TMT观察网_独特视角观察TMT行业

本文內容來源三點鐘火訊財經創(chuàng)世群，如需轉載，務必注明出處。

《火訊瑯琊榜》第三期首次開啟“雙閣主”模式，以“尋路區(qū)塊鏈”為主題，繼續(xù)帶你探索區(qū)塊鏈發(fā)展之路。

第三期第一場

大于、大象×慢霧團隊

閣主：

大于，經濟學博士、中國計算機學會區(qū)塊鏈專業(yè)委員會委員、區(qū)塊鏈產業(yè)資深研究者。

大象，不愿意透露身份的火訊財經聯合創(chuàng)始人、游離于圈內圈外，不明真相的吃瓜群眾、偶爾也明真相的區(qū)塊鏈路人甲。

嘉賓：

慢霧安全團隊，這是由一支擁有十多年一線網絡安全攻防實戰(zhàn)的安全成員創(chuàng)建，團隊曾為 Google、微軟、W3C、公安部、騰訊、阿里、百度等輸出過安全能力，團隊多項成果也曾進入過 Black Hat 等全球黑客大會。慢霧安全團隊已經與全球多家知名交易所、數字資產錢包、主鏈項目合作，為合作伙伴提供安全審計、安全顧問、防御部署及威脅情報分享。

前言

上期閣主孫健開場稱贊雙閣主模式非常應景世界杯的主持模式，一個主攻一個助攻。在傳統(tǒng)節(jié)目“閣主交接儀式”之后，話題正式打開，進入訪談環(huán)節(jié)。

本期嘉賓慢霧團隊自稱是一支慢格調的安全團隊。“慢霧”這個詞取自《三體》，寓意黑暗森林里的安全區(qū)域。那么究竟信仰“守正出奇”的慢霧賦予星星以安全？還是賦予觀者以能力？或者是維護宇宙的基本平衡呢？

不必過于強調區(qū)塊鏈技術，恰如神秘的黑客“自帶奇”。因為這個這個世界不存在烏托邦，沒有完美的去中心化。

你還記得關于以太坊黑色情人事件、USDT“虛假充值”事件、日本CoinCheck交易所被盜事件嗎？好奇最新進展嗎？關心區(qū)塊鏈企業(yè)的安全問題嗎？

在這個夜黑風高的夜晚，神秘的黑客先生會展現怎樣的一種“超能力”呢？

以下為訪談實錄整理

▼

上期閣主孫健：?@大于@大象 新閣主久仰大名啊。傳授心得是瑯琊榜的老傳統(tǒng)，傳新閣主刨根問底大法。這個是我在上一季的心得。對談關鍵是走心，挖出嘉賓最想說的不重要，刨出大家最愛看的，才有趣。

很期待無厘頭的大象和正兒八經的大于的混搭。

閣主大于：非常感謝寶貴經驗！我們努力！爭取為各位火訊的讀者提供幾道精神大餐！

閣主大象：對，我們的目標是沒有蛀牙，開始吧。

主編趙一丹：感謝老閣主傳授武功心得！現在我宣布，火訊瑯琊榜第三期正式開場！

閣主大于： 大家晚上好，歡迎收看火訊瑯琊榜第三期在線訪談節(jié)目，我是于佳寧（也就是大于），很榮幸能擔任本期瑯琊榜閣主（之一）。特別歡迎本期瑯琊榜首次受訪嘉賓——慢霧安全團隊。

網絡安全是一個技術性、專業(yè)性很強的領域，天然帶著一定的神秘色彩，在正式訪談開始前，可否請慢霧安全團隊先進行一下自我介紹，說說慢霧是怎樣一個團隊？以前做過什么？現在在做什么？未來還希望做什么？

嘉賓慢霧余弦：慢霧是一支比較喜歡慢格調的安全團隊，慢霧這個詞來自科幻《三體》，寓意黑暗森林里的安全區(qū)域。過去十多年我們在安全領域做過不少細分領域：政企、云、金融等，現在聚集區(qū)塊鏈生態(tài)安全，獨立一家區(qū)塊鏈生態(tài)安全公司慢霧科技，未來希望跳出安全，創(chuàng)造更大價值。

