Jucoin Labs：

今天我们也非常荣幸邀请到了Lunaray的团队加入到我们今天的活动，他们其实是一家致力于区块链安全的创新公司，他们的目标也是为整个区块链的生态系统提供更加全面的安全解决方案，他们的独特之处在于推出了一个全生命周期的Web3安全解决方案，在行业中也是引领了一波风潮，非常期待希望今天能够通过这次交流，大家能够对我们的项目有个更加深入的了解，现在我们就来进入一个AMA的正题。

首先非常欢迎今天的发言人来到我们的AMA，那么也非常期待您能做一个项目的简单介绍，以及核心理念，包括项目的创立背景，然后给到我们观听众朋友们一个更深入的认知，感谢。

Lunaray：

Ok。大家好！我们Lunaray是其实主要专注于 Web3安全生态的公司，然后就像主持人介绍的一样，我们其实是致力于保障我们的Web3生态安全。我们的Base在新加坡，因为我们也是在传统安全行业中也拼搏了多年，然后我们看到 Web3行业内的很多朋友，因为安全问题它的损失几百万上千万，我们其实非常痛心，因为他们很多我们在Web3安全领域的朋友对吧？

Lunaray：

他们可能是因为一些个人安全意识上的问题，或者说是因为不太懂安全的重要性，能导致自己的全部身家，甚至大部分的身家都被黑客窃取走了，我觉得这个是非常令我们痛心的。

因此我们成立Lunaray公司来去保障 Web3生态的安全，我们Lunaray的宗旨，是尽可能的帮助行业内的朋友，避免遭受黑客的攻击，保证他们的资产安全对吧？

让大家作为一个Web3玩家，作为Web3用户，能够真正放心的在Web3领域进行操作，这是我们的宗旨。

Lunaray：

当然我们在Lunaray我们已经成立了大概8年时间，我们在服务行业内同时也积累了大量的经验，并把相关的经验转化为相关的安全服务，来保证这个我们行业内用户的安全。因为这是我们的宗旨，我们的目标就是让Web3更加安全，不必担心某一天自己突然打开钱包，自己的资产都被黑客窃走了，是吧？我们并提供了业内领先的Web3安全的全链条解决方案，然后这就是对我们Lunaray的团队的一个简单的介绍。

Jucoin Labs：

好的，非常感谢。其实通过刚刚的介绍，大家应该也非常希望能够再深入了解一下Lunaray具体是怎么样去保护用户安全，并且在用户安全这个问题上，相信每一位听众朋友或者小伙伴都是非常关注最核心的一个问题。

那么在区块链安全领域，技术其实是核心优势，尤其是在安全方面，技术上需要做到一个完全的保障。Lunaray在技术上有一些怎样的独特的亮点，是否能够与我们分享一下你们的产品的体系和整个服务的体系和流程，

Lunaray：

Ok。我相信我们都是作为一个Web3的玩家，对于Web3的用户可能都听说过一句话，叫你在Web3中没有被用户黑过，就相当于我们没有进入Web3行业，这虽然是一句调侃的话，那也能侧面的说明了黑客或者是攻击者在Web3领域是非常猖獗的，因为Web3它具有一系列的这种特征，比如说匿名性，对吧？匿名性的特征，导致黑客不必用担心自己的行为被别人发现，或者说是能更好的去隐匿自己的攻击手段窃取的资金，对吧？这是web3.0的现状。

Lunaray：

那么我们作为一个安全团队，我们对这些现状我们进行深入的研究之后，我们总结出来我们自己的一套安全的方案，然后我们针对 Web3的项目，我们提供全生命周期的解决方案。

可能很多人说我们只要安全解决方案，什么叫全生命周期的安全解决方案呢？我们是这么去把安全融入到整个Web3项目大家周期中去，因为Web3项目，我们知道要研发，或者说要开启一个Web3项目，他可能有项目筹划的周期对吧？有项目的研发，项目的上线运营，最后可能就项目的持续迭代更新之类的，对吧？

Lunaray：

那么我们在把安全融入到这个项目的整个生命周期的第一步，就是我们在项目的筹划阶段，我们对项目提供一些安全咨询安全培训，因为我们很多做Web3项目的这种项目方或者项目方团队，他可能并不是安全出身的，他可能有一个很好的idea。

