科技是一把双刃剑,在区块链技术创新发展的同时,也伴随着背后一系列的违法犯罪以及重大的网络安全事件。链上的白帽和安全公司不断的与黑客进行斗智斗勇,而链下的警方也是重拳出击,打击违法犯罪活动,保护公民的合法财产及权益。 本篇笔记来自7月24日杭州世界区块链大会创新融合与区块链安全治理论坛。这场圆桌的主题是“区块链网络安全治理”。为我们带来圆桌论坛的嘉宾有来自刑侦队伍的资深专家,有专业的计算机安全专家和法律专家,他们将围绕安全治理展开深度对话。笔记会分三期输出。上篇在这里 以下,Enjoy: 圆桌主持人:《财经》区块链频道链新主编朱星 圆桌嘉宾:浙江省公安厅刑侦总队区块链犯罪课题研究负责人徐昱 无极实验室首席研究员史金涛 派盾创始人兼CEO蒋旭宪 北京市中伦律师事务所律师谭天 主持人:做律师的都是有底线思维,风险意识会特别强。但很多时候我们做事时自己会不自觉。 想问一下徐警官,对普通人来说,我们办这个事儿的出发点和初心没有问题,没有想犯罪。但是事后的行为其实是触犯了一些法律的红线。您在接触的案子中有这方面的情况吗?我们应该怎么注意? 浙江省公安厅徐昱:主持人刚才说的,在不自觉的过程中触动到法律的情况,在实际案件中并不多。我们接触到的更多是,他说他不知道,其实我们通过客观的事实证明了他其实应该是明知的。比如去年行业内赵东的案件也是一样的。 我对行业从业者说的更多的一句话是,一定要记住一句老话:君子不立危墙之下。区块链这个行业能够赚钱的项目非常多,但是哪些事情是可以做的,一定要经过自己脑子好好考虑一下。 主持人:对,如果自己不能确定的再问问律师,最好不要问到您这来。 我和很多从业者聊过,这个行业在飞快的发展,但是我们有时候觉得,监管层很多监管都是在很大的层面上,并没有落实在细节方面。各位嘉宾能否从警方的角度,从业者的角度,律师的角度,对行业的监管提出些好的建议和想法? 浙江省公安厅徐昱:在行业监管方面,从警方的角度出发,更多的看到的是一个趋势。区块链本身的匿名性、不可控性导致了传统的犯罪生态,不断的往区块链行业涌进。而且随着我们警方近几年对传统金融的不断的打击和严管,比如我们公安部打击两卡的行动。传统的银行卡、手机卡管住以后,犯罪领域的洗钱犯罪往哪里流?可能更多的就来到了去中心化的金融领域。 我自己的一个观点,我们很多从业者是希望区块链这个行业往健康的方向发展的。但是区块链完全的匿名性和不可控性,最终可能会导致或者反噬我们这个生态本身。所以对于监管问题我的观点是,完全的匿名和完全的不可控,会导致行业的负面。 其中最关键的两个底线我认为是:一是链上资金的可追踪、可追溯。大家都知道目前最大的两条公链BTC和以太坊,相对来说链上资金还是可以进行追查的。但是有部分也不是说是新的货币,它在设计之初,就想做一个完全的匿名、不可追溯的公链,这是非常危险的。具体是哪个可能大家都知道; 二是法币交易的可控,这也是底线。 我们可以看到无论Defi这个生态怎么发展,毕竟主要做的还是币币的去中心化的交易。但法币的交易还是得到中心化的交易所进行交易。中心化的交易所好歹有KYC认证等相关的认制度,在这个层面上总有一部分是可控的。如果今后有一天法币的交易也不可控了,我想可能那个时候监管层或者国家层面就会采取一些新的行动。 无极实验室史金涛:首先声明一个事情,大家可能都能看得到。任何一个新兴科技的发展,首先进入这个行业的其实是犯罪。我们可以看到互联网的出现,把犯罪从线下搬到了线上;移动互联网的出现,让犯罪或者某些诈骗等犯罪形式,从PC端搬到了手机上。 同样,区块链的出现,我们也看到从18年以来,包括盗窃、资金盘或者一些诈骗开始逐步往这个方向去发展。 但是作为一个从业者,这几年我们也一直关注这个行业。