Jucoin Labs：

今天我們也非常榮幸邀請到了Lunaray的團隊加入到我們今天的活動，他們其實是一家致力於區塊鏈安全的創新公司，他們的目標也是為整個區塊鏈的生態系統提供更加全面的安全解決方案，他們的獨特之處在於推出了一個全生命週期的Web3安全解決方案，在行業中也是引領了一波風潮，非常期待希望今天能夠通過這次交流，大家能夠對我們的項目有個更加深入的瞭解，現在我們就來進入一個AMA的正題。

首先非常歡迎今天的發言人來到我們的AMA，那麼也非常期待您能做一個項目的簡單介紹，以及核心理念，包括項目的創立背景，然後給到我們觀聽眾朋友們一個更深入的認知，感謝。

Lunaray：

Ok。大家好！我們Lunaray是其實主要專注於 Web3安全生態的公司，然後就像主持人介紹的一樣，我們其實是致力於保障我們的Web3生態安全。我們的Base在新加坡，因為我們也是在傳統安全行業中也拼搏了多年，然後我們看到 Web3行業內的很多朋友，因為安全問題它的損失幾百萬上千萬，我們其實非常痛心，因為他們很多我們在Web3安全領域的朋友對吧？

Lunaray：

他們可能是因為一些個人安全意識上的問題，或者說是因為不太懂安全的重要性，能導致自己的全部身家，甚至大部分的身家都被黑客竊取走了，我覺得這個是非常令我們痛心的。

因此我們成立Lunaray公司來去保障 Web3生態的安全，我們Lunaray的宗旨，是儘可能的幫助行業內的朋友，避免遭受黑客的攻擊，保證他們的資產安全對吧？

讓大家作為一個Web3玩家，作為Web3用戶，能夠真正放心的在Web3領域進行操作，這是我們的宗旨。

Lunaray：

當然我們在Lunaray我們已經成立了大概8年時間，我們在服務行業內同時也積累了大量的經驗，並把相關的經驗轉化為相關的安全服務，來保證這個我們行業內用戶的安全。因為這是我們的宗旨，我們的目標就是讓Web3更加安全，不必擔心某一天自己突然打開錢包，自己的資產都被黑客竊走了，是吧？我們並提供了業內領先的Web3安全的全鏈條解決方案，然後這就是對我們Lunaray的團隊的一個簡單的介紹。

Jucoin Labs：

好的，非常感謝。其實通過剛剛的介紹，大家應該也非常希望能夠再深入瞭解一下Lunaray具體是怎麼樣去保護用戶安全，並且在用戶安全這個問題上，相信每一位聽眾朋友或者小夥伴都是非常關注最核心的一個問題。

那麼在區塊鏈安全領域，技術其實是核心優勢，尤其是在安全方面，技術上需要做到一個完全的保障。Lunaray在技術上有一些怎樣的獨特的亮點，是否能夠與我們分享一下你們的產品的體系和整個服務的體系和流程，

Lunaray：

Ok。我相信我們都是作為一個Web3的玩家，對於Web3的用戶可能都聽說過一句話，叫你在Web3中沒有被用戶黑過，就相當於我們沒有進入Web3行業，這雖然是一句調侃的話，那也能側面的說明了黑客或者是攻擊者在Web3領域是非常猖獗的，因為Web3它具有一系列的這種特徵，比如說匿名性，對吧？匿名性的特徵，導致黑客不必用擔心自己的行為被別人發現，或者說是能更好的去隱匿自己的攻擊手段竊取的資金，對吧？這是web3.0的現狀。

Lunaray：

那麼我們作為一個安全團隊，我們對這些現狀我們進行深入的研究之後，我們總結出來我們自己的一套安全的方案，然後我們針對 Web3的項目，我們提供全生命週期的解決方案。

可能很多人說我們只要安全解決方案，什麼叫全生命週期的安全解決方案呢？我們是這麼去把安全融入到整個Web3項目大家週期中去，因為Web3項目，我們知道要研發，或者說要開啟一個Web3項目，他可能有項目籌劃的週期對吧？有項目的研發，項目的上線運營，最後可能就項目的持續迭代更新之類的，對吧？

Lunaray：

那麼我們在把安全融入到這個項目的整個生命週期的第一步，就是我們在項目的籌劃階段，我們對項目提供一些安全諮詢安全培訓，因為我們很多做Web3項目的這種項目方或者項目方團隊，他可能並不是安全出身的，他可能有一個很好的idea。

他就把這個idea去實現出來，但是他可能缺乏一些這種安全的理念，他可能設計的模型，比如說舉個很簡單例子，它可能涉及到經濟模型，安全漏洞的對吧？生態經濟模型有安全漏洞的話，可能導致這個項目在發展的前期或者發展的中期受到阻礙，對吧？