他就把这个idea去实现出来，但是他可能缺乏一些这种安全的理念，他可能设计的模型，比如说举个很简单例子，它可能涉及到经济模型，安全漏洞的对吧？生态经济模型有安全漏洞的话，可能导致这个项目在发展的前期或者发展的中期受到阻碍，对吧？

Lunaray：

被黑客攻击，导致项目整体的这种导致项目整体运营遭到破坏，所以我们在项目的筹划期就可以为项目方提供一些安全咨询，安全培训的服务。我们把我们在平常日常研究过程中发现了一些安全的问题，我们总结安全经验跟项目方分享，项目方在这个设计项目的时候，就能设计出来一个健壮的强壮的安全经济模型或者是安全的架构，对吧？

那项目在后期开发的过程中，它的架构都安全了，那么后续我们只要保证开发安全，那就能保证项目的整体安全。

Lunaray：

第一步就是我们在项目筹划的时候提供安全咨询，安全培训。第二步就是当项目筹划完毕，设计完毕，在安全开发的时候对吧？那么项目可能要开发一些比ji如说智能合约，或者比如说开发一些类似于钱包一这一系列的产品。

那项目在开发的时候，我们也在介入中去，我们可以提供这个项目的安全评估，开发中的代码安全评估，开发完成后的安全审计等一系列服务。

那么如果刚才所说因为很多的项目方他所有的人员或者开发者，他其实并不是特别懂安全，或者说在安全领域有特别深入的研究，他可能开发的代码，包括智能合约代码有一些安全问题可能被黑客攻击。

Lunaray：

我们都是作为Web3的玩家都可以看到，在Web3领域，智能合约被攻击的案例可以说比比皆是，那一损失就是几百万上千万。

所以我们在项目开发的时候，也可以对这个项目整个项目的开发的代码提供一些安全评估，安全审计之类的解决方案。那么在接下来在项目运营时，我们还可以提供针对于正在运营的项目的安全监控，威胁情报和模拟攻击等一系列的服务。

可能很多人有疑问说我们这个项目运营的时候，我们项目都开发完，设计完开发完了，为什么我们部署到链上或者正式运营的时候还需要做安全？

Lunaray：

我可以给大家举一个案例，之前有一个非常有名的做Defi的项目，然后他在链上其实是被攻击过一次。当攻击之后，攻击者就把他们所有的这种借贷池中的资金全部耗完了，对吧？

其实我们在分析攻击的时候，我们发现黑客并不是第一次有攻击成功的，黑客他其实攻击了两次，他第一次攻击的时候是因为缺乏Gas Fee，导致攻击失败，但是这个交易已经在链上发布了。

如果这个项目方在运营时，对整个项目的这种运营状况进行安全监控，那么他完全有可能在发现攻击失败的时候，立刻把项目合约暂停，暂停之后就可以防止黑客后续的攻击可以挽回成百上千万美元的损失，对吧？

Lunaray：

所以说在项目运营的时候，安全监控也非常重要，那么威胁情报我们会没我们会时时刻刻关注区块链领域Web3领域的这种攻击的态势，比如说我们把近期的一些攻击的这种态势或攻击的手法，我们会总结出来，这就是我们形成的威胁情报，对吧？

然后我们会给项目方看这些黑客攻击成功的这些案例，有没有他们项目自己存在的问题，对吧？还有包括这种模拟攻击，当然模拟攻击并不是我们真正的就攻击一个项目，而是我们利用模拟用黑客的手段去模拟的测试一个项目有没有安全漏洞。

Lunaray：

那么当然如果项目不幸遭受攻击了。那这种情况，谁也不希望去去出现对吧？当然这种当然也没法完全避免。

但是如果不幸遭受攻击，我们也提供危机响应，包括这种根本原因分析，还有资金追踪和找回的服务，当然不止不只是我们针对于Web3项目，我们这个全链条解决方案，那么我们针对于这种去中心化的交易所，比如说这种像OKX,Binance这种中心化的交易所，还有钱包,公链要对应的全链条解决方案，主要还是包括这种从安全建设到安全评估的安全审计，最后再到合规和反洗钱这儿，我们有对应的这种服务，那么同时我们也希望和行业的伙伴与社区的伙伴共同携手共建 Web3安全。

