2024 年 6 月 18 日，Web3 媒體 MetaEra 和 Web3 安全技術平台 ZAN 聯合發起线上 AMA，邀請了業界專家共同探討了如何保護個人資產，以及監管介入的必要性和方法。

SPACE KOL 觀點概覽

Jim（Head of Security Response ，@zan_team）從技術角度分析了交易所账戶安全問題，指出通過設置請求頭中的校驗字段可以有效防止 cookie 被盜。

長尼瑪（資深合約开發者，@raylin51） 作爲經驗豐富的合約开發者，強調了嚴格的安全策略在資產操作中的必要性，並分享了個人在交易所安全策略上的觀察和體驗。

SilveryGray（500w 資產被盜受害者，@GraySilvery）通過個人經歷講述了被黑客攻擊的過程，提醒大家在使用 web3 錢包時的潛在風險。

Eaton（安全研究員，@EatonAshton2） 作爲安全研究員，分析了對敲交易的機制，並建議用戶在下載瀏覽器插件時注意權限問題，避免潛在的安全風險。

戈多 Godot（Manta Network 核心貢獻者，@戈多 Godot）分享了在 Manta 負責 research content 的工作經驗，強調了社區在 DAO 治理中的重要性。

在自由討論環節，專家們就以下問題進行了深入探討：

• 個人資產放在錢包還是交易所更安全？大部分嘉賓認爲，這取決於用戶的個人風險偏好、資產規模和交易頻次。錢包提供了最高的安全性，但便利性較低；而交易所雖然便捷，但安全性依賴於其安全體系。

• 如何提高個人資產的安全性？建議包括使用冷熱錢包分離策略、多籤技術、警惕釣魚網站和欺詐信息，以及定期審計账戶和資產。

• 監管在加密貨幣領域的作用？嘉賓們普遍認爲，適度的監管介入有助於提高資產安全性，尤其是在資產被盜後的追回過程中。

Space 精彩回顧

主持人 Raiko（BD of MetaEra，@Raiko_Cheng）：在 5 月 24 日的一起金額高達 500w 的 Web3 用戶資產被盜事件中，黑客在未獲得某交易所账號密碼及二次驗證信息的情況下，成功盜取了用戶账戶內所有資金。這起事件的關鍵在於黑客利用了對敲交易和瀏覽器插件的安全漏洞。那其中的對敲交易以及瀏覽器插件爲什么可以讓盜墓者的目的得以得逞呢？

當事人第一視角事件回顧

SilveryGray（500w 資產被盜受害者，@GraySilvery）：我是 17 年入圈的，兩輪牛熊，歸零 5 次。關於這次被盜事件，我並非通過交易所，而是使用了一款 Web 3 錢包。

五天前的一個早晨，我離开酒店後瀏覽了我投資的項目官方推特。發現在官方账號的推文下，有人僞裝成官方補充信息，其用戶名和官方極爲相似——盡管账號不同。我通常不會隨意領取不明獎勵，但那次卻意外地想要嘗試。回家後，我登錄了錢包並復制了一個鏈接。在錢包瀏覽器中打开鏈接，頁面上僅有一個“連接錢包”的按鈕。由於我對技術不太熟悉，便認爲這是一個常規操作。連接後，我意識到需要授權才能轉移資產，但當我連接後立刻感覺到了不對勁。我仔細檢查後發現鏈接名稱有誤，這時我意識到可能遭遇了盜竊。這就是我的整個經歷。謝謝。

問題一：如何保護個人資產免受黑客攻擊？

Jim（Head of Security Response ，@zan_team）：首先，交易所账戶和二次驗證機制實際上是爲了獲取用戶的登錄狀態，也就是我們熟知的 cookie。通過這種狀態，可以繞過傳統的账號密碼直接訪問系統，這在網絡攻防中很常見。