我们也看得到这个东西(犯罪的)一定不是目前整个区块链行业的主流。而且我们应该要做到的,也不能让它变成主流。 回到主持人的问题,我谈两点。核心一个思路是清除障碍。我们要把所有可能导致整个链上不可控的因素给排除掉。 第一个角度,要建立区块链安全行业的基建。做一些新基建的东西,无论是链上的一些情报的能力,包括刚刚徐局长有提到,我们需要让链上的资产去匿名化,我们需要知道这些资产到底去了哪里,不能完全是匿名的状态。这一定不是一个良好的发展状态;第二,追踪和溯源能力的建设。这一部分其实也需要大家一起去努力。这是从技术基建的角度上。 第二个角度,在合作模式上、形式上要做好和司法机关的配合。所有的机构都需要和司法机关打好配合,形成一股合力。因为司法机关这边站在一线,最多的经验,见到最多的可能都是一些直接的犯罪案件。而我们这些做机构或者说做企业的,可能对于新的一些犯罪方式的研究,包括技术可能是我们的长项。 我觉得这两方应该做比较良好合作,大家一起形成合力去解决问题。去保障区块链行业健康有序、良好的往前发展。 派盾蒋旭宪:我没有这么乐观。在我从事区块链安全领域者以来,区块链犯罪绝对是高智商、高科技的犯罪。括我们在从事各种资产的追踪上,和不少警方以及受损的项目方都有过合作。整体受到区块链犯罪损失的资金规模是相当大的。 所以有的时候我是相当悲观。刚才徐警官说,目前在比特币、以太坊上,你们认为大体上还是可以追溯的。这可能是在18年、19年上半年的情况。因为当时还比较粗浅,钱转过去,有人就会傻乎乎的转到交易所的透明地址去了。这种确实通过KYC马上就能查出来。 但目前根据我们跟踪的几个案件来看,KYC一般真正的有组织犯罪的全部是假的,买的假的身份信息。一般洗钱的时间半小时不到,就有超过几千万美元的资产就洗掉了。 洗钱的流程中,BTC确实提供了一些混币服务,但更主要的是在区块链里有真的是比较完备的,不可追溯的混币服务。我们觉得是很真的很难解。 包括DeFI协议的复杂度,它映射的攻击者的内部交易数,不仅是简单从a转到b,内部的交易数要超过上千条的交易,通过普通常规的追踪是无法确认攻击者身份的。 当然这也是追踪犯罪的攻防过程。区块链犯罪确实是高科技犯罪,也是不停的与时俱进的过程,是一个持久的攻防战。 作为研究人员,我们也需要不停的了解这个行业,需要每天不停的学习,从攻击者身上学习,从他们留下的蛛丝马迹学习,和社区一块配合,和司法机关配合。 北京中伦律师事务所谭天:我提几点建议: 第一,加强投资者教育 从投资者的角度,不管是区块链行业,还是数字资产的发展来说,区块链不是面向于全体大众的,它是面向于特定群体的。我的想法是,我们要加强投资者的教育。要提高投资者的风险防范意识和对项目的甄别手段以及防风险意识。让我们的投资者能够比较明确的辨认出来,哪些项目是好的项目,哪些项目是值得我们投资的项目。自然而然,对于哪些诈骗的、集资的项目,投资者都不去投它了,这种现象可能就会少一点; 第二,成立行业协会 对于区块链行业的从业者来说,我们要成立自己的行业协会。因为立法或者司法是有滞后性的。法律都是在行业发展到一定阶段,总结出一些经验以后,才能出台一些相关的法律政策。在法律政策出台之前,区块链的企业、负责区块链安全的企业,能不能通过成立行业协会的方式,或者发布我们自己的行业标准,或者我们自己的企业标准的方式,来规范区块链产品或服务。通过这种方式来引导大家,朝向更积极、有利的方向来发展。 主持人:刚才我们聊了在资产损失发生之前怎么去避免它的发生。那一旦我们的资产损失已经发生了,有哪些措施加以挽回呢? 北京中伦律师事务所谭天:如果说损失已经发生了。第一点我们要积极的收集一些相关的证据。