JucoinLabs：

好的，非常感谢其实刚刚也提到你们提供给的一些安全服务，对于咱们的项目方，那么今天的听众朋友也有可能会有一些项目方的成员，也或者说有一些像个人炒币，或者说对安全问题比较有顾虑的一些听众朋友，那么也非常期待说想要问一下在区块链的领域，其实安全问题一直都是比较受关注的，包括我最近身边也有听说有朋友可能被盗很多的USD，那么Lunaray的团队能否给我们分享一些像类似个人用户资产丢失的一些常见的情况，这些问题发生的主要原因是什么？

Lunaray：

其实个人用户资产丢失对在我们看来是非常常见的，因为每天有很多的用户，找到我说：我的什么又被盗了，有几千到几万，几十万，几百万到几千万都有。对吧？

然后其实从我们的角度来讲，被攻击的主要原因就是我们分析了所有大部分的攻击案例，我们发现被攻击的主要原因还是我们的用户的安全意识不足，就是主要原因。

当然还有其他原因，比如说一些区块链的问题对吧？不过区块链的问题只是其中一小部分，因为总体来说我们的这种区块链上的供应商，比如说我们的钱包供应商，我们的交易所供应商之类的，他都在安全方面有一定的投入。

Lunaray：

黑客攻击这些供应商，他其实是有比较高的这种攻击成本的，对吧？所以黑客还是主要的去攻击的是我们的普通用户，对吧？

那么其实我们总结了一下各种各样的攻击，大大小小的攻击，其实主要我认为主要分为以下几类。

第一类就是窃取私钥，窃取私钥类的攻击其实说是我们发现最多的。窃取私钥它的手段很多，但是它的本质就是他把我们私钥拿走了，那把我们私钥拿走，就可以控制我们的钱包，也就可以接管我们的资产，对吧？当然这个私钥我们私钥可能是比较宽泛的，可能这还包括私钥，包括助记词等等。

Lunaray：

那么黑客是如何窃取我们的私钥，其实我们总结还是总结了以下几个方面，首先通过钓鱼安装木马，通过钓鱼安装木马其实是非常多的一个窃取私钥的方法。我不知道大家有没有了解过，前一阵子出现假zoom事件，就是说攻击者说我要跟你开会，比如说你要是应聘或者说是什么，比如说要讨论一个项目，讨论其他什么东西，说我要给你开会，然后攻击者就给用户发了一个链接，这个链接是一个仿造Zoom的链接，Zoom我大家都非常清楚这一个做视频会议的对吧？

Lunaray：

那么受害者就点了这个链接之后，需要下载 Zoom下来，其实是一个包含了木马的Zoom，软件它其实不是官方的，是黑客在里面安装了木马的 Zoom，那么用户安装 Zoom之后对吧？他电脑上钱包的私钥就被黑客窃取了，那么黑客拿到私钥之后，那就把他的所有资金转走了，对吧？

这是窃取私钥的第一种方法。通过钓鱼安装钓鱼可以有多种多样给你发个链接对吧？

这样发个邮件是吧？发邮件说我要干啥，你下载一个东西，这种钓鱼是多种多样的，但是大多数都是说让你去安装一个东西，我让你运行一个东西，对吧？

Lunaray：

那么第二种非常多的情况就是窃取私钥的情况，就是通过chrome的插件窃取。当然通过chrome的插件窃取，它有两种插件，第一个直接就是假插件，就是一个高仿的插件，比如说一个高仿的这种钱包的插件，但是它不是官方的，下载之后里面就有恶意代码可以窃取你的这种私钥，这是高仿的插件。第二个就是真插件，那么很多人会问我，我平常用这个插件没有问题，但是突然有一天他出了问题，这是什么原因？这其实是一个行业的现状。

Lunaray：

比如说我作为一个chrome的插件开发团队，我开发了很多这样的插件，可能这些插件可能被很多人去用，那么当我的插件的用户到达一定这个数量的时候，就会有攻击团队去联系我去购买这个插件的运营权对吧？

如果我把财产运营权卖给了攻击团队，攻击团队就可能在里边植入木马，以更新的方式，因为你插件本质上没有变，只是后面的运营团队变了，那么你就把这个插件和恶意代码下到本地了，攻击者就盗取了你的私钥，对吧？

那么接下来还有一种非常常见的就是假钱包，假钱包我不知道大家有没有了解过，这个其实是一个非常古老，但是非常有效的攻击手段，就是我让你去下载，比如说我们在网上去搜OKX钱包对吧？

