CertiK 近日接受 CoinDesk Korea 采访，对 Web3.0 项目如何保障用户资产安全做出解答。

面对接连发生的黑客事件，CertiK 认为 KYC 与冷热钱包分离是中心化机构保护用户资产，减少私钥泄漏的有效措施。CertiK 还呼吁项目方遵守地区反洗钱和 KYC 要求，强化尽职调查，更好地识别和防范可疑行为。

以下是本次采访全文翻译?。

​CertiK 专访：

需将 KYC 引入 Web3.0 项目

近期，韩国 Web3.0 项目 Galaxia、Ozys、PlayDapp 等接连发生黑客攻击事件，给投资者造成了巨大损失。有安全专家指出，应采取措施加强 Web3.0 项目的安全保障。

Web3.0 安全机构 CertiK 于 19 日表示，为 Web3.0 项目引入 KYC 可以大大降低恶意行为发生的可能性。CertiK 以上个月发生的 Ozys-Orbit 链黑客攻击事件为例——此次攻击导致了价值 1052 亿韩元（约 7877 万美元）的 Web3.0 资产被盗。Ozys 指出该事件可能涉及内部人员，并向已离职的 CISO 提起了损害赔偿诉讼。

“通过 KYC 进行严格的身份验证，可以降低项目内部发生恶意行为的可能性，”CertiK 安全团队表示，“一旦发生黑客攻击，项目团队即可将攻击者的身份信息提供给执法部门配合调查。”

私钥泄露

导致重大损失

去年 11 月，Hyosung 集团下属区块链公司 Galaxia Metaverse 在一次黑客攻击中损失了约 3.8 亿枚 Galaxia，当时价值约 30 亿韩元（约 225 万美元）。此次攻击是通过 Galaxia Metaverse 所拥有的一个钱包进行的。

“私钥泄露是并不高发但具备最大破坏性的攻击类型之一，”CertiK 指出，“去年发生了 47 起该类型安全事件，造成了约 8.81 亿美元的损失，占全年损失的近 50%。”

创建 Web3.0 钱包时生成的私钥就像银行账户的密码一样——无论是受到黑客攻击还是因用户的粗心大意，私钥一旦泄漏都会造成重大损失。

Web3.0 钱包根据其网络连接属性分为热钱包和冷钱包。热钱包随时在线，可以进行实时交易，虽然很方便但更容易遭受攻击。去年 4 月，韩国 Web3.0 交易所 GDAC 的热钱包遭到黑客攻击，导致约 180 亿韩元（约 1348 万美元）的资产被盗。

冷钱包是离线管理的，不能用于实时交易，受到黑客攻击的风险也低于热钱包。根据韩国将于 7 月生效的《虚拟资产用户保护法》，Web3.0 项目必须将至少 80% 的用户资产存储在冷钱包中，相比于目前 70% 的要求有所提高。

增强用户认证与调查

资产一旦被盗，就很难再跟踪和识别其流向，所以 CertiK 强调了项目团队未雨绸缪的重要性：“即使有了 KYC 和区块链提供的透明信息，要了解资产流向仍是一项挑战。虽然目前的链上监控和交易分析系统可用于识别可疑地址和洗钱活动，但最重要的仍然是需通过进行 KYC 和智能合约审计等安全措施，在资金被盗之前主动发现潜在漏洞和风险。”

“自 FTX 破产以来，资金「隔离」已成为 Web3.0 项目的普遍做法，将用户的资产保存在冷钱包中有助于提高项目和资产的稳定性与安全性，”CertiK 认为，“此外，各 Web3.0 交易所和平台需要遵守当地反洗钱（AML）和 KYC 的要求，并通过强化尽职调查（EDD）识别可疑用户和交易——项目团队可在合规软件的帮助下做到这一点。”