從技術角度來看，瀏覽器插件擁有極高的權限，能夠訪問網站的所有數據，包括用戶的 cookie。例如，瀏覽器的密碼管理器就是一個插件，能夠利用 JS 代碼將用戶名和密碼輸入到相應的輸入框中，因此它也能夠獲取用戶的 cookie。個人用戶應避免安裝來源不明的瀏覽器插件。如果必須安裝，最好先檢查源代碼，確認沒有可疑的 cookie 抓取函數或關鍵字。

嚴格來說，這並不算是一個漏洞，CVE 也不會將其歸類爲漏洞。但從技術層面上，交易所完全有能力避免因用戶 cookie 泄露導致的账戶被接管的問題。例如，可以在請求頭中設置一個 token 等校驗字段，用這些校驗字段作爲用戶憑證，而不僅僅依賴 cookie，這樣可以有效地防止 cookie 被盜用。這些是我的一些看法。

長尼瑪（資深合約开發者，@raylin51）：技術層面 Jim 已全面分析，我從策略角度分享我的觀點。國內多家銀行軟件的安全策略嚴格，如在切換屏幕後重新輸入密碼，這在資產操作中尤爲重要。例如，早期的 Gate 交易所要求用戶在登錄後設置資金密碼，以解鎖短期交易權限，雖然過程繁瑣，但提供了額外的安全保障。然而，隨着交易便捷性的需求增加，Gate 交易所取消了這一策略，這在對敲交易等安全問題上顯得不夠保險。

對敲交易並非新現象，早在 2021 年就有用戶因此類問題遭受損失。這再次提醒我們，中心化交易所的安全策略亟需加強。安全策略的制定應平衡用戶便利性和資產保護，以防止類似對敲交易的事件發生。中心化交易所作爲資產守護的重要一環，必須重視並持續優化其安全機制。

Eaton（安全研究員，@EatonAshton2）：我想補充一下關於交易所資金密碼的重要性。資金密碼可以在一定程度上防止資產被盜。即使黑客通過盜取 cookie 登錄了交易所账戶，沒有資金密碼他們也無法進行交易。

對敲交易是一種常見的手法，黑客可能選擇流動性較低的幣種，通過受害者账戶掛單，再以自己的账戶以較低的價格买入，從而將資金轉移到自己账戶上，造成損失。

此外，我想強調瀏覽器插件的安全性。Chrome 瀏覽器插件權限很大，下載後瀏覽器會提示用戶插件所需的權限。我個人建議，對於任何看起來權限過大或不明確的插件，最好先閱讀權限說明，如果不確定其安全性，應選擇卸載避免使用。這是預防類似安全事件的有效方法。

戈多 Godot（Manta Network 核心貢獻者，@戈多 Godot）：前面的嘉賓已經覆蓋了很多要點。我想補充的是，首先，我們應該避免下載來源不明的插件，即便某些插件得到了 KOL 的推薦，那些國外 KOL 曾經推廣過的我們也要保持警惕。有時，KOL 或者項目方官方可能會發布空投等福利信息，但即便如此，我建議大家還是先耐心等待，不要急於參與。因爲這些信息很可能來自被盜的账號，發布的是虛假信息。總之，謹慎是關鍵，謝謝大家。

問題二：AI 換臉技術的安全挑战如何應對？

在五月初，一名黑客通過登錄郵箱账號，然後點擊忘記密碼，並同步構建了一個假身份以及 AI 換臉的視頻。繞开了防火牆，進一步也更換了手機號碼、郵箱以及谷歌的驗證器。在隨後的 24 小時之內，盜取了一名用戶在交易所的所有資產。

Jim（Head of Security Response ，@zan_team）： Deepfake 技術正成爲網絡攻擊的一種常見手段。黑產利用這種技術制造假物料，發起批量攻擊，並通過認證繞過手段，如利用缺陷生成假臉，來進行攻擊。