Lunaray：

被黑客攻擊，導致項目整體的這種導致項目整體運營遭到破壞，所以我們在項目的籌劃期就可以為項目方提供一些安全諮詢，安全培訓的服務。我們把我們在平常日常研究過程中發現了一些安全的問題，我們總結安全經驗跟項目方分享，項目方在這個設計項目的時候，就能設計出來一個健壯的強壯的安全經濟模型或者是安全的架構，對吧？

那項目在後期開發的過程中，它的架構都安全了，那麼後續我們只要保證開發安全，那就能保證項目的整體安全。

Lunaray：

第一步就是我們在項目籌劃的時候提供安全諮詢，安全培訓。第二步就是當項目籌劃完畢，設計完畢，在安全開發的時候對吧？那麼項目可能要開發一些比ji如說智能合約，或者比如說開發一些類似於錢包一這一系列的產品。

那項目在開發的時候，我們也在介入中去，我們可以提供這個項目的安全評估，開發中的代碼安全評估，開發完成後的安全審計等一系列服務。

那麼如果剛才所說因為很多的項目方他所有的人員或者開發者，他其實並不是特別懂安全，或者說在安全領域有特別深入的研究，他可能開發的代碼，包括智能合約代碼有一些安全問題可能被黑客攻擊。

Lunaray：

我們都是作為Web3的玩家都可以看到，在Web3領域，智能合約被攻擊的案例可以說比比皆是，那一損失就是幾百萬上千萬。

所以我們在項目開發的時候，也可以對這個項目整個項目的開發的代碼提供一些安全評估，安全審計之類的解決方案。那麼在接下來在項目運營時，我們還可以提供針對於正在運營的項目的安全監控，威脅情報和模擬攻擊等一系列的服務。

可能很多人有疑問說我們這個項目運營的時候，我們項目都開發完，設計完開發完了，為什麼我們部署到鏈上或者正式運營的時候還需要做安全？

Lunaray：

我可以給大家舉一個案例，之前有一個非常有名的做Defi的項目，然後他在鏈上其實是被攻擊過一次。當攻擊之後，攻擊者就把他們所有的這種借貸池中的資金全部耗完了，對吧？

其實我們在分析攻擊的時候，我們發現黑客並不是第一次有攻擊成功的，黑客他其實攻擊了兩次，他第一次攻擊的時候是因為缺乏Gas Fee，導致攻擊失敗，但是這個交易已經在鏈上發佈了。

如果這個項目方在運營時，對整個項目的這種運營狀況進行安全監控，那麼他完全有可能在發現攻擊失敗的時候，立刻把項目合約暫停，暫停之後就可以防止黑客後續的攻擊可以挽回成百上千萬美元的損失，對吧？

Lunaray：

所以說在項目運營的時候，安全監控也非常重要，那麼威脅情報我們會沒我們會時時刻刻關注區塊鏈領域Web3領域的這種攻擊的態勢，比如說我們把近期的一些攻擊的這種態勢或攻擊的手法，我們會總結出來，這就是我們形成的威脅情報，對吧？

然後我們會給項目方看這些黑客攻擊成功的這些案例，有沒有他們項目自己存在的問題，對吧？還有包括這種模擬攻擊，當然模擬攻擊並不是我們真正的就攻擊一個項目，而是我們利用模擬用黑客的手段去模擬的測試一個項目有沒有安全漏洞。

Lunaray：

那麼當然如果項目不幸遭受攻擊了。那這種情況，誰也不希望去去出現對吧？當然這種當然也沒法完全避免。

但是如果不幸遭受攻擊，我們也提供危機響應，包括這種根本原因分析，還有資金追蹤和找回的服務，當然不止不只是我們針對於Web3項目，我們這個全鏈條解決方案，那麼我們針對於這種去中心化的交易所，比如說這種像OKX,Binance這種中心化的交易所，還有錢包,公鏈要對應的全鏈條解決方案，主要還是包括這種從安全建設到安全評估的安全審計，最後再到合規和反洗錢這兒，我們有對應的這種服務，那麼同時我們也希望和行業的夥伴與社區的夥伴共同攜手共建 Web3安全。

JucoinLabs：

好的，非常感謝其實剛剛也提到你們提供給的一些安全服務，對於咱們的項目方，那麼今天的聽眾朋友也有可能會有一些項目方的成員，也或者說有一些像個人炒幣，或者說對安全問題比較有顧慮的一些聽眾朋友，那麼也非常期待說想要問一下在區塊鏈的領域，其實安全問題一直都是比較受關注的，包括我最近身邊也有聽說有朋友可能被盜很多的USD，那麼Lunaray的團隊能否給我們分享一些像類似個人用戶資產丟失的一些常見的情況，這些問題發生的主要原因是什麼？

