【UNIBFF万字AMA】解读数字藏品与资产安全技术原理（下）

“2022年上半年，数字藏品圈项目鱼龙混杂，业内对数字藏品的定义千差万别，国内外NFT数字藏品发展路径也不尽相同。自周杰伦价值55万美金的无聊猿NFT被盗后，大家意识到数字藏品这一具有资产属性的数字资产，其实也面临很大的安全风险。数字藏品平台到底安不安全，如何保障它的安全？你手中的NFT安全吗？丢了怎么办？走进数藏行业，你如何洞察数字藏品本质，挖掘行业机会，又如何识别平台和收藏者面临的风险？”

2022年8月6日，知名区块链安全公司零时科技创始人邓永凯和新锐数藏平台可创Createsea创始人王思远受邀参加UNIBFF News主办，BTRAC智库和链世纪财经联合主办的「对话Web3.0：数字藏品与资产安全技术原理解读」线上AMA直播活动，UNIBFF News主理人焦仕可基于两位专家多年行业实战经验，从技术角度来探索NFT数字藏品行业发展潜力和安全边界。

​直播近2小时，问题纲要如下，可选择感兴趣的内容阅读。

1、你对Web3.0的理解是怎样的？

2、您认为数字藏品到底是什么？它背后的核心技术又是什么？价值支撑是什么？

3、数字藏品行业的产业链条是怎样的？

4、数字藏品和版权是息息相关、不能分割，但版权和技术的结合，还有待完善。从技术角度您认为如何更好地解决这一问题？

5、2022年，黑客攻击事件频发和资产被盗事件频发，从安全角度考虑，数字藏品平台面临哪些风险？如何预防？

6、数字藏品收藏者的资产面临哪些安全风险？如果数字资产丢失了怎么办？

7、作为行业从业者，您认为应该如何推进数字藏品行业的合规与监管工作？

直播精彩内容整理如下（删减版）

UNIBFF News焦仕可：关于数字藏品版权，王老师的意思我们需要通过司法的手段来解决这样的问题，保证创作者和收藏者的权益。今年，周杰伦价值55万美金的无聊猿NFT被盗，很多数字藏品收藏者非常关心自己数字资产的安全问题。最近各大平台的安全事件也频频发生。

【问题五】从安全角度考虑，目前的数字藏品平台面临着哪些风险，又应该去如何预防？

零时科技邓永凯：关于平台的安全性，先看国内的数藏平台，比如幻核关闭，大家都惊慌失措。为什么？因为它是中心化的。国内的大多数数藏平台都是中心化的，即在云端服务器上跑了一个应用程序。

中心化的平台本身的安全问题，其实有很多，我给大家举一些例子。

1、比如账号风险，大家在买藏品的时候很方便，通过小程序或APP，手机号收一个验证码，注册成功了。买了之后可以转出去，有些平台转的时候需要一个地址，有些平台直接输手机号就转了。

这个时候，你登录、转移、密码忘记，都只需要一个手机号，接一个6位的数字验证码。很多平台基本上都不会设置这个验证码验证的次数。如果他不验证次数的话，这6个数字最大概率不到100万次，写一个程序分分钟就搞出来了。比如黑客写一个工具，可以登录任何平台的账号里，有些可以通过它的一些接口，转走任意用户的NFT、数字藏品。
 

2、用户风险，你从最初登录到退出平台，所有的功能它都会存在安全问题。比如小的可以盗你的账户、转走你账户里面的数字藏品，大的情况可以“干掉”你的服务器，把你服务器里面所有用户的数据、藏品转走。

3、包括有些平台还存在一些商业化的竞争风险。比如，我是一个恶意用户，买藏品后举报你。比如，有一个客户，他们的账户被封，就是因为他们有恶意用户去注册、买卖，但因二级市场掉价了，他就去工商局举报。因为工商局不懂，就会给你定位诈骗等。

4、安全意识风险：平台面临的安全问题，不仅黑客攻击的问题，还面临开发人员和技术运维人员安全意识不到位，包括监管薄弱的问题。所以一个数藏平台在国内想活下来，其实它是蛮难的。目前应该是有900多家数藏平台，但是熟知的也就几家。

