logo

010-62570007

您的位置:

华体会登陆注册

邓永凯:数字藏品与资产安全技术原理解读
发布时间:2022-10-01 09:52:32 来源:华体会登录网站 作者:华体会网址注册

  “2022年上半年,数字藏品圈项目鱼龙混杂,业内对数字藏品的定义千差万别,国内外NFT数字藏品发展路径也不尽相同。自周杰伦价值55万美金的无聊猿NFT被盗后,大家意识到数字藏品这一具有资产属性的数字资产,其实也面临很大的安全风险。数字藏品平台到底安不安全,如何保障它的安全?你手中的NFT安全吗?丢了怎么办?走进数藏行业,你如何洞察数字藏品本质,挖掘行业机会,又如何识别平台和收藏者面临的风险?”

  2022年8月6日,零时科技创始人邓永凯受邀参加UNIBFF News主办,BTRAC智库和链世纪财经联合主办的「对线:数字藏品与资产安全技术原理解读」线上AMA直播活动,与直播嘉宾一起从技术角度来探索NFT数字藏品行业发展潜力和安全边界。

  2、您认为数字藏品到底是什么?它背后的核心技术又是什么?价值支撑是什么?

  4、数字藏品和版权是息息相关、不能分割,但版权和技术的结合,还有待完善。从技术角度您认为如何更好地解决这一问题?

  5、2022年,黑客攻击事件频发和资产被盗事件频发,从安全角度考虑,数字藏品平台面临哪些风险?如何预防?

  【问题一】UNIBFF News焦仕可:我们今天的大主题是《对线》,请两位专家先谈谈你们对Web3.0的理解。

  零时科技邓永凯:都是指下一代互联网,但是Web3.0是语义网络,Web3是基于加密技术的网络。直播间的观众说,Wbe3是波卡创始人提出的。现在我们所说的区块链应用,NFT、DeFi等,它是属于Web3的领域,是基于区块链和加密技术创建的一些应用,所以大家应该尽量把Web3和Web3.0分开,我们的区块链行业属于Web3。

  UNIBFF News焦仕可:关于数字藏品,它背后是有一定的做技术支撑的。像邓总您的企业,对公链、联盟链、数字平台及钱包等领域都有一定的研究。如果您“以攻促防”,保护企业的话,首先要对这个数字藏品或平台背后的技术有深刻的认知。

  零时科技邓永凯:国内大家都在玩数字藏品,可以理解为是中国版的NFT。很早之前它就有,只是说我们没有给它套上区块链和NFT的概念。比如你自己画了一幅图、拍了个视频、照片,或是创作了一首歌,这叫你的数字作品。我发到网络上,比如网易音乐,图片网站,有人来用,他也可以付费,这种平台很多。

  现在中国的数字藏品它的核心技术是什么?我觉得它没有用到区块链真正的技术,它还是数字作品,只是放到不同的平台上去做交易。

  其实它跟NFT的概念是很违背的,目前国内的数字藏品,它其实是互联网应用,跟区块链顶多是在联盟链上的关系。比如幻核、鲸探。拿鲸探来说,它是把藏品存在蚂蚁链上(联盟链)。

  我们对国内很多数字藏品平台研究后,发现99%没有把作品存在链上,只是存在了服务器里面,然后给你了一个哈希(像是区块链的地址)。

  但是拿NFT来说,Opensea上所有的交易,所有IP的作品,创作环节与国内一致。创作完成之后,需要去写合约、发合约、上架、对接钱包等。它用的技术跟现在国内数字藏品技术不一样,应该不是一个技术栈。我觉得真正的NFT,应该有Web3去中心化和加密的技术在里头。

  UNIBFF News焦仕可:那您认为比方说像海外的NFT,整个过程中它采用的技术都有哪些?