Lunaray：

那么我们可能会搜到一些比如说是钓鱼的攻击者，他用seo的手段把自己的假钱包放到搜索引擎的前几位，我们下载以后钱包虽然看起来能用，但是其中包含了这种恶意的代码，对吧？

当我们用了这个钱包之后，这个钱包就会把私钥上传到攻击者的服务器，攻击者又窃取我们的私钥来进行一些钓鱼怎么操作。

那么接下来还有一种方式就是通过读取剪切板窃取，因为我们在用手机的时候可能会遇到这种情况对吧？我们需要把私钥导出来，我导出来的时候就会复制私钥。我们复制私钥会在哪？就是在手机的粘贴板或者电脑的粘贴板中。

Lunaray：

那么如果手机电脑中的其他程序有读取粘贴板的能力，如果这个程序是恶意的，那么这个程序就把我们粘贴板中的私钥读取了，读取之后上传到黑客的服务器中，黑客就通过是要来完成窃取我们的资产的操作。

那么还有最后一块，通过盗取云同步账号窃取，因为很多人他其实有一定的安全意识，但安全意识不多，对吧？他知道要备份自己的钱包的助记词，要备份自己的私钥，但是他怎么备份的呢？他把助记词或者钱包的私钥截图传到类似于各种各样的云盘的中去对吧？

Lunaray：但是云盘他自己的密码可能是弱密码，他账号可能是弱账号，对吧？可能就被黑客攻击，他的云盘在云盘中把截的照片或者相关的文档下来之后，恢复了这个私钥来完成攻击。

对吧？当然还有其他各种各样比较小众的攻击，我就不一一说明了，但是这类攻击它的主要目的就是窃取私钥，这是第一大类。

那么第二大类就是骗取交易签名，骗取交易签名其实攻击的这个也是比较常见的，对吧？就是纯链上攻击，也不一定纯链上攻击，它都是通过签名来进行的，对吧？

就是我骗取一个我让你去签一个交易的签名，当你把这个交易签名签出去之后，黑客就可以接管你的资产，或者说窃取你的资产。

Lunaray：

那么骗取交易签名还有几以下这么几种方式，第一种就是链上授权的欺骗，攻击合约要你签一个授权的交易，让你授权多少USDT到他这个地址，那么当你把交易签了之后，那么这个攻击者就可以把你资产上的账户划把你的地址中的钱划走。

那么第二就是链下授权欺骗，就是他的签署的交易要通过链上去进行，要发送到区块链里。那么链下生产器件，黑客让你签一笔交易，但是这个交易不用发到链上，只需要你把签名结果发给黑客，那么黑客拿到这个结果，再通过链上就可以转你的钱。

Lunaray：

那么接下来就是多签授权欺骗，就是通过TRON之类的这种区块链它有一个多签的功能，是吧？黑客让你多签交易把你的转账和所有权都转移给黑客，那么黑客就会控制你的地址。

最后一个就是假交易欺骗，就是黑客给你发送一笔假交易，这个交易你看起来没有问题，但是你签了之后就把资金转给黑客了。那么第三个都是相似地址攻击其实也比较常见，可能大家都有关注，就是每当你接收到一笔钱的时候，你的地址就会有一个相似的地址再给你发一个Token，相似地址就是首尾非常相似，你不点开看很难看出来我刚才转给你的地址有什么不同，对吧？

Lunaray：

但是如果你没有注意的话，你复制地址的时候复制成假地址，你就把钱转错了转给黑客了。虽然看起来不是那么容易上当受骗，其实还是有很多人被攻击方式都欺骗到来，把资金转给了一个不认识的地址。对吧？

第四个就是攻击中心化交易所的账户，对吧？攻击中心化交易所的账户它其实有几种攻击方式，第一种就是最简单的盗取账号和密码，我拿一个账号密码，通过就控制你的交易所账户来转钱，但是这个盗取账号密码在我们看到这种情况下可能越来越少见了，因为各大交易所它可能安全措施已经做到比较好了，你只有账号密码你就没法提现，你可能需要两步验证，需要邮箱验证码，可能需要两步验证码等等。

Lunaray：

那么接下来就是盗取cookie，我们的cookie其实就是我们在交易所认证的一个方式，比如说我们大家可能在操作交易所的时候，我们用浏览器登上去之后，我们把浏览器关掉，那么下一次再打开浏览器的时候，它还是登录状态的，我们并没有输入密码，它为什么还是登录状态？是因为我们有 Cookie，那么攻击者可以盗取cookie来去操作我们的中心化交易所的账户，来盗取我们的资产对吧？接下来就是远控电脑操作，直接在我们电脑上安装木马，来直接操作我们电脑里的浏览器来完成交易的转账，这些就是攻击中心化交易所的方式。

