區塊鏈安全專家周亞金：加密資產防護的關鍵策略與行業發展趨勢

主持人：Alex，專業投資人

嘉賓：周亞金，區塊鏈安全公司 BlockSec CEO

錄制時間：2025.3.28

BlockSec 的服務範疇和目標客戶

**Alex：**本期節目我們來談一個與各位都息息相關的話題，就是加密世界的安全。在我們遭遇真正的風險之前，往往都以爲自己不會成爲新聞裏安全事件的受害者。如何爲自己的資產構建一個防火牆，讓自己在安全的環境下投資，是我們開始加密旅程之前的必修課題。本期播客我們邀請到了區塊鏈安全公司 BlockSec 的周亞金，跟我們聊一聊加密安全這個話題。請周老師跟我們打個招呼吧。

**周亞金：**大家好，我是周亞金，目前在 BlockSec 做 CEO，同時我也是浙江大學從事網路空間安全的研究人員，非常高興認識大家。

**Alex：**好的，咱們進入今天的正題。我相信蠻多的聽衆可能對區塊鏈的安全公司、安全服務並沒有那麼了解。請周老師先給我們介紹一下 BlockSec，你們提供的服務內容大概是哪些，什麼樣的人、什麼樣的機構會成爲你們的客戶。

**周亞金：**BlockSec 是一家 Web3 安全公司，我們成立於 2021 年。談到 Web3 的安全，大家可能第一想到的就是安全審計。其實 BlockSec 的業務範圍不僅僅是安全審計，我們還提供一系列其他的安全產品和服務。具體來講，服務可以分爲三大板塊。第一個板塊我們稱之爲針對鏈上協議的安全。鏈上協議就是我們講部署在區塊鏈上進行一些 DeFi 或者是 NFT，或者其他活動的一些智能合約。這些合約的安全性應該如何保障呢？BlockSec 就提供了安全的審計服務和安全的監控的產品。第二塊我們比較關注的是資產的安全。所謂資產的安全就是用戶手頭所擁有的資產，比方說這些資產是在自己的合約錢包裏面，或者投資在一些鏈上的協議裏面，怎麼去保證這些用戶資產的安全性，也是我們的服務範疇之一。第三塊是合規跟監管。我們發現越來越多的傳統的金融機構進入到 Crypto 行業裏面。包括我們最近能看到新聞，美國的這些傳統銀行在鏈上發一些穩定幣資產，包括 Crypto 進入到跨境支付的行業裏面。那實際上這些傳統金融機構進入到這個行業裏面之後，給監管帶來一個難題，監管機構不知道怎麼去監管，這些機構又不知道怎麼符合合規。所以我們也有在幫助監管機構去監管進入到 Crypto 行業裏面的這些玩家，或者說去幫助進入 Crypto 行業裏面的這些傳統機構進行合規。這是我們業務的三個範圍。

我們的客戶覆蓋的範圍比較廣。大家能想到的是在鏈上做去中心化金融或者說其他的一些服務的項目方，比方說在鏈上提供 Lending 的平台，提供去中心化交易的平台，這些項目方是我們的客戶。我們可以幫助他們在智能合約部署上鏈之前，做一些安全的審計，通過安全的視角 review 他們開發的智能合約是不是有安全的漏洞。如果有安全的漏洞，需要及時修復。同時當他們的協議部署到鏈上去之後，我們也會有一個 7×24 小時的監控平台去監控他們協議的安全風險。如果發生任何安全風險，我們的平台可以及時通知到協議，並且能自動化阻斷風險和攻擊。所以在鏈上部署智能合約的這些開發者和項目方，是我們一類的典型客戶。第二類的典型客戶就是擁有資產的人，可能是一些高淨值的客戶，他們擁有一些資產在合約錢包裏面，或者說這些高淨值的客戶會去投資鏈上的一些協議。我們的服務和產品可以幫助他們更好地去監控他們所投資的那些協議的安全性。就像硬幣的正面和反面一樣，從協議項目方的角度來說，我們可以幫助他們提高協議的安全性。從投資他們協議的高淨值客戶的角度，我們可以幫助他們監控他所投資的協議的安全性。一旦他投資的協議有安全風險，比如說被攻擊，他需要第一時間能撤回他的資金。第三類客戶就是我剛才講的監管和合規，這一類客戶主要是一些監管機構，比方說香港的證監會也是我們的客戶，還有海外的一些執法機構，需要去調查涉及到數字貨幣犯罪的時候，他們需要使用我們的工具和平台，方便去做一些證據的提取、資金的追溯等調查活動。這個基本上是我們整體的業務以及我們客戶的範圍。

關於加密安全的三點建議

**Alex：**明白，剛剛周老師談到了客戶類型，他們有什麼樣的需求，以及一個大概的行業情況。那麼第二個問題可能跟個人投資者會關聯度比較高一點，尤其是我們的聽衆蠻多是剛剛開始進入 Web3 去學習跟嘗試投資的人。如果您身邊有一個朋友，他剛剛進入加密投資領域，他知道您是做加密安全服務的，請您給他提三個關於加密安全的建議，您會給他提的建議是哪三個？