在安全領域，防火牆無法防範這類認證繞過攻擊。例如，某些交易所在用戶忘記密碼後，可能僅依賴單一的人臉認證，缺乏縱深防御體系，這可能導致安全漏洞。在高安全要求的場景下，特別是在設備首次登錄或異常環境下，不推薦僅使用 OCR 和人臉認證，而應結合短信等雙因素認證。

對於算法對抗，人臉認證領域的攻防非常激烈，存在衆多變異特徵和工具，不能僅依賴單一算法。我們應建立完整的人臉防御體系，如同支付寶所做的那樣，結合終端安全、體系化算法對抗，並根據當前攻防態勢進行快速響應。

如果個人遇到此類攻擊，排查困難，應立即聯系交易所報告账號被盜情況，並盡可能凍結账戶，修改訪問信息，並啓用雙因素認證。同時，保留相關證據，嘗試追回資產。

長尼瑪（資深合約开發者，@raylin51）：Deepfake 技術雖然先進，但生成過程中可能出現 bug，比如面部特徵失真。目前，採用支付寶級別的安全驗證措施，應該足以應對這類問題。然而，從個人防護角度來說，提供具體的防護建議非常困難。

個人信息泄露等問題普遍存在，個人用戶很難獨立防範。我認爲，應該呼籲交易所等機構提高人臉識別的安全性和認證標准，從根本上解決問題，而不是讓用戶自己去研究如何防護。個人防護能力有限，需要安全公司的合作和專業技術的支持，這才是最好的解決方案。

SilveryGray（500w 資產被盜受害者，@GraySilvery）：我想從一個普通用戶的角度談談我的看法。雖然及時通知交易所凍結可疑账戶是一種有效手段，但這種方法並非完美。黑客往往有組織的，他們轉移資產的速度非常快。我親身經歷過這樣的情況，當我的資產被盜後，黑客迅速將資產轉移，等我聯系交易所凍結對方账戶時，账戶裏的資產已經被提空了。

這表明，我們在追回被盜資產時，速度很難跟上黑客。維權過程非常困難，因爲我們往往處於劣勢。

Eaton（安全研究員，@EatonAshton2）：關於 AI 事件，我認爲問題在於交易所的安全設置不足。郵箱安全性相對較低，通常修改密碼需要郵箱驗證碼、手機驗證碼或雙重驗證。然而，該事件中，黑客僅通過上傳身份證和 AI 視頻便繞過了其他安全驗證，顯示出風控措施的缺失。

當安全設置被重置後，交易所應至少在 24 小時內限制相關操作，並將重置狀態通知用戶，以便用戶有足夠的時間做出反應並保護账戶。但在這個案例中，黑客在 24 小時內就轉移了資產，這是不可接受的。

我還經歷過在某個交易所通過 C2C 購买 USDT 後，沒有受到任何提幣限制，這存在洗錢風險。目前看來，交易所的風控措施還有待加強。關於被盜資產的追蹤，交易所反應遲緩或要求提供大量材料後才凍結账戶，這使得追蹤和恢復被盜資產變得極其困難。盡管我們正嘗試與交易所合作溝通，但目前這仍是一個棘手的問題。

戈多 Godot（Manta Network 核心貢獻者，@戈多 Godot）：我非常贊同之前嘉賓提出的觀點。首先，我認爲交易所應立即修改安全設置，在 24 小時內限制提現操作。此外，將資產存入交易所本身就基於一種安全假設。如果交易所內部有人出賣用戶信息，這實際上很難防範。作爲普通用戶，我們能做的就是保留證據，向交易所申訴並維權，希望能夠得到賠償。

另外，對於普通用戶，包括我自己在內，我建議不要在公共場合或社交媒體上炫耀財富，以免泄露個人信息。例如，我了解到有幣圈朋友在巴釐島旅行時，因爲在路上玩手機被飛車黨搶走手機，並在手機上打开了他的錢包應用，導致資產被盜。因此，我們應該避免在公共場合暴露自己的財務狀況。