  创作好之后,首先,应该把NFT存在去中心化的网络里,比如图片、音乐,存到比如IPFS或其他去中心化的区块链存储项目。作品是去中心化的,不能变,不能改的。

  第二,去写智能合约,然后发到公链上。公链的技术站、去中心化存储的技术栈、智能合约的技术栈、Web3开发的技术栈都得具备,然后你去Mint(发行)。

  比如在Opensea上有一个create,你可以自己去上传图片填写信息,他给你生成一个NFT ,帮你Mint到钱包里。

  还有很多平台,是你自己去写合约、上传合约、部署合约、Mint到任意指定的钱包。

  所以跟国内的数藏不一样,国内的是画好图片,往云端一存,然后搞一个中心化的APP就开始售卖。没有加密存储、公链、智能合约等,是互联网应用。

  但我见过一些国内比较好的国内的数字藏品平台,把Opensea打造成了中心化的,这就非常符合我们国人的使用。它也是在公链上开发、写 合约,只是在交易的那一步,不需要去连接钱包,只需注册账号,就可以卖,就像中心化的Opensea。比现在全部中心化数字藏品更有竞争力。

  UNIBFF News焦仕可:从您的角度来理解,您认为数字藏品/NFT的价值支撑是什么?

  零时科技邓永凯:我觉得目前的支撑大部分都是炒作,当然炒作不是贬义词,如果没有人炒这个概念、项目、行业,它是不为人知的,不能出圈的,更多的人来炒,可以把行业带出圈,带来更大的生态。但是,我觉得这不是他仅有的价值。

  比如国内的图片艺术品,它可以被复制,但很多人给这个图片上附了很多权益,这个权益你是没办法去复制的。

  而且国内,现在已经打造了一些数字展览馆、数字博物馆、数字旅游等,未来会有更多应用出来。目前,还没有到获得大的价值支撑的时候。

  国外NFT,它现在的价值是什么?比如,GameFi游戏里面道具就是NFT,包括以后的元宇宙,虚拟世界里面所有的资产都可以NFT。

  所以第一,它的技术比较革新;第二,它的想象空间比较大。比较符合现在的年轻人的审美、消费观点。我们问过很多的平台,他们的用户大部分都是大学生。

  所以这个价值支撑,第一,是我觉得它有价值它就有价值,或者是大家觉得它有价值就有价值。第二,是它能在更多创新的领域里面去应用,如Web3、元宇宙,如果能有更多的应用,它的价值就更大。

  零时科技邓永凯:第一个环节,是资产的生产。比如创作数字作品,它都可以理解为一个藏品。生产,就会有很多的设计师等。

  第二个环节,是发行技术平台,涉及比较多,比如开发运营、市场销售、品牌打造等等。中间可能还有一些做二创的作家,产权获取、转赠等。

  对于用户来说,平台是他们去获取的一个渠道,他们更关注的是这个产业链的后端。比如,我买了之后能干什么?这就需要看我从收藏品获取了什么权益?比如你买了拳击俱乐部发行的NFT,能参加比赛,去俱乐部里去学习,或者参加活动。你赋予了什么样的权益,落到线上或线下,那么这些权益的圈子就很大了。可以买东西、兑换、参加明星演唱会等,这都是藏品后半段的权益。

  我觉得在数字藏品平台厮杀过程当中,平台的使用性,作品的丰富程度,以及获得藏品后,我到底能干什么,赋予什么样的权益,会为平台带来更多的收益和品牌溢价,同时对产业链后半段非常重要。

  它的想象空间非常大,只要你觉得这个权益你需要,那么它就是这个产业链的一条。比如游戏、质押,包括元宇宙的虚拟世界、VR等,都会用到NFT,那么它衍生出来的产业链就很长了。

  所以我们现在了解的只是很小的一个范围,随着数字藏品价值和应用的扩大,它的产业链会越来越庞大,如果它的产业链真的足够大的时候,那么这个行业才会迎来真正的爆发和它真正有价值的时候。

  【问题四】数字藏品和版权是息息相关、不能分割,但版权和技术的结合,还有待完善。从技术角度您认为如何更好地解决这一问题?

  为什么现在的数字藏品火起来?拿到很多大佬的IP,其实也是因为版权的一些痛点,区块链可以解决的版权问题。但是现在国内数藏市场,它其实还是解决不了版权问题。

  举个简单的例子,大家要想解决版权问题,就要明白你买NFT到底买了个啥?你是买了一张图片?权益?还是什么东西?