Lunaray：

其實個人用戶資產丟失對在我們看來是非常常見的，因為每天有很多的用戶，找到我說：我的什麼又被盜了，有幾千到幾萬，幾十萬，幾百萬到幾千萬都有。對吧？

然後其實從我們的角度來講，被攻擊的主要原因就是我們分析了所有大部分的攻擊案例，我們發現被攻擊的主要原因還是我們的用戶的安全意識不足，就是主要原因。

當然還有其他原因，比如說一些區塊鏈的問題對吧？不過區塊鏈的問題只是其中一小部分，因為總體來說我們的這種區塊鏈上的供應商，比如說我們的錢包供應商，我們的交易所供應商之類的，他都在安全方面有一定的投入。

Lunaray：

黑客攻擊這些供應商，他其實是有比較高的這種攻擊成本的，對吧？所以黑客還是主要的去攻擊的是我們的普通用戶，對吧？

那麼其實我們總結了一下各種各樣的攻擊，大大小小的攻擊，其實主要我認為主要分為以下幾類。

第一類就是竊取私鑰，竊取私鑰類的攻擊其實說是我們發現最多的。竊取私鑰它的手段很多，但是它的本質就是他把我們私鑰拿走了，那把我們私鑰拿走，就可以控制我們的錢包，也就可以接管我們的資產，對吧？當然這個私鑰我們私鑰可能是比較寬泛的，可能這還包括私鑰，包括助記詞等等。

Lunaray：

那麼黑客是如何竊取我們的私鑰，其實我們總結還是總結了以下幾個方面，首先通過釣魚安裝木馬，通過釣魚安裝木馬其實是非常多的一個竊取私鑰的方法。我不知道大家有沒有了解過，前一陣子出現假zoom事件，就是說攻擊者說我要跟你開會，比如說你要是應聘或者說是什麼，比如說要討論一個項目，討論其他什麼東西，說我要給你開會，然後攻擊者就給用戶發了一個鏈接，這個鏈接是一個仿造Zoom的鏈接，Zoom我大家都非常清楚這一個做視頻會議的對吧？

Lunaray：

那麼受害者就點了這個鏈接之後，需要下載 Zoom下來，其實是一個包含了木馬的Zoom，軟件它其實不是官方的，是黑客在裡面安裝了木馬的 Zoom，那麼用戶安裝 Zoom之後對吧？他電腦上錢包的私鑰就被黑客竊取了，那麼黑客拿到私鑰之後，那就把他的所有資金轉走了，對吧？

這是竊取私鑰的第一種方法。通過釣魚安裝釣魚可以有多種多樣給你發個鏈接對吧？

這樣發個郵件是吧？發郵件說我要幹啥，你下載一個東西，這種釣魚是多種多樣的，但是大多數都是說讓你去安裝一個東西，我讓你運行一個東西，對吧？

Lunaray：

那麼第二種非常多的情況就是竊取私鑰的情況，就是通過chrome的插件竊取。當然通過chrome的插件竊取，它有兩種插件，第一個直接就是假插件，就是一個高仿的插件，比如說一個高仿的這種錢包的插件，但是它不是官方的，下載之後裡面就有惡意代碼可以竊取你的這種私鑰，這是高仿的插件。第二個就是真插件，那麼很多人會問我，我平常用這個插件沒有問題，但是突然有一天他出了問題，這是什麼原因？這其實是一個行業的現狀。

Lunaray：

比如說我作為一個chrome的插件開發團隊，我開發了很多這樣的插件，可能這些插件可能被很多人去用，那麼當我的插件的用戶到達一定這個數量的時候，就會有攻擊團隊去聯繫我去購買這個插件的運營權對吧？

如果我把財產運營權賣給了攻擊團隊，攻擊團隊就可能在裡邊植入木馬，以更新的方式，因為你插件本質上沒有變，只是後面的運營團隊變了，那麼你就把這個插件和惡意代碼下到本地了，攻擊者就盜取了你的私鑰，對吧？

那麼接下來還有一種非常常見的就是假錢包，假錢包我不知道大家有沒有了解過，這個其實是一個非常古老，但是非常有效的攻擊手段，就是我讓你去下載，比如說我們在網上去搜OKX錢包對吧？

Lunaray：

那麼我們可能會搜到一些比如說是釣魚的攻擊者，他用seo的手段把自己的假錢包放到搜索引擎的前幾位，我們下載以後錢包雖然看起來能用，但是其中包含了這種惡意的代碼，對吧？

