CertiK近日接受CoinDesk Korea采訪，對Web3.0項(xiàng)目如何保障用戶資產(chǎn)安全做出解答。

面對接連發(fā)生的黑客事件，CertiK認(rèn)為KYC與冷熱錢包分離是中心化機(jī)構(gòu)保護(hù)用戶資產(chǎn)，減少私鑰泄漏的有效措施。CertiK還呼吁項(xiàng)目方遵守地區(qū)反洗錢和KYC要求，強(qiáng)化盡職調(diào)查，更好地識別和防范可疑行為。

以下是本次采訪全文翻譯?。

CertiK專訪：

需將KYC引入Web3.0項(xiàng)目

近期，韓國Web3.0項(xiàng)目Galaxia、Ozys、PlayDapp等接連發(fā)生黑客攻擊事件，給投資者造成了巨大損失。有安全專家指出，應(yīng)采取措施加強(qiáng)Web3.0項(xiàng)目的安全保障。

Web3.0安全機(jī)構(gòu)CertiK于19日表示，為Web3.0項(xiàng)目引入KYC可以大大降低惡意行為發(fā)生的可能性。CertiK以上個月發(fā)生的Ozys-Orbit鏈黑客攻擊事件為例——此次攻擊導(dǎo)致了價(jià)值1052億韓元（約7877萬美元）的Web3.0資產(chǎn)被盜。Ozys指出該事件可能涉及內(nèi)部人員，并向已離職的CISO提起了損害賠償訴訟。

“通過KYC進(jìn)行嚴(yán)格的身份驗(yàn)證，可以降低項(xiàng)目內(nèi)部發(fā)生惡意行為的可能性，”CertiK安全團(tuán)隊(duì)表示，“一旦發(fā)生黑客攻擊，項(xiàng)目團(tuán)隊(duì)即可將攻擊者的身份信息提供給執(zhí)法部門配合調(diào)查。”

私鑰泄露

導(dǎo)致重大損失

去年11月，Hyosung集團(tuán)下屬區(qū)塊鏈公司Galaxia Metaverse在一次黑客攻擊中損失了約3.8億枚Galaxia，當(dāng)時(shí)價(jià)值約30億韓元（約225萬美元）。此次攻擊是通過Galaxia Metaverse所擁有的一個錢包進(jìn)行的。

“私鑰泄露是并不高發(fā)但具備最大破壞性的攻擊類型之一，”CertiK指出，“去年發(fā)生了47起該類型安全事件，造成了約8.81億美元的損失，占全年損失的近50%?！?/p>

創(chuàng)建Web3.0錢包時(shí)生成的私鑰就像銀行賬戶的密碼一樣——無論是受到黑客攻擊還是因用戶的粗心大意，私鑰一旦泄漏都會造成重大損失。

Web3.0錢包根據(jù)其網(wǎng)絡(luò)連接屬性分為熱錢包和冷錢包。熱錢包隨時(shí)在線，可以進(jìn)行實(shí)時(shí)交易，雖然很方便但更容易遭受攻擊。去年4月，韓國Web3.0交易所GDAC的熱錢包遭到黑客攻擊，導(dǎo)致約180億韓元（約1348萬美元）的資產(chǎn)被盜。

冷錢包是離線管理的，不能用于實(shí)時(shí)交易，受到黑客攻擊的風(fēng)險(xiǎn)也低于熱錢包。根據(jù)韓國將于7月生效的《虛擬資產(chǎn)用戶保護(hù)法》，Web3.0項(xiàng)目必須將至少80%的用戶資產(chǎn)存儲在冷錢包中，相比于目前70%的要求有所提高。

增強(qiáng)用戶認(rèn)證與調(diào)查

資產(chǎn)一旦被盜，就很難再跟蹤和識別其流向，所以CertiK強(qiáng)調(diào)了項(xiàng)目團(tuán)隊(duì)未雨綢繆的重要性：“即使有了KYC和區(qū)塊鏈提供的透明信息，要了解資產(chǎn)流向仍是一項(xiàng)挑戰(zhàn)。雖然目前的鏈上監(jiān)控和交易分析系統(tǒng)可用于識別可疑地址和洗錢活動，但最重要的仍然是需通過進(jìn)行KYC和智能合約審計(jì)等安全措施，在資金被盜之前主動發(fā)現(xiàn)潛在漏洞和風(fēng)險(xiǎn)。”

“自FTX破產(chǎn)以來，資金「隔離」已成為Web3.0項(xiàng)目的普遍做法，將用戶的資產(chǎn)保存在冷錢包中有助于提高項(xiàng)目和資產(chǎn)的穩(wěn)定性與安全性，”CertiK認(rèn)為，“此外，各Web3.0交易所和平臺需要遵守當(dāng)?shù)胤聪村X（AML）和KYC的要求，并通過強(qiáng)化盡職調(diào)查（EDD）識別可疑用戶和交易——項(xiàng)目團(tuán)隊(duì)可在合規(guī)軟件的幫助下做到這一點(diǎn)?！?/p>