  国内的数字藏品平台,你可能买了个图片及权益,在Opensea上,你到底买了个啥?你买的图片在钱包里看不见,但是99%的人对无聊猿的印象就是一个图片。

  什么叫NFT非同质化代币?为什么叫非同质化代币?它其实还是个代币,是个token。只是说它这个 token是和一个图片对应,那个ID是在链上生成出来的,生成后是不能变。

  这个ID跟图片是绑定的。假如说我们全国都用一条链,叫中国链Chinachain,我们所有的数字藏品NFT都存在这一条链上,国内所有的互联网应用都去接这个链,大家都去用这个钱包,那么在Chinachain这个生态它的应用过程,是可以解决版权问题的。

  比如说我基于中国链做了一个微信、百度、滴滴、抖音,这个时候在链上发的所有资产,在各个应用里面都可以用,通过token ID去流通,你盗不走,这个时候你就可以解决版权问题。

  现在中心化是解决不了的。比如,北大满哥的文案被奥迪侵权了,那如果他不被奥迪模仿,他就会被其他人模仿。因为我看到了就可以用,这个版权是你的,怎么说是你的?你在百度上发,我把它copy到Google上去不行吗?没有问题。

  但是如果我在百度上用,别的地方要用的话,他必须获得我授权,通过钱包的连接才能用,就可以解决这个问题。如果通过钱包的连接的话,所有这些应用必须跑在同一个生态链上面,如果不在同一个生态,它就连接不了。

  最近波场上了一个NFT交易平台,所有的人都去Opensea上,把那些项目全部搬到波场这个平台上来,一模一样的,又可以卖一遍。这到底是谁的版权?

  UNIBFF News 焦仕可:您的意思就是这个生态网络其实它本身是很重要的,它有一个技术支撑的生态网络,才能解决更大的问题。

  零时科技邓永凯:对,为什么现在有很多跨链项目,就是为了解决不同的生态网络的问题。

  不同的链,它之间的资产是不能流通的。所以现在每一条公链相当于自己的一个小生态,你在你这个生态里面开发的应用,是可以解决版权问题的。比如,推特可以拿加密货币来打赏,也可以对接一些NFT头像。这个时候把它做成去中心化的,在一条生态链上,我要用我的头像连上我的钱包,我的钱包就会把我的NFT在这个头像里面展示出来,如果你也想用这个头像,没有我的钱包权限,你就用不了,展示不了。

  所以我觉得,如果想解决版权的问题,必须是拿去中心化的同一个生态里面才能解决这个版权的问题。

  UNIBFF News焦仕可:今年,周杰伦价值55万美金的无聊猿NFT被盗,很多数字藏品收藏者非常关心自己数字资产的安全问题。最近各大平台的安全事件也频频发生。

  【问题五】从安全角度考虑,目前的数字藏品平台面临着哪些风险,又应该去如何预防?

  零时科技邓永凯:关于平台的安全性,先看国内的数藏平台,比如幻核关闭,大家都惊慌失措。为什么?因为它是中心化的。国内的大多数数藏平台都是中心化的,即在云端服务器上跑了一个应用程序。

  1、账号风险,大家在买藏品的时候很方便,通过小程序或APP,手机号收一个验证码,注册成功了。买了之后可以转出去,有些平台转的时候需要一个地址,有些平台直接输手机号就转了。

  这个时候,你登录、转移、密码忘记,都只需要一个手机号,接一个6位的数字验证码。很多平台基本上都不会设置这个验证码验证的次数。如果他不验证次数的线万次,写一个程序分分钟就搞出来了。比如黑客写一个工具,可以登录任何平台的账号里,有些可以通过它的一些接口,转走任意用户的NFT、数字藏品。

  2、用户风险,你从最初登录到退出平台,所有的功能它都会存在安全问题。比如小的可以盗你的账户、转走你账户里面的数字藏品,大的情况可以“干掉”你的服务器,把你服务器里面所有用户的数据、藏品转走。

