Yajin Zhou:

toC平台的用户好像在crypto的世界里也做不了啥。用户能知道的事情，是我使用的平台被盗了，需要找平台去做一些索赔，去维权。

Daniel：

对于普通用户来讲，其实没有应对策略，就是平台丢钱了。一旦出现资金丢失，用户挤兑是必然的现象，其实也是为什么我们现在是做全栈式安全，而不是单单做一块的安全，我们发现大部分被盗事件、被黑事件，资产丢失事件，现在其实不是合约问题，而是operation这个层面的问题。

无论这个团队有多大多牛，其实都是第一次干这事，可能他具体到执行操作的这些人都是第一次做，合约地址可能都不太清楚，很多operational的knowledge不全面，或者说整个区块链行业在公司这个级别，在operation上目前非常rocky，这是我大致的理解。

Yajin Zhou：

我也跟朋友聊过，他们说在做项目的时候，晚上部署合约的时候，或者说交易的时候手是在抖的。因为键盘插下去可能面临的就是大量资产的转移。所以其实有很多人在传统行业里面做了很多年的开发者，或者非常有经验的operation执行者，但是进入crypto这个行业确实面临跟以前很多不一样的挑战。这个时候对于整个Devops的工具，整个安全保证的policy，我觉得这些都是新的挑战。

Jason Chen：

我这边和刚才几位嘉宾的意见是一致的，就是当平台发生这种资产损失的时候，作为普通的储户其实没有任何办法，能做的只有一种操作，就是去挤兑。因为资产损失之后，我们根本不知道到底会对这个平台产生多大的影响。那你能做的最好办法就是抓紧去把自己钱取走。很多人站到上帝视角批判说这些储户很不理智。你这样一挤兑，这个平台爆仓了，就更没钱还你了。但是没办法，这就是我们普通人能做的唯一的一件事情，谁先把自己的钱取出来，落袋为安，谁就能最安全的。所以其实这是一个必然的事件，就是博弈，这个我是很同意刚才的嘉宾说的。然后另外就是安全分为ToB和toC。ToB的话刚才提到一个很重要的点就是ToB的安全问题产生的原因和场景复杂性实在是太高了，它不单单只是某些能穷举出来的，有很多奇奇怪怪的操作手法，也可能会导致大量资产损失，以及一些包括合约代码，一些边界值没控制好，结果咵一下子资产丢失，是一种很复杂的混沌的场景。

这一块我们评估就是ToB的安全很难用一款产品来解决掉，还是需要很大的程度依赖于比较贴身的服务定制。这是我的一个判断，ToB场景太复杂了，ToC的话相对会更穷举一些。ToC用户资产损失不外乎几类，要么是像我们最常见的NFT钓鱼，把自己的NFT授权给了某个地址被转走，或者是直接伪装成mint，实际上是让你去send资产。

还有一类就是不小心把自己的私钥给泄露出去了，比如别人做一个假的插件，或者是通过一些剪切板之类的给你把私钥搞走了，其实穷举的话ToC的安全基本上也就这三点了，所以其实它还是比较可控的。虽然说ToC的安全问题出现的频率是更高的，我至少周围十个人里不夸张的说应该有三到五个人都是要么丢过私钥，要么被偷过NFT，但是其实都是可以通过一些产品来解决掉的。但是ToB的话安全事件相对小，每次发生安全事件大家很热闹，全网都在热议，但实际上也不会说概率有多高。

Daniel：

大家还是要注意，很多合约项目，它的高APY背后对应的也是高风险，这风险有很多种，金融层面也有这种风险，合约层面也有风险。DEX和我讲现在利率已经不能够充分的表达背后的风险。

Daniel：

散户层面保护好自己，首先要考虑硬件钱包。还有永远不要私钥触网，甚至连tab到自己电脑都别。普通用户不要随便参加各种mint token。如果想要参加，尽量一个里面金额不多的钱包去做这件事。

Justin：

我认为股票投资里的风控和区块链投资里的风控并没有本质区别。我很赞同几位嘉宾对operation层面的强调。web3生态建立在web2之上，web2安全是web3安全的基石。否则当黑客侵入手机入侵浏览器的时候，web3安全等于被釜底抽薪地破坏掉了。

