区块链的安全问题最近层出不穷,从之前的CoinCheck遭黑客攻击,数亿美元的虚拟资产被盗,到BitcoinGold遭51%双花攻击,再到EOS主网上线在即,价值2000多万美金的EOS映射无效,再到前几日Bancor交易所遭黑客攻击。但是,区块链出现的各种安全问题,又会让很多人不解。毕竟,区块链是去中心化设计、采用非对称加密,有防篡改的特点,说好的安全呢,为什么还总被曝出各种漏洞,遭到各种攻击呢?另外,从项目方的角度来看,很多人从传统互联网行业转型到区块链行业后,还是在用互联网的业务先行思维来做事,那么,如果从区块链安全性的角度来看,这种思维在codeislaw的区块链世界能否行得通?就此,Odaily星球日报对派盾科技的CEO蒋旭宪进行了专访,对于区块链网络在安全性风险方面与传统互联网的差别、智能合约为什么总被曝出漏洞、当下以及未来区块链的安全性风险等问题进行了深入探讨。※派盾科技:区块链安全公司,由前360首席科学家、美国北卡州立大学终身教授蒋旭宪博士于2018年创办。派盾科技曾发现并命名了BEC、SMT、EDU等智能合约的安全漏洞。今年5月份,派盾科技完成数千万元天使轮融资,投资方为高榕资本。Odaily星球日报:与传统互联网行业的安全风险相比,区块链网络的安全性风险有哪些显著的不同?蒋旭宪:每个时代都有自己的安全属性,PC互联网更多的是与主机、网站服务器的安全有关;移动互联网更多的是与手机上的隐私数据相关;区块链是将数字资产上链,所以上链后的数据资产的安全就变得很重要。一旦发生安全问题,造成的后果相当严重。比如之前的美链BEC的漏洞,被爆出后整个近70亿市值断崖式下跌。还有,派盾1个多月前曾针对EOS主网映射问题发出安全预警,即在EOS主网启动前还有29.98%的EOS代币尚未完成映射,如果不尽快完成映射,投资者就有可能永远失去自己持有的EOS代币。Odaily星球日报:区块链本身就融入了一些安全性设计,比如去中心化的分布式、非对称加密、哈希唯一性等,那现在总被爆出有各种安全风险的原因是什么?蒋旭宪:我认为用了安全技术并不能说明区块链就是安全的,这可以从以下两个角度来看:1.系统的角度:安全领域中有一个理论叫“短板理论”,短板与整个系统的安全有直接关系。区块链技术打造出来的就是一个系统,系统里会涉及各个环节。比如其中的私钥环节,私钥虽然设计的好,但是如果用户不慎点击了钓鱼网站,私钥就会被黑客盗走,其数字资产也自然不保;2.行业发展速度:区块链行业发展的比较快,而且本身离钱比较近,也因此成为黑客攻击的热门目标,区块链技术本身还需要不断升级来因应这种变化。Odaily星球日报:在区块链1.0到2.0再到3.0这样的一个发展过程中,区块链的安全问题有什么主要的变化?蒋旭宪:EOS主网上线也没多长时间,是否能成为区块链3.0目前还不好评判。我们就先来看下区块链1.0和2.0阶段。区块链1.0是以比特币为代表的阶段,比特币的设计相对来说要简单,没有之后的2.0、3.0这么复杂,但也正因为简单,所以区块链1.0的安全性也会高很多。区块链2.0是以以太坊为代表,很多DApp基于以太坊部署,智能合约如果设计的不够好,安全问题就会暴露出来。比如我们来看下这张以太坊的发展曲线图,这是我们团队内部用来分析以太坊数据的。其中横轴是以太坊的块号block,纵轴是当前横轴点对应的一万个块。图中上面这条灰色曲线,代表的是一万个块里包含有交易块的个数;下面这条黄色曲线,代表的是一万个块里没有包含交易块的个数。两条曲线对应的点所代表的个数,加起来是整整一万个块。图中出现的这个拐点的时间段,就是2016年6月,黑客通过智能合约漏洞攻击了TheDAO,以太坊随后进行了硬分叉,当时以太坊总共花了5个月的时间来完全解决掉这个问题。除此之外,我们还曾曝出的美链BEC、SMT、EDU等这都是智能合约的安全问题。Odaily星球日报:为什么在区块链行业里智能合约总是会被曝出漏洞?蒋旭宪:我们现在手头上有上百万个智能合约,通过对这些智能合约整理汇总后,发现原因主要有两个:1.由于业内还是习惯于COPY代码,那么如果一个合约出问题,将会涉及到一大片;2.传统互联网行业的“小步快跑”、“快速迭代”的这种业务先行的思维,在codeislaw的区块链世界是行不通的。