當我們用了這個錢包之後，這個錢包就會把私鑰上傳到攻擊者的服務器，攻擊者又竊取我們的私鑰來進行一些釣魚怎麼操作。

那麼接下來還有一種方式就是通過讀取剪切板竊取，因為我們在用手機的時候可能會遇到這種情況對吧？我們需要把私鑰導出來，我導出來的時候就會複製私鑰。我們複製私鑰會在哪？就是在手機的粘貼板或者電腦的粘貼板中。

Lunaray：

那麼如果手機電腦中的其他程序有讀取粘貼板的能力，如果這個程序是惡意的，那麼這個程序就把我們粘貼板中的私鑰讀取了，讀取之後上傳到黑客的服務器中，黑客就通過是要來完成竊取我們的資產的操作。

那麼還有最後一塊，通過盜取雲同步賬號竊取，因為很多人他其實有一定的安全意識，但安全意識不多，對吧？他知道要備份自己的錢包的助記詞，要備份自己的私鑰，但是他怎麼備份的呢？他把助記詞或者錢包的私鑰截圖傳到類似於各種各樣的雲盤的中去對吧？

Lunaray：但是雲盤他自己的密碼可能是弱密碼，他賬號可能是弱賬號，對吧？可能就被黑客攻擊，他的雲盤在雲盤中把截的照片或者相關的文檔下來之後，恢復了這個私鑰來完成攻擊。

對吧？當然還有其他各種各樣比較小眾的攻擊，我就不一一說明了，但是這類攻擊它的主要目的就是竊取私鑰，這是第一大類。

那麼第二大類就是騙取交易簽名，騙取交易簽名其實攻擊的這個也是比較常見的，對吧？就是純鏈上攻擊，也不一定純鏈上攻擊，它都是通過簽名來進行的，對吧？

就是我騙取一個我讓你去籤一個交易的簽名，當你把這個交易簽名簽出去之後，黑客就可以接管你的資產，或者說竊取你的資產。

Lunaray：

那麼騙取交易簽名還有幾以下這麼幾種方式，第一種就是鏈上授權的欺騙，攻擊合約要你籤一個授權的交易，讓你授權多少USDT到他這個地址，那麼當你把交易簽了之後，那麼這個攻擊者就可以把你資產上的賬戶劃把你的地址中的錢划走。

那麼第二就是鏈下授權欺騙，就是他的簽署的交易要通過鏈上去進行，要發送到區塊鏈裡。那麼鏈下生產器件，黑客讓你籤一筆交易，但是這個交易不用發到鏈上，只需要你把簽名結果發給黑客，那麼黑客拿到這個結果，再通過鏈上就可以轉你的錢。

Lunaray：

那麼接下來就是多籤授權欺騙，就是通過TRON之類的這種區塊鏈它有一個多籤的功能，是吧？黑客讓你多籤交易把你的轉賬和所有權都轉移給黑客，那麼黑客就會控制你的地址。

最後一個就是假交易欺騙，就是黑客給你發送一筆假交易，這個交易你看起來沒有問題，但是你簽了之後就把資金轉給黑客了。那麼第三個都是相似地址攻擊其實也比較常見，可能大家都有關注，就是每當你接收到一筆錢的時候，你的地址就會有一個相似的地址再給你發一個Token，相似地址就是首尾非常相似，你不點開看很難看出來我剛才轉給你的地址有什麼不同，對吧？

Lunaray：

但是如果你沒有注意的話，你複製地址的時候複製成假地址，你就把錢轉錯了轉給黑客了。雖然看起來不是那麼容易上當受騙，其實還是有很多人被攻擊方式都欺騙到來，把資金轉給了一個不認識的地址。對吧？

第四個就是攻擊中心化交易所的賬戶，對吧？攻擊中心化交易所的賬戶它其實有幾種攻擊方式，第一種就是最簡單的盜取賬號和密碼，我拿一個賬號密碼，通過就控制你的交易所賬戶來轉錢，但是這個盜取賬號密碼在我們看到這種情況下可能越來越少見了，因為各大交易所它可能安全措施已經做到比較好了，你只有賬號密碼你就沒法提現，你可能需要兩步驗證，需要郵箱驗證碼，可能需要兩步驗證碼等等。