Jason：

ToC的普通用户如何去保护资产，不是打广告，因为我需要去解释一下我们在上星期发布的MetaShield安全插件的原理，这样才能够帮助大家更好去理解你们遇到的安全风险到底什么类型以及如何去保护。大家可以看一下我推特第一条提到的MetaShield，它就是帮助大家去保护NFT与Token在某些场景下的安全。我们常见的NFT损失最多的就是一类approve授权资产，就比如像周杰伦300万的猴子被偷了，以及包括discount被攻击也是一样。

前面也在盛传OpenSea会莫名其妙多出来几个空投的NFT，诱导你去交易，就可能导致大家都很恐慌，但实际上它会通过空投NFT来诱导去操作一些钓鱼网站，最终还是回到钓鱼网站而不是OpenSea的问题，比如说今天下午3点钟有个mint，2点58的时候，突然丢一个链接，然后把一帮人带跑偏。那个网站上有个mint按钮，但实际上点击之后，执行的是一个721自带的approve方法，就把某个collection里面的资产授权给某个地址，这样地址就可以不经过你的允许就把资产转移走。包括像OpenSea去做交易的时候也是一样，实际上是把你的NFT授权给OpenSea，然后OpenSea就可以给你进行转移出售，当然这是一个合法的转移，但是很多情况下骗子用这种操作来进行非法的资产调取，我们能见到的几乎一半以上的NFT资产损失应该都是这种情况。

我们不是一家专门的安全公司，我们会去监测当前用户对所有小狐狸钱包发起的事件，如果监测到approval和send这两种非常危险的操作行为的时候，我们会再采取一个传统的黑白名单扫描的方式。

我们首先第一步会监测，会直接深入到你的操作行为的监测，而不是直接做一个黑白名单匹配，然后监测这种高危行为，再做黑白名单匹配，然后再给用户给出充分的信息透传。我之前文章写过，实际当fomo情绪起来之后，小狐狸钱包并没有把一些充分的信息，包括到底在做什么事，你和谁做，给展示出来。

所以我们的插件会把所有当前正在进行的交易事件，给全部列出来，让用户认真的看清楚到底现在正在干嘛，不会稀里糊涂去做操作。这个是基本上资产损失一半以上的场景都会遇到的问题。还有一种很严重的就是直接把资产私钥/助记词给搞走。这个基本上就归零。预防这一块的解决手法，刚才有位嘉宾提到是硬件钱包，如果已经有个几千上万的加密资产，花个几百块钱买个硬件钱包，或者大不了买个一个新的手机单独存这些资产也可以。另外就是密钥和助记词，千万不能触网，一旦触网的话，别人就会有办法给你搞走了。包括前面也说过那个剪切板。

还有就是建议大家可以去创建两个钱包，一个钱包就专门去做一些你觉得可能会有点危险的事情，但是你又想刀口舔血。你往这个钱包里面打个0.5-1ETH。如果一旦这个钱包产生了一些风险，那也不会连累你真正的核心资产。所以这个是操作上的建议。对于普通的C端资产损失，基本上就这几类。

Yajin Zhou：

我在这里也想跟大家探讨一下，我们讲安全跟可用性，其实是个trade-off，如果你想让一个事情最安全，那简单的就是你最好不要用这个东西，这是最安全的，因为如果不使用加密数字货币，那肯定数字资产就不会损失。当然也不是我们就真不用，其实可以去用一些比较好的fundamental的一些principle，去让自己平时的交易更安全。一个非常好的practice就是隔离。比如说我自己使用了多个钱包的地址是不是隔离的，我们其实可以把平时做土狗交易的钱包地址和我自己存放比较大量资金的钱包做隔离。

另外我们平时使用MetaMask的浏览器和其他日常浏览的这个浏览器是不是隔离的，如果做了浏览器之间的隔离，那么因为浏览器的漏洞导致私钥和助记词泄露，就有可能避免。

最后一个层面就是日常做交易的PC和平时日常自己办公室的PC是不是隔离的？如果PC是隔离的，那么通过钓鱼攻击来接管你的PC从而窃取私钥的攻击手段就变得无效。

我自己的做法是比较小的资金量，隔离的等级就弱一点，只要做到浏览器和浏览器的隔离就好。但是对于较大资金的交易，那可能就需要做到设备和设备之间的隔离。使用一台单独的手机或者单独的硬件钱包来去存放私钥等等。