在区块链行业里,后续再进行代码迭代的成本是很高的。如果要升级智能合约,一般需要把当前的智能合约进行快照,然后部署新的智能合约,再把旧合约的快照转移到新合约。这一过程不但影响交易,也影响用户对项目的信任和信心。Odaily星球日报:有人认为以太坊的智能合约总被曝出漏洞,是因为它太灵活了,你怎么看这个说法?蒋旭宪:我不这样认为,这个要结合区块链安全的发展来看,我认为区块链安全的发展要经历这样三个阶段:1.无知阶段。比如去年ICO异常火爆的时候,很多人就没有注意到区块链安全的重要性。2.唤醒阶段。随着行业里炒币的火热以及各媒体对区块链的关注,一大堆安全问题也就被暴露出来。在这个过程中,项目方被唤醒,意识到区块链的安全性问题的重要性。目前区块链行业的安全状态,还处于唤醒阶段。3.警觉阶段,也就是区块链项目方开始主动寻求与安全公司的合作。Odaily星球日报:目前在区块链行业做安全的难点有哪些?蒋旭宪:在区块链世界中,由于其去中心化的特点,导致应急响应机制是缺失的。另外就是目前一些区块链项目对安全理念的理解不够,对待安全公司也不够友好。Odaily星球日报:派盾做区块链安全公司的优势所在是?蒋旭宪:目前做区块链公司的不算多,国外的安全公司比如有QuantStamp,专于智能合约的安全审计协议,还有采用“形式化验证”方式的CertiK等。国内的比如有慢雾科技、成都链安科技。在区块链的安全领域,每个安全公司有自己的切入点。对于派盾来说,首先我们是由数据分析来驱动,是从草堆里找绣花针,通过将链上的数据进行整理分析汇总,来发现有哪些安全问题存在,哪些安全问题更值得去关注。之前有提到过,我们现在手头上有上百万个智能合约,我们通过对这些智能合约整理汇总分析后,主动地查找安全问题或隐患。比如我们之前发现的可以无限生成代币的漏洞就是这样发现的。第二就是我们关注的是区块链生态的各个环节的安全问题,比如交易所、钱包、矿池等的安全问题。再一个就是我们团队的核心成员不少是在美国拿到了计算机专业的博士学位,也有不少是在国内一线互联网公司拥有多年的实际工作经验,算是学术背景和工业界经验兼具,所以拥有前瞻性的国际视野,对区块链行业的全球把握相对也比较准。Odaily星球日报:我们是如何选择曝出漏洞的时间?蒋旭宪:原则上来说,只要漏洞没被利用,我们会先与项目方进行沟通,等待他们修复漏洞。如果漏洞被利用,那么我们会选择将漏洞公开。比如我们曝出的以太坊“致命报文”漏洞,我们发现漏洞后,先与以太坊基金会做了沟通和协商,等漏洞修复完成才予以公开,整个过程超过了一个月。Odaily星球日报:你认为未来区块链技术面临的潜在安全危险是什么?比如量子计算机等新技术的发展,对于此你怎么看?蒋旭宪:量子计算机技术不断升级的同时,区块链技术也会持续发展。我认为安全威胁会以你想不到的角度出现,比如很有可能是降维攻击。但就目前而言,我个人认为区块链最大的问题,是在POW机制下的51%算力攻击,毕竟公链的安全风险涉及到的不仅是某个项目方,而是会波及整个生态。另外,公链底层的节点安全问题也很重要。比如360报的EOS“史诗级”安全漏洞;还有PeckShield之前报过的以太坊“致命报文”漏洞,可使三分之二以上的geth节点瞬间停摆,要知道,节点的背后有可能是交易所、矿池、和钱包等。我是Odaily星球日报的齐明,探索真实区块链,项目交流、爆料请加微信qingmoruoshui,烦请备注姓名、公司、职务。转载/内容合作/报道联系report@odaily.com;违规转载法律必究。
黄立成宣布将发起ApeCoin提案收购BAYC、MAYC等蓝筹NFT:6月22日消息,“麻吉大哥”黄立成在社交媒体宣布将发起ApeCoin AIP提案,拟收购1000枚“无聊猿”BAYC、2000枚“变异猿”MAYC、以及一些CryptoPunks蓝筹NFT。黄立成表示将会把这些NFT捐赠给全世界的博物馆,并询问社区是否还要增加购买其他NFT项目,据悉该提案将由ApeCoin特别委员会成员Bored Ape G撰写。此前黄立成曾发文称ApeCoin DAO的架构存在一定问题,过于中心化,导致DAO的投资愿景无法实现。[2023/6/22 21:53:54]