Lunaray：

那麼接下來就是盜取cookie，我們的cookie其實就是我們在交易所認證的一個方式，比如說我們大家可能在操作交易所的時候，我們用瀏覽器登上去之後，我們把瀏覽器關掉，那麼下一次再打開瀏覽器的時候，它還是登錄狀態的，我們並沒有輸入密碼，它為什麼還是登錄狀態？是因為我們有 Cookie，那麼攻擊者可以盜取cookie來去操作我們的中心化交易所的賬戶，來盜取我們的資產對吧？接下來就是遠控電腦操作，直接在我們電腦上安裝木馬，來直接操作我們電腦裡的瀏覽器來完成交易的轉賬，這些就是攻擊中心化交易所的方式。

Lunaray：

那麼第五個方式就是使用的錢包等 Web3的設施被供應鏈攻擊，比如說我不知道大家有沒有聽過原子錢包被攻擊的案例，就很多原子錢包他說是一個去中心化的錢包，但是很多人用原子錢包之後發現自己的私鑰沒有被洩露，它私鑰保存的是離線的，但是他的錢也被轉走了，當時原子錢包這個事情還挺大的。據我們分析應該是原子錢包，但是官方沒有發佈，但是我們根據我們的分析來看，應該是原子錢包它遭受到供應鏈攻擊，它的代碼被攻擊者植入了惡意代碼，你使用的官方原子錢包，但是你這個代碼已經被植入了惡意代碼，導致你生成的資料被黑客拿到了，對吧？

Lunaray：

當然包括軟件錢包，還有硬件錢包也可能被黑客攻擊。那麼所以我們在選擇硬件錢包和軟件錢包的時候，我們一定要選擇大型供應商，為什麼要選擇大型供應商？

第一是它的安全能力強對吧？它大型供應商它可以在安全上有很多的這種投入來去保障它的安全水平，對吧？

第二它的賠付能力強，對吧？如果我們用一個小的交易所或者用小的錢包可能被攻擊了之後，他直接跑路了是吧？我們損失就沒人去賠付了。當然如果我們用大的交易所大的錢包，可能他因為交易所或者錢包出現安全事故，那麼他可能會給我們賠付來減少我們的損失。

Lunaray：

那麼最後一個就是虛假項目，那麼虛假項目大家見得非常多了，比如說貔貅盤等，比如我們在投資的時候可能投到了一些虛假項目，這也可能導致我們的資產損失，這些以上6點就是總我們總結的在Web3領域這個用戶常見的資產損失的方式，對吧？

總體來說還是因為安全意識不足，對吧？導致我們容易去相信一些攻擊者，容易相信一些就是虛假的東西，導致我們的資金的損失。

Jucoin Labs：好的，非常感謝，其實我剛剛在聽的過程當中自己也學到了非常多的東西，相信我們聽眾朋友在瞭解到剛剛咱們發言人總結到6點的話，未來其實也會更加的關注安全問題，同時儘量的去做到規避。其實剛剛咱們講解的主要是一些安安全問題是如何產生的，其實像一些常見或者說容易引導大家去操作的一些行為導致的安全的一個漏洞，包括說導致的資金損失的一個情況，用戶需要怎麼去採取一些措施去防範，尤其是咱們的個人用戶在一個剛入圈的情況，或者說並不是很熟悉，怎麼樣去保障或者確保自己能夠避免掉這些所有的信息的情況下，怎麼樣去更好的規避，有沒有一些比較簡單的方式可以給咱們的社區用戶進行一個小科普？

Lunaray：

沒問題，然後其實我剛剛說了，其實絕大部分的攻擊事件都是因為用戶安全意識不足導致的，對吧？那麼所以我們的用戶要防止自己的資產被黑客攻擊而盜取，那麼主要的還是提升自己的安全意識，以下我總結出來幾點，當這幾點都是非常重要的，如果做到這些可能就是做到了95%對吧？剩下的5%可能非常去難，但是我覺得只要大家做好，把這95%，那麼就可以很大程度的保證我們的安全。

那麼第一個就是當我們下載軟件，我下載錢包或下載其他插件之類的東西，第一點就是我們要對比 URL，我們下載 URL是不是官方的URL對吧？

是第一點。其實很簡單。第二就是我們要下載插件或者下載插件或者是使用插件的時候，一定要注意我們用到了這個插件是不是官方發佈的，比如說我們在chrome下載插件的時候，還有一個發行方，我們要對比發行方是不是官方的發行方。

Lunaray：

第三個就是我們當下載插件或者下載錢包等一系列的其他軟件的時候，我們一定要通過官方渠道下載

Lunaray：

第二是當交易我們在簽署鏈上交易的時候的問題，第一點授權的時候，在進行鏈上授權的時候，一定要注意授權的對象和授權的金額，

Lunaray：

那麼還有一點相似攻擊，我們怎麼樣注意？我們在別人給我們轉賬，我們在轉的時候，我們複製地址的時候一定要不僅僅對比首尾，對吧？

因為構造首尾地址相似的，構造首尾相似的地址其實比較容易，算力大的電腦很短的時間就可以跑出來，我們一定要把認真一點，對應把所有的位數都所有的地址都看一遍是吧？就可以看到就可以去防止攻擊。