閣主大于：很有意思，可否介紹一下慢霧科技的愿景？

嘉賓慢霧余弦：嗯，愿景我用一張圖文來說，這就是慢霧的愿景，比較低調。

閣主大于：是賦予星星以安全？還是賦予觀者以能力？或者是維護宇宙的基本平衡？

嘉賓慢霧余弦：如果想了解慢霧更多內容，可以后續(xù)看我們的官網。慢霧只想做好一件事：區(qū)塊鏈生態(tài)安全。強調“生態(tài)”這個詞，是因為我們覺得這里面角色很多，安全是環(huán)環(huán)相扣，甚至唇亡齒寒。

閣主大于：很帥氣的官網，清晰明了，值得點開一看，哈哈。

是的，安全問題已經不再是某一個參與者單獨的問題，而是要從整體生態(tài)層次予以考慮，好，那我們下面進入正式的訪談。

閣主大于：第一個問題，區(qū)塊鏈的核心是解決信任問題，而安全事件卻一次次打擊人們的信任，尤其是智能合約安全漏洞帶來的巨額損失。目前區(qū)塊鏈行業(yè)總體安全態(tài)勢是怎樣的？

嘉賓慢霧余弦：你們看到各種正規(guī)軍其實都在陸續(xù)進來，這也包括地下黑客群體（也是我們常說的攻擊者），他們遠比我們想象的職業(yè)。舉個例子，我們今年3月20號披露的一個大事件：以太坊黑色情人節(jié)（大家可以打開我們做的專題頁看看），這個攻擊其實2016年2月14日就發(fā)生了（這也是為什么我們命名這個為以太坊黑色情人節(jié)），持續(xù)了兩年多，自動化盜取了近5萬枚以太幣，幾十億枚各種代幣。技術細節(jié)我們有專門的分析報告，這里就不談了，但是大家仔細琢磨下：為什么持續(xù)了兩年多，直到我們的進來，才完整披露了呢？如果我們沒披露呢？

以太坊黑色情人節(jié)專題頁我發(fā)兩個截圖

閣主大于：這還真是一個令人驚詫的問題。

嘉賓慢霧余弦：然后，似乎有個錯覺，有人說：你們慢霧進來后，各種新型攻擊就層出不窮。就好像柯南每集都會死掉一個人，這不能怪柯南呀，劇情需要呀。

這些人是沒意識到：其實地下黑客正規(guī)軍早進來了，我們的進來也確實是時候，攻防對抗必然會升級。都說幣圈一天、人間一年，我們的攻防對抗當然也是這樣，會越來越激烈，直到一種平衡。

閣主大于：影響范圍如此廣泛，數額如此巨大，居然還能持續(xù)如此長的時間，可見攻防對抗確實在相當長一段時間內處于失衡狀態(tài)，黑客的攻擊居然這么久都沒有被監(jiān)測發(fā)現，這在網絡安全領域也是難以想象的。