還有，之前發生過黑客在线下活動中通過掃碼體驗項目的方式傳播木馬程序的事件。所以，提醒大家在參加各類活動時要保持警惕，不要輕易掃碼或下載不明來源的應用程序。這些都是我們在保護個人資產時需要注意的重要事項。謝謝。

問題三：用戶的個人資產放在錢包更安全，還是交易所更安全

Jim（Head of Security Response ，@zan_team）：關於資產存儲的選擇，我認爲應依據個人的風險偏好、資產規模和交易頻率來決定。持有私鑰的錢包在安全性上是最高的，盡管可能會犧牲一些便利性。同時，私鑰的管理至關重要，需要防範網絡釣魚等社會工程學攻擊。

對於資產較大且交易不頻繁的用戶，使用錢包可能更合適。而選擇交易所存儲，意味着將私鑰托管給交易所，安全性完全依賴於交易所的安全體系。目前，許多交易所在網絡安全和風控體系方面存在不足，缺乏深度的防護措施，並未達到金融級的安全標准。

建議每個人採取最佳安全實踐，包括端安全、網絡安全、雲上安全、硬件安全和多因素驗證。交易所需要加強安全措施，不應僅僅依賴登錄憑證或基本的防護設備。

長尼瑪（資深合約开發者，@raylin51）：在討論資產管理時，我的觀點是，資產規模在 A7 到 A8 之間的用戶面臨一個特別復雜的情況。這個階段的資產，既不算少，但也不至於多到可以無視風險。我個人更傾向於將資產存儲在鏈上。這樣做的原因是基於對交易所可能存在的風險的考慮，例如交易所可能倒閉或出現提幣問題，就像 FTR 所發生的那樣。

如果你的資產規模達到 18 以上，你不太可能只有單一的資產形式。你可能會進行多元化投資，包括法幣、金融產品、黃金等，並可能將它們存放在銀行。而對於更大規模的資產，可能會達到需要銀行服務的級別。對於較小規模的資產，人們可能更傾向於使用鏈上存儲。

我之前討論安全時提到，最能賠償你損失的地方就是最安全的地方，這主要適用於散戶或普通用戶。但是，當你管理的資產規模較大時，可能需要考慮將資產放在交易所。這時，我們需要質疑交易所是否有足夠的實力來支付可能的賠款，這是我個人的一點理解。

我認爲，將資產放在鏈上是一種個人選擇。如果你信任交易所並愿意將資產安全交給他們，那么存放在交易所也是可接受的。但這樣做意味着你將資產的控制權交給了第三方。如果你能接受這種風險，並且相信交易所有足夠的能力賠償潛在損失，那么這對你來說可能是一個合適的選擇。然而，我個人更傾向於自己控制資產，盡管這可能涉及更多的管理工作。

SilveryGray（500w 資產被盜受害者，@GraySilvery）：我想補充兩點。首先，我要指出的是，我的資產被盜事件發生在 Solana 鏈上，並非以太坊的 ERC20 代幣。其次，我想提醒大家，僅僅因爲錢包連接到了一個網站，並不意味着沒有發生授權。在點擊釣魚網站的鏈接時，可能在不經意間就已經授權了某些操作，這可能導致账戶被盜。我自己就有這樣的經歷，點擊鏈接錢包後，我的資產就被盜了。我咨詢了區塊鏈安全公司，他們告訴我，即使在錢包的授權列表中看不到任何內容，也不代表沒有授權。

因此，我強烈建議大家在連接錢包之前，一定要仔細核對鏈接的安全性。如果不幸被盜，追回資產的可能性非常小。我選擇通過大型交易所進行交易，因爲至少在出現問題時，有可能會得到交易所的幫助和賠償。而在鏈上，一旦資產被盜，損失往往需要自己承擔。

我的經驗告訴我，無論錢包提供商的聲譽如何，在出現問題後，他們能做的非常有限。因此，我建議在同等條件下，選擇大型交易所進行交易，這樣在遇到問題時，有更多的用戶可以一起維權，得到更多的幫助和支持。這是我個人的看法，謝謝大家。