  3、包括有些平台还存在一些商业化的竞争风险。比如,我是一个恶意用户,买藏品后举报你。比如,有一个客户,他们的账户被封,就是因为他们有恶意用户去注册、买卖,但因二级市场掉价了,他就去工商局举报。因为工商局不懂,就会给你定位诈骗等。

  4、安全意识风险:平台面临的安全问题,不仅黑客攻击的问题,还面临开发人员和技术运维人员安全意识不到位,包括监管薄弱的问题。所以一个数藏平台在国内想活下来,其实它是蛮难的。目前应该是有900多家数藏平台,但是熟知的也就几家。

  5、平台跑路风险,有些平台真的是来卖藏品的,有些平台就是来使坏的。所以数字藏品它应该还是野蛮发展的一个阶段。

  6、内部人员风险,举个例子,一个安全圈的技术大佬去了一家机构上班,过了一年半这个人离职了,离职之后这家交易所的热钱包就被盗了。这在安全圈发生这种事件很正常,所以安全就是一个木桶原理,只要一点出现问题,整个盘子就输掉了。不是说做足够好,你就可以掉以轻心,高枕无忧。所有的项目包括Web3的项目都存在这样的问题,只是说中心化的平台的问题更严重,它的攻击面会更多。

  7、市场风险,在NFT平台中,比如Opensea已经做得很好,但还是存在很多问题,你在国外漏洞收集平台上去看一下,有很多专业的白帽子给Opensea提交漏洞,有时候一个漏洞就可以获得十几万的美金,几十万美金的奖金。如果这个漏洞被黑客发现,他们就会拿来利用,之前有通过刷单的形式,高买低卖,中间人来拦截交易等很多逻辑上的安全问题。这只是平台的安全问题,还有项目的就更多了。

  8、供应链风险:前两天那个solana事件,团队很厉害,是他们自己出问题了吗?不是!而是他们另一个生态里面的钱包,这个钱包自己也没有出问题,这个钱包里面开发用了一个第三方的服务,这个第三方的服务是一个开发套件,是开发人员收集数据用的,但是这个第三方的服务里面存在一个后门,把钱包里面的助记词收集走了。

  你会觉得不是solana的问题?也不是这个钱包的问题,而是第三方应用的问题。

  那这个第三方应用到底是自己有后门,还是说第三方应用自己作恶了,或者第三方应用被人黑掉了这个问题就很复杂了。所以说安全是你自己做得很好,没问题,但是不代表你的队友或者是你的供应链里面的东西做得很好,现在不管是web3也好,web2也好,都没办法解决的一些问题,所以说,不管你是在发展初期、中期还是高峰期,对不同的时期会存在不同的安全问题。

  所以说在这个行业,你的数据,你的资产都是你自己管理的,那么这些资产的安全责任,就该你自己承担。

  所以说我们说在Web3一些应用的时候,还是要多注意多看,不要别人说什么就是什么。很多人不知道周杰伦的NFT怎么丢了,其实就是正常上网点了一些链接,就没了。你没丢,是黑客还没有遇到你。

  UNIBFF News焦仕可:术业有专攻,作为数字藏品平台,他们肯定更擅长创作者和用户的链接,面对供应链上下游有这么多的技术问题,应该怎么办?您这边有什么样的措施,站在您技术的公司的角度,怎样帮助行业解决这样的问题?

  零时科技邓永凯:开发问题。比如你的开发人员,是否有故意写一些有漏洞的代码。有些平台有漏洞,上线后也能正常运转,功能没问题,但是你遇到黑客就出事了。黑客是什么?黑客都是一些不正常的人。正常的用户去使用它不会出现问题。他们不正常使用一些功能,比如,你让我登录我输入个11手机号,我就我偏不,我就输入一个10位手机号,加一个逗号,加一个单引号加一个双引号等等,各种乱七八糟的东西输进去之后,你的平台如果没有做处理,它就会产生问题。所以,第一步你在开发设计这个平台的时候,就应该考虑整个安全架构进去。

  第二,服务器配置。你的平台上线之后,平台服务器应该怎么去配置?因为你的服务器是对外的,任何人都可以访问,如果你的服务器配置不当,或者存在一些入口等问题,你就相当于直接给黑客把大门敞开了,让人进去。

