这是Whistle的第16篇文章，讨论Web3 Social赛道以及货币化的局限性。

作者| 北辰
Web3行业在过去一年里走出了低迷的熊市，虽然远未迎来真正的牛市，但关于Social Summer即将到来的声音越来越多。尤其是最近Telegram创始人Pavel Durov因面临诈骗、洗钱、恐怖主义等多项罪行指控而在法国机场被逮捕，进一步引发了对社交产品的关注。
这也不难理解，crypto native的技术路线似乎已经走到尽头了（毕竟该有的基础设施都有了），但是还看不到Mass Adoption的曙光，而社交赛道在理论上是最容易撬动海量用户，而且还有可能沉淀成生态。于是它承载着停滞了的Web3行业的焦虑，每当friend.tech、Farcaster等社交应用表现稍好，都会引来全行业的关注。
尽管我也看好社交赛道，但不得不发出刺耳的声音——整个Web3行业对于社交赛道充斥着作为外行的想当然，误解之深其实不亚于收藏品、RWA和DePIN。
我们得先足够了解Social，才能再接下来谈怎么与Web3结合为Web3 Social（或者DeSo）。
一、社交与社区
无论是Web3 Social还是DeSo，抑或者SocialFi，概念落实到最后还是要给真实的用户提供服务，那就得区分清楚这些服务是针对社交还是社区。绝大多数时候大家似乎都混为一谈，尤其是在中文语境中，几乎成为了同义词，但其实social与community是不同层次的两件事情。
1.1.社交：从通信开始
广义上的社交产品是从社交（social，其实更准确来说是social interaction）开始，而社交则是从通信开始。
社交是微观层面的交流行为，少则发生在两个人之间，也可能是由许多个人组成的群组（group），而实现社交行为的方式是通信（Communication），所以社交产品得先从通信软件开始。
电子邮件是最早出现的通信工具，在1965年由MIT率先实现。1973 年伊利诺伊大学在PLATO系统上开发了第一个在线聊天系统Talkomatic，对方甚至可以实时看到你正在输入的字母是什么。此后各种通信软件不断迭代，今天我们日常沟通所使用的是WhatsApp、微信、Telegram等在线聊天应用及各种邮箱，最核心的通信功能当时已经具备了。
那么为什么用户会不断地更换通信软件？其实每一个通信软件爆火的背后，都有一个非它不可的理由在驱使着用户们使用它，总结下来无非有三个，要么免费，要么能找对人，要么抗审查。
腾讯就是一个由免费驱动的成功案例。在1999年三大运营商还没有开通短信业务的时候，OICQ（也就是后来的QQ）就绕过了电话网络可以直接免费发消息，但是在电脑上收发比较麻烦，这才给了2000年才推出短信业务的三大运营商机会，每条短信收费0.1元，而这又在后来智能手机普及的时代给微信的崛起埋下了伏笔。
但为什么机会是留给微信而不是更成熟的QQ呢？首先是因为手机QQ在移动互联网早期只是把PC端的老产品移植到了移动端，在产品体验上不如原本就为移动端打造的微信。更为重要的是微信率先推出了语音消息、语音通话、视频通话等功能，完全取代了手机的短信和通话业务。
话说如果我们沿着免费的逻辑出发，下一个由免费驱动的通信软件应该是免费的卫星通话和卫星上网了。
而由找对人所驱动的成功案例就是各种交友软件，如针对陌生人交友的陌陌，针对性少数群体的Blued，针对高学历相亲的青藤之恋……由抗审查所驱动的成功案例则是Telegram、Signal等。
Clubhouse兼具了找对人和抗审查的特性，才让这个功能其实很常见的语音聊天软件在刚出现时就一码难求，因为这里会有厉害的人，也可以聊很生猛的话题。
总之，社交（social interaction）是最基本的社会行为，实现社交的最基本功能是通信（Communication），即使再复杂的社交产品，最核心的功能也是从通信出发，后面再不断集成新的服务，演化成社区产品。