Eaton（安全研究員，@EatonAshton2）：在 Solana 上，用戶點擊籤名後，可能無意中授權了某些操作，這與 EVM 的機制不同。我提醒大家，Solana 平台上的交互需要格外小心，因爲只需要一次籤名就可能轉移走你錢包中的所有資產。

我想強調的是，用戶在進行鏈上交互時，一定要仔細檢查，確保了解所進行的操作。基於用戶自身的需求，如果最看重安全，那么使用不聯網的硬件錢包是最簡單且安全的方法。但需要注意的是，硬件錢包的保管和私鑰的保密是唯一的風險所在。

對於經常需要進行鏈上交互的用戶，比如遊戲玩家或交易者，可能更傾向於使用熱錢包。而對於那些不太熟悉鏈上操作或對 Web3 釣魚風險不太了解的用戶，我建議將資產放在交易所可能更安全。大型交易所通常有賠付機制，用戶需要警惕的主要是交易所可能面臨的倒閉風險。

交易所倒閉前通常會有跡象，如提幣速度變慢或資金大量流出。這些都可以給用戶警示，讓用戶有時間做出反應。相比之下，如果用戶缺乏區塊鏈相關知識，將資產放在鏈上會更容易被盜，且通常沒有人能夠賠償損失。因此，對於那些不太了解區塊鏈的用戶，我建議交易所可能是一個更安全的選擇。謝謝大家。

戈多 Godot（Manta Network 核心貢獻者，@戈多 Godot）：我認爲資產隔離是一個關鍵原則。無論是交易所账戶還是鏈上常用地址，都應進行區分。不應使用大額資金參與如領取空投或頻繁交互的活動。

建議至少設置 2 到 3 個地址，其中一個作爲主地址，存放主要資產，並在一個專用且不常用的電腦上操作。這相當於爲你的資產上了保險。其他兩個地址用於日常交互和領取空投，應在另一台電腦上操作。這樣可以隔離電腦設備、地址，甚至交易所账戶。大額資金的交易所账戶應在不常用的電腦上操作，以降低風險。

我傾向於使用大型交易所，因爲它們更可能在出現問題時提供賠付。不建議使用二三线交易所，因爲它們可能存在流動性問題，甚至使用用戶資金作爲對手盤，這可能導致無法提幣。選擇受監管的頂級交易所可以避免這些風險。

總之，妥善保管私鑰和冷錢包設備至關重要。如果冷錢包損壞，可能無法恢復資產。相比之下，交易所可能提供賠付。只要交易所不挪用用戶資金，存放在交易所的資產相對安全。

問題四：日常交易中用戶如何保護資產安全

Jim（Head of Security Response ，@zan_team）：在上一個問題中，各位嘉賓已經分享了多種保護資產的方法。我建議採取以下措施來確保資產安全：

1. 資產存儲方式：採用冷熱錢包區分的方法，冷錢包不聯網，熱錢包用於日常交易。

2. 多籤名技術：使用多籤名錢包增加交易的安全性。

3. 專用設備：對於大額交易，使用專用且不常用的電腦進行操作，減少風險。

4. 交易所選擇：如果選擇使用交易所，優先選擇大型、信譽良好的交易所。

5. 安全設置：在交易所账戶上啓用所有可用的安全設置，包括雙因素認證等高級安全選項。

6. 警惕釣魚和欺詐：避免點擊來自不明身份人士的鏈接或回復，特別是那些模仿可信账戶的釣魚鏈接或用戶 ID。

7. 定期審計：定期檢查账戶和資產，留意任何異常活動。

8. 提高安全意識：最後，不斷提升自己的網絡安全意識。

通過這些措施，我們可以更有效地保護自己的資產安全。謝謝大家。

長尼瑪（資深合約开發者，@raylin51）：我將分享我個人的一些安全操作習慣，這些習慣對於保護資產安全非常關鍵。

首先，我盡量避免在手機上進行高風險的鏈上操作，因爲手機界面可能隱藏關鍵信息，如網址的完整域名。例如，在推特上看到項目空投，我不會急於點擊鏈接，而是先檢查發布者的資料，特別是共同關注者，以判斷其真實性。這是一個有效識別高仿號的方法。