5、平台跑路风险，有些平台真的是来卖藏品的，有些平台就是来使坏的。所以数字藏品它应该还是野蛮发展的一个阶段。

6、内部人员风险，举个例子，一个安全圈的技术大佬去了一家机构上班，过了一年半这个人离职了，离职之后这家交易所的热钱包就被盗了。这在安全圈发生这种事件很正常，所以安全就是一个木桶原理，只要一点出现问题，整个盘子就输掉了。不是说做足够好，你就可以掉以轻心，高枕无忧。所有的项目包括Web3的项目都存在这样的问题，只是说中心化的平台的问题更严重，它的攻击面会更多。

7、市场风险，在NFT平台中，比如Opensea已经做得很好，但还是存在很多问题，你在国外漏洞收集平台上去看一下，有很多专业的白帽子给Opensea提交漏洞，有时候一个漏洞就可以获得十几万的美金，几十万美金的奖金。

如果这个漏洞被黑客发现，他们就会拿来利用，之前有通过刷单的形式，高买低卖，中间人来拦截交易等很多逻辑上的安全问题。

这只是平台的安全问题，还有项目的就更多了。

8、供应链风险：前两天那个solana事件，团队很厉害，是他们自己出问题了吗？不是！而是他们另一个生态里面的钱包，这个钱包自己也没有出问题，这个钱包里面开发用了一个第三方的服务，这个第三方的服务是一个开发套件，是开发人员收集数据用的，但是这个第三方的服务里面存在一个后门，把钱包里面的助记词收集走了。

你会觉得不是solana的问题？也不是这个钱包的问题，而是第三方应用的问题。

那么第三方应用会不会为你来买单？不会。因为我是开源的，你自己要用。

那这个第三方应用到底是自己有后门，还是说第三方应用自己作恶了，或者第三方应用被人黑掉了这个问题就很复杂了。

所以说安全是你自己做得很好，没问题，但是不代表你的队友或者是你的供应链里面的东西做得很好，现在不管是web3也好，web2也好，都没办法解决的一些问题，所以说，不管你是在发展初期、中期还是高峰期，对不同的时期会存在不同的安全问题。

所以说在这个行业，你的数据，你的资产都是你自己管理的，那么这些资产的安全责任，就该你自己承担。

所以说我们说在Web3一些应用的时候，还是要多注意多看，不要别人说什么就是什么。很多人不知道周杰伦的NFT怎么丢了，其实就是正常上网点了一些链接，就没了。你没丢，是黑客还没有遇到你。

UNIBFF News焦仕可：术业有专攻，作为数字藏品平台，他们肯定更擅长创作者和用户的链接，面对供应链上下游有这么多的技术问题，应该怎么办？您这边有什么样的措施，站在您技术的公司的角度，怎样帮助行业解决这样的问题？

零时科技邓永凯：

第一，开发问题。比如你的开发人员，是否有故意写一些有漏洞的代码。

有些平台有漏洞，上线后也能正常运转，功能没问题，但是你遇到黑客就出事了。黑客是什么？黑客都是一些不正常的人。正常的用户去使用它不会出现问题。他们不正常使用一些功能，比如，你让我登录我输入个11手机号，我就我偏不，我就输入一个10位手机号，加一个逗号，加一个单引号加一个双引号等等，各种乱七八糟的东西输进去之后，你的平台如果没有做处理，它就会产生问题。

所以，第一步你在开发设计这个平台的时候，就应该考虑整个安全架构进去。

第二，服务器配置。你的平台上线之后，平台服务器应该怎么去配置？因为你的服务器是对外的，任何人都可以访问，如果你的服务器配置不当，或者存在一些入口等问题，你就相当于直接给黑客把大门敞开了，让人进去。