**周亞金：**這個問題非常好。我身邊的朋友也經常問我一些安全建議，他們也想進入這個行業，但是又聽說好像很多人都會遇到一些風險。我們曾經有個開玩笑的說法：如果你進入 Crypto 圈子之後，沒有被釣魚，也沒有被詐騙，你就不會成爲這個領域裏面資深的玩家。當然這是個開玩笑，但確實你也能發現這個行業裏面存在很多風險。如果要提三個建議的話，第一個建議肯定是每個人都會想到的，就是關於私鑰保護。在 Crypto 領域裏面，怎麼來證明你擁有這個資金，其實就是用你所擁有的私鑰來證明你對這個帳戶的所有權。私鑰就是一串數字，這也是跟你的個人身分沒有任何綁定的。這串數字一旦丟失或泄露，別人就可以和你一樣擁有你自己資金的控制權。這個跟我們現實世界非常不一樣。在現實世界裏，你的銀行密碼泄露了，你可以打電話給銀行要求凍結帳戶，別人沒有辦法來取錢。但是在 Crypto 世界裏，如果你的私鑰泄露，那麼擁有你私鑰的人就可以無限制地從你的帳戶裏將你的資金轉走。通常來講保護私鑰有幾種方法，比如我們有硬體錢包，用合約錢包或者用手機的 APP 來保護私鑰。每一種方法其實都有它自己的優缺點。通過我自己的經驗以及我們身邊的一些安全朋友的整體經驗，基本的原則就是私鑰的助記詞，把它記下來放到保險箱裏面，無論這個保險箱是你自己家的還是銀行的，把它存好，平時不要動，基本上你也用不到。然後用一個你相對比較可信的設備，無論是硬體錢包還是手機，去存儲好你的私鑰。這個手機一定是個專用的設備，不要去從事任何其他的操作活動，只是用來管理你自己的數字資產。這是第一個建議。第二個建議是在鏈上交易的時候一定要有安全和風險的意識。本質上你只要記住一句話：天上不會掉餡餅。我們發現在鏈上交易的時候，用戶面臨的釣魚的風險非常大。包括我們所熟知的加密圈的很多的 KOL 和 OG 都曾遇到過釣魚攻擊，並且損失了很多資金。如果說一個莫名的網站要求你連接錢包去獲得所謂的空投獎勵，這個時候是需要比較小心地，一定要有注意安全的意識。第三個建議是你需要稍微了解一點加密資產基本知識。基本知識指的是在加密資產裏面，我們通常有授權這麼一個概念。這個是跟傳統金融不太一樣的地方。比方說你擁有一類的數字資產，USDT 或 USDC ，通過鏈上的籤名，你可以將資產授權給一個合約或其他用戶來使用，並且這樣的授權只需要通過你的錢包簽署你看不懂的一堆奇奇怪怪的東西就能實現。所以在簽署錢包籤名的時候，你因爲不太明白或者說被欺騙，簽署了授權的交易，那別人就可以動用你所有的數字資產。所以你稍微要對授權這件事有一些基本的了解，在簽署錢包籤名的時候才不會誤籤名這樣的交易。總結起來，基本上建議就是：第一個是保護好你自己的私鑰，給了一些可操作的方法；第二個是在進行鏈上交易的時候需要時刻小心，要有安全意識不要被釣魚；第三個是要對 Crypto 的授權機制有基本的了解，這樣的話不會誤籤名一些授權的交易。

**Alex：**我身邊其實有蠻多高淨值的朋友，他們也是行業裏面的 OG 或者說老手，按理來說您提到的這些安全意識，他們多少都是有一點的，但是每年我都會聽到身邊有一些大戶被盜。行業裏有一個說法，說如果一個專業的黑客盯上你了，他知道你的錢包是有錢的，如果他動用了可動用的所有資源，你往往是很難逃過的。這樣的說法您覺得有道理嗎？真的是這樣嗎？

**周亞金：**你這個問題非常好。其實安全問題，特別是涉及到 Crypto 安全，本質上是一個不平衡的對抗。如果你的錢包裏面擁有足夠多的資產，你就非常容易成爲別人定向攻擊的目標。而一旦你成爲別人定向攻擊的目標之後，別人會動用非常多的資源，無論是社工的資源、技術的資源還是其他資源，根據目標的日常行爲模式、生活的習慣等來設計針對你的攻擊方法。在這種情況底下，不能說百分之百，但你防御的難度是非常高的，因爲別人對抗你動用了非常多的資源，而你只有你自己。所以它是一個非常不對稱的對抗。在這種情況底下，我覺得基本的原則，第一個是我們中國人有句話叫財不露富，就是說你不要把自己擁有的資產公開出來，要避免把自己個人的線下身分和鏈上資產的身分關係泄露出來。第二點是即使你是一個高淨值的用戶，可能已經被別人泄露了，那麼你需要盡可能地做好資產的隔離。就是說你平時日常操作的資產，專用的錢包裏面可能最多就是 10 萬塊錢，別人定向到你，最多就只能把這 10 萬塊錢騙走。而你其他的大量資產應該放在一個平時基本上不需要動用的錢包裏面。如果你需要動用這些資產，你要找安全專家幫你一起 review 一套比較好的操作的流程和規範，這樣能規避掉非常大的風險。

印象最深的三個安全事件

**Alex：**明白，這個建議確實非常重要。您能不能給我們分享一下從業以來印象最深刻的三個安全事件？可以是您自己親自經歷的，也可以是身邊的朋友或者您的一些見聞。

**周亞金：**我可以給大家分享一下我們實際上親自參與處理過且印象比較深的安全事件。第一個例子我記得是在 2023 年 2 月十幾號，鏈上有一個協議被攻擊了。它是一個借貸加上其他功能的平台。這個協議有一個安全的漏洞，黑客通過這個漏洞，大概竊