区块链安全专家周亚金揭秘：三大策略保护加密资产安全

RugResistant

2025-07-28 01:52:48

区块链安全专家周亚金：加密资产防护的关键策略与行业发展趋势

主持人：Alex，专业投资人

嘉宾：周亚金，区块链安全公司 BlockSec CEO

录制时间：2025.3.28

BlockSec 的服务范畴和目标客户

**Alex：**本期节目我们来谈一个与各位都息息相关的话题，就是加密世界的安全。在我们遭遇真正的风险之前，往往都以为自己不会成为新闻里安全事件的受害者。如何为自己的资产构建一个防火墙，让自己在安全的环境下投资，是我们开始加密旅程之前的必修课题。本期播客我们邀请到了区块链安全公司 BlockSec 的周亚金，跟我们聊一聊加密安全这个话题。请周老师跟我们打个招呼吧。

**周亚金：**大家好，我是周亚金，目前在 BlockSec 做 CEO，同时我也是浙江大学从事网络空间安全的研究人员，非常高兴认识大家。

**Alex：**好的，咱们进入今天的正题。我相信蛮多的听众可能对区块链的安全公司、安全服务并没有那么了解。请周老师先给我们介绍一下 BlockSec，你们提供的服务内容大概是哪些，什么样的人、什么样的机构会成为你们的客户。

**周亚金：**BlockSec 是一家 Web3 安全公司，我们成立于 2021 年。谈到 Web3 的安全，大家可能第一想到的就是安全审计。其实 BlockSec 的业务范围不仅仅是安全审计，我们还提供一系列其他的安全产品和服务。具体来讲，服务可以分为三大板块。第一个板块我们称之为针对链上协议的安全。链上协议就是我们讲部署在区块链上进行一些 DeFi 或者是 NFT，或者其他活动的一些智能合约。这些合约的安全性应该如何保障呢？BlockSec 就提供了安全的审计服务和安全的监控的产品。第二块我们比较关注的是资产的安全。所谓资产的安全就是用户手头所拥有的资产，比方说这些资产是在自己的合约钱包里面，或者投资在一些链上的协议里面，怎么去保证这些用户资产的安全性，也是我们的服务范畴之一。第三块是合规跟监管。我们发现越来越多的传统的金融机构进入到 Crypto 行业里面。包括我们最近能看到新闻，美国的这些传统银行在链上发一些稳定币资产，包括 Crypto 进入到跨境支付的行业里面。那实际上这些传统金融机构进入到这个行业里面之后，给监管带来一个难题，监管机构不知道怎么去监管，这些机构又不知道怎么符合合规。所以我们也有在帮助监管机构去监管进入到 Crypto 行业里面的这些玩家，或者说去帮助进入 Crypto 行业里面的这些传统机构进行合规。这是我们业务的三个范围。

我们的客户覆盖的范围比较广。大家能想到的是在链上做去中心化金融或者说其他的一些服务的项目方，比方说在链上提供 Lending 的平台，提供去中心化交易的平台，这些项目方是我们的客户。我们可以帮助他们在智能合约部署上链之前，做一些安全的审计，通过安全的视角 review 他们开发的智能合约是不是有安全的漏洞。如果有安全的漏洞，需要及时修复。同时当他们的协议部署到链上去之后，我们也会有一个 7×24 小时的监控平台去监控他们协议的安全风险。如果发生任何安全风险，我们的平台可以及时通知到协议，并且能自动化阻断风险和攻击。所以在链上部署智能合约的这些开发者和项目方，是我们一类的典型客户。第二类的典型客户就是拥有资产的人，可能是一些高净值的客户，他们拥有一些资产在合约钱包里面，或者说这些高净值的客户会去投资链上的一些协议。我们的服务和产品可以帮助他们更好地去监控他们所投资的那些协议的安全性。就像硬币的正面和反面一样，从协议项目方的角度来说，我们可以帮助他们提高协议的安全性。从投资他们协议的高净值客户的角度，我们可以帮助他们监控他所投资的协议的安全性。一旦他投资的协议有安全风险，比如说被攻击，他需要第一时间能撤回他的资金。第三类客户就是我刚才讲的监管和合规，这一类客户主要是一些监管机构，比方说香港的证监会也是我们的客户，还有海外的一些执法机构，需要去调查涉及到数字货币犯罪的时候，他们需要使用我们的工具和平台，方便去做一些证据的提取、资金的追溯等调查活动。这个基本上是我们整体的业务以及我们客户的范围。

关于加密安全的三点建议

**Alex：**明白，刚刚周老师谈到了客户类型，他们有什么样的需求，以及一个大概的行业情况。那么第二个问题可能跟个人投资者会关联度比较高一点，尤其是我们的听众蛮多是刚刚开始进入 Web3 去学习跟尝试投资的人。如果您身边有一个朋友，他刚刚进入加密投资领域，他知道您是做加密安全服务的，请您给他提三个关于加密安全的建议，您会给他提的建议是哪三个？