嘉賓慢霧余弦：嗯，這也是我們覺得區(qū)塊鏈這個世界充滿魔力的原因。

閣主大于：那相比于傳統(tǒng)互聯網的安全態(tài)勢，區(qū)塊鏈安全有哪些新的特點和趨勢？

嘉賓慢霧余弦：當大家關心幣價的時候，也可以回過頭來，琢磨琢磨這些問題。

比起傳統(tǒng)的攻防來說，區(qū)塊鏈生態(tài)會有自己的特別點，比如幣屬性，自帶金融屬性，攻擊者有時候不一定要盜走這個幣，想辦法做空做多就好。

然后這個生態(tài)里做個溯源其實更難，法幣溯源有國家力量，這個生態(tài)這些幣的溯源，沒什么力量，太分散，大家自掃門前雪，偶爾還會看到互相嘲諷。

但是我們得意識到，安全這個東西，是整個生態(tài)的事，攻擊者喜聞樂見幣圈的亂，越亂，他們越喜歡，收割起來毫不留情。有句話是：莊家收割韭菜、地下黑客收割莊家。

閣主大于：那區(qū)塊鏈生態(tài)出現安全問題，最嚴重的情況下會導致什么后果？

嘉賓慢霧余弦：區(qū)塊鏈生態(tài)安全發(fā)生危險最嚴重的就是團隊資金破產及信譽破產。

但是呢……其實我們是樂觀的，有時候安全這東西也沒那么夸張，一個生態(tài)之所以是生態(tài)，就具備生態(tài)的一個屬性：自愈能力其實很強……

閣主大于：從安全角度，您說的生態(tài)的自愈能力應該怎么理解呢？

嘉賓慢霧余弦：受損后會恢復，生態(tài)的容錯性就是這樣。安全這東西，到頭來還是人，人這個物種就是詭辯、聰明、進化。感覺這部分細節(jié)很難在這展開。

我之所以會這樣說，是因為想表明：安全這東西，有時候太神秘化不好。

閣主大于：哈哈，有點感受到安全問題的本質了。

面對如此錯綜復雜的區(qū)塊鏈安全形勢，我們目前掌握的相對比較有效的應對方式有哪些？

這個問題很重要，所以追問有點多哈。

嘉賓慢霧余弦：最好的應對方式是：提高安全感，把安全去神秘化，把黑客去神秘化。

閣主大于：在區(qū)塊鏈世界里，意識、共識永遠是很重要的。

嘉賓慢霧余弦：有句話：無知者無畏；其實，知者更無畏。

慢霧的做法是開放：我們的安全做法、我們的安全理念，來自區(qū)塊鏈，最終得回到區(qū)塊鏈，你說的：共識。

閣主大于：您說的這句話我認為很重要，可否再多解釋幾句？（慢霧的做法是開放：我們的安全做法、我們的安全理念，來自區(qū)塊鏈，最終得回到區(qū)塊鏈，你說的：共識。）

群友廠長：基于共識慢霧愿意做白帽，也服務于共識。所以才叫來自區(qū)塊鏈，也回到區(qū)塊鏈。而且開源精神和共識本就是同根同源。

嘉賓慢霧余弦：比如，我們在我們官網開放了我們安全審計的一些做法，還有不少，我們都會陸續(xù)更新。

再比如，我們重度 GitHub 使用者。我們在我們的GitHub上公開了很多解決方案與研究，你們回頭可以看看。我們覺得安全這東西一定要首先解決信任這個大問題、

閣主大于：很深刻，這些都是很寶貴的資料哎，之后我們還要仔細研究和學習。

嘉賓慢霧余弦：如果我們的客戶、我們的伙伴對我們不信任，他們不會和我們合作。如何解決信任：1. 開放開源；2. 口碑傳播。

閣主大于：精辟！基本有些感覺了。

閣主大于：第二問，國家信息技術安全研究中心主任俞克群曾表示，目前區(qū)塊鏈還處在初級階段，風險不僅來自于外部有意的惡意攻擊，也有可能來自區(qū)塊鏈本身體系內生的原因。我想問，區(qū)塊鏈本身體系內生風險源是什么？區(qū)塊鏈技術本身存在安全缺陷嗎？