1.2.社区：社交媒体与社交网络
许多人、群组之间的社交行为所形成的复杂的有机体，才算是社区（community）。
注意，社区不是简单的集合（很多人对于社区的理解就是「拉个群然后每天有人吹水就完事儿了」……），而是全体成员出于共同的诉求（比如利益、愿景等）而互相支持，这就意味着成员之间要付出一定的信息、资源等。当社区内部成员索取的资源高于生产的资源时，社区就走向了衰亡。就像癌细胞，只会不断复制并消耗身体能量，直到供体也死亡。
所以构建社区产品的难度远高于社交产品，这简直是个宗教议题。抓住通信的某个痛点（比如当年的免费语音聊天）就可以火爆一时，但绝大多数社交产品的后续表现都证实了沉淀用户远比吸引用户更困难。
根据社区（community）产品沉淀用户的不同方式，可以划分出以内容为核心和以关系为核心的两类产品，即社交媒体（social media）和社交网络服务（SNS，Social Networking Services），这两个名词也很容易让人混淆社交和社区的概念。
以内容为核心的社交媒体要追溯到Notes，也是在1973年诞生于PLATO系统（同年这里也诞生了第一个在线聊天系统Talkomatic），Notes已经具备了BBS的雏形，后来的各种论坛、贴吧、博客等社区产品都是由此展开。它们都以兴趣为核心，所以会不断沉淀用户生成内容（UGC），最后在移动互联网浪潮中演化为今天我们熟知的Twitter、微博、Instagram、小红书等。
以关系为核心的社交网络服务其实就是前面所说的「由找对人所驱动的通信产品」，不过只有当产品确实被当作通讯列表时，才算真正意义上的社交网络。比如针对原本就离线存在的熟人社交的微信，针对陌生人交友的陌陌，针对职场交友的LinkedIn……
1.3.从单一功能到综合平台
不过即使我们梳理到这里，严格区分了社交与社区，但是对于社交产品的定义可能依然是混乱的，那是因为现在的社交产品往往不再只有单一的功能，而是融合了不同层次和维度的功能。
这是造成一切关于社交产品混乱认识的根源——只盯着产品最表层的功能玩拼图，而无法还原出产品真正的驱动力和演进脉络。
还是以微信为例。先通过免费的文字消息和语音消息的通信功能，迅速把用户真实的人际网络迁移过来，沉淀出了一个庞大的熟人社交网络。然后用「附近的人」、「摇一摇」等功能开拓了陌生人社交市场，迅速突破1亿用户大关。
后面又支持语音通话、视频通话功能来强化在通信方面的优势，并先后推出了「朋友圈」、「公众号」「视频号」等功能，在社交网络的基础上发展成了社交媒体，其中支付功能的添加更是打得支付宝措手不及。
这种方式也可以用来分析X、Facebook、Telegram甚至抖音，但是今天几乎所有关于Web3 Social的分析报告，仿佛是一位近两年才使用微信的用户来分析微信——想当然地把各种功能混在一起来分析，自然很难抓到产品的重点。而在这种思路指导下的创业者，也无非是复刻另一个微信，直接从大而全的功能开始抄起，却不思考那些功能背后具体指向的真实用户如何获取并沉淀。
所以本篇文章也大可按照不同的通信方式、内容类型、社交关系类型和媒介类型展开，做一个漂亮的表格，然后再用互联网黑话煞有介事去分析那些随机组合出来的结果（比如「一个用于Web3从业者交流的支持语音通话和直播功能的可以带单交易的加密App），以此显得行研非常专业，但其实不具备任何实操层面的指导价值。
二、Web3 Social全景图
关于social铺垫这么多，终于要聊到Web3了！Web3 Social所要考虑的要比前面举例的各种互联网社交产品复杂得多，因为整个互联网协议与区块链协议有根本上的不同。
2.1.模型层级：互联网与区块链

互联网按OSI模型可以分为7层，开发者只考虑最上端的应用层即可。但是区块链目前还没有定型，所以就相对复杂，这里给出一个仅供参考的分层模型，然后基于该模型来展开分析。