Lunaray：

那么第五个方式就是使用的钱包等 Web3的设施被供应链攻击，比如说我不知道大家有没有听过原子钱包被攻击的案例，就很多原子钱包他说是一个去中心化的钱包，但是很多人用原子钱包之后发现自己的私钥没有被泄露，它私钥保存的是离线的，但是他的钱也被转走了，当时原子钱包这个事情还挺大的。据我们分析应该是原子钱包，但是官方没有发布，但是我们根据我们的分析来看，应该是原子钱包它遭受到供应链攻击，它的代码被攻击者植入了恶意代码，你使用的官方原子钱包，但是你这个代码已经被植入了恶意代码，导致你生成的资料被黑客拿到了，对吧？

Lunaray：

当然包括软件钱包，还有硬件钱包也可能被黑客攻击。那么所以我们在选择硬件钱包和软件钱包的时候，我们一定要选择大型供应商，为什么要选择大型供应商？

第一是它的安全能力强对吧？它大型供应商它可以在安全上有很多的这种投入来去保障它的安全水平，对吧？

第二它的赔付能力强，对吧？如果我们用一个小的交易所或者用小的钱包可能被攻击了之后，他直接跑路了是吧？我们损失就没人去赔付了。当然如果我们用大的交易所大的钱包，可能他因为交易所或者钱包出现安全事故，那么他可能会给我们赔付来减少我们的损失。

Lunaray：

那么最后一个就是虚假项目，那么虚假项目大家见得非常多了，比如说貔貅盘等，比如我们在投资的时候可能投到了一些虚假项目，这也可能导致我们的资产损失，这些以上6点就是总我们总结的在Web3领域这个用户常见的资产损失的方式，对吧？

总体来说还是因为安全意识不足，对吧？导致我们容易去相信一些攻击者，容易相信一些就是虚假的东西，导致我们的资金的损失。

Jucoin Labs：好的，非常感谢，其实我刚刚在听的过程当中自己也学到了非常多的东西，相信我们听众朋友在了解到刚刚咱们发言人总结到6点的话，未来其实也会更加的关注安全问题，同时尽量的去做到规避。其实刚刚咱们讲解的主要是一些安安全问题是如何产生的，其实像一些常见或者说容易引导大家去操作的一些行为导致的安全的一个漏洞，包括说导致的资金损失的一个情况，用户需要怎么去采取一些措施去防范，尤其是咱们的个人用户在一个刚入圈的情况，或者说并不是很熟悉，怎么样去保障或者确保自己能够避免掉这些所有的信息的情况下，怎么样去更好的规避，有没有一些比较简单的方式可以给咱们的社区用户进行一个小科普？

Lunaray：

没问题，然后其实我刚刚说了，其实绝大部分的攻击事件都是因为用户安全意识不足导致的，对吧？那么所以我们的用户要防止自己的资产被黑客攻击而盗取，那么主要的还是提升自己的安全意识，以下我总结出来几点，当这几点都是非常重要的，如果做到这些可能就是做到了95%对吧？剩下的5%可能非常去难，但是我觉得只要大家做好，把这95%，那么就可以很大程度的保证我们的安全。

那么第一个就是当我们下载软件，我下载钱包或下载其他插件之类的东西，第一点就是我们要对比 URL，我们下载 URL是不是官方的URL对吧？

是第一点。其实很简单。第二就是我们要下载插件或者下载插件或者是使用插件的时候，一定要注意我们用到了这个插件是不是官方发布的，比如说我们在chrome下载插件的时候，还有一个发行方，我们要对比发行方是不是官方的发行方。

Lunaray：

第三个就是我们当下载插件或者下载钱包等一系列的其他软件的时候，我们一定要通过官方渠道下载

Lunaray：

第二是当交易我们在签署链上交易的时候的问题，第一点授权的时候，在进行链上授权的时候，一定要注意授权的对象和授权的金额，

Lunaray：

那么还有一点相似攻击，我们怎么样注意？我们在别人给我们转账，我们在转的时候，我们复制地址的时候一定要不仅仅对比首尾，对吧？

因为构造首尾地址相似的，构造首尾相似的地址其实比较容易，算力大的电脑很短的时间就可以跑出来，我们一定要把认真一点，对应把所有的位数都所有的地址都看一遍是吧？就可以看到就可以去防止攻击。