Daniel Tong：

如果被盗了的话赶快取出来，放到自己钱包里面，这是你唯一能做的。我觉得维权很难，因为主要是现在整个目前全球的法律体系，它对这个区块链的保护是很有限的，又或者说是完全就其实在区块链行业，很多时候他们签的这些 agreement 某种上都是个君子协定，因为它并不真正存在法律效应。很多时候你要是告一个这种公司，其实你都不知道在哪个国家，在哪一个国家的法庭去告，你都不清楚。就算告了他能不能有这个赔付能力你也不清楚。所以如果真的交易所被盗了或交易所出现什么问题，大家在有这个风声的时候，最好就提前把钱拿走，这真的是唯一方法。钱在你自己的密钥上，钱在你自己的钱包里面，才是真正的在你的自己手上。

Dex Chen：

op 这个东西我觉得最直接的原因它是 winterview它不应该在确定自己对那个打过来币在有权限之前，跟 op 的官方说你们可以把剩下币打过来。因为 op 官方之前给他们发过一个测试的tx，但是是 winterview那边可能是没有去真正的测试是否有权限动这个币，这个是直接原因。间接原因是以太坊的架构设计的问题。因为它是以前比较旧的一个函数，它没有一个 replay 的一个保护机制，所以就导致了这个黑客可以把之前的transcation放到 op 上面，然后再放一次。

Yajin Zhou：

这里我稍微补充一下，就是说多签钱包的这个事件其实是多个因素的巧合。其实如果那个多签钱包，它遵循了erp115就没什么问题了，它可以防止那个多链的重放，比较巧的就是钱包也没有遵循那个标准。

Jason Chen：

因为我当时在写这篇文章的时候，当时研究的不够深入，然后发的有点着急。其实里面刚才有一位嘉宾提到155这个事情，然后这个当时是我在文章里面疏忽掉的，后面我又重新补了一篇，然后把这个事情又详细描述了一下。当时文章发的有点急，然后有一个很重要的一个冲突攻击的黑客手法没有给大家描述清楚。然后另外就是就相信今天有不少听众都是 C 端听众，也一定会有一些企业的或者项目方在这边。然后我看就各位嘉宾有专门做审计及安全的面向企业服务的公司，各位也可以介绍一下你们的那个合约审计服务到底是怎么去保护这些企业客户的，然后以及合约审计以及包括非合约审计还有全端的，那这个对于客户的安全性有怎么样一个重要程度？另外就是 op 这个事，其实就是它和合约本身关系不大，它其实就是一个操作行为。就这个刚才上面有位嘉宾也说过，他们会去做除合约审计以外的这个 operation 的事情。那其实这个就是如果你有一个专门的指导团队，告诉你第一步第二步第三步你要完成怎样的校验，确认这个资产之后属于你然后再执行哪个步骤。这个其实说白了就是一个安全培训规范没到位，他最终的产生的这个问题其实是一个技术漏洞，但通过安全科学规范就可以规避到这一个事。然后我这边也有不少的读者每次看到这种新闻之后就非常嗨，原来黑客这么一把就能赚几个亿，然后整天也自己闷头研究说我能不能也去搞这么一个漏洞？这个刚才也有位嘉宾提到它是多种因素的一个巧合结果。但是我不提倡这种黑客行为，为什么？就是因为你必须要把你的运气加认知加技术这三条全部拉满之后，才有可能会造就这么一次事件。因为首先刚好这个做市商他不去检查，然后又刚好他又在 OP怎么样，就这些运气的几率是非常小的。你还得恰好撞到这个时间点上，有这个运气能够撞到这个事件上。那第一点就是你撞上，第二名得有你的认知，让你明白这个事件背后它意味着什么，它背后有可能蕴藏着多大的机会。那么你的认知到了之后，接下来就是你的技术得到位，就是你结合你的这个撞到这个事件的运气，然后再加上你对这个机会的分析的认知，然后再用你的技术去做一次攻击，然后才有可能实现这样一次惊天动地的一个大新闻效果，所以这个概率是极其小的。基本上普通人是不可能操作的。我之前也遇到过，然后参加一些 space 结果明明是聊安全的，聊完之后，然后好多人来 DM 怎么样能做一个钓鱼网站来赚钱。所以这个也是咱们提醒一下就是大家第一就是做那个区块链攻击是一个非常不道德的事情。然后而且虽然说现在没有法律约束，但是你一旦做了还是会有一些方式能够限制你，甚至是真的能把你给搞进去了，然后不要大家不要做这个事。第二就是你想做的话基本上也没门，因为刚才也说了复杂度实在是太高了，一般人没有时间去研究人家代码漏洞的精力，还不如去好好做点产品。所以这个也是咱们提醒一下就是大家第一就是做那个区块链攻击是一个非常不道德的事情。

