讯网

OKX Web3、BlockSec：@所有巨鲸 DeFi世界最新避险攻略

用户既能保证资金的安全，又能兼顾日常的资金管理如“挖提卖”，感知风险，甚至在紧急状态下的资金撤退。 Q7：参与DeFi的安全建议、以及如何处理安全风险 BlockSec安全团队：对于大额资金参与者，参与 DeFi 协议首要是要保证本金安全，在对可能的安全风险进行了比较充分的研究后进行投资。通常可以从以下几个方面保证资金安全。首先，要多方位判断项目方的安全重视和投入程度。包括上面说的是否经过比较彻底的安全审计、项目方是否具有项目安全风险监控和自动响应能力、是否具有比较好的社区治理机制等。这一些都能反映出项目方对于用户资金安全是否放在比较重要的方面，是否对用户的资金安全具有高度负责的态度。其次，大额资金的参与者也需构建自己的安全监控和自动响应系统。在投资的协议发生安全事件后，大额资金的投资人应该第一时间能感知并且能撤退资金，尽可能地挽回损失，而不是将所有的希望都寄托在项目方身上。在 2023 年我们能看到多个知名项目都被攻击过，包括 Curve、KyberSwap、Euler Finance 等。很遗憾的是，我们发现在攻击发生的时候，大额投资者往往缺乏及时、有效的情报，也没有自己的安全监控和应急撤退系统。另外，投资人需要选择比较好的安全合作伙伴来对投资的项目标的安全进行持续的关注。无论是对项目方代码的升级、重要的参数改变等都需要能及时感知并且评估风险。而这样的事情没有专业安全团队和工具的参与是很难完成的。最后，需要保护好私钥安全。对于需要经常交易的账户，最好通过线上多签和线下私钥安全解决方案相结合的方法来进行，杜绝单个地址和单个私钥丢失后的单点风险。如果一旦投资的项目面临安全风险，又该如何处理？相信对于任何巨鲸和投资者而言，遭遇安全事件的第一反应一定是先保本，尽快撤资是最优先的动作。但是攻击者的速度通常很快，手动操作往往来不及，因此最好能够根据风险自动撤资。当前，我们提供相关的工具，可以实现发现攻击交易后自动撤资，帮助用户优先撤离。其次，如果真的遭遇了损失，除了吸取教训，还应该积极推动项目方寻求安全公司的帮助，对受损资金进行追溯和监控。随着整个 Crypto 行业对安全的重视，追回资金的比例在逐步提升。最后，如果是大户，还可以请安全公司盘点投资的其他项目是否有类似问题。很多攻击的 Root cause 是一致的，例如 Compound V2 的精度损失问题，去年许多项目都存在相似的问题并被连续攻击。因此，可以请安全公司分析投资组合中其他项目的风险，如果发现风险，应该尽快与项目方沟通或撤出。 OKX Web3 钱包安全团队：参与 DeFi 项目时，用户可以通过采取多种措施来更安全地参与 DeFi 项目，降低资金损失的风险，享受去中心化金融带来的收益。我们分别从用户层面、以及OKX Web3 钱包2个层面来展开。第一，对于用户而言： 1）选择经过审计的项目：优先选择经过知名第三方审计公司（如 ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK以及今天我们对话的嘉宾BlockSec）审计的项目，审阅其公开的审计报告，了解潜在风险和漏洞修复情况。 2）了解项目背景和团队：通过研究项目的白皮书、官方网站和开发团队背景，确保项目具有透明性和可信度。关注团队在社交媒体和开发社区中的活动，了解其技术实力和社区支持。 3）分散投资：不要将所有资金投入到单一 DeFi 项目或资产中，分散投资可以降低风险。选择多个不同类型的 DeFi 项目，如借贷、DEX、Farming等，以分散风险敞口。 4）小额测试：在大额交易前，先进行小额测试交易，确保操作和平台的安全性。 5）定期监控账户及应急处理：定期检查自己的 DeFi 账户和资产，及时发现异常交易或活动。使用工具（如 Etherscan）监控链上交易记录，确保资产安全。检测到异常后及时采取应急措施，比如撤销账户的所有授权，联系钱包安全团队获取支持等。 6）谨慎使用新项目：对于刚上线或未经验证的新项目，保持谨慎态度。