在区块链世界里，如果说区块链网络是layer1，那么互联网就是layer0，承担着底层通信基础设施的作用。区块链网络也可以细分为不同层，如网络层、数据层、 共识层、激励层，虽然还有不同的分层方案，不过目前的主流方案是让公链把它们一齐打包了，所以我们直接讨论公链即可。
公链之上就是协议层（Protocol），封装了各类脚本代码、算法以及智能合约。值得注意的是，它们不是终端产品，而是一些实现最小功能的关键组件，有的是链上执行的智能合约，有的则是链下执行的中间件。
由于区块链是共享数据层，这些智能合约是开放的，且能被无限次使用，所以后来的开发者理论上可以基于这些智能合约及中间件做组合和优化，从而构建出一个新应用。
问题在于，目前协议层上无论是智能合约还是中间件都还非常欠缺（为数不多的创新集中在DeFi领域，socia赛道没有革命性的产品），那么在此基础之上，在应用层里构建出符合Mass Adoption的产品的可能性也就不大了。
2.2.两种逻辑：自下而上与自上而下
具体到Web3 Social赛道，一直都有两种产品路径在竞争——crypto native更倾向于自下而上地构建原生加密社交产品，从Web2过来的闯入者则青睐于自上而下地先构建出成熟的Web2产品再逐渐增加Web3模块。
2.2.1.自下而上的方案
自下而上的方案有两种，一种是以账户为核心而展开建立的身份管理基础设施，另一种是以内容为核心而展开的社交图谱（Social Graph）。
在Web2世界最重要的账户是邮箱，在Web3世界则是DID（Decentralized Identifier，去中心化身份），用户自行在区块链上创建和管理，能够与其他应用进行私密的交互。
最典型的代表是ENS，这是一套基于以太坊建立的去中心化域名系统，可以为个人、组织甚至设备来创建和管理自己身份/数字标识（不过最早的链上域名系统是2011年从比特币网络分叉出去的Namecoin）。
不过这类DID项目面临的问题是除了用作钱包域名，没有什么真正刚需的应用场景了……
而以内容为核心而展开的社交图谱，则是让用户把自己的社交数据上链，如个人资料、发帖、关注等。最典型的代表是Lens Protocol，把用户的社交数据和行为给token化、NFT化，开发者可以基于此建新的社交应用。不过目前还没有孕育出真正有生命力的社交应用。
另外Blink这种简单的工具也值得关注，可以把链上的行为转换为可嵌入到各种网站和社交媒体平台的链接。
2.2.2.自上而下的方案
至于自上而下的方案就很简单了，就是把成熟的社交产品进行链改，不过具体也细分为两种。
一种是先做一个成熟的Web2社交产品，再逐渐添加Web3模块。这种方案最古早也最成功的是币乎，后来关停了，虽然涌现过非常多类似项目，尤其是2022年在X to Earn模式启发下的SocialFi，推出了发帖即挖矿、评论即挖矿、聊天即挖矿等机制，到现在基本都死了。因为SocialFi的模式天然不成立，后文会详细阐释原因。
目前在各种从Web2逐渐过渡到Web3的社交产品中，唯一表现不错的是Farcaster，它非常克制，没有采用SocialFi模式，而是认真培育起加密社区，Web3的功能以插件的形式存在。要知道加密社区天然具有财富效应，所以自然而然地催生了以Degen为代表的一众memecoin（话说上市如果跟发币一样简单的话，雪球就会碾压一切大厂）。
另一种方式则非常隐蔽，很容易让人误以为是加密原生的产品。它们往往都有去中心化的数据库，再结合DID、DAO工具等模块，允许任何人在上面构建属于自己的Web3应用。
它的迷惑性在于，所有的模块看起来都是Web3的，在功能上显得大而全，但是你跳出来看，就会发现其实是直接把成熟的Web2社交产品用从头到尾用Web3的方式重新表达一下（比如采用了加密签名、分布式系统），那么跟Web2产品也就没有本质上的区别。