其次，我會在電腦上仔細檢查任何鏈接的域名，確保它們是正規合法的，沒有諸如數字"1"和字母"l"這樣的易混淆字符。如果域名沒有問題，我還會進一步觀察點擊鏈接後錢包的反應，警惕任何異常操作請求，如無故要求授權 NFT 或代幣。

如果遇到可疑情況，例如被要求授權不明合約，我會立即停止操作，詳細審查網站的其他信息，判斷其合法性。如果發現任何不符合預期的異常行爲，我會立即關閉網站，避免進一步的風險。

這些准則是我在技術領域工作時形成的，對於我個人而言非常有效。我建議每個人都應該建立一套自己的安全操作流程，並嚴格遵守，以提高安全性。

戈多 Godot（Manta Network 核心貢獻者，@戈多 Godot）：爲了提高網絡安全，我推薦使用兩個 Chrome 插件："Scam Sniffer"和"Wallet Guard"，它們可以幫助檢測釣魚網站。特別是"Scam Sniffer"，如果在 Twitter 上發現可疑鏈接，它會直接在平台上提示用戶，這是一個非常有用的功能。

此外，我還建議利用社交媒體上的共同關注功能來判斷账號的真實性。例如，DYM 項目方的官方账號和騙子账號可能在名稱上非常相似，這種情況下，通過共同關注者的多少可以幫助我們辨別真僞。

在進行任何鏈上交互時，我們應該保持謹慎，不要急於操作。例如，當看到有項目方聲稱要發放空投時，不要立即行動。可以先等待一段時間，比如 24 小時，然後再檢查相關信息是否仍然存在。如果信息被刪除，可能意味着該項目方的账號已被盜。在確認沒有其他受害者之後，再考慮是否參與。

如果確實需要打开某些看似誘人的網站，建議使用另一台電腦或在虛擬機中操作，以隔離風險，保護你的主要資產。這些步驟雖然簡單，但卻能顯著提高我們的網絡安全性。

Eaton（安全研究員，@EatonAshton2）：前面的嘉賓已經提供了非常全面的見解。在此基礎上，我想補充一些關於瀏覽器插件的安全建議。我個人非常關注插件的權限問題，但許多人在使用時可能沒有注意到這一點。

首先，當你下載一個瀏覽器插件時，應該花時間閱讀其權限要求。如果插件請求讀取剪切板、URL 或 cookie 等敏感信息，你需要仔細考慮這個插件是否可信和安全。如果對其安全性有疑問，最安全的做法是不要安裝或使用該插件。我通常會避免使用權限過大的插件，並選擇卸載它們。

此外，關於網頁端交易所账戶的使用，我建議在完成交易或任何操作後，直接退出账戶，而不僅僅是關閉網頁。這是一個容易被忽視但非常重要的安全習慣。許多用戶直接關閉網頁，卻沒有意識到登錄狀態可能仍然保持活躍。因此，確保在關閉網頁前退出账戶，可以減少账戶被盜用的風險。

問題五：去中心化的加密世界仍需要中心化世界的管控和介入

Jim（Head of Security Response ，@zan_team）：面對加密貨幣被盜的問題，我認爲需要一定程度的中心化介入來提供解決方案。個人消費者在遭遇資產被盜後，很難獨立追蹤和追回資產，特別是在沒有專業幫助的情況下。