嘉賓慢霧余弦：說實話這個問題上下文我沒了解，區(qū)塊鏈技術本身當然存在安全缺陷呀。沒絕對的安全，這也算是我們做安全的基本共識。

閣主大于：能不能把區(qū)塊鏈本身的安全缺陷再講一講。雖然我想很多朋友可能有所理解，但是理解的有很有可能有偏差，或者不到位。

嘉賓慢霧余弦：好的，我找個我之前發(fā)的文字片段，稍等。研究區(qū)塊鏈安全的可以參考以太坊漏洞賞金計劃。

里面對安全的分類有：

– 協議安全

– 實現安全，包括：

1. 客戶端協議實現安全

2. 網絡安全

3. 節(jié)點安全

4. 客戶端應用安全

5. 算法使用安全

6. Solidity 語言安全

7. ENS 安全

然后還有不少已經披露的案例可以供參考，拿到賞金不是件難事。這是我們看到知名公鏈以太坊這個區(qū)塊鏈本身的安全缺陷類型。供參考，細節(jié)可以回頭細聊。

閣主大于：對于安全問題，專業(yè)性很強，您覺得，對于一般的區(qū)塊鏈從業(yè)者而言，應該學習關注到什么層次？

嘉賓慢霧余弦：一般的區(qū)塊鏈從業(yè)者，保持空杯心態(tài)吧，至少能保護好自己的私鑰。

閣主大于：哈哈，這個建議很中肯，不過做到也不那么容易啊。

嘉賓慢霧余弦：技多不壓身，大家會看到越來越多攻擊手法被披露，至少保持理解為什么會這樣。比如前面說的以太坊黑色情人節(jié)事件，為什么為什么為什么會發(fā)生？

閣主大于：是的，這個概念的理解還是很重要的，即使不能從代碼層面理解，也要有這種意識，不過好像學習起來真的挺難，沒有看到相對通俗但又權威系統(tǒng)的學習材料。

嘉賓慢霧余弦：本質就是以太坊全節(jié)點的私鑰機制與相關端口開放的綜合攻擊手法的工程化問題……

有時候深入挖掘會發(fā)現這比魔法還魔法，難怪黑客容易被神秘化。

閣主大于：雖然之前做了很多功課，但是看這個概念，說實話還是不太明白。

嘉賓慢霧余弦：確實術業(yè)有專攻，有門檻。

閣主大于：我覺得以后真的有必要搞一些通俗易懂的區(qū)塊鏈安全科普材料，至少讓大家有基本的認識，才能達成共識。

閣主大于：第三個問題，歷來人們都對擁有超能力的人有更多的質疑，能力越強責任越大，在區(qū)塊鏈世界，慢霧科技其實上可以認為是有“超能力”的公司，我想知道，你們是如何約束自身的“超能力”的？有哪些不可違背的行事原則？除了觀念和文化上的約束，慢霧科技對內部成員有怎樣的實質性約束？

嘉賓慢霧余弦： 有必要，這問題真好啊！

我覺得這首先是價值觀問題了，我們是職業(yè)做安全，過去十多年，圈子是有口碑的，而且我們很明白該遵守什么規(guī)則，比如我們國家有網絡安全法。

我一直給團隊共識我們的紅線，我們在招人時尤其注意這個，價值觀是第一需要考慮的，然后才是其他。還有，我們也和公安相關部門有合作，在自我約束這方面，我們非常嚴肅。

我總說：確認過眼神，我們一起干事，還不止確認過眼神。

我也總說：守正出奇。比如，黑客這個身份，自帶奇……

但是你得守正，價值觀一致，還得敬畏法律，敬畏規(guī)則。

群友廠長：好純潔。

閣主大于：文化 制度 監(jiān)管。

嘉賓慢霧余弦：不，純潔這個詞不適合我們。

閣主大于：守正應該是出奇的前提。那讓您選一個詞來描述慢霧，你會選擇什么詞？

嘉賓慢霧余弦：好吧，想不到。

閣主大于：其實如果讓我來想的話，好像也沒有比“守正出奇”更加合適的詞了。

嘉賓慢霧余弦：是這樣，我們也不會提白帽這個詞。

閣主大于：白帽這個概念已經越來越深入人心了。

嘉賓慢霧余弦：我們有我們的行事準則，確實，守正出奇是最合適的形容。

閣主大于：第四問，您曾經說“這個社會不存在完美的去中心化，不存在烏托邦，去中心化 中心化才是區(qū)塊鏈落地的真正未來。”您認為完全的去中心化不可能嗎？去中心化 中心化指得是一種新的共識機制，還是一種治理機制？

嘉賓慢霧余弦：嗯。完全去中心化不可能，因為人性，我高中就看《自私的基因》，里面描述了人性非常底層的本質行為：利己與利他。

閣主大于：能再具體解釋一下嗎？

嘉賓慢霧余弦：區(qū)塊鏈落地的真正未來，其實，我并不覺得區(qū)塊鏈技術有什么需要特別去強調的，我們應該看人類的未來，比如生產關系與生產力，大趨勢來看（不考慮黑天鵝事件），生產關系肯定是越來越好（比如區(qū)塊鏈技術讓信任成本盡可能降低），生產力越來越強。