例如Ceramic、UXLink，看起来从应用层一直到基础设施层，跨越了区块链多层技术栈，而且涵盖了从底层技术到用户界面的多个方面，是一套非常完整的Web3社交生态系统。这就好比用钢筋水泥仿造了一幢木制阁楼，可以有但没必要，明明可以根据钢筋水泥的特性设计出新形式的建筑出来。
2.2.3.两种产品路径的局限性
总的来说，无论是以账户为核心而展开建立的身份管理基础设施，还是以内容为核心而展开的社交图谱，抑或者直接把成熟的Web2社交产品用从头到尾用Web3的方式重新表达一下，上述种种思路更像是针对数字世界的末日生存玩家而准备的，对普罗大众来说没有必要，所以往往是「尊重，但不理解」，也就很难沿着这条道路产生一款大众产品。
我们也许应该放下原教旨主义的偏见，重新来审视一下Farcaster这种Web2.5的产品的生命力，而这又要回归到文章开头所说的做社交与社区的能力上来，功夫其实在技术之外。
三、X to Earn及其适用场景
但是关于Web2.5的产品，想象力几乎被「Web3版的XXX」所垄断，比如Web3版TikTok —— Drakula、Web3版Instagram —— Jam等，而Web3的部分仅仅体现在商业模式的货币化上，也就是Fi，或者说我们更熟悉的X to Earn。
3.1.货币化的本质是积分商城
货币化似乎是Web3爆改一切互联网产品的唯一法宝，无论是在2017年流行的「通证派」「链改」，还是在2021年开始流行的「X to Earn」，本质上都是用让利的方式来激励用户留存。
其实在互联网领域里就已经沉淀了很成熟的积分玩法，用「做任务-赚积分-商城兑换商品或权益」的方式来提升App用户活跃度，但只是作为辅助运营的手段而已。毕竟金钱不会凭空出现，如果羊毛不能出在羊身上，那也要从猪身上来薅，总之在正常的商业模式中这种补贴长期来看是有现金流瓶颈的。
也就只有资金盘能够打破现金流瓶颈，直接开发出一款以积分玩法为主导的产品，然后让后来者接盘。2015年前后，三四线城市就有蛮多大妈在推广各种据说能赚钱但要先交会员费的App。
不过ICO的流行提供了比资金盘更巧妙的方式——资金盘项目还要在线下拉人头才能有人来接盘，ICO项目则直接发个币，甚至都不需要有人来接盘，已有的用户只要有上涨预期甚至会自己加仓，而且二级市场也不存在找具体的某个人来维权的问题。
所以，绝大多数Web3产品的货币化，本质上还是互联网积分商城的玩法，只不过积分兑换的不是真金白银买来的商品，而是二级市场的市值预期。
3.2.货币化方案的挑战
当然，我们不应该全盘否定货币化，只是它有特定的适用场景，至少不适用于绝大多数社交和社区的场景。
首先面临的挑战其实是管理学方面的瓶颈——以现有的绩效考核水平根本无法精确地识别出用户的有效行为，也就不能针对性地给出合适的激励，最终的归宿只能是招来羊毛党。
即使规则精确到每天留存多少分钟，完成哪些任务之类，也会被撸毛工作室玩得明明白白，真实用户反倒没有机器人账户有竞争力，这一点几乎所有的「X to Earn」模式的项目都没能避免。
而且即使项目方的确能够区分出用户有效的行为，并制定了合理的激励方案，但天然地不适用于社交/社区类产品，因为还要面临心理学方面的挑战——货币化让用户的动机从产品本身转移到了激励上，那么当激励减弱时，用户使用产品的动机也就消失了。
更糟糕的是，对于一款社交产品来说，良好的社交体验本身就是对用户的奖励，而SocialFi模式则在不断提示着用户的注意力从单纯的社交体验转向金钱激励，最后的结果一定是用户对产品本身索然无味。
3.3.SocialFi的荒谬性
假如我们按照SocialFi的模式开发一款记录恋爱App，把情侣每天要做的各种事项如聊天、送花、接吻、拥抱等行为进行量化考核，最终进行奖励，那么对使用这款App的情侣来说，最后的恋爱体验会非常索然无味。