例如，如果幣被盜，個人很難確定如何追蹤資金流向或找到相關交易所進行維權。在這種情況下，中心化機構的介入就顯得尤爲重要。通過專業的 KYT（Know Your Transaction）功能，可以幫助追蹤被盜資金的流向，並與交易所合作嘗試追回或凍結資產。大家感興趣歡迎試用 ZAN KYT：https://zan.top/home/know-your-transaction?chInfo=ch_wxdyh

然而，在完全去中心化的環境下，個人的安全意識變得至關重要。如果沒有中心化機構的介入，我們就需要依靠自己的安全知識和意識來保護自己的資產。

長尼瑪（資深合約开發者，@raylin51）：我認爲，隨着行業的發展，爲了吸引更多的增量資金，合規性變得至關重要。只有合規，我們才能吸引包括散戶在內的更多投資者。合規後，我們可能會看到類似 ETF 這樣的產品出現，例如最近通過的 BTCETF 和即將通過的 ETHETF。

在我看來，未來中心化的交易所或在監管下的交易份額可能會大大超過非監管的鏈上交易份額。行業發展到這個階段，安全性變得至關重要。我們需要確保包括散戶在內的所有投資者的安全，並降低他們的使用門檻，這是行業發展的必然趨勢。

我並不反對去中心化或強匿名性，但我認爲這些在過去十年已經完成了它們的歷史使命。現在，爲了行業的持續增長，我們必須接受一定程度的中心化監管。這是不可避免的，也是我個人的觀點。

SilveryGray（500w 資產被盜受害者，@GraySilvery）：這個問題確實非常復雜。一方面，我們不希望在交易中受到過多的幹預，例如 A 股市場的印花稅和手續費可能會影響用戶體驗。但另一方面，對於資產被盜的用戶來說，我們迫切需要監管措施來幫助維權和追回損失。

說實話，我經歷了整個過程，發現這幾乎是不可能的任務。如果被盜金額較小，比如 500 到 1000 元，很難引起關注；而金額較大時，立案也不容易，因爲破案難度大，長時間無法解決會給相關部門帶來壓力。而且，很多時候我們根本找不到真正的犯罪嫌疑人。KYC 流程復雜，對於普通用戶來說，一旦被盜，幾乎無從維權。即使找到了方向，也會在某個階段遇到障礙。

我想提醒大家，對於超過 100 萬的詐騙或盜竊案件，會上報至公安部，這類案件性質嚴重。但小額資金被盜，通過正規途徑找回的可能性非常小。

此外，所有安全公司提供的追繳和調查服務都是收費的，沒有免費服務或成功追回後才付費的協議。你必須先支付費用，而且不能保證一定能找到被盜資產。比如，如果需要先支付 2 萬費用，面對十幾萬或 20 萬的被盜金額，你是否愿意支付？這些都是需要考慮的問題。

作爲普通散戶，我目前能做的就是嘗試各種方法。謝謝大家。

Eaton（安全研究員，@EatonAshton2）：關於 Web 3 的監管，這是一個非常復雜且宏大的議題。目前，全球越來越多的國家和地區开始關注並對 Web 3 進行監管。

從被盜用戶資產的角度來看，中心化交易所和 OTC 的透明度對於監管至關重要。鏈上交易分析的清晰度對於追蹤被盜資產非常有幫助。如果監管得當，用戶找回被盜資產的可能性將大大增加。因此，普通用戶的資產安全需要加密世界與現實世界的司法機關相互配合，以實現對用戶的保護。我們並不希望監管過度，但適當的監管是必要的。

司法機關在加密世界與現實世界的交匯處扮演着重要角色，特別是在交易所、OTC 和支付渠道等方面。如果監管及時到位，並且司法機關、交易所和安全公司能夠協同合作，將對被盜用戶資產的追回提供極大幫助。我個人比較支持監管，希望監管能夠覆蓋 OTC 和中心化交易所，以提高用戶資產的安全性。

戈多 Godot（Manta Network 核心貢獻者，@戈多 Godot）：我覺得監管機構可以介入追繳和立案，但是不要去介入鏈上一些審查。