區(qū)塊鏈并沒什么特別，就好像我一直說黑客沒什么特別。我想表達的是：我們不必過于強調。對了，別忘了：區(qū)塊鏈可不僅僅是技術，還有經濟和政治。

閣主大于：我很同意，技術永遠是中性的，只能推動既有趨勢而不能根本改變。

所以說，技術只能強化原有的產業(yè)邏輯和趨勢，比如如果能通過分布式協作增加效率，那使用區(qū)塊鏈一定是很好的。但是恐怕不能用技術憑空創(chuàng)造出來不存在的趨勢。

好，我提問的部分就到這里。接下來請另外一位閣主大象提問，也就是要從一本正經切換到輕松愉快模式了。雙閣主的模式，嘉賓很辛苦，觀眾很嗨皮。

閣主大象：我是一名觀察者。

作為觀察者，我觀察到您有一條發(fā)在朋友圈的信息：“我們說慢霧無對手，有投資人估計當我們神經病，現在這個環(huán)境，沒點格局及想象力還真就別出來做事了……不用給我們假設對手，小龍蝦都沒吃過兩頓的你覺得能談出個鬼？一個電話就自以為無敵的，不見……”這句話的感覺，不好說低調，更像是在說“燕雀安知鴻鵠之志”，所以你覺得如果要成為你的對手，需要哪些條件？

嘉賓慢霧余弦：得罪人。

閣主大象：不會得罪人的，因為對手可能還沒誕生……

嘉賓慢霧余弦：這句話其實有當時的心境。

這個生態(tài)才剛開始熱鬧，就天天喊打喊殺的，任何事業(yè)想做好都需要有個馬拉松心態(tài)。

火訊財經創(chuàng)始人龍典：最近看了一個電影：《我是誰：沒有絕對安全的系統(tǒng)》感覺黑客特別厲害。

嘉賓慢霧余弦：慢霧的使命是給這個區(qū)塊鏈生態(tài)帶來安全感。愿景前面也通過了。慢霧是個慢格調的公司，不喜歡競爭。

《我是誰：沒有絕對安全的系統(tǒng)》這部電影拍的不錯。

群友劉韓：知道創(chuàng)宇、armors應該在行業(yè)都是比較領先的吧。

嘉賓慢霧余弦：知道創(chuàng)宇是我老東家。我在老東家做了9年安全，負責安全能力。是的，他們很強。我覺得區(qū)塊鏈生態(tài)有它極大的魅力，可玩性其實很高很高，現在談對手，太早。

閣主大象：剛才有講到要去神秘化，我們知道暗網是最神秘的組織，匿名交易者在這上面交易毒品、假身份證、火藥還有黑客軟件等被法律禁止的物品。 人們通過加密的隱身軟件才能進入這個普通搜索引擎不能發(fā)現的空間，一切交易都通過執(zhí)法人員監(jiān)管不到的虛擬貨幣隱秘進行。可以給大家科普一下，你們所認識的暗網嗎？

嘉賓慢霧余弦：暗網其實是個很泛的概念，里面有太多大大小小的組織或個人，霍炬這篇科普文章：寫得很好，推薦之后看看。

我題外話說下地下世界現在最有意思的我覺得是門羅幣，但是這個題外話回頭可以再展開。

閣主大象：講講嘛，不要吊大家胃口……

嘉賓慢霧余弦：門羅幣不小心創(chuàng)造了個網絡和平世界，因為其CPU/GPU算力友好，對抗職業(yè)礦機（比如ASIC芯片）。且門羅是最早的一批，算是匿名幣的龍頭。地下黑客入侵大量服務器，以前是勒索、竊取機密，現在大規(guī)模做CPU挖礦。比如一段代碼：（由于代碼太長……已略）