第三，运维问题。办公的时候，大家是不是统一有安装杀毒软件，有没有统一的工作习惯和工作环境，包括你到底有没有安装防火墙等操作系统。举个简单的例子，我们用的window10系统每周每个月的第二个礼拜都会发布更新包.很多人不愿更新电脑，因为很多电脑越更新越卡，因为系统在升级，但是硬件没有升级。

那么如果有一些非常高危的漏洞你不升级，暗网里面就有很多针对这些漏洞的利用工具，他们很容易就可以把你电脑控制了。

很细节的东西，从开发到安全管理，从安全运维再到办公、财务各环节都有安全问题。
 

所以对于企业，可以找安全公司帮你做上线前的安全测试。我们就是“黑客”，可是我们不会破坏你的系统，我们会在黑客发现这些问题之前，帮你发现这些问题，让你把这个问题解决掉。

或者我们建议你去买一些安全防护的设备，比如，在云端可以买一些云端的安全防护体系，如果有黑客攻击，他就会第一时间通知你或者阻断黑客攻击。

如果你是大型企业，可以买一些专业的安全厂商的一些安全设备、安全服务，去保证你这个系统的正常的安全运维。

一旦发生了安全事件，比如你公司断网了，为什么？有可能你公司的服务器里面，被人中了木马，这个时候你该怎么处理？你可以找我们，我们去给你把这些问题找出来之后，把病毒把漏洞后面给你补上，尽快帮助你恢复业务，减少用户的损失。

现在很多平台收集用户实名信息，你在上小程序的时候，都会让你提供各种各样的一些证明。如果你一旦把收集到的用户信息泄露了，你要背法律责任。不是说你泄露了，你把这个漏洞修复了问题，只要你超过500条，你就已经触犯法律责任，你公司的负责人是要受刑事责任的。

现在的网络安全法、数据安全法，个人数据法、加密法这些法律已经发布了。所以说很多平台你不但要解决这些安全问题，还要防止出了安全问题之后你该怎么处理。

所以说安全无小事，所有的平台还是要很小心，尽量做安全检查、安全防护，现在没问题，不代表将来你没问题，说不定别人就在攻击你的过程当中。

这不是危言耸听，安全也不是绝对的，我们给你加固安全测试，它不代表你以后永远都不会出现安全问题，安全只是给你建立一个黑客攻击你的防火墙、护城河，把你的护城河建得足够高、足够结实。黑客攻击你的时候，他需要花更多的成本，所以他就不会愿意攻击你了。

所以说安全没有绝对，但是安全必须得有。

UNIBFF News焦仕可：好的，邓总的意思是他们可以像一个黑客这样的身份，对你的平台进行整体的测试，但是他们不像黑客直接把你的东西给盗走了，而是告诉你原来有这些漏洞，你通过这些措施可以解决这些问题，这是一个很好的方式，提高黑客攻击你的成本，降低可能的安全损失。我不知道王老师听的有没有一身冷汗，接下来有请王老师来给大家分享一下。数藏发行平台是整个收藏行业非常重要的一个角色，您这边会有一些什么样的技术，去做安全措施应对安全事件？

可创Createsea王思远：这个一定是有的，而且这个是必须有的。

首先，我先从自己个人的角度来讲谈一下这个问题。

其实我们属于行业里比较早期的参与者，因为我个人不是技术出身，所以说在安全方面也交了不少学费，是受害者这样的一个角色。

从用户的角度来讲，如果说他对于区块链的专业知识不是特别精通的话，非技术出身的人员对区块链的技术原理，包括区块链的这个实践当中，如果没有接触过，或者说只听过概念的话，他其实是很难去分辨，而且基本上就分辨不出来。

确实像刚刚邓老师所说的，就是随便点了几个链接，然后可能我的私钥就已经被别人获取到了，然后被获取到我的私钥之后，他就可以在这个区块链的钱包里面直接去通过私钥导入的方式进入到我的钱包，然后去把我钱包里面的所有的资产做任何的操作，而且我作为这个钱包的创建者作者我是毫无知觉的。

这个怎么去解决呢？怎么去分辨风险问题？其实我觉得相对于99%的用户来说，包括我自己个人，可能是没有能力的，所以说就还是尽可能地不要去访问一些不权威的第三方的链接。