**周亚金：**这个问题非常好。我身边的朋友也经常问我一些安全建议，他们也想进入这个行业，但是又听说好像很多人都会遇到一些风险。我们曾经有个开玩笑的说法：如果你进入 Crypto 圈子之后，没有被钓鱼，也没有被诈骗，你就不会成为这个领域里面资深的玩家。当然这是个开玩笑，但确实你也能发现这个行业里面存在很多风险。如果要提三个建议的话，第一个建议肯定是每个人都会想到的，就是关于私钥保护。在 Crypto 领域里面，怎么来证明你拥有这个资金，其实就是用你所拥有的私钥来证明你对这个账户的所有权。私钥就是一串数字，这也是跟你的个人身份没有任何绑定的。这串数字一旦丢失或泄露，别人就可以和你一样拥有你自己资金的控制权。这个跟我们现实世界非常不一样。在现实世界里，你的银行密码泄露了，你可以打电话给银行要求冻结账户，别人没有办法来取钱。但是在 Crypto 世界里，如果你的私钥泄露，那么拥有你私钥的人就可以无限制地从你的账户里将你的资金转走。通常来讲保护私钥有几种方法，比如我们有硬件钱包，用合约钱包或者用手机的 APP 来保护私钥。每一种方法其实都有它自己的优缺点。通过我自己的经验以及我们身边的一些安全朋友的整体经验，基本的原则就是私钥的助记词，把它记下来放到保险箱里面，无论这个保险箱是你自己家的还是银行的，把它存好，平时不要动，基本上你也用不到。然后用一个你相对比较可信的设备，无论是硬件钱包还是手机，去存储好你的私钥。这个手机一定是个专用的设备，不要去从事任何其他的操作活动，只是用来管理你自己的数字资产。这是第一个建议。第二个建议是在链上交易的时候一定要有安全和风险的意识。本质上你只要记住一句话：天上不会掉馅饼。我们发现在链上交易的时候，用户面临的钓鱼的风险非常大。包括我们所熟知的加密圈的很多的 KOL 和 OG 都曾遇到过钓鱼攻击，并且损失了很多资金。如果说一个莫名的网站要求你连接钱包去获得所谓的空投奖励，这个时候是需要比较小心地，一定要有注意安全的意识。第三个建议是你需要稍微了解一点加密资产基本知识。基本知识指的是在加密资产里面，我们通常有授权这么一个概念。这个是跟传统金融不太一样的地方。比方说你拥有一类的数字资产，USDT 或 USDC ，通过链上的签名，你可以将资产授权给一个合约或其他用户来使用，并且这样的授权只需要通过你的钱包签署你看不懂的一堆奇奇怪怪的东西就能实现。所以在签署钱包签名的时候，你因为不太明白或者说被欺骗，签署了授权的交易，那别人就可以动用你所有的数字资产。所以你稍微要对授权这件事有一些基本的了解，在签署钱包签名的时候才不会误签名这样的交易。总结起来，基本上建议就是：第一个是保护好你自己的私钥，给了一些可操作的方法；第二个是在进行链上交易的时候需要时刻小心，要有安全意识不要被钓鱼；第三个是要对 Crypto 的授权机制有基本的了解，这样的话不会误签名一些授权的交易。

**Alex：**我身边其实有蛮多高净值的朋友，他们也是行业里面的 OG 或者说老手，按理来说您提到的这些安全意识，他们多少都是有一点的，但是每年我都会听到身边有一些大户被盗。行业里有一个说法，说如果一个专业的黑客盯上你了，他知道你的钱包是有钱的，如果他动用了可动用的所有资源，你往往是很难逃过的。这样的说法您觉得有道理吗？真的是这样吗？

**周亚金：**你这个问题非常好。其实安全问题，特别是涉及到 Crypto 安全，本质上是一个不平衡的对抗。如果你的钱包里面拥有足够多的资产，你就非常容易成为别人定向攻击的目标。而一旦你成为别人定向攻击的目标之后，别人会动用非常多的资源，无论是社工的资源、技术的资源还是其他资源，根据目标的日常行为模式、生活的习惯等来设计针对你的攻击方法。在这种情况底下，不能说百分之百，但你防御的难度是非常高的，因为别人对抗你动用了非常多的资源，而你只有你自己。所以它是一个非常不对称的对抗。在这种情况底下，我觉得基本的原则，第一个是我们中国人有句话叫财不露富，就是说你不要把自己拥有的资产公开出来，要避免把自己个人的线下身份和链上资产的身份关系泄露出来。第二点是即使你是一个高净值的用户，可能已经被别人泄露了，那么你需要尽可能地做好资产的隔离。就是说你平时日常操作的资产，专用的钱包里面可能最多就是 10 万块钱，别人定向到你，最多就只能把这 10 万块钱骗走。而你其他的大量资产应该放在一个平时基本上不需要动用的钱包里面。如果你需要动用这些资产，你要找安全专家帮你一起 review 一套比较好的操作的流程和规范，这样能规避掉非常大的风险。