那麼當然還有一個很重要的點，怎麼保證我們的中心化交易所的賬號賬戶的安全對吧？那麼我總結出來一點幾點，就是首先我們交易所的賬號一定要設置兩步驗證碼，有兩步驗證碼就是很好的一個保障我們賬號的這種方式。

Lunaray：

第二點就是我們儘可能讓我們大資金的賬號，大資金的這種這種賬號或者大資金的錢包，它能獨立於我們日常使用的錢包，比如說。舉個很簡單例子對吧？我可能有10萬對吧？我可能平常就用1萬USDT去操作，可能剩下幾萬USDT不常操作，對吧？我們就用兩個手機或者兩臺電腦對吧？把1萬USDT放到常操作的賬號，用一臺電腦來去操作，把9萬USDT放到一個冷錢包或者說不常操作的賬號上，對吧？

這又能防止我們在無意中或者說在被黑客攻擊中給我們造成一個極大的損失，因為我們在日常操作中難免對吧？可能會被攻擊對吧？

Lunaray：這就能減少我們被攻擊後的這種損失，因為誰也不能保證，因為沒有一家安全公司可以保證，那麼用戶100%不會被攻擊，我們做的只是做一個風險的管控，極大的最大的程度的降低用戶的風險。

那麼還有最後一點就是我們要在使用這個錢包，使用交易所之類的，用Web3的這種基礎設施的時候，一定要選擇大型的供應商，還是我剛才強調的用大型的供應商，它的安全能力和賠付能力都非常強，能給我們提供一個比較好的保障。最後就是我們在參與項目的時候對吧，不要去幫忙對吧？

Lunaray：

避免進入貔貅盤之類的項目的陷阱。這就是我對我們Web3用戶的一些建議，如果做了這些建議，我們在安全領域能做到95%，就能保證極大程度地保證我們的安全。對吧？Ok主持人。

Jucoin Labs：

好的，非常感謝。我覺得這些建議是對於咱們今天的每一位聽眾朋友非常有意義並且有效的建議，也非常希望每一位聽眾朋友能把這些建議的點牢記於心，並且落實到自己在鏈上操作的每一個動作與細節當中去，保障好自己的一個資金安全。

那麼這次的AMA活動其實也是相當於一個多社區傳播參與，並且支持大家更加了解安全性的一個問題，為了更好的去普及安全知識，也很好奇Lunaray未來是否還有計劃更多的一個安全教育活動，包括怎麼樣讓用戶更加了解一些基礎的知識，同時像今天給我們今天的聽眾朋友講解的這些知識，是否會在未來有更多的一些接觸場景，讓其他的一些擴散面也能去知曉這些信息，有沒有這樣一個計劃？

Lunaray：

Ok我覺得正如我們的願景所說，我們的願景就是讓 web3 more secure，所以我們也期待我們能在Web3領域貢獻我們的專業力量，使Web3世界更加安全，所以我們在未來也會在社區活動中投入更多的力量，那麼其實我們在社區活動，針對於用戶的培訓講解，我們去講什麼是安全的，什麼是不安全的，這是簡單的宣教對吧？

我們會講黑客是怎麼攻擊的對吧？黑客攻擊我們該怎麼去防禦這些攻擊，這是我們的宣教。

第二方面就是體驗，這個攻擊不是真正鏈上的攻擊，而是我們在測試鏈上的模擬環境的攻擊，那麼這塊也是中大有在做的，對吧？

我們根據真實的攻擊手段搭建實驗的環境對吧？但是這些環境後端接的全都是測試鏈就不會給用戶造成真正的損失，對吧？那麼用戶在測試鏈上來進行一些操作的時候，就讓用戶體驗到這麼操作，我的錢可能就丟了，讓用戶體驗一下攻擊是如何發生的，就給你造成什麼樣的後果，我覺得這個是我們紙上講千遍不如底下操作一遍的我們的理念，然後這塊就是我們未來想要做的。

Lunaray：

當然我就剛前面我們所說的，我們也會跟更多的我們還在社區中投入更多的力量來去做這件事，來爭取讓我們的所有的用戶，讓我們大部分用戶不能說所有的用戶，完了大部分用戶都瞭解安全，都體驗安全，都能在保護自己的資產上能更上一個臺階。