  第三,运维问题。办公的时候,大家是不是统一有安装杀毒软件,有没有统一的工作习惯和工作环境,包括你到底有没有安装防火墙等操作系统。举个简单的例子,我们用的window10系统每周每个月的第二个礼拜都会发布更新包.很多人不愿更新电脑,因为很多电脑越更新越卡,因为系统在升级,但是硬件没有升级。那么如果有一些非常高危的漏洞你不升级,暗网里面就有很多针对这些漏洞的利用工具,他们很容易就可以把你电脑控制了。很细节的东西,从开发到安全管理,从安全运维再到办公、财务各环节都有安全问题。

  所以对于企业,可以找安全公司帮你做上线前的安全测试。我们就是“黑客”,可是我们不会破坏你的系统,我们会在黑客发现这些问题之前,帮你发现这些问题,让你把这个问题解决掉。

  或者我们建议你去买一些安全防护的设备,比如,在云端可以买一些云端的安全防护体系,如果有黑客攻击,他就会第一时间通知你或者阻断黑客攻击。如果你是大型企业,可以买一些专业的安全厂商的一些安全设备、安全服务,去保证你这个系统的正常的安全运维。

  一旦发生了安全事件,比如你公司断网了,为什么?有可能你公司的服务器里面,被人中了木马,这个时候你该怎么处理?你可以找我们,我们去给你把这些问题找出来之后,把病毒把漏洞后面给你补上,尽快帮助你恢复业务,减少用户的损失。

  现在很多平台收集用户实名信息,你在上小程序的时候,都会让你提供各种各样的一些证明。如果你一旦把收集到的用户信息泄露了,你要背法律责任。不是说你泄露了,你把这个漏洞修复了问题,只要你超过500条,你就已经触犯法律责任,你公司的负责人是要受刑事责任的。

  现在的网络安全法、数据安全法,个人数据法、加密法这些法律已经发布了。所以说很多平台你不但要解决这些安全问题,还要防止出了安全问题之后你该怎么处理。

  所以说安全无小事,所有的平台还是要很小心,尽量做安全检查、安全防护,现在没问题,不代表将来你没问题,说不定别人就在攻击你的过程当中。

  这不是危言耸听,安全也不是绝对的,我们给你加固安全测试,它不代表你以后永远都不会出现安全问题,安全只是给你建立一个黑客攻击你的防火墙、护城河,把你的护城河建得足够高、足够结实。黑客攻击你的时候,他需要花更多的成本,所以他就不会愿意攻击你了。

  UNIBFF News焦仕可:作为每个平台方来说,大家可能都有自己的一些举措来解决这些问题。

  拿国内数藏平台来说,基本上都是拿手机号登录或邮箱登录。这种中心化的平台,你要做的就是把你的密码设置得强一点,不要用你之前在其他平台的密码。如果这个平台有开二次验证的话,都开起来。比如,你有手机号验证、邮箱验证、Google验证。大家说,我看你这个太复杂了。越复杂,越安全,相信我。你在上网下载钱包的时候,不要下载假的,不要下载错了,尽量去官网下载它的APP。因为很多用户下载了假钱包,丢了几千万几个亿的都有。如果你连这个项目官网都不知道,你还玩这个项目干什么?还买这个平台的藏品干什么?

  上网的时候尽量养成好的习惯,电脑能开杀毒软件就装杀毒软件,能开更新就开更新,在聊天的群里面,别人发给你的链接不要随便点,邮箱里面给你发的链接、附件,短信里面的链接不要点。

  资料存储一定要安全。你的各种各样的助记词,不要存在网盘、邮箱、微信收藏、QQ收藏、云端笔记里面。如果你实在是懒得抄下来,就拿一个手机拍个照片。但是你拍照片之后,不要把你的手机开云端存储。像苹果手机开icloud,华为手机开华为云,这些都是拿账号登录的,我登录账号之后,照样可以把你的图片拿走。