Jason Chen：

然后另外就是另外就是我们各位做区块链安全服务审计的这个嘉宾也可以，也可以着重强调一下这个对于 ToB 的客户，他们的遇到的安全问题以及你们如何去服务它。我觉得因为刚才我们讲了很多 ToC ，ToB 这块其实有点忽视。

Dex Chen：

我这边其实想说就是说安全服务的话，首先公司其实最多还是首先我们只用他自己工作过硬不过硬，这个是因为他本身要不断地学习各种 standard，但是有些没有被正式采纳。然后再就是安全审计这个东西，我们觉得其实并不是报告给了就完事了。安全审计公司其实有必要去 follow market ，在有其他类似项目什么被黑的时候，有这个义务去提醒之前审计过的这些客户。然后另外一个我觉得其实大家也可以比较注意，就是说看大家审批报告里面那个 informational 其实有的时候 informational 那里面的 issue 更多是这种 best practice 相关的。我觉得 informational 其实反而更重要的，就是说他在写这个 context 时候有没有 follow 最佳的解决方法。

Justin：

我认为审计可以帮助建立投资者对项目方的信任，在代码层面审计找出漏洞。CertiK.com网站上列出了我们审过的近3000个项目。在团队方面，一个信任的痛点是有些团队是匿名的，或者说线上身份难以证实。针对这个痛点CertiK推出了KYC服务，让CertiK对项目团队的成员进行真实可靠性验证。这种KYC服务可以增加社会对项目方团队的信任。如果有兴趣的话，我可以帮助联系BD。

项目方的另一个痛点是在项目审计完上线之后，监控项目的状态并不是一个容易的事情。对此我们推出了SkyNet服务，监控我们审计客户在项目上线之后的状态。我们会监控比如twitter状态，价格，whales，liquidity pools等。综合了所有因素以后，我们会给每个项目打一个分并发布在CertiK.com上面。

最后关于web2安全，我觉得项目方可以考虑从渗透测试开始。

Dex Chen：

你们怎么保证KYC不是买过来的或者花钱雇个人帮我KYC？

Justin：

这个我不清楚细节。Binance等交易所也会对用户进行KYC，原理应该是类似的，效果是增加作恶的成本。需要的话我可以帮助联系我们的KYC团队。

Yajin Zhou：

我们认为，对 ToB 项目方的安全防护，审计只是其中一环，审计之后整个安全的服务并没有结束，因为项目方在项目上线之后，它会面临一个比较长的运行周期。在运行的过程当中，这些项目方遇到安全威胁的时候，它能不能第一时间的及时感知，第一时间感知之后它有哪些应急响应措施，这些我觉得是整个 ToB 项目方目前忽略的一部分。比如我们发现很多的情况下，我们的预警系统报告了一笔攻击之后，我们去联系项目方联系不上，因为项目方可能还在睡觉，他们可能自己并没有一个相对比较好的机制来去及时感知这些事情。所以从我们的角度，对 ToB 的项目方来说，安全的审计只是一环，安全审计之后的一些更多维度信息的获取，监控、阻断、应急响应等等，其实都是项目方需要去考虑的事情。

Daniel：

我们是Verilog的团队，我们其实最近审计过蛮多，比如说bendao等。offchain我们发现代码分析这块你需要很精细地去分析它的 use case，分析它的逻辑，然后分析他可能被黑的方式。其次你需要培养team 的一些意识，有很多 team 他们其实有的时候说不定也不清楚安全保护。Off chain在这一块主要做的其实是教育，根据你对这个代码的理解，写出一套方案，在做每一件事的时候，需要你去check各个criteria 能不能满足我们在上线某一个东西，像这样的一个流程都需要去做。其实还有一个比较常见的issue，比如最近evmos的第一个dex，他其实没有multisync，我们建议他们要做一个多层tier的保护给一些offchain的功能，因为这个完全是没有一个统一规范的，只有可能是一个精细化的程序才能做得到，它的大部分东西都是需要你根据客户 case by case 去分析。

