OtterSec的Robert Chen讨论区块链安全问题

Robert Chen创办了安全公司OtterSec，该公司已与60多家Web3协议构建商合作，确保网络安全。他曾在卡内基梅隆大学攻读计算机科学，曾是一名移动漏洞研究员。

OtterSec专注于Web3行业，旨在进行安全审计以发现漏洞，并在产品上市前与公司合作，提供安全可靠的产品。

在Denver举行的Sui Builder House会议期间，我有机会与Robert进行了面对面的沟通，了解他对Web3安全、最佳实践以及构建者面临的最大安全挑战的看法。

Wayne Cunningham

贵公司OtterSec负责审计区块链的安全漏洞。您能提供一些有关审计过程的细节吗？

Robert Chen

在审计过程中，我们主要关注两个方面。首先，我们直接与区块链运营商合作，评估验证码等关键组件的安全性。其次，我们对建立在区块链之上的协议进行评估。在区块链方面，我们专注于确保交易百分之百安全。在协议方面，我们要确保逻辑合理，不会导致网络损失数百万美元。

Wayne

您的团队主要是写代码寻找漏洞，还是花大量时间在分析代码上？

Robert

我们的大部分时间都花在设想不同的威胁场景、像攻击者一样思考并尝试找出边缘情况。一方面，我们尝试发送超大数据包，观察协议是如何响应的。另一方面，我们设置经典的拒绝服务攻击。同时，我们还花费大量时间研究区块链代码的真正工作原理。在审计Sui时，我们能够查看核心虚拟机代码，并评估其是否存在漏洞。

Wayne

贵团队在Web3领域有哪些经验？

Robert

我们的团队成员均有Web2安全背景。我们在这一领域进行的每一次审计都会建立我们的知识库，因为区块链与区块链之间的攻击载体往往是相似的。

Wayne

区块链构建者在实施安全时面临哪些挑战？

Robert

其中一个挑战其实不是技术层面，而是时间和资源的分配。建设者通常是在非常紧迫的时间内与小团队共同协作。他们希望在短短几个月内推出功能齐全的产品，这就没有足够的时间来测试安全边缘案例。更困难的是，我们现在使用的是全新的编程语言。在Web2编程中，我们有很多生态系统知识可以借鉴，但在Web3中，官方文档可能是唯一的信息来源。

Wayne

与应用程序本身相比，区块链的底层架构对安全性的贡献有多大？

Robert

区块链的设计方式对安全性有很大影响。例如，Move编程语言就非常安全。在我们的安全审计中，我们发现Move的漏洞较少。这并不是说Move应用程序就不会有漏洞。我们确实发现了一些问题。但总的来说，我们发现在Move上开发的构建者往往会编写更安全的代码。根据我的观察，得益于Move，Sui将是一个更安全的环境。

Wayne

与以往的网络相比，区块链技术在安全领域是否具有先天优势？

Robert

互联网设计之初，人们并没有真正考虑过安全问题。因为服务器托管在大学和研究中心，所以这是一个值得信赖的环境。构建区块链的人有先见之明，知道他们需要尽早考虑安全问题。但与部分互联网相比，区块链有一个劣势，因为一切都是透明的。区块链往往是开源的，你可以通过代码查找漏洞。因此，在部署区块链应用程序时，仔细考虑所构建的平台及其安全协议至关重要。

Wayne

OtterSec在工作中遇到的最大安全漏洞是什么？

Robert

我不能谈论具体的实例，但我们遇到的一个更常见的漏洞与密钥管理有关。人们需要仔细考虑如何存储关键密钥，无论是协议的升级授权，还是可以访问国库的管理密钥。团队需要在项目开始时就弄清楚安全密钥管理和最佳实践。

Wayne

建立一个跨区块链安全认证的中央机构是否有意义？是否存在一个拥有黄金标准的团体和技术，可以部署在现有和新的区块链上？

Robert

设立中央机构也许是一个不错的想法。而需要解决的问题是所有从事该领域工作的安全公司就认证达成一致。在Web2领域有许多安全标准，有时它们之间会发生冲突。制定一份常见漏洞清单可能会更容易一些。如果我们有一份共同认可的漏洞清单，那么制定协议的人就可以查看它，并确保他们的技术能够应对这些漏洞。

Wayne

您最后还有什么需要补充的吗？

Robert

我们是安全问题的忠实拥护者，如果大家有兴趣讨论这个问题，请使用我们的联系表单与我们联系。如果您要发布一项协议，请确保它的安全性。任何安全事故都会损害整个行业的信任感。