那么当然还有一个很重要的点，怎么保证我们的中心化交易所的账号账户的安全对吧？那么我总结出来一点几点，就是首先我们交易所的账号一定要设置两步验证码，有两步验证码就是很好的一个保障我们账号的这种方式。

Lunaray：

第二点就是我们尽可能让我们大资金的账号，大资金的这种这种账号或者大资金的钱包，它能独立于我们日常使用的钱包，比如说。举个很简单例子对吧？我可能有10万对吧？我可能平常就用1万USDT去操作，可能剩下几万USDT不常操作，对吧？我们就用两个手机或者两台电脑对吧？把1万USDT放到常操作的账号，用一台电脑来去操作，把9万USDT放到一个冷钱包或者说不常操作的账号上，对吧？

这又能防止我们在无意中或者说在被黑客攻击中给我们造成一个极大的损失，因为我们在日常操作中难免对吧？可能会被攻击对吧？

Lunaray：这就能减少我们被攻击后的这种损失，因为谁也不能保证，因为没有一家安全公司可以保证，那么用户100%不会被攻击，我们做的只是做一个风险的管控，极大的最大的程度的降低用户的风险。

那么还有最后一点就是我们要在使用这个钱包，使用交易所之类的，用Web3的这种基础设施的时候，一定要选择大型的供应商，还是我刚才强调的用大型的供应商，它的安全能力和赔付能力都非常强，能给我们提供一个比较好的保障。最后就是我们在参与项目的时候对吧，不要去帮忙对吧？

Lunaray：

避免进入貔貅盘之类的项目的陷阱。这就是我对我们Web3用户的一些建议，如果做了这些建议，我们在安全领域能做到95%，就能保证极大程度地保证我们的安全。对吧？Ok主持人。

Jucoin Labs：

好的，非常感谢。我觉得这些建议是对于咱们今天的每一位听众朋友非常有意义并且有效的建议，也非常希望每一位听众朋友能把这些建议的点牢记于心，并且落实到自己在链上操作的每一个动作与细节当中去，保障好自己的一个资金安全。

那么这次的AMA活动其实也是相当于一个多社区传播参与，并且支持大家更加了解安全性的一个问题，为了更好的去普及安全知识，也很好奇Lunaray未来是否还有计划更多的一个安全教育活动，包括怎么样让用户更加了解一些基础的知识，同时像今天给我们今天的听众朋友讲解的这些知识，是否会在未来有更多的一些接触场景，让其他的一些扩散面也能去知晓这些信息，有没有这样一个计划？

Lunaray：

Ok我觉得正如我们的愿景所说，我们的愿景就是让 web3 more secure，所以我们也期待我们能在Web3领域贡献我们的专业力量，使Web3世界更加安全，所以我们在未来也会在社区活动中投入更多的力量，那么其实我们在社区活动，针对于用户的培训讲解，我们去讲什么是安全的，什么是不安全的，这是简单的宣教对吧？

我们会讲黑客是怎么攻击的对吧？黑客攻击我们该怎么去防御这些攻击，这是我们的宣教。

第二方面就是体验，这个攻击不是真正链上的攻击，而是我们在测试链上的模拟环境的攻击，那么这块也是中大有在做的，对吧？

我们根据真实的攻击手段搭建实验的环境对吧？但是这些环境后端接的全都是测试链就不会给用户造成真正的损失，对吧？那么用户在测试链上来进行一些操作的时候，就让用户体验到这么操作，我的钱可能就丢了，让用户体验一下攻击是如何发生的，就给你造成什么样的后果，我觉得这个是我们纸上讲千遍不如底下操作一遍的我们的理念，然后这块就是我们未来想要做的。

Lunaray：

当然我就刚前面我们所说的，我们也会跟更多的我们还在社区中投入更多的力量来去做这件事，来争取让我们的所有的用户，让我们大部分用户不能说所有的用户，完了大部分用户都了解安全，都体验安全，都能在保护自己的资产上能更上一个台阶。

Jucoin Labs：

好的，非常感谢。其实我刚刚感觉测试链让用户真实体验，这个是非常难得，并且非常能够让大家认知到自己的操作缺陷的一个地方。我相信今天的听众朋友们了解之后，如果说未来有机会也会非常希望参与到这个体验与测试，包括在优化自己的安全意识当中。