如果你也觉得这款恋爱App设计得很荒谬，那么SocialFi的项目都是这么做的。可以用心理学的过度理由效应(Over—justification effect)来解释SocialFi的荒谬性——货币化让用户原本就有充分的内在理由的行为，却额外增加了过度的理由，从而让用户的行为被这种外部的额外的理由所控制。
如果要把用户的行为给货币化，只适用于那些刚性的付费场景，比如黄赌毒，比如粉丝经济。用户原本就有着强烈的付费意愿，可以提供源源不断的现金流，这时候用货币化的方式来辅助运营，就可以起到锦上添花的作用。
现在的所有的货币化（X to Earn）项目那样，看起来设计得十分精巧，但实际上不能带来长期正向收入，只能在不断空转中走向凋敝。
结论
Web3 Social承载了整个Web3行业对Mass Adoption的期望，但是当前处在重重认知的迷雾中。
迷思一：普遍存在对社交与社区概念的混淆，于是只能盯着产品最表层的功能来研究，忽视了产品真正的驱动力和演进脉络，最后在产品设计和定位上也就倾向于搞出功能大而全的产品，对产品的前景充斥了拍脑门儿的想当然。事实上，用户却没有非它不可的理由。
迷思二：加密原教旨主义者自以为的加密技术带来的社交产品的革命，其实没有带来任何通信层面的变化（比如从文字到语音到视频），更多的是基于现有功能的微创新（比如DID、社交图谱），而不是范式转移。并且这种功能上的微创新，更适用于数字世界的末日生存玩家，而不是大众。
迷思三：从Web2过来的闯入者以为凭借着自己优秀的Web2产品，只要在机制上进行货币化改造，就会吸引广大用户进来并成为忠实粉丝，其实能吸引来的只能是羊毛党。因为把用户的行为给货币化，会把用户注意力从社交体验转向金钱激励，而且金钱激励还是有限的（毕竟没有源源不断的现金流），所以长期下来会让产品在不断空转中走向凋敝。货币化的方案只能作为辅助运营手段来刺激用户原本就强烈的付费意愿，而不是让用户凭空产生出付费意愿。
所以，Web3无论是技术还是商业模式，都无法另起炉灶搞一套适用于大众的社交产品。但不是说Web3社交没有未来，排除了种种迷思之后，能成立的路径似乎只有两条了。
要么像Farcaster、Telegram那样，先认真培育出一个加密社区类的产品，然后以插件的形式支持一些Web3功能，加密社区会自然而然催生各种财富效应出来。
要么像ENS、Lens Protocol那样，在协议层继续探索出一些创新性的中间件，虽然现阶段似乎用处不大，但可以作为技术储备。未来可能会被大型Web2社交应用以插件的形式集成进去，从而带来的新型交互模，也可能会催生出新的应用场景（如基于ENS衍生出新的信用评估机制）。
本篇文章最初想探讨的是Web3 Social能做什么，但梳理之后的发现似乎不要做什么其实更重要……不过从中短期来看，显然还是做加密社区的确定性更高。

这是Whistle的第14篇文章，关于牛市为何以及如何要防范国家级黑客组织。

采访 | 北辰
嘉宾 | Steven
昨晚公开的美联储3月会议声明及发布会讲话，让整个金融市场为之振奋。当然真正的降息还没有来临，但今年货币政策要逐步放松是确定下来了——流动性即将从银行系统流向风险市场。
此时比特币减半仅剩30天，而且比特币ETF打开了流动性从传统金融市场涌入加密市场的通道，所以可以预见加密市场的牛市已经启动，投资者面临的仅仅是赚多或赚少的问题。
但是「刺耳的Whistle」在这里要发出刺耳的哨音——国家级黑客组织正在盯着加密市场的资产，作为创业者和投资者的你一定要守护好自己的钱包！
本期邀请了老朋友Steven，他作为长期关注安全领域的通信技术专家，为我们揭开加密市场的公敌——东方神秘国家的国家级黑客组织Lazarus是如何运作，以及我们该如何抵御。
1.北辰：什么是国家级的APT ?