Dex Chen：

我觉得最大问题就是你看这些事情其实都有个共同点，他们很多的 deal 都是在链下的，都是 OTC，我们根本不知道他们到底谁借给了谁多少钱。然后对于cefi信心这个事情我觉得作为用户的话就是一定要非常敏感，出现有一些端倪的时候就要跑。3ac说之前他们好像帮别人理财，给 10% interest ，后来anchor有次降了2%，他们那边马上也跟着降2%，像这个时候假如你是他们用户，你肯定会要想一下是不是说明有可能他们把我钱丢到anchor里。作为一个cefi用户，其实对这种东西非常敏感，或者说有些平台它可能突然最近技术维护有点多，总是限制你取钱，那这时候作为一个用户，你要小心，不要侥幸觉得这东西很正常，我觉得其实这个时候就已经不正常。

Max：

cobo虽说作为一个 customer 托管方，但是事实上像神鱼的话它也会参与很多的对外投资。其实我们刚才也提到了说关于需要去持续监控，其实cobo这边，它的内部的监控并没有使用外部，因为像监控其实只是一个中间的过程，最重要的是后面的一个自动化出逃。所以为了保证我们的自动化出逃的准确性，监控我们是不可能去相信一个外部机构的，我们会自己去监控我们在投的项目。其实他只要稍微有一些超出的阈值，像cobo这边就会跑得非常快。所以看最近这种事故频发的市场环境下，对于我们这边来讲的话几乎没有太大的影响，整个这边的金融风控的话做的确实要稍微好一些。哪怕是个人的 defi参与者，如果是一个技术型参与者，也建议你在投资之前就把如何撤退这件事给想好。风控意识还是应该放在首位的。

Dex：

其实链上监控跑这个东西，我想说刚才我提到的产品叫 hackless 。

Max：

在我们使用插件的过程中，你要保持高度的警惕性，因为像这种插件的话，copy一个插件它的成本几乎是零，如果假设我去 copy 了一个新的插件，做了一定的更改，其实作为一个普通用户是很难去发现的。当我们使用的时候，一定要从官方的途径，然后去看发布的这个人是不是他真正的作者。尤其是有一些这个名字上的变形之类的，这是比较简单的一种方式。

Daniel：

我可能不太用插件去保护安全，我有的时候会用 debank。debank上有个功能是可以看你approve 过哪些项目，这个功能其实非常好用，有很多bridge 其实是有很大的中心化风险的，像这些 bridge 你都可以把它给 disapprove 掉，然后定期的清理你对一些 protocol和一些合约的 approve ，这也是非常重要的。包括不能乱 sign in，sign in其实风险更高，sign in有可能会暴露你自己的私钥。大的资产尽量放到一个钱包，然后这个钱包不去 interact 任何东西，你如果要去 interact 什么东西，就把它打给一个钱包让那个钱包去做，是一个比较好的multitier 的保护。

Daniel：

Ledger 和 Trezor 就这两个，然后建议 Ledger 和 Trezor都买最新的 ,比如Ledger买ledger nano X 。因为老款的那个之前网上已经有 youtuber 说目前有硬件黑客，他们通过 Flash beep 的memory 已经有人可以把你的pin 给两小时之内复刻出来，所以要用最新的。

Yajin Zhou：

它可用性跟安全性是trade off，主要看用户你有多少钱。如果你的这个资金量其实没那么大，硬件钱包可能不是一个特别好的使用体验。

Daniel：

你们怎么看待 MPC 钱包？我觉得 MPC 钱包蛮有未来的，我感觉它在未来的使用上又易用，安全性也会高很多。

Dex：

如果 MPC 要做的话，MPC provider可能要跟监管要有一个教育的过程，人家 regular 才会approved。

Jason Chen：

我刚才已经在一个问题里面对NFT安全大概讲过一遍了，其实最主要的还是要注意不要乱授权，其次就是不要轻易去点击一些钓鱼网站。其实现在的钓鱼网站生产成本极其的低，我见过有好多人卖钓鱼网站模板，而且大家也会看到钓鱼网站基本上打一枪换一个地方，都是一波流，这个其实很难防得住，不要轻信Disocrd和推特上伪官方发出的mint消息，或者告诉你你中奖了，给你单独开个 mint 的入口。怎么可能呢？不要相信天上掉馅饼的事情。