Jucoin Labs：

好的，非常感謝。其實我剛剛感覺測試鏈讓用戶真實體驗，這個是非常難得，並且非常能夠讓大家認知到自己的操作缺陷的一個地方。我相信今天的聽眾朋友們瞭解之後，如果說未來有機會也會非常希望參與到這個體驗與測試，包括在優化自己的安全意識當中。

那麼另外的話在市場定位方面，Lunaray主要的客戶是怎麼樣的一個畫像，因為我剛剛有聽到包括對項目方也有提供很多安全類的服務，對於個人也有一些建議，包括去做一些安全性的測試，怎樣去滿足不同客戶的需求，是否有一些比較詳細的規劃，以及針對不同客戶提供的服務的大的規劃。

Lunaray：

Ok，我們Lunaray的主要客戶其實有這麼幾塊，當然這些客戶的需求都是大同小異的，但是它的核心點其實是非常統一的，就是保護資產的安全，它的需求大同小異，可能有些需求不一樣，對吧？

因為各種各樣的客戶他需求不是特別統一，但是他的核心點都在於保護資產的安全。那麼所以我們針對不同客戶的不同業務形態，我們也提出了針對性的解決方案，比如說我們在針對中心化交易所，文化交易所它可能它的問題就是在於它的暴露面非常的廣，業務邏輯非常複雜，對吧？它可能牽扯到員工的安全，運行環境的安全，研發的安全，對吧？

Lunaray：

還有後面合規的安全，還有應急響應的安全等等對吧？所以我們針對中心化交易所提供了從網絡安全建設，我們怎麼讓它的這種研發環境測試、環境運行、環境安全對吧？第二就是合規是吧？怎麼讓它交易所因為眾所周知的原因對吧？現在各個國家都在推出這種合規的要求，包括香港，包括新加坡，包括這種馬來西亞等等要求合規的要求，對吧？我們也可以也針對這些要務進行了一些一系列的研究，來去幫他們來完成合規的要求。

還有一點就是應急響應是吧？因為交易所它樹大招風，它資金資產大，所以黑客也投入的有這種願意為攻擊投入的成本也越來越高，對吧？

Lunaray：

那麼所以我們也會有一些應急響應的服務，當交易所被攻擊這個攻擊當然不是完全攻陷，可能是部分成功之後我們有應急響應來幫交易所去分析，這是什麼原因造成的，後期去如何整改，怎麼完善我們的整體的這種流程，怎麼把安全更提升一個水平。

當然還有一些安全測試和安全審計的服務，安全測試就是針對於我們的交易所的研發的這種代碼對吧？包括交易所的網站和交易所的APP或交易所APP，那麼做一些安全設計安全測試和這種安全審計的服務。

Lunaray：

那麼第二塊就是我們針對於項目方，就是我剛說的，我們提供全鏈條的這種全生命週期的服務，從這個項目的籌備到項目的研發，到項目的運行階段，我們提供了安全諮詢，安全審計和安全監控的服務，對吧？

對整個Web3項目的生命週期進行了完整的覆蓋，將這個Web3安全的安全盲點降到最小，最大程度的保護客戶的安全。

當然最後一個就是針對於普通用戶，我們普通用戶，我們針對普通用戶的安全方安全服務，其實主要還是在於資產的這種丟失找回的服務，很多客戶可能有一些問題就是說我這個錢包它進行了一些質押，或者說是我這個錢包，它有一些空頭，但是在質押到期或者說空投到期之前，如果錢包私鑰被黑客盜走了，對吧？

Lunaray：

那麼我們想要拿回我質押的資產和空投的資產，但是又沒有到期，但是我一怕到期之後，資產又被黑客直接取走了，那麼我們也幫助客戶去用我們的技術能力來去在到期的第一時間幫客戶把資產找回來了，對吧？

基本上我們針對主要這些客戶的服務就是這些。

Jucoin Labs：

好的，非常感謝。那麼我們瞭解了大概的服務之後的話，無論說是項目方還是說是個人，其實都有機會去跟咱們的Lunaray團隊進行一個溝通，無論說是通過咱們今天聽眾朋友去關注到Lunaray的一個推特賬號，還是在推特賬號積極的做一些互動和留言，那麼都非常期待大家能夠提高安全意識，保障好自己的一個資金安全，在尤其是在鏈上。另外的話其實在Web3領域，因為安全問題是一個老生常談的話題，那麼也會有非常多同類的競爭者，或者說其他的一些提供相應服務的公司，是否Lunaray有一些獨特的或者說有一些差異化的優勢，可以給大家做一個分享。

Lunaray：

沒問題，在 Web3領域，其實我們對行業的觀察是這樣的，就是說在Web3領域，其實很多這種安全公司它的安全服務都是比較同質化的，比如說我提供合約代碼審計，我就是提供深度測試對吧？