那么另外的话在市场定位方面，Lunaray主要的客户是怎么样的一个画像，因为我刚刚有听到包括对项目方也有提供很多安全类的服务，对于个人也有一些建议，包括去做一些安全性的测试，怎样去满足不同客户的需求，是否有一些比较详细的规划，以及针对不同客户提供的服务的大的规划。

Lunaray：

Ok，我们Lunaray的主要客户其实有这么几块，当然这些客户的需求都是大同小异的，但是它的核心点其实是非常统一的，就是保护资产的安全，它的需求大同小异，可能有些需求不一样，对吧？

因为各种各样的客户他需求不是特别统一，但是他的核心点都在于保护资产的安全。那么所以我们针对不同客户的不同业务形态，我们也提出了针对性的解决方案，比如说我们在针对中心化交易所，文化交易所它可能它的问题就是在于它的暴露面非常的广，业务逻辑非常复杂，对吧？它可能牵扯到员工的安全，运行环境的安全，研发的安全，对吧？

Lunaray：

还有后面合规的安全，还有应急响应的安全等等对吧？所以我们针对中心化交易所提供了从网络安全建设，我们怎么让它的这种研发环境测试、环境运行、环境安全对吧？第二就是合规是吧？怎么让它交易所因为众所周知的原因对吧？现在各个国家都在推出这种合规的要求，包括香港，包括新加坡，包括这种马来西亚等等要求合规的要求，对吧？我们也可以也针对这些要务进行了一些一系列的研究，来去帮他们来完成合规的要求。

还有一点就是应急响应是吧？因为交易所它树大招风，它资金资产大，所以黑客也投入的有这种愿意为攻击投入的成本也越来越高，对吧？

Lunaray：

那么所以我们也会有一些应急响应的服务，当交易所被攻击这个攻击当然不是完全攻陷，可能是部分成功之后我们有应急响应来帮交易所去分析，这是什么原因造成的，后期去如何整改，怎么完善我们的整体的这种流程，怎么把安全更提升一个水平。

当然还有一些安全测试和安全审计的服务，安全测试就是针对于我们的交易所的研发的这种代码对吧？包括交易所的网站和交易所的APP或交易所APP，那么做一些安全设计安全测试和这种安全审计的服务。

Lunaray：

那么第二块就是我们针对于项目方，就是我刚说的，我们提供全链条的这种全生命周期的服务，从这个项目的筹备到项目的研发，到项目的运行阶段，我们提供了安全咨询，安全审计和安全监控的服务，对吧？

对整个Web3项目的生命周期进行了完整的覆盖，将这个Web3安全的安全盲点降到最小，最大程度的保护客户的安全。

当然最后一个就是针对于普通用户，我们普通用户，我们针对普通用户的安全方安全服务，其实主要还是在于资产的这种丢失找回的服务，很多客户可能有一些问题就是说我这个钱包它进行了一些质押，或者说是我这个钱包，它有一些空头，但是在质押到期或者说空投到期之前，如果钱包私钥被黑客盗走了，对吧？

Lunaray：

那么我们想要拿回我质押的资产和空投的资产，但是又没有到期，但是我一怕到期之后，资产又被黑客直接取走了，那么我们也帮助客户去用我们的技术能力来去在到期的第一时间帮客户把资产找回来了，对吧？

基本上我们针对主要这些客户的服务就是这些。

Jucoin Labs：

好的，非常感谢。那么我们了解了大概的服务之后的话，无论说是项目方还是说是个人，其实都有机会去跟咱们的Lunaray团队进行一个沟通，无论说是通过咱们今天听众朋友去关注到Lunaray的一个推特账号，还是在推特账号积极的做一些互动和留言，那么都非常期待大家能够提高安全意识，保障好自己的一个资金安全，在尤其是在链上。另外的话其实在Web3领域，因为安全问题是一个老生常谈的话题，那么也会有非常多同类的竞争者，或者说其他的一些提供相应服务的公司，是否Lunaray有一些独特的或者说有一些差异化的优势，可以给大家做一个分享。

Lunaray：

没问题，在 Web3领域，其实我们对行业的观察是这样的，就是说在Web3领域，其实很多这种安全公司它的安全服务都是比较同质化的，比如说我提供合约代码审计，我就是提供深度测试对吧？