Steven：APT即Advanced persistent threat（高级持续性威胁），网络安全领域一般把有经济目的非法的黑客组织称为APT。合法的黑客组织是专门发现威胁并报告对方来盈利，这叫白帽子，不会被称为APT。
我们在日常生活中往往是通过电信诈骗这种黑灰产而间接地接触到APT。比如那些被泄露的个人信息，往往就是APT用爬虫整理出来或者直接从别的数据库里面偷出来的，但这种只能算是APT里的小虾米。比较大一点的APT如金眼狗，主要是攻击赌博类网站，还有一些是针对游戏网站。
最高级别的APT是国家级APT，往往是出于政治目的去攻击别人。不过大多数国家政治性的黑客组织一般都称不上APT，因为非常松散，基本是有人号召一下就展开攻击了。
2.北辰：所以只有组织严密且出于政治目的的国家级黑客组织才是国家级APT ？
Steven：只能说绝大多数的国家级APT没有经济诉求，主要是为了政治、军事目的来执行间谍任务。实力比较强的是隶属于美国国家安全局的方程式（Equation Group）和索伦之眼（Project Sauron），主要针对俄罗斯、中国等国家发动高级攻击来窃取敏感信息。俄罗斯的实力也比较强，比如隶属于俄罗斯总参谋部军事情报总局的奇幻熊和俄罗斯对外情报局的舒适熊。
我国遭遇最频繁的国家级APT的攻击是毒云藤、蔓灵花（BITTER）、响尾蛇（SideWinder）、海莲花（Ocean Lotus）和Lazarus。毒云藤是台湾地区官方背景的APT，蔓灵花和响尾蛇是印度的，海莲花是越南的，它们往往有明确的政治目的，所以很容易暴露背后的组织，只有Lazarus是出于经济目的展开攻击的，它隶属于东方某神秘国家，并且值得每一个crypto行业的人警惕。
3.北辰：那么Lazaru跟其他国家级APT有什么区别？
Steven：Lazarus是东方某神秘国家总参侦察总局的网络作战部队，而且很多组织成员是在中国接受高等教育或者培训，所以非常熟悉中国的网络环境。美国曾指控该组织在中国设有活动中心，其实这不太可能，我们不可能允许一个其他国家的情报组织在境内活跃，何况它的规模大概在8000人以上。
4.北辰：Lazaru都有过什么战绩？
Steven： Lazarus的成名之战是2014年入侵了索尼影业。当时有一部恶搞他们领导人的电影即将上映，于是就泄露了索尼影业大量未发行影片资料、商业邮件和员工隐私，最终索尼影业宣布取消了该电影的上映。
Lazarus后来的攻击越来越频繁，比如盗窃孟加拉国中央银行外汇储备、入侵印度核电站、多次攻击加密货币交易所等，大家最熟知的应该是用比特币支付赎金勒索软件。
5.北辰：按理说中央银行的资产只要还在SWIFT系统，就会被冻结，Lazarus是如何取出来这笔钱的？
Steven：这不是Lazarus第一次攻击央行系统，他们此前尝试窃取过很多其他的国家的央行及商业银行，但是都没有成功。2016年攻击孟加拉国中央银行并盗窃了1.01亿美元外储，其中2000万美元流向了斯里兰卡，8100万美元流向了菲律宾的赌场，但最终大部分被美国发现后追回了。
6.北辰：对Lazarus来讲，这笔钱几乎零成本的。
Steven：不是零成本，毕竟是在盗窃一个国家央行的钱，他们规划了很久，而且动用了假账户、金融中介、赌场和其他协同犯罪的参与方。
7.北辰：那么如何来确定这些攻击来自于Lazarus？
Steven：高水平的安全公司以及相关的政府情报机构都能判断得出来是Lazarus，因为网络活动一般都会有痕迹，何况他们的行为模式比较鲜明：攻击水平高，组织严密，很大部分攻击以窃取资金为主。
8.北辰：所以Lazarus主要是一个创收单位？
Steven：没错。据美国情报部门估计，每年被Lazarus窃取的资产大概是三到五亿美元。更为关键的是近五年来，该神秘国家90%以上的收入都是来自于币圈，而且他们更加熟悉中国人。
9.北辰：可以展开说说他们的案例。
Steven：2018年日本交易所Coincheck被盗取了5.3亿美元的加密货币，这就是Lazarus的手笔。