比如说一些安全要求比较高的，其实是真的需要像邓老师这样的角色，食物链顶端的这样的一些技术极客，为整个行业对所有的用户这个资产安全来保驾护航。

我们平台对这个方面提出了自己的解决方案，我从比较宏观架构层面的角度来谈一下这个问题。

第一，我们的系统。我们真的是把作品存在区块链上。

第二，我们的区块链它不是私有链，它是真正地联盟链。初期的话节点比较少，后期的话在全国的各个省市，甚至在海外我们都会部署我们区块链的节点。

就是说我们虽然是联盟链，但是我们会发展得越来越像一种公链。它的数据是开放的，并且它上面的数据是像公链一样，是有基础的安全措施，除非说把整条链给攻破了，那么技术必须很厉害，但是它的成本也足够高，基本上不可能。
 

另一方面，是我们藏品的存储机制。我们团队的技术合伙人，他是在公安行业里做了20多年，我们国家身份证上指纹系统就是他来做的，我个人觉得像公安的这个信息的保密程度，信息的安全的这个程度，实际上在除了国防之外，应该就是安全的水平是最高的。所以说我们有这样的一个技术负责人，来设计整个技术架构。

我们不会保存任何用户的私钥，任何作品的所有的相关信息，一定是多个节点来进行存储。

第三，所有数据相关的敏感信息，都有公安级的加密措施以及数据的安全保护措施，这个是我们可以保障做到的。因为这个底层区块链也经过了像一些政府、网信办的备案和评审，大家最终反馈给我们的结果都还是挺不错的，我个人认为这个平台的安全方案还是不错的。

UNIBFF News焦仕可：作为每个平台方来说，大家可能都有自己的一些举措来解决这些问题。

【问题六】但是，有些人就是把数字资产丢了，他应该去找谁？又该怎么办？

零时科技邓永凯：在这个说问题之前，我希望咱们所有人的钱包资产都不会丢。

我先教大家怎么尽可能地避免我们不丢，我们再说怎么办。

它怎么不丢？

第一，拿国内数藏平台来说，基本上都是拿手机号登录或邮箱登录。这种中心化的平台，你要做的就是把你的密码设置得强一点，不要用你之前在其他平台的密码。如果这个平台有开二次验证的话，都开起来。

比如，你有手机号验证、邮箱验证、Google验证。大家说，我看你这个太复杂了。越复杂，越安全，相信我。你在上网下载钱包的时候，不要下载假的，不要下载错了，尽量去官网下载它的APP。因为很多用户下载了假钱包，丢了几千万几个亿的都有。如果你连这个项目官网都不知道，你还玩这个项目干什么？还买这个平台的藏品干什么？

第二，上网的时候尽量养成好的习惯，电脑能开杀毒软件就装杀毒软件，能开更新就开更新，在聊天的群里面，别人发给你的链接不要随便点，邮箱里面给你发的链接、附件，短信里面的链接不要点。

第三，资料存储一定要安全。你的各种各样的助记词，不要存在网盘、邮箱、微信收藏、QQ收藏、云端笔记里面。如果你实在是懒得抄下来，就拿一个手机拍个照片。但是你拍照片之后，不要把你的手机开云端存储。像苹果手机开icloud，华为手机开华为云，这些都是拿账号登录的，我登录账号之后，照样可以把你的图片拿走。

第四，你去玩数字藏品的时候，你要看好它是真的数字藏品还是假数的藏品。很多诈骗跑路的太多。

第五，这个比较专业，针对一些投研的团队可能比较重要，你可以自己去看一下合约，专业化的很简单，把你的账号管好就行了，其他的都不用管，交给平台处理。比如说王总的平台就很安全。

如果你能看正常合约的话，那更好，说明你是个技术人员。技术人员丢数资产的概率就很小。比如王总他们平台，如果你的硬件业务上的技术架构都已经搞得很好了，安全的加固也做得很好，但是代码层面我不能保证你们真的是没有问题，你可以找我们来给你做审计，审计完之后，我先告诉你有没有问题。

