Блокчейн безпеки експерт Жоу Яцзин говорить про безпеку активів шифрування

Ведучий: Алекс, партнер з досліджень Mint Ventures

Гість: Чжоу Яцзин, генеральний директор компанії з безпеки Блокчейн BlockSec

Час запису: 2025.3.28

Сфера послуг BlockSec та цільова аудиторія

Alex: Сьогодні ми запросили Чжоу Яцзиня з компанії безпеки Блокчейн BlockSec, щоб поговорити з нами на тему шифрування безпеки. Будь ласка, пане Чжоу, привітайте нас.

Жоу Яцзин: Всім привіт, я Жоу Яцзин, наразі я є генеральним директором BlockSec, а також дослідником у сфері кібербезпеки в університеті Чжецзян, радий вас усіх бачити.

Алекс: Будь ласка, пане Чжоу, спочатку розкажіть нам про BlockSec, які послуги ви надаєте, які люди та організації можуть стати вашими клієнтами.

周亚金：BlockSec є компанією з безпеки Web3, заснованою у 2021 році. Наш бізнес можна поділити на три основні сегменти:

1. Безпека на ланцюгових протоколах. Ми надаємо послуги аудиту безпеки для смарт-контрактів та продукти моніторингу безпеки.

2. безпека активів. Ми допомагаємо користувачам захистити активи, збережені в гаманцях контрактів або інвестовані в протоколи на блокчейні.

3. Відповідність та регулювання. Ми допомагаємо регуляторам контролювати гравців у Crypto індустрії, а також допомагаємо традиційним фінансовим установам дотримуватися вимог відповідності при вході в Crypto індустрію.

Нашими клієнтами переважно є:

1. Проектні команди та розробники, які розгортають смарт-контракти в Блокчейн. Ми надаємо їм послуги з безпеки аудиту та моніторингу.

2. Високоприбуткові клієнти, які мають велику кількість шифрованих активів. Ми допомагаємо їм контролювати безпеку інвестованих протоколів.

3. Регуляторні органи та правоохоронні органи. Ми надаємо їм інструменти та платформи для розслідування злочинів у сфері цифрових валют.

Про три поради щодо безпеки шифрування

Олекс: Якщо у вас є друг, який щойно почав інвестувати в шифрування, які три поради ви б йому дали щодо безпеки активів?

Жоу Яцзин: Я дам такі три поради:

1. Захистіть свій приватний ключ. Запишіть мнемонічну фразу приватного ключа та зберігайте її в сейфі, не чіпайте її без необхідності. Використовуйте надійні спеціалізовані пристрої, такі як апаратні гаманці або мобільні телефони, для зберігання та управління приватним ключем.

2. Усі транзакції в мережі мають бути здійснені з обережністю. Пам’ятайте, що з неба не падають пиріжки, будьте обережні з різними фішинговими атаками.

3. Розумійте основи шифрування активів, особливо механізм авторизації. Будьте особливо обережні при підписанні підпису гаманця, щоб уникнути помилкового підписання авторизованої угоди.

Власний досвід атаки соціального інженера

Alex: Ви можете пояснити, що таке "соціальна інженерія"?

Жоун Яцзин: Соціальна інженерія - це атака, що використовує ваші робочі звички, міжособистісні стосунки, робочі обов'язки тощо для розробки методів атаки, а не технічні засоби. Я можу поділитися випадком атаки соціальної інженерії, свідком якої я був особисто:

Мене зв'язали через корпоративну електронну пошту, представившись людиною з певної інвестиційної установи, щоб обговорити інвестиційні можливості. Після попередньої перевірки я домовився з ними про час відеоконференції. Але на початку конференції вони вимагали, щоб я завантажив певне програмне забезпечення, і постійно нагадували про це електронною поштою. Це програмне забезпечення насправді містить шкідливу програму, мета якої - вкрасти приватний ключ, що зберігається на комп'ютері.

Зловмисник скористався моїм статусом CEO та робочими обов'язками, а також психологічним напруженням перед нарадою, щоб розпочати атаку. Це типовий метод соціальної інженерії.

та принципи безпеки під час взаємодії з Блокчейн-протоколом

Алекс: Які принципи безпеки потрібно дотримуватися, коли ми взаємодіємо з DeFi протоколами або іншими протоколами?

Жоу Яцзин: Для звичайних користувачів я рекомендую:

1. Провести перевірку проекту. Дізнатися про особистість засновників, їхні технічні можливості, перевірити, чи була проведена аудиторська перевірка з боку провідних компаній з безпеки тощо.

2. Використовуйте поступовий інвестиційний підхід, не вкладайтесь одразу великими сумами.

3. Використовуйте професійні інструменти безпеки, такі як платформи моніторингу атак, щоб зрозуміти ризики безпеки інвестиційних протоколів.

4. Запобігання ризикам фішингу. Не довіряйте рекламі, що обіцяє легкі гроші, перевірте, що ви взаємодієте з офіційним сайтом, а не підробленим.

5. Регулярно перевіряйте та відкликайте дозволи, які більше не використовуються, особливо дозволи на деякі протоколи, які більше не підтримуються.

Стан і потенціал індустрії безпеки Блокчейн

Alex: Який наразі масштаб, стан розвитку та рівень прибутку в індустрії безпеки Блокчейн?

Жоу Яцзин: Згідно з деякими звітами та розрахунками, річний обсяг індустрії безпеки Блокчейн становить приблизно 3 мільярди доларів, що значно менше в порівнянні з традиційною індустрією кібербезпеки обсягом 100 мільярдів доларів. Це пов'язано з тим, що вся індустрія Блокчейн все ще перебуває на ранній стадії.

Наразі розвиток галузі стикається з деякими перешкодами, TVL з найвищого піку в 177 мільярдів доларів знизився до приблизно 99 мільярдів доларів. Але ми також бачимо новий потенціал:

1. Традиційні фінансові установи входять у цю галузь, такі як банки, які випускають стабільні монети на блокчейні, та платіжні гіганти, які підтримують шифрування платежів тощо.

2. Все більше підприємств з реальними потребами починають використовувати технологію Блокчейн.

3. Галузь розвивається в напрямку більшої регуляції.

Загалом, індустрія безпеки Блокчейн ще перебуває на ранній стадії, але з входом традиційних фінансових установ та просуванням галузевої регуляції, у майбутньому є великий потенціал для вибуху.

Рівень безпеки головної компанії

Алекс: Як ви вважаєте, які основні елементи конкурентної переваги у провідних компаній з безпеки?

Чжоу Яцзинь: Я вважаю, що основними є наступні пункти:

1. Бренд та довіра. Аудит безпеки має дуже високі вимоги до сприйняття бренду, провідні компанії зазвичай мають сильний брендовий ефект.

2. Інноваційні технології безпеки. Окрім аудиту, також потрібні рішення безпеки, що покривають весь життєвий цикл смарт-контрактів.

3. Відповідність, регулювання та геополітичний вплив. Розуміння регуляторних політик і вимог до відповідності в галузі, а також можливість їх продуктової реалізації. Водночас у деяких регіонах при виборі постачальників можуть мати значення геополітичні міркування.

4. Всеосяжні можливості обслуговування. Компанії, як-от BlockSec, які можуть одночасно забезпечувати аудит смарт-контрактів та моніторинг атак, мають більшу конкурентоспроможність.

У підсумку, створення потужного бренду, постійні технологічні інновації, глибоке розуміння регуляторних вимог та здатність зберігати перевагу в геополітиці — все це важливі захисні механізми для компаній з безпеки Блокчейн.