2022年更是盗取了约17亿美元的加密货币（其中11亿美元来自于DeFi协议），然后用Tornado Cash 等混币器来洗钱。值得一提的是，该神秘国家2022年对外出口总额才1.59亿美元。
自2023年下半年以来，Lazarus在币圈的攻击频率明显又加快了。比如6月份盗取Atomic Wallet 1亿美元，7月22日同一天攻击了两个不同的机构，共盗取近一亿美元。9月4号盗取在线加密赌场4100万美元。9月12号盗取交易所Coin EX 5400万美元。
其他小攻击更加不计其数，因为还有大量的攻击是针对个人用户的，很难统计，也很少被关注到。
10.北辰：Lazarus频频得手，是因为他们更懂crypto，还是说用传统的攻击方式就已经可以了？
Steven：Lazarus的攻击手段其实都是比较传统的黑客攻击，但是水平比较高。最常见的是鱼叉攻击，即没有针对性地发送一些文件（比如邮件），然后把病毒嵌在里面。当然，他们对币圈也确实很了解，才能很好地利用了水坑攻击和社会工程。
水坑攻击就是在你的必经之路上攻击，就好比猎食动物会躲在水源附近攻击前来喝水的动物。在币圈搞水坑攻击就是先去攻击项目方的网站，在网站上嵌入特定代码，用户只要交互就中毒了。
社会工程严格来说都不能算技术攻击，而是利用日常社交行为手段，利用人为疏忽漏洞来获取私人信息、访问权限。币圈的社会工程往往是黑客加入项目的社交社区（比如Telegram，Discord）进行监控，利用交易交易数据筛查出那些交易活跃且有大宗交易的人，然后有针对性地给这个人私聊，比如发一个空投信息，对方一旦打开就被攻击了。
更高阶的攻击方式其实是直接作为代码贡献者混入项目方，从而加入攻击代码。
币圈的项目基本都是分布式办公，一个技术水平高而且薪资要求又低的码农还是很容易加入团队，当他作为开发者掌握了一定权限时窃取加密货币是轻而易举的。
11.北辰：他们在应聘的时候一般是怎么伪装身份的？
Steven：Lazarus的组织分工明确，有负责进行数据监控的，有专门做社会工程寻找目标的，有钻研技术攻击的，还有些人是负责洗钱。总之这是一个超级大的有实力的团队专门做这件事，效率就非常高了。
12.北辰: 那么身处币圈的我们该如何避免资产被盗呢？
Steven：举例几个Lazarus在币圈常见的攻击方法。
一种是他们用KandyKorn软件攻击交易者。它是针对Mac操作系统，用一个python程序伪装成套利机器人，然后把攻击代码加载在Mac操作系统的内存里，攻击的有效负载却隐藏在Google云服务硬盘中加载，而且加载动作很隐蔽（病毒源码采用反射二进制加载作为混淆技术）。这使得杀毒软件的两个主要手段都失效了——代码特征检测无法检测出攻击代码，行为检测也无法发现异常的行为特征。
另一种就是在加密网络通信软件源头植入SIGNBT负载，感染后等于在内存中注入全功能的远程访问工具，这样就可以运行其他的恶意软件、外传数据甚至终止进程运行等任意命令，相当于电脑完全被对方控制了，哪怕私钥保护得再好，你只要进行一次签名就暴露出去了。
还有一种就是把代码切入到一些普通的应用程序。比如专门攻击一些公司和开源项目并把恶意代码塞进去，从而获取使用者的整个系统权限，无论是Mac还是Windows，iOS还是安卓，Lazarus都有相应的程序。大部分的区块链项目很多是采用现成的开源代码，所以Lazarus就在最源头把代码注入进去，从而很容易获取项目方的权限。
还有就是篡改浏览器扩展，大部分人是通过MetaMask钱包去领空投或者做交互，当项目方网页本身被他篡改了，等于所有和他交互过的钱包都已经不安全了。
13.北辰：上述攻击方式，具体是怎么展开的？
Steven：就以2022年Axie Infinity的开发者Sky Mavis做的侧链Ronin被盗6.2亿美元为例。
首先Lazarus通过社会工程知道有个Sky Mavis的员工在求职，于是虚假设置了一个Web3岗位需求，进行鱼叉攻击，把offer邮件发送给那个员工，员工打开PDF文件，他的电脑就中毒了，继而寻求感染整个Sky Mavis公司内部的其他成员的电脑和服务器。