可以先投入少量资金进行试验，观察其运行情况和安全性。 7）使用主流Web3钱包进行交易：仅使用主流的Web3钱包与DeFi项目交互，主流Web3钱包提供更好的安全防护。 8）防范钓鱼攻击：谨慎点击陌生链接和不明来源的电子邮件，不要在不受信任的网站输入私钥或助记词，确保访问的链接是官方网站。使用官方渠道下载钱包和应用程序，确保软件的真实性。第二，从OKX Web3 钱包层面而言：我们提供了很多安全机制以保护用户资金安全： 1）风险域名检测：在用户访问DAPP时，OKX Web3钱包会在域名层面进行检测分析，如用户访问的是恶意DAPP，则会进行拦截或提醒，防止用户上当受骗。 2）貔貅盘代币检测：OKX Web3钱包支持完善的貔貅盘代币检测能力，在钱包中主动屏蔽貔貅盘代币，避免用户尝试跟貔貅盘代币交互。 3）地址标签库：OKX Web3钱包提供了丰富完善的地址标签库，在用户跟可疑地址交互时，OKX Web3钱包会及时给予告警。 4）交易预执行：在用户提交任何交易前，OKX Web3钱包都会模拟执行该交易，并将资产和授权变化结果展示给用户参考。用户可根据该结果评判是否符合预期，以便决定是否继续提交该交易。 5）集成DeFi应用：OKX Web3钱包已经集成了各类主流的DeFi项目的服务，用户通过OKX Web3钱包可以放心与集成的DeFi项目进行交互。另外OKX Web3钱包也会对DEX，跨链桥等DeFi服务进行路径推荐，以便给用户提供最优的DeFi服务和最优的Gas方案。 6）更多安全服务：OKX Web3钱包还在逐步增加更多安全功能，建设更多先进的安全防护服务，将更好更高效地保障OKX钱包用户安全。 Q8：不仅是用户，DeFi项目方面临的风险类型以及如何防护？ BlockSec安全团队：DeFi项目方面临的风险类型包括：代码安全风险、运营安全风险和外部依赖风险。第一，代码安全风险。即DeFi项目在代码层面可能存在的安全隐患。对DeFi项目而言，智能合约是其核心业务逻辑（前后端处理逻辑等属于传统的软件开发业务，相对而言比较成熟），也是我们关注和讨论的重点，包括： 1）首先，从开发角度来说，需遵循业界公认的智能合约安全开发实践，比如对于用于防止重入漏洞的Checks-Effects-Interactions模式等等；此外，常用的功能尽可能选择可靠的第三方库来实现，避免因为重复发明轮子带来的不可知风险。 2）其次是做好内部测试，测试是软件开发中的重要环节，能够帮助发现很多问题。但对于DeFI项目而言，仅通过本地测试并不足以暴露问题，更需要在贴近实际上线的部署环境中做进一步测试，这方面可以通过使用类似Phalcon Fork这样的工具来帮助实现。 3）最后，在测试完成之后，接入口碑良好的第三方审计服务。审计虽然不能确保100%不出现问题，但系统性的审计工作能够在很大程度上帮助项目方定位已知常见的各类安全问题，而这些往往是开发者不熟悉或者因为思维方式的不同而较难触及的部分。当然，由于各家审计公司在专业和方向上存在差异，如果预算允许，在实践中也推荐2家或者多家审计公司参与。第二，运营安全风险。即项目上线后在运营过程中的产生的安全风险。一方面，代码依旧可能存在未知漏洞。即便代码已经经过良好的开发、测试和审计，依旧可能存在未被发现的安全隐患，这一点在软件开发数十年的安全实践中得到了广泛证明；另一方面，在代码层面的问题之外，项目上线后面临更多挑战，比如私钥泄漏、系统重要参数错误设置等等，均可能造成严重的后果和巨大的损失。运营安全风险的应对策略建议包括： 1）建立健全私钥管理：采用可靠的私钥管理方法，比如可靠的硬件钱包或基于MPC的钱包解决方案等。 2）做好运行状态监控：监控系统实时感知特权操作和项目运行中的安全状态。 3）构建针对风险的自动化响应机制：比如采用BlockSec Phalcon，可以在遭遇到攻击的时候自动实施阻断，避免（进一步）的损失。 4）避免特权操作的单点风险：如用Safe多签钱包来执行特权操作。第三，外部依赖风险是指项目存在的外部依赖带来的风险，比如依赖于其它DeFi协议提供的价格预言机，但预言机出现问题导致价格计算产生错误的结果。