我们尽可能不让它丢了。如果不丢的情况下，不能保证别人把我骗了。

如果真的丢，也有很多种情况。

第一种，你的钱包密码忘了。比如好久没有用我的钱包，突然想不起来密码是什么，是123456还是1234567，当时是我的生日还是我女朋友的生日。但是我能看到里面的比特币，就转不走了，怎么办？

你可以找我们，我们可以帮你去根据你的密码的使用特性，帮你把你的密码有可能找回来。

第二种，抄助记词笔误。抄错了，到底是大写的I还是小写i，不知道了。一个单词顺序记错，这种问题我们也可以帮你解决。

第三种，被盗了。那么很难解决的问题是什么？你的币不是在你前面躺着，而是你的加密货币被人从你的钱包里面转到别人的钱包了，你的数字藏品被人转走了，那怎么办？

如果是国内的数字藏品，你可以找警察叔叔。如果你的加密资产找警察叔叔他们可能管不了，你可以找我们，我们可以帮你去做追踪和溯源、资产监控，包括联合警方去给你追踪，找到之后调取证据，然后协助警方和监管机构，尽可能帮你找回来。

之前，客户服务器被黑，200多万美金的资产丢失，我们帮他追踪的过程中，发现资产不动了，在往回找的过程中，发现这个黑客在攻击他的时候，交了手续费，这个手续费是从一个交易所里面提出来的，而这个交易所我们是有标记的。这个时候，我们就联合警方去交易所，把这笔交易的持有人的信息调回来，通过警方找到这个人，就可以把这笔资产追回来了。

所以我希望所有人都有一个好的安全意识，保存好自己的数字资产现在可能你只是一个图片，几个BTC，如果未来，你的房子、车子都在数字上，丢了就真丢了，所以说安全很重要，不能掉以轻心。

UNIBFF News焦仕可：邓老师刚刚讲很有意思，我觉得太通俗了。如果行业里边都能有这样的通俗普及专家，我们的安全意识会提高很多。大家也知道，如果像一些平台或者是个人是非技术人员遇到这些技术问题，就会遇到很大的困境。那接下来的话有请王老师。您在数字藏品安全方面做了哪些举措呢？

可创Createsea王思远：我们在事先其实做了非常多的预防措施。

第一，服务器。

几乎没有服务器跟服务器之间的这个通信。我们系统层面，服务器跟服务器进行通信的话，信息它是相对安全系数不高，我们统一地建了集群，把所有的数据都保护起来。

另外通过多中心化的模式，把我们的数据在很多的节点去做备份，如果他要把藏品从网络里面盗走的话，必须同时攻破很多台服务器，这对于黑客来说，成本是非常高的。我们也通过经济上的手段，比如说，黑客的攻击成本大于攻击的收益，这样的话其实攻击行为就不会发生。

第二，证书。

我们所有的藏品在区块链上是有证书的，具备法律效应，本身就是被保护起来的。每一个藏品持有人需要实名认证，包括互联网法院也认这样证据。所以如果发现类似的情况，我们可以联系司法上的一些手段，来帮助持有人以及帮助平台去很好地处理好一些资产被盗的问题。

数据自己作为一个生产要素，作为资产，它被盗也是一种偷窃。所以行窃的这个人，他也是要付出一定代价的。如果说邓老师是加密世界里面的警察的话，我们将来是可以协调现实世界里面的司法体系，来实时地为大家获取和流转数字藏品做一个非常好的保驾护航作用。

UNIBFF News焦仕可：两位老师说的都非常专业，从自己的角度都为我们的这个数字藏品的参与者提供了很好地预防和保驾护航的措施。那接下来进入我们最后一个问题。

【问题七】作为行业从业者，您认为应该如何推进数字藏品行业的合规与监管工作？

零时科技邓永凯：我们聊到的数藏、NFT、Web3，还处于一个野蛮的发展阶段，这个圈子里面可能有形形色色的项目，形形色色的人，你很难分辨清楚。

所以，我觉得应该有三个点来促进行业的发展。

第一，就是我们任何人，包括我们任何平台，首先自己不要作恶。

Web3其实是非常技术性的一个东西。现在互联网可能很多人他都还没整明白，现在搞到元宇宙和Web3的世界里去了，大部分人是看不清楚的，需要我们去做一些正能量的事情。