现在我们也有安全的机构,可以给我们提供账户转移的相关证据,我们要积极的收集证据; 第二是要积极的报警,取得公安机关的协助,积极报案; 第三,要尽量的联合多的受害者。通过社群的方式,把受害者联合起来。人多力量大,集合在一起,对于挽回自己的损失也好,追究侵权者的责任也好。 最后一点是要通过合法的途径来维权。 派盾蒋旭宪:我认同谭律师讲的,第一,确实收集证据很重要。虽然区块链里会把各种证据都完全的保证在里面,但是现在区块链浏览器收集的证据并不一定会被司法机关采纳。 第二,要第一时间去联系相关的司法部门。目前从我们和受害方接触的经验来看,能够报上案的,还算是现实生活中的难题。包括司法管辖权、资产的配置方面。这也算是一个新兴行业必须解决或者必须经历的过程吧。 第四,我们会发现社区确实能很积极的追踪链上资产的流向,确实一定要和社区保持良好的互动。有些资产的转移不仅发生在一条链里。他们的做法是从一个资产跨到另一个资产,从一条链跨到另一个链,从国内交易所跨到国外交易所,国与国之间来回跳转。我们经历过几个案例,可能跨过好几个国家,好几条链,好几个链上资产。 这就是需要在每个阶段都需要保留相应的证据。当然也需要各个交易所、司法机关、社区、安全公司等整个生态合作伙伴的一块配合。 在早期,我认为追回的可能性还是相当大的。当然会有一部分是攻防比较严重的,也需要技术上的突破。 无极实验室史金涛:我的看法类似。如果自己的加密资产出现了丢失,尽快要干两件事情。 第一,如果有条件报警先报警; 第二,找一些专业的机构,如果自己本身不太懂,那就找一些专业的机构。对于个人来说丢币可能一辈子只发生过一次,甚至都发生不了。但是对于比较专业的机构或者司法机关来说,可能每天都在处理这样的事情。第一时间去联系这些机构进行相对应的处置,一定是有效的。 根据我们的经验,即便追踪可能是有难度的,但不代表完全追不了。因为除了本身资产的链上之外,我们还有很多传统的方式,比如说IP、设备、其他的辅助性的信息,比如手机、邮箱,即便KYC是假的,但这些不一定是假的。 主持人:问题回到徐警官这里。如果加密资产发生了丢失,我们普通人应该怎么做才能提高报案的成功率呢? 浙江省公安厅徐昱:也不是提高报案的成功率。其实对于警方来说,如果老百姓自己确实发生了财产的受损,他是受骗或者被盗的,其实警方也是会如实的进行受理或者立案的。 这一类的案件应该说防范要大于事后的追查。大家也知道区块链它本身的特点。我们在事后进行追查确实很难。现在我们对电信网络诈骗相关的工作,也是从打击转移到了以防范为主。 对于确实发生了财产受损的情况,第一时间要报警。你要向警方提供更详尽的一些信息。比如上个月有一个浙江省省内的投资者,他其实对区块链不是很懂,但他在交易所买了256个比特币,提到了去中心化的钱包里面。他是在网上随便搜索了一下“去中心化钱包”,之后就随便下载了一个,就把交易所里256个比特币给提出来了。 我们警方第一时间对他进行了详尽的调查。首先他安装钱包应用的过程是受人指导的,另外他在事后还把私钥和助记词通过微信发出去了。这个案件就变得扑朔迷离。但是因为他报案时间比较早,我们也有足够的时间去做分析。最后是定位到他下载的这个钱包应用是被黑客植入了后门的。也就是这个钱包产生新的钱包地址之后,私钥会马上被上传到后台。最后我们是定位到了犯罪嫌疑人,但是嫌疑人在境外。也就意味着我们目前能做的工作非常少。 所以事前的防范,无论是从业者还是投资者,多学、多做、多了解,时刻要保持一颗警惕的心,可能比事后去做更加多的工作都有效。 主持人:最终大家还是要保管好自己的私钥和助记词。在投资之前还是要多搜搜,或者让从业者看看,不要被第三方钓鱼了。 最后一个问题,大家怎么看未来区块链安全市场?空间能有多大? 浙江省公安厅徐昱:我对区块链安全市场和发展前景的看法,可以类比目前互联网领域或者信息技术领域的安全,它要依赖于整个生态的发展。