Ronin项目账户因为多签钱包要求9个账户里至少5个签名才可以转账，而公司从安全角度出发只管理了其中4个账户，但是有一个DAO社区账户曾经授权公司管理但用完后没有及时取消授权，被黑客攻破，最后账上6.2亿美元全部被窃取，过了一周时间Sky Mavis公司才发现这件事。
14.北辰：前面不是说他们把钱转出去，在链上和互联网上都会有痕迹么？
Steven：首先把盗来的数字货币通过DEX全部换成ETH，然后归集到已经创建好的多个一次性钱包，再跑到混币器（比如Tornado，Sinbad），里面把钱洗到新创建的几十上百个钱包中再转移出去。
所以说Lazarus的每次攻击其实工作量非常大，前期要收集大量信息，然后单独开发攻击代码，准备洗钱的钱包地址，还要用到社会工程的手段。说不定项目社区里一些特别热心的码农出来贡献代码，他就是来自于Lazarus。
15.北辰：那么针对币圈的个人，请你总结一下应该怎么去避免？我感觉只要你链上交互比较多，就没办法避免。
Steven：第一是利用中心化交易所，尽管这不符合加密精神，但大部分人确实很难管理好自己的私钥，很多人就连自己的银行账户都不一定管得好，何况是去管理一个不可能记住的私钥，而且现在大家手上的钱包地址往往不止一个。
我觉得电脑操作能力比较差的小白索性相信中心化的交易所吧，毕竟合法的中心化交易所哪怕被盗，大部分资产是可以保全的。比如Mt.Gox的被盗资产就被保全到现在。
北辰：反而赚得更多了。
Steven：对，那时候比特币才只有两三千美元，大部分人是不可能守到现在的，也算是因祸得福吧。
第二是注意基本操作，比如新币空投，如果一定要进行链上操作进行交互，那就尽可能用iOS系统吧，而且最好专机专用。
第三是收到不明邮件不要去点开不明附件。对社交平台上套近乎的人要留点心眼，不要点开陌生人发的链接或者是邮件。
最后，如果资产确实比较多的话，而且又要进行链上操作，最好有个硬件钱包，并且冷、热钱包应该分级、分域，准备多个硬件（PC，手机）互相隔离，最核心的资产放在安全等级高的钱包，需要经常交互的资产多准备一些热钱包，只放少量资产，哪怕一个被盗，损失也不会伤筋动骨。
16.北辰：现在硬件钱包也不安全了，比如Ledger就被嵌入了恶意代码。
Steven：是的，但我还是推荐用大品牌的硬件钱包，作恶的门槛会提高很多，而且即使发现漏洞，也会及时弥补漏洞。
17.北辰:那么对于项目方有什么建议吗？
Steven：第一就是严格安全纪律，要有安全意识，设置多签钱包，并认真执行所有的安全守则，这样会提高攻击成本。
还有就是要引入安全团队，比如代码审核，比如引入一个蓝队（即防御队），白帽黑客，让他们来提供一些地址监控和安全预警，做比不做要很好，因为哪怕被盗了也能第一时间去找到转移地址（毕竟洗钱还是要一定时间），发现及时的话还是有很大可能截住这笔资金。而不是一星期过去了才发现钱包的钱不见了，那就很难追得到。
18.北辰:链上的资产怎么拦截？
Steven：要么报警，要么看你在圈内的人脉关系了，这就是为什么要引入安全团队，因为安全团队往往有这样的关系。不过要是遇上Lazarus这样的国家级APT就很难了。
19.北辰:现在行业的安全服务主要还是以代码审计为主，其他的服务项目方的付费意愿并不强。
Steven：代码审核是很基础的要求，可以提高单打独斗的小黑客的攻击难度，但像Lazarus这种国家级APT很难防住。所以我建议要找专业的蓝队，国内技术厉害的红队和蓝队的资源其实还挺丰富的。
20.北辰:比如360？
Steven：说实话，币圈的项目不可能请国内合法公司去做安全服务的。可以找慢雾，CertiK这类圈内的安全公司，其实通过每年的护网行动找到得分高的那些蓝队来做安全团队就可以了。在安全领域最强的并不是最大的网安公司，而是一些专业小团队，这个你从每年的红蓝对抗赛就可以发现。
21.北辰:最后再做一个总结吧。
Steven：现在的币圈还是个西部世界，政府管制很少参与，于是就有大量的抢劫偷盗的团伙和骗子，无论是项目方还是个人，最主要是大家脑子里应该有这根弦，把这个篱笆扎得高一点，这样即使遇到Lazarus这样的大兵团，还是能防住他的一些攻击。