CertiK接受CoinDesk Korea采訪 強調KYC對Web3.0安全的重要性

CertiK近日接受CoinDesk Korea采訪，對Web3.0項目如何保障用戶資產安全做出解答。

面對接連發(fā)生的黑客事件，CertiK認為KYC與冷熱錢包分離是中心化機構保護用戶資產，減少私鑰泄漏的有效措施。CertiK還呼吁項目方遵守地區(qū)反洗錢和KYC要求，強化盡職調查，更好地識別和防范可疑行為。

以下是本次采訪全文翻譯?。

CertiK專訪：

需將KYC引入Web3.0項目

近期，韓國Web3.0項目Galaxia、Ozys、PlayDapp等接連發(fā)生黑客攻擊事件，給投資者造成了巨大損失。有安全專家指出，應采取措施加強Web3.0項目的安全保障。

Web3.0安全機構CertiK于19日表示，為Web3.0項目引入KYC可以大大降低惡意行為發(fā)生的可能性。CertiK以上個月發(fā)生的Ozys-Orbit鏈黑客攻擊事件為例——此次攻擊導致了價值1052億韓元（約7877萬美元）的Web3.0資產被盜。Ozys指出該事件可能涉及內部人員，并向已離職的CISO提起了損害賠償訴訟。

“通過KYC進行嚴格的身份驗證，可以降低項目內部發(fā)生惡意行為的可能性，”CertiK安全團隊表示，“一旦發(fā)生黑客攻擊，項目團隊即可將攻擊者的身份信息提供給執(zhí)法部門配合調查?！?/p>

私鑰泄露

導致重大損失

去年11月，Hyosung集團下屬區(qū)塊鏈公司Galaxia Metaverse在一次黑客攻擊中損失了約3.8億枚Galaxia，當時價值約30億韓元（約225萬美元）。此次攻擊是通過Galaxia Metaverse所擁有的一個錢包進行的。

“私鑰泄露是并不高發(fā)但具備最大破壞性的攻擊類型之一，”CertiK指出，“去年發(fā)生了47起該類型安全事件，造成了約8.81億美元的損失，占全年損失的近50%?！?/p>

創(chuàng)建Web3.0錢包時生成的私鑰就像銀行賬戶的密碼一樣——無論是受到黑客攻擊還是因用戶的粗心大意，私鑰一旦泄漏都會造成重大損失。

Web3.0錢包根據其網絡連接屬性分為熱錢包和冷錢包。熱錢包隨時在線，可以進行實時交易，雖然很方便但更容易遭受攻擊。去年4月，韓國Web3.0交易所GDAC的熱錢包遭到黑客攻擊，導致約180億韓元（約1348萬美元）的資產被盜。

冷錢包是離線管理的，不能用于實時交易，受到黑客攻擊的風險也低于熱錢包。根據韓國將于7月生效的《虛擬資產用戶保護法》，Web3.0項目必須將至少80%的用戶資產存儲在冷錢包中，相比于目前70%的要求有所提高。

增強用戶認證與調查

資產一旦被盜，就很難再跟蹤和識別其流向，所以CertiK強調了項目團隊未雨綢繆的重要性：“即使有了KYC和區(qū)塊鏈提供的透明信息，要了解資產流向仍是一項挑戰(zhàn)。雖然目前的鏈上監(jiān)控和交易分析系統(tǒng)可用于識別可疑地址和洗錢活動，但最重要的仍然是需通過進行KYC和智能合約審計等安全措施，在資金被盜之前主動發(fā)現(xiàn)潛在漏洞和風險。”

“自FTX破產以來，資金「隔離」已成為Web3.0項目的普遍做法，將用戶的資產保存在冷錢包中有助于提高項目和資產的穩(wěn)定性與安全性，”CertiK認為，“此外，各Web3.0交易所和平臺需要遵守當地反洗錢（AML）和KYC的要求，并通過強化盡職調查（EDD）識別可疑用戶和交易——項目團隊可在合規(guī)軟件的幫助下做到這一點?！?/p>