閣主大象：這是科普……

嘉賓慢霧余弦：這里的蠕蟲修補了相關漏洞入口，殺掉了蠕蟲對手，安全加固了相關機制，然后它僅挖礦……不少企業(yè)入侵事件的發(fā)現不是因為發(fā)現蠕蟲，而是發(fā)現服務器或主機卡了……這些蠕蟲挖的主要就是門羅。

這樣的挖礦收益高呀，更好的蠕蟲還會合理利用服務器資源，讓你還不一定發(fā)現得了。好了 先科普這點。

閣主大象：挖門羅幣？感覺詭異，換個話題。

嘉賓慢霧余弦：嗯，很神奇的世界。

閣主大象：說回您自己，6月28日晚間，慢霧科技在官方微博上表示，發(fā)現交易所在進行USDT充值交易確認時存在邏輯缺陷，導致“假充值真交易”。對此，okex和 LBank等平臺相繼做出回應表示，他們已針對該漏洞做出了排查，兩家平臺均不存在以上漏洞；但由于LBank無法保證其他交易平臺及USDT 整體的安全性，所以決定暫時關閉USDT充值。

目前該事件有什么最新進展？慢霧最近又發(fā)現了哪些新型且隱秘的攻擊手法？

嘉賓慢霧余弦：關于 USDT “虛假充值”的事件，目前許多交易所也都發(fā)了公告聲明說不存在該問題了，存在該問題的交易所也都獲取了情報在第一時間修復了，目前應該已經不存在此問題了。

我們披露的基本都是已經有攻擊事件發(fā)生的，而不是一個單純的漏洞，單純漏洞沒意思。

當時我朋友圈發(fā)了段文字：我們一般不披露那些還沒出現攻擊事件的情報。比如單純漏洞這玩意，擠擠總會有的，多重磅都可以搞個出來，沒什么好說，但只要是事件，就代表已經發(fā)生，披露我們盡最大努力走負責任路線。我們在給甲方做安全時，會全面帶入我們的情報網絡，這種價值，似乎還不好量化，但懂的人，會很感激我們。

其實我們發(fā)現不少隱秘攻擊，有些還不是時候披露，我們一般是先通知合作方，修復后，再想辦法合理披露。

比如這個 #預警# 新型攻擊手法披露：以太坊黑色情人節(jié)事件里已經出現的隱蔽攻擊方式！

一次次顛覆許多人的認知。這個過程挺有趣的，就像破案，抽絲剝繭……但是你們知道，不是什么都可以立馬公開談，因為即使我們看看本群500人，有攻擊者嗎？你們覺得？你們回頭加我微信，你又能知道我就是我？

群友幣圈小吳：問題以后越來越多。那么實際上，中心化也未必是壞事。

閣主大于：細思極恐。

閣主大象：這讓我想起早前比較大的新聞，今年年初日本CoinCheck交易所被盜近5億美元的新經幣（XEM），當時新經幣的開發(fā)團隊開發(fā)了自動標記系統(tǒng)，用來追蹤所有CoinCheck被盜資金。但是，最終被盜的新經幣還是被黑客清洗干凈了。安全已然成為區(qū)塊鏈行業(yè)必須重視的話題，那么區(qū)塊鏈企業(yè)自身應該采取哪些措施應對高發(fā)的區(qū)塊鏈安全問題呢?

嘉賓慢霧余弦：建議其實好多，簡單說幾個：1. 做好各方面的安全加固；2. 找專業(yè)團隊做安全審計，把專業(yè)的事情交給專業(yè)的人來做；3. 共同促進生態(tài)安全。

閣主大象：剛才我問了第八問，再追問一句，號稱是可以追溯來源的加密貨幣真的沒有辦法將這些“贓款”鎖定嗎？

嘉賓慢霧余弦：不一定，比如智能合約代幣如果加了鎖機制，那可以，但這樣你們不覺得很可怕？項目方權限也太大了吧？

閣主大象：這就是兩難悖論。

閣主大象：EOS主網上線前夕，360安全團隊公布了EOS的“史詩級”安全漏洞，我們當然相信360團隊認真負責地公布漏洞的態(tài)度。但是部分EOS支持者卻認為360做空EOS，周鴻祎借勢入局。我想請問余弦先生，作為一個擁有“超能力”的黑客，一個“守正出奇”的黑客，在區(qū)塊鏈行業(yè)從事安全工作遭遇過哪些非議？其中您最不能容忍的指責是什么？