针对外部依赖风险的建议包括： 1）选择可靠的外部合作伙伴，如业界公认的可靠的头部协议等。 2）做好运行状态监控：类似运营安全风险，但这里的监控对象是外部依赖。 3）构建针对风险的自动化响应机制：类似运营安全风险，但处置方式可能有所区别，比如切换备用依赖而非直接pause整个协议。此外，对于希望构建监控能力的项目方，我们也给出一些监控建议 1）准确地设置监控点：确定协议存在哪些关键的状态（变量）、在哪些位置需要监控，这是构建监控能力的第一步。但监控点的设置很难覆盖全面，特别是在攻击监控方面，建议采用外部专业第三方、经过实战检验的攻击检测引擎。 2）确保监控的精准性和及时性：监控的精准性是指不能有太多的误报(FP)和漏报(FN)，缺乏精确性的监控系统实质上是不可用的；及时性是做出响应的前提（比如能否在可疑合约部署后、攻击交易上链前检测到），否则只能用于事后分析，这对监控系统的性能和稳定有极高的要求。 3）需要自动化响应能力：基于精准和实时的监控可以构建自动化的响应，包括pause协议阻断攻击等等。这里需要有可定制、可靠的自动化响应框架支持，可根据项目方的需求灵活地定制响应策略并自动触发执行。总体而言，监控能力的构建需有专业的外部安全供应商参与建设。 OKX Web3 钱包安全团队：DeFi 项目方面临着多种风险，其中主要包括以下几类： 1）技术风险：主要包括智能合约漏洞和网络攻击。防护措施包括采用安全开发实践、聘请专业的第三方审计公司对智能合约进行全面审计、设置漏洞赏金计划以激励白帽黑客发现漏洞，以及做好资产隔离来提高资金的安全性等。 2）市场风险：主要包括包括价格波动、流动性风险、市场操纵和组合性风险。防护措施包括使用稳定币和风险对冲防范价格波动，利用流动性挖矿和动态费用机制应对流动性风险，严格审查DeFi协议支持的资产类型和使用去中心化预言机防止市场操纵，并通过持续的创新和优化协议功能来应对竞争风险。 3）运营风险：主要包括人为错误和治理机制风险。防护措施包括建立严格的内部控制和操作流程以减少人为错误的发生、使用自动化工具提升操作效率，以及设计合理的治理机制，确保去中心化与安全性平衡，如引入投票延迟和多签机制。并对上线的项目做好监控和应急预案，一旦出现异常可以立即采取措施，将损失降到最低。 4）监管风险：法律合规要求和反洗钱（AML）/了解你的客户（KYC）义务。防护措施包括聘请法律顾问确保项目符合法律和监管要求、建立透明的合规政策以及主动实施 AML 和 KYC 措施以提升用户和监管机构的信任。 Q9：DeFi项目方，如何判断并选择好的审计公司？ BlockSec安全团队：DeFi项目方如何判断并选择好的审计公司，这里有一些简单标准的可供参考： 1）是否审计过知名项目：这表明该审计公司被这些知名项目所认可。 2）审计过的项目是否被攻击过：固然从理论上来讲审计并不能保证100%的安全，但实践经验表明口碑良好的审计公司所审计的大部分项目未曾有过被攻击记录。 3）通过过往审计报告判断审计质量：审计报告是衡量审计公司专业程度的重要标志，尤其是在同样的审计项目、同样的审计范围可作对比的情况下，可重点关注漏洞发现的质量（危害程度）和数量等，漏洞发现是否通常被项目方采纳。 4）专业从业人员：审计公司的人员构成，包括学历和从业背景等，系统性的教育和从业经验对于确保审计质量有很大的帮助。最后，感谢大家看完OKX Web3钱包《安全特刊》栏目的第05期，当前我们正在紧锣密鼓地准备第06期内容，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待！免责声明：本文仅供参考，本文无意提供 (i) 投资建议或投资推荐；(ii) 购买、出售或持有数字资产的要约或招揽；或 (iii) 财务、会计、法律或税务建议。持有的数字资产（包括稳定币和 NFTs）涉及高风险，可能会大幅波动，甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。来源：金色财经