用户保证你的资产的安全问题，平台保证平台的安全，项目保证项目能正常运转下去。如果这些人都是一些蛀虫，那么这个行业我觉得它永远都发展不起来，所以整个行业它自己得有一些正能量的东西能一直去往前推进。

第二，监管机构需要对作恶的人和项目有足够的打击和侦察的能力。

更多的人去创新、创建更多的应用，这个行业才能够正向发展做大。这个时候需要很多政府和企业的支持。

第三，产业链协作。更多的安全爱好者、监管机构、政企、技术人员和极客，包括整个产业链的各方一起去努力。

UNIBFF News焦仕可：其实这个监管和合规工作是大家一起来完成的，接下来由王老师来分享一下从您的角度，如何去推进这个数字藏品行业的合规和监管工作？

可创Createsea王思远：首先个人认为安全合规以及拥抱监管，对于所有的平台来说，它是一个长期的价值。

因为一个平台只有你本身拥抱监管，你本身做了非常强的安全措施，用户才会觉得是这个平台是一个值得信任的、一个安全的平台，这平台才能够做大做强，以及是才能够走得远，它是这样的一个长期价值。

当然，任何一个场景、任何一个应用，在刚开始的时候，它难免有一段泡沫期，当然这个泡沫期它会待的时间不会太长。在这个泡沫期之后，我们会看到很多靠谱的平台应用场景，包括团队会逐步地去出来，在这个行业里面真正地去深耕，后做出一些真正能够造福于所有用户、造福整个产业链的一些事情。

对整个数藏行业里的参与者来讲，用户的声音很重要，用户对于安全方面的诉求肯定是平台越安全越好，当然这个平台是受监管的，受到政府监管得越好。或者它是完全的去中心化的，其实是两种极端。我们作为平台方来讲的，最好的一个路径，最适合我国国情的一个方案，实际上就是拥抱监管。

因为任何的一个平台，只有拥抱监管之后，真正按照国家的大政方针来做，才比较符合整体社会发展的方向，能够更加快速地获取所有用户的信任。前提是这个信任一定是要平台有一个比较好的技术措施来保障的。只有平台自己去拥抱监管，整个行业才会逐步地去往很好的方向来去发展。

当然在这个过程当中，也少不了整个行业伙伴共同的努力。

当然在前期的时候，可能会出现这样的或者那样的一些问题，包括整个这个web3世界或者叫去中心化世界，现在里面有没有这个统一的这种，比如像我们现实世界的司法体系，那么如何去建立web3里面的这个司法体系，这也是一个比较重要的一个话题。

那么从我们的认知上来讲的，最快的方式就是拥抱现实世界里面的司法体系，真正地去利用法律手段来保护自己的资产权益。

我们其实在北京互联网法院、杭州互联网法院的官网上，可以看到他们有一些接口是对外可以申请的。所以，在这里我也想呼吁一下，区块链行业数藏领域的从业者，一起来把整个行业做到让其他的行业或用户真正去信任、值得信赖，并且让大家可以长期去使用的这样的一个平台。整个行业才会往一个正向的方向发展。

UNIBFF News焦仕可：

谢谢两位专家的分享，今天直播干货很多，两个小时的直播，我觉得时间一点都不漫长，整个过程都非常的有趣，直播间的朋友们互动也很有意思。

邓老师从技术角度，给我们讲解了整个行业它遇到的安全问题，以及他对数字藏品理解及其技术本质的理解。王老师从市场运营和金融的角度，为我们分享了整个行业的发展。数藏产业想要做大做强，一方面需要像王老师这样的数字藏品链接创作者和收藏者，也更需要邓老师这样的人，为我们整个区块链行业的安全保驾护航。谢谢，我们下期再见！