嘉賓慢霧余弦：好問題。非議多得很，比如前面說的以太坊黑色情人節(jié)事件，我們披露后，有人就留言我：你們盜了不少幣了吧？披露是不是想混淆視聽？你們?yōu)槭裁床槐I幣，披露干什么…

我們沒什么不能容忍的，因為我們深刻明白這個世界就是如此;-)

兩本好書：《自私的基因》，《烏合之眾》。

閣主大象：哈哈哈，寬恕。

嘉賓慢霧余弦：沒什么問題是一頓小龍蝦解決不了的，如果有，那就兩頓。

閣主大象：可以，天天來。我最不能解決的問題是小龍蝦為什么要去殼，這么麻煩。

閣主大象：那繼續(xù)我的第10問？慢霧現在遇到的幾乎所有智能合約的安全問題都是以太坊上的。最近這段時間頻繁地有團隊爆出智能合約安全問題，例如早期從BEC、SMT爆出的問題，還有最近EDU、BAI的問題。團隊該如何做好風控呢？

嘉賓慢霧余弦：很聚焦的問題，安全最佳實踐早有了，然后上線前請職業(yè)的安全團隊做個安全審計，不費事。以太坊智能合約 —— 最佳安全開發(fā)指南。

這里，別偷懶，回頭認真看。

閣主大象：第十一問，這是我的個人愛好，以權謀私一下。我也很喜歡看《三體》，對水滴印象很深，水滴既是監(jiān)視者又是攻擊者，讓人細思極恐。在區(qū)塊鏈的發(fā)展中存在這樣的角色么？

嘉賓慢霧余弦：偶爾，我之前反駁過一個人：你對力量一無所知。這也是我們常說的：上帝視角。凡事都得看具體場景。

閣主大象：補充一句，在我問慢霧科技是干什么的時候，有人回答我，慢霧既是監(jiān)視者又是守衛(wèi)者……

嘉賓慢霧余弦：謝謝。

閣主大象：一共十一問，OK，我的問題結束。

嘉賓慢霧余弦：慢霧背后有一支 Red Team，以攻促防，只有了解攻擊者的手法與心理還有這個群體的生存模式，才能真正做好防御。

群友：請問，現在交易所那么多 如何看待越來越多的新交易所 至少安全角度而言，會不會只是個空架子？

嘉賓慢霧余弦：安全角度，我們覺得這個生態(tài)沒誰是漂亮的。但是，相對優(yōu)質的是有的。而且我們也發(fā)現，其實普遍來說，區(qū)塊鏈生態(tài)里大家已經把安全當成必選項了。

群友：能承受這么大的DDOS攻擊和數據量嗎，競爭對手惡意攻擊讓這個生態(tài)更混亂了還是清楚劣質交易所呢？

嘉賓慢霧余弦：客觀說，絕大多數安全性堪憂，擋不住職業(yè)攻擊者。整體來說一切的生態(tài)發(fā)展都是從混亂到正規(guī)。

未來可期。我建議大家搞好自家安全時，也多促進整個生態(tài)的安全感，這方面需要一些共識。比如：1. 不夸大恐嚇式宣傳；2. 不拿安全當黑公關能力去踩對手。大家共同努力吧，也歡迎監(jiān)督我們。謝謝，我準備吃小龍蝦去了……

群友：問一個可能比較冒昧的問題：慢霧目前是運動員還是裁判員呢？會不會將來兩者都會牽涉呢？

嘉賓慢霧余弦：啊，好問題。

我們努力做好區(qū)塊鏈生態(tài)安全這一件事，我上面說的內容，也歡迎監(jiān)督。我知道中立其實很難很難很難，但是我們努力。