金色财经2024-06-04

秦氏金升6.4金价回调看涨，黄金行情走势分析及操作建议

经验，擅长技术面消息面结合式操作，注重资金管理和风险控制，操作风格稳健果断，以随和负责的性格与犀利果断的操作而被广大投资朋友认可。分析文章只是对市场未来可能的描述，只是观点的表达，不作为投资决策依据，投资有风险，交易务必注意合理的仓位配置、资金管理和风险控制，无风控不交易，不要让交易失控！

秦氏金升QSJS3682024-06-04

张德盛：6.4黄金今日价格反弹空，白银多空走势分析操作

资有风险，交易务必注意合理的仓位配置、资金管理和风险控制，无风控不交易，不要让交易失控。【张德盛微信号：masd1008 公众号：爱上黄金】

张德盛薇masd10082024-06-04

秦氏金升：6.4金价探底回升，黄金行情走势分析及操作建

经验，擅长技术面消息面结合式操作，注重资金管理和风险控制，操作风格稳健果断，以随和负责的性格与犀利果断的操作而被广大投资朋友认可。分析文章只是对市场未来可能的描述，只是观点的表达，不作为投资决策依据，投资有风险，交易务必注意合理的仓位配置、资金管理和风险控制，无风控不交易，不要让交易失控！

秦氏金升QSJS3682024-06-03

张德盛：6.4黄金行情反弹空，白银最新多空走势分析操作

资有风险，交易务必注意合理的仓位配置、资金管理和风险控制，无风控不交易，不要让交易失控。【张德盛微信号：masd1008 公众号：爱上黄金】

张德盛薇masd10082024-06-03

贺博生：黄金暴涨原油暴跌最新行情走势分析及今日操作建议

己。投资是一个完整体系，包括投资理念，资金管理，投资策略，投资心态，风险控制，操作手法与思路等。　　贺博生寄语：我这里没有华丽的语言，只有实实在在的交易，以及明明郎朗的操作，市场只有一个方向，不是多头也不是空头，而是做对的方向。合理的风控+好的投资回报，让每个散户找到真正投资的乐趣，而不再是自己每天苦苦的交易却换来亏损的不断加大。我一直相信选择比努力更重要，一个好的指导老师，一个好的技术团队除了给客户带来盈利以外，更应该对客户负责任。个人投资者，凭一己之力面对市场，很容易出现当局者迷的情况，遇见暴涨暴跌而措手不及，而如果能够有一个人在圈外看清楚情形，给出方向，就可以做的更好。　　本文由黄金原油分析师贺博生（微信：hbs5686）独家策划，由于网络推送延迟性，以上内容属于个人建议，因网络发文有时效性，文中建议仅供学习参考，据此操作风险自担。文章的观点和策略不管和大家意见是否一致大家都可以来找我一起探讨和学习！世上无难事，只怕有心人。投资本身就带风险，提示大家认准权威平台，实力老师，资金安全第一，其次考虑操作风险，最后才是如何盈利！

贺博生hbs62862024-06-03

步长制药将于6月28日召开股东大会，共审议27项议案

关于修订《山东步长制药股份有限公司募集资金管理制度》的议案 23、关于修订《山东步长制药股份有限公司资产减值准备计提及核销管理制度》的议案 24、关于制订《山东步长制药股份有限公司关于选聘会计师事务所制度》的议案 25、关于选举公司第五届董事会非独立董事的议案 26、关于选举公司第五届董事会独立董事的议案 27、关于选举公司第五届监事会股东代表监事的议案。

金融界2024-06-03

秦氏金升：6.3金价筑底，黄金行情走势分析及操作建议

经验，擅长技术面消息面结合式操作，注重资金管理和风险控制，操作风格稳健果断，以随和负责的性格与犀利果断的操作而被广大投资朋友认可。分析文章只是对市场未来可能的描述，只是观点的表达，不作为投资决策依据，投资有风险，交易务必注意合理的仓位配置、资金管理和风险控制，无风控不交易，不要让交易失控！

秦氏金升QSJS3682024-06-03

张德盛：6.3黄金美盘价格反弹空，白银最新走势分析操作

资有风险，交易务必注意合理的仓位配置、资金管理和风险控制，无风控不交易，不要让交易失控。【张德盛微信号：masd1008 公众号：爱上黄金】

张德盛薇masd1008 1评论2024-06-03

秦氏金升：6.3金价冲高回落，黄金行情走势分析及操作建

经验，擅长技术面消息面结合式操作，注重资金管理和风险控制，操作风格稳健果断，以随和负责的性格与犀利果断的操作而被广大投资朋友认可。分析文章只是对市场未来可能的描述，只是观点的表达，不作为投资决策依据，投资有风险，交易务必注意合理的仓位配置、资金管理和风险控制，无风控不交易，不要让交易失控！

秦氏金升QSJS3682024-06-03

24小时热点