可能比较同质化，那么我觉得我们Lunaray的核心优点，或者说或者说是我们与这些同化服务有区别的点是在哪对吧？

我觉得我们的核心优点在于两点，第一点就是我们有过硬的技术能力对吧？在我们有深厚的技术积累和丰富的行业经验，比如说我们有一款产品叫链上的攻击的监控和拦截，我们会针对一个Web3的效果来进行一个持续监控。

Lunaray：

当我们监控到有疑似攻击发生之后，我们可以拦截这笔攻击，我觉得能做到这样程度的这种安全的公司还是不多的，对吧？当然这种都是基于我们在Web3领域深耕，我们投入很多资源去研究，对吧？

那么第二点就是我们会能做到这种全生命周期的安全服务，对吧？就像我刚才说的，很多这种Web3的安全企业，它目前的安全还是停留在安全审计的层面上，但是只做到安全审计其实是不够的，因为安全它其实我们说是一个非常适用于木桶原理的这种行业，就是安全它其实是一个木桶，你所有点都做得好了，才能拉升你的安全水平，但是只要你有一个点没做好，你的安全水平就是由最低的点来去决定的，所以我们就提供这种全链条的全生命周期的安全服务，对吧？

Lunaray：我们以类似这种安全顾问的形式，来参与到 Web3项目，或者说是来给客户提供这样一些服务对吧？

从客户的这种不管是程序的设计或者项目的设计，或者说是经济模型的设计层面，开始来给用户做这种安全的培训，人的教育，安全的宣教，到编码的安全审计和一些建模等等，到最后的运营部署层面上的这种安全，包括安全监控，包括一些情报等等，最后再包括事后的应急响应，来在整个全链条上把安全放进来，来整体提升的整个用户的安全水平，来使木桶的每一个板都变得长了，来从而来完成对用户或者说企业或者是项目的安全赋能，来提高整个项目的这种健壮性。

Jucoin Labs：好的，非常棒，我听下来觉得非常的激动，有这么样一个团队在真正的为Web3领域的项目，或者说是个人在提供整个安全的服务上做出了这么大的一个贡献。

那么展望未来的一个情况的话，其实我们能看到Lunaray团队无论是在研发的能力上或者说技术团队上都有着自己极大的一个优势，具体在未来社区建设方面有没有一些规划和目标，然后引爆更多的咱们的用户或者说项目参与到其中来去了解自己的安全问题，同时也去支撑 Lunaray也成为一个在Web3领域安全领域都一个非常领军的一样一个形象的这么一个计划。

Lunaray：Lunaray，还是一家以技术为核心的产权企业，对吧？我们还是主要的精力还是放在技术层面上来，和之前一样，我们技术方技术这个方向会投入大量的精力和攻击者做对抗，当然我们还会有一部分精力去来把我们的研究成果对吧？

我们刚才想刚才讲到，我们会把大量精力放在和攻击者的对抗上来，然后我们会分析攻防侧研究最新的攻击手段，然后我们再去研究针对于这些攻击手段，我们该如何防御，对吧？研究这些工程的缓解措施，并我们形成我们的这种安全解决方案，输出给我们的客户或者输给我们的项目或者输入给我们的个人对吧？

Lunaray：那么其次我们还会总结这个Web3领域，那么在世界中的频繁安全事件，我们在分析其中主要的原因和攻击手段，来形成宣教材料，我们输入给社区对吧？

我们一方面把我们的研究成果包装成封装成我们的科研解决方案，输出给这种项目或者是交易所或者企业等等。还要针对于个人的估计我们也会相当于也会去研究，然后把这些安全的防御方式来输入给社区，来帮助更多的Web3用户提升安全意识，远离安全攻击，最终能完成，最终能既能希望最终达到我们的愿景，让Web3世界更加安全。

Jucoin Labs：好的，今天其实我们大家都收吸取到了非常多的经验和宝贵的一个知识，然后尤其是在资产安全领域，大家都是最重视的环节，我相信我们今天的听众朋友也已经了解到非常多的东西.

我们对于区块链的安全的知识和个人资产保护都有了一个更深入的认识，那也期待大家能够将今天学习到的知识应用到实践当中，最后也非常希望再次提醒大家，可以关注我们和Lunaray官方的账号，期待我们后续的一个活动和规划，我们下次再见，谢谢大家。