NFT是让 web3 或者让加密行业焕发了一次新的生机的一个新的机会，是因为 NFT 使得大量的人可以以更低的门槛进入到加密世界，我们也能看到大量的学生或者是普通人都进来，那就导致了这个行业门槛极低的话，大家的这个安全意识又不够，大家乱冲，就产生这个资产安全问题了。当然不仅是新手，我在这个行业里面已经待了两三年了，我认知很充分了，我就不会去上这种当了？这个也不会，像BAYC的钓鱼和被盗事件，你持有这种蓝筹项目的哪个不是老韭菜呢？对吧？哪个不是在行业里面玩了有个一两年，所以说就这种老韭菜，人家都会被这种看起来好像挺小儿科的手段给盗了，咱们在web 3 行业里面游走，这个人安全意识是最重要的，就是你没有个人安全意识用再多的这个安全产品，也没用，宁可输钱也不要被丢钱。

岗位职责

1. 调研，分析区块链项目。向内输出报告及PR文章。

2. 与项目方接洽，学习/使用/评估项目方的项目以及团队。

3. 对区块链相关赛道进行关注。输出相关文章及分析

岗位要求

1. 对区块链行业有着极大的热情，热爱思考，具备结构化思维和逻辑思考能力。

2. 有一定的区块链行业知识。（分析师：对各大公链，DeFi，NFT，跨链，Layer2有较为深刻理解）

3. 有搭建财务模型和数据分析经验者优先。

4. 国内外一流大学本科或以上学历优先。

岗位职责

1. 负责财务工作，包括基金/LP的建立，LP的报告，投资交易以及与投资经理的沟通；

2. 负责财务会计报告，包括流动资产的管理；

3. 准备月度、季度和年度管理报告，并向管理层、审计委员会和董事会提交报告；

4. 与服务合作公司沟通，如基金管理人、审计师、银行和秘书公司；

5. 根据相关的法规要求进行适当的税务规划和申报；

6. 支持新的许可证申请和推出基金架构；

7. 支持对基金的投资资产进行全面评估；

8. 根据法规要求管理基金与供应商、客户的各种协议的遵守情况；

9. 建议和支持控股公司建立适当的会计、财务控制和风控管理，以帮助其满足外部审计和私人/公共资金募资要求。

岗位要求

1. 5年以上财务审计或资产管理公司相关工作经验；

2. 有从事中型公司的财务工作经验，支持资金的建立，LP的建立，并与投资经理沟通；

3. 3年以上领导岗位，管理小团队；

4. 能够独立工作；

5. 良好的表达和沟通能力；

6. 熟悉MAS法规，IFRS和/或美国公认会计准则；

7. 有资产管理行业审计经验者优先；

8. 能够在一家新的初创企业中茁壮成长且精力充沛。

岗位职责

1. 负责制定和执行A&T Capital的公关策略。

2. 监督公司各个渠道（Twitter、媒体、网站、微信公众号等）的内容管理，建立A&T Capital的媒体影响力

岗位要求

1. 熟悉Coindesk，Cointelegraph等国际媒体渠道，有品牌打造和公共关系方面的经验。

2. 自信的书面和口头交流表达技巧。

3. 英语流利，可作为工作语言。

4. 有区块链从业经验，责任心强，能够适应区块链行业节奏。

工作收获（包括但不限于）

1. 直接接触到最顶尖的区块链项目方，与项目方成员直接沟通，保持密切联系。

2. 第一时间和区块链最新的发展趋势保持联系，密切参与到行业的快速发展迭代之中。

3. 行业领先的薪资福利待遇。

联系方式

1. 联系人：jun@capitalant.com

2. 邮件标题：申请岗位 + 姓名（如申请实习：+学校+实习时间）；

3. 邮件内容：简历，可附上您之前有关区块链领域的研究。

工作地点：新加坡 \ 柏林 \ 上海 \ 旧金山

推荐成功入职六个月赠送推荐人iPhone13一部