可能比較同質化，那麼我覺得我們Lunaray的核心優點，或者說或者說是我們與這些同化服務有區別的點是在哪對吧？

我覺得我們的核心優點在於兩點，第一點就是我們有過硬的技術能力對吧？在我們有深厚的技術積累和豐富的行業經驗，比如說我們有一款產品叫鏈上的攻擊的監控和攔截，我們會針對一個Web3的效果來進行一個持續監控。

Lunaray：

當我們監控到有疑似攻擊發生之後，我們可以攔截這筆攻擊，我覺得能做到這樣程度的這種安全的公司還是不多的，對吧？當然這種都是基於我們在Web3領域深耕，我們投入很多資源去研究，對吧？

那麼第二點就是我們會能做到這種全生命週期的安全服務，對吧？就像我剛才說的，很多這種Web3的安全企業，它目前的安全還是停留在安全審計的層面上，但是隻做到安全審計其實是不夠的，因為安全它其實我們說是一個非常適用於木桶原理的這種行業，就是安全它其實是一個木桶，你所有點都做得好了，才能拉昇你的安全水平，但是隻要你有一個點沒做好，你的安全水平就是由最低的點來去決定的，所以我們就提供這種全鏈條的全生命週期的安全服務，對吧？

Lunaray：我們以類似這種安全顧問的形式，來參與到 Web3項目，或者說是來給客戶提供這樣一些服務對吧？

從客戶的這種不管是程序的設計或者項目的設計，或者說是經濟模型的設計層面，開始來給用戶做這種安全的培訓，人的教育，安全的宣教，到編碼的安全審計和一些建模等等，到最後的運營部署層面上的這種安全，包括安全監控，包括一些情報等等，最後再包括事後的應急響應，來在整個全鏈條上把安全放進來，來整體提升的整個用戶的安全水平，來使木桶的每一個板都變得長了，來從而來完成對用戶或者說企業或者是項目的安全賦能，來提高整個項目的這種健壯性。

Jucoin Labs：好的，非常棒，我聽下來覺得非常的激動，有這麼樣一個團隊在真正的為Web3領域的項目，或者說是個人在提供整個安全的服務上做出了這麼大的一個貢獻。

那麼展望未來的一個情況的話，其實我們能看到Lunaray團隊無論是在研發的能力上或者說技術團隊上都有著自己極大的一個優勢，具體在未來社區建設方面有沒有一些規劃和目標，然後引爆更多的咱們的用戶或者說項目參與到其中來去了解自己的安全問題，同時也去支撐 Lunaray也成為一個在Web3領域安全領域都一個非常領軍的一樣一個形象的這麼一個計劃。

Lunaray：Lunaray，還是一家以技術為核心的產權企業，對吧？我們還是主要的精力還是放在技術層面上來，和之前一樣，我們技術方技術這個方向會投入大量的精力和攻擊者做對抗，當然我們還會有一部分精力去來把我們的研究成果對吧？

我們剛才想剛才講到，我們會把大量精力放在和攻擊者的對抗上來，然後我們會分析攻防側研究最新的攻擊手段，然後我們再去研究針對於這些攻擊手段，我們該如何防禦，對吧？研究這些工程的緩解措施，並我們形成我們的這種安全解決方案，輸出給我們的客戶或者輸給我們的項目或者輸入給我們的個人對吧？

Lunaray：那麼其次我們還會總結這個Web3領域，那麼在世界中的頻繁安全事件，我們在分析其中主要的原因和攻擊手段，來形成宣教材料，我們輸入給社區對吧？

我們一方面把我們的研究成果包裝成封裝成我們的科研解決方案，輸出給這種項目或者是交易所或者企業等等。還要針對於個人的估計我們也會相當於也會去研究，然後把這些安全的防禦方式來輸入給社區，來幫助更多的Web3用戶提升安全意識，遠離安全攻擊，最終能完成，最終能既能希望最終達到我們的願景，讓Web3世界更加安全。

Jucoin Labs：好的，今天其實我們大家都收吸取到了非常多的經驗和寶貴的一個知識，然後尤其是在資產安全領域，大家都是最重視的環節，我相信我們今天的聽眾朋友也已經瞭解到非常多的東西.

我們對於區塊鏈的安全的知識和個人資產保護都有了一個更深入的認識，那也期待大家能夠將今天學習到的知識應用到實踐當中，最後也非常希望再次提醒大家，可以關注我們和Lunaray官方的賬號，期待我們後續的一個活動和規劃，我們下次再見，謝謝大家。