互联网的市场发展有多大,互联网安全的市场相应的也会成正比发展。区块链安全市场的发展也离不开区块链整个生态的发展。 如果未来区块链整个生态发展是健康有序的,区块链相关的安全领域肯定是有非常大的市场的。比如我刚才提到的那位有256个比特币被盗的投资者,他有这样的经济实力去做投资,那他是会有意愿把一部分的资金拿出来,请专业的机构去做更加的安全防范。 不用说对区块链领域不是很熟悉的投资者,我昨天也和一个行业内的专业投资机构在沟通,他们在做专业投资的时候,有100个比特币也是被盗了。而且是从交易所里直接被盗走的。我想专业机构肯定比一般的投资者有更强的安全防范意识,但是也发生了被盗。所以在这个领域应该会有更多的空间,让做安全防范的公司有很大的市场。 无极实验室史金涛:我的看法类似。首先区块链行业的安全和传统的互联网安全会比较相像。我就是从信息安全领域出来的。我们看到随着数字经济的发展,或者传统的数字行业的发展,信息安全领域、传统安全领域的重视程度会越来越高。无论从2017年的勒索病毒永恒之蓝出来以后,到2020年行业内的安全厂商被攻击,再到今年5月份的时候,美国最大的石油供油公司被黑,导致整个美国的石油供应全部都断掉了。 从这些方面来看,其实安全的威胁在不断的上升。但同样的各个国家对安全的投入也在不断的加大。这是传统安全的现状。 对于互联网或者区块链安全的现状,因为区块链一诞生以来,就被打上了“解决信任问题”或者“资产”等一些标签。我们都知道,钱越多的地方对抗一定是越激烈的。在对抗这么激烈的基础之上,目前行业的基础建设,包括追踪溯源的东西其实是不完善的。所以对于区块链安全行业来说,还是有很大的发展空间的,虽然挑战巨大,但是空间也非常非常大。 派盾蒋旭宪:我说两组数据。去年底网信办显示的数据,中国网络产业的市场规模是7700亿。当然我们可能会把区块链的安全和网络安全去做比较,但我的观点完全不一样。 国外一家安全公司也做区块链安全,它现在的估值是42亿美元。 北京中伦律师事务所谭天:对区块链行业的安全来说,它有一个得天独厚的优势。区块链技术从一开始诞生,就是一个可追溯的、具有公信力的网络形式。这对于安全是非常重要的。 不只是区块链的网络安全,包括对于互联网的安全、数据的安全,甚至公共安全以及金融安全,还有在国家安全领域,区块链的这种作用会越来越得到体现。我认为区块链安全的前景是非常好的。 主持人:希望大家以后无论是创业的时候还是投资的时候,事先可以问问律师。如果对行业不了解,想了解安全的事情,多看看蒋总和史老师的报告。希望大家都不会找到徐警官,不管是来主动找他报案,还是他主动找你,我觉得都是件挺惨的事情。再一次感谢几位嘉宾的精彩分享。 以上是圆桌部分的全部内容。下篇是派盾创始人蒋旭宪的报告“2021年上半年数字货币反洗钱暨Defi行业安全”。 —- 编译者/作者:行走 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
行走笔记:区块链网络安全治理圆桌(二)完全的匿名和不可控,会反噬行业本
2021-08-10 行走 来源:区块链网络
LOADING...
相关阅读:
- 高位回落我们49000相见2021-08-10
- 宏观分析下的反转预测:从国内经济学最新趋势谈币圈项目评估2021-08-10
- 关于LBank蓝贝壳上线MICROSHIB交易的公告2021-08-10
- 橙链研报Pacific(PAF)跨链多生态的NFT聚合交易平台和金融基础协议2021-08-10
- Chainlink与Filecoin宣布联合资助计划,用于资助分布式存储和预言机相结合2021-08-10