  你去玩数字藏品的时候,你要看好它是真的数字藏品还是假数的藏品。很多诈骗跑路的太多。

  这个比较专业,针对一些投研的团队可能比较重要,你可以自己去看一下合约,专业化的很简单,把你的账号管好就行了,其他的都不用管,交给平台处理。比如说王总的平台就很安全。如果你能看正常合约的话,那更好,说明你是个技术人员。技术人员丢数资产的概率就很小。比如王总他们平台,如果你的硬件业务上的技术架构都已经搞得很好了,安全的加固也做得很好,但是代码层面我不能保证你们真的是没有问题,你可以找我们来给你做审计,审计完之后,我先告诉你有没有问题。我们尽可能不让它丢了。如果不丢的情况下,不能保证别人把我骗了。

  第一种,你的钱包密码忘了。比如好久没有用我的钱包,突然想不起来密码是什么,是123456还是1234567,当时是我的生日还是我女朋友的生日。但是我能看到里面的比特币,就转不走了,怎么办?你可以找我们,我们可以帮你去根据你的密码的使用特性,帮你把你的密码有可能找回来。

  第二种,抄助记词笔误。抄错了,到底是大写的I还是小写i,不知道了。一个单词顺序记错,这种问题我们也可以帮你解决。

  第三种,被盗了。那么很难解决的问题是什么?你的币不是在你前面躺着,而是你的加密货币被人从你的钱包里面转到别人的钱包了,你的数字藏品被人转走了,那怎么办?

  如果是国内的数字藏品,你可以找警察叔叔。如果你的加密资产找警察叔叔他们可能管不了,你可以找我们,我们可以帮你去做追踪和溯源、资产监控,包括联合警方去给你追踪,找到之后调取证据,然后协助警方和监管机构,尽可能帮你找回来。

  之前,客户服务器被黑,200多万美金的资产丢失,我们帮他追踪的过程中,发现资产不动了,在往回找的过程中,发现这个黑客在攻击他的时候,交了手续费,这个手续费是从一个交易所里面提出来的,而这个交易所我们是有标记的。这个时候,我们就联合警方去交易所,把这笔交易的持有人的信息调回来,通过警方找到这个人,就可以把这笔资产追回来了。

  所以我希望所有人都有一个好的安全意识,保存好自己的数字资产现在可能你只是一个图片,几个BTC,如果未来,你的房子、车子都在数字上,丢了就真丢了,所以说安全很重要,不能掉以轻心。

  UNIBFF News焦仕可:【问题七】作为行业从业者,您认为应该如何推进数字藏品行业的合规与监管工作?

  零时科技邓永凯:我们聊到的数藏、NFT、Web3,还处于一个野蛮的发展阶段,这个圈子里面可能有形形的项目,形形的人,你很难分辨清楚。所以,我觉得应该有三个点来促进行业的发展。

  就是我们任何人,包括我们任何平台,首先自己不要作恶。Web3其实是非常技术性的一个东西。现在互联网可能很多人他都还没整明白,现在搞到元宇宙和Web3的世界里去了,大部分人是看不清楚的,需要我们去做一些正能量的事情。用户保证你的资产的安全问题,平台保证平台的安全,项目保证项目能正常运转下去。如果这些人都是一些蛀虫,那么这个行业我觉得它永远都发展不起来,所以整个行业它自己得有一些正能量的东西能一直去往前推进。

  监管机构需要对作恶的人和项目有足够的打击和侦察的能力。更多的人去创新、创建更多的应用,这个行业才能够正向发展做大。这个时候需要很多政府和企业的支持。

  产业链协作。更多的安全爱好者、监管机构、政企、技术人员和极客,包括整个产业链的各方一起去努力。

  UNIBFF News焦仕可:谢谢专家的分享,今天直播干货很多,两个小时的直播,我觉得时间一点都不漫长,整个过程都非常的有趣,直播间的朋友们互动也很有意思。邓老师从技术角度,给我们讲解了整个行业它遇到的安全问题,以及他对数字藏品理解及其技术本质的理解。数藏产业想要做大做强,需要邓老师这样的人,为我们整个区块链行业的安全保驾护航。谢谢,我们下期再见!返回搜狐,查看更多

上一篇:学习web前端开发培训技术怎么样 下一篇:如何在 Web3中建立一个去中心