ApeCoin:正在起草社区使命宣言,投票窗口将于美东时间3月15日关闭:金色财经报道,ApeCoin在社交媒体宣布,目前正在起草社区使命宣言,该宣言将为ApeCoin DAO具体要做的事情提供了明确的方向,以及当ApeCoin授权社区塑造Greater Metaverse未来时开启关于APE文化代表什么的持续对话。ApeCoin表示社区使命宣言将支持ApeCoin的愿景,即推动APE作为社区主导的去中心化协议层并将APE文化推向元宇宙,据悉参与使命宣言的投票窗口将于美国东部时间3月15日上午九点关闭。[2023/3/14 13:03:49]
ApeCoin DAO社区关于新增投票“弃权”选项的提案已获通过:2月2日消息,ApeCoin DAO社区关于新增投票“弃权”选项的AIP 200提案以71.76%的支持率获得投票通过。根据该提案内容,除“赞成”和“反对”之外,添加的“弃权”选项可以让社区成员积极参与投票而不必偏袒任何一方,从而使更多APE持有者参与DAO治理。一旦通过,ApeCoin DAO将会尽快添加弃权按钮。[2023/2/2 11:42:47]
Flow市值超越Apecoin、Algorand和BCH:8月6日消息,随着Flow价格站上2.74美元上方创下近两个月新高,其市值已突破28亿美元(截至目前为2,822,862,496美元)并超越Apecoin、Algorand和BCH。市场分析,本次上涨或与Meta宣布旗下平台Instagram将在100个国家/地区推出NFT功能有关,据传Meta或将使用Flow区块链作为其NFT托管的官方合作伙伴。
此前报道,8月4日,Meta创始人Mark Zuckerberg宣布Instagram正在向非洲、亚太地区、中东和美洲的100多个国家或地区引入数字收藏品(以在Instagram上展示NFT),还启动了与Coinbase Wallet、Dapper的集成以及对Flow区块链的支持。(Newsbtc)[2022/8/6 12:06:20]
动态 | PeckShield发布2018年度区块链十大安全事件:01月25日,区块链安全公司PeckShield联合12家媒体评审伙伴,共同评选出2018年度十大区块链安全事件。其中包含,一些影响较为广泛且深远的安全事件,诸如:BEC美链智能合约安全漏洞、EOS“史诗级”安全漏洞、以太坊FOMO 3D阻塞攻击漏洞、BTC超发漏洞以及EOS DApp一系列随机数相关漏洞等均上榜。据PeckShield的统计数据显示,2018年区块链安全事故数量高达138起,造成的经济损失高达22.38亿美元。整体而言,PeckShield认为,现阶段的区块链生态安全现状是令人堪忧的,尤其是随着智能合约和 DApp 生态的崛起,开发者可能会携带大量未知的安全问题入场,给区块链生态带来较大的安全威胁和挑战。[2019/1/25]
本文来自:巴比特资讯,作者:Josiah,星球日报经授权转发。本周四,经过投票,负责验证交易以及执行EOS网络规则的BP同意将RAM的供应量增加一倍。在这个区块链平台上运行app的开发者必须用EOS购买RAM.
1900/1/1 0:00:00近日,投资服务平台ChainStar宣布获得由极豆资本、九天创合资本联合投资的2000万元天使轮融资。Odaily星球日报获悉,该轮融资将主要用于团队扩张、海外市场扩展以及品牌打造等.
1900/1/1 0:00:00编者按:本文系Qtum的Howard叶倍宏讲师,在由掘金技术社区主办,以太坊社区基金会、以太坊爱好者与ConsenSys协办的《开发者的以太坊入门指南|Jeth第一期-北京场》活动上的分享整理.
1900/1/1 0:00:00本周,全球对于数字货币的监管更为明确,区块链和数字货币相关利好政策。市值前6的加密货币均呈上行。国外方面,泰国将加密货币认定为货币+证券,并允许比特币等7种数字货币用于ICO;乌兹别克斯坦、百慕大、日本、韩国等国均出台相应利好政策.
1900/1/1 0:00:00对于加密投资者来说,2018年可能不是最好的一年,仍有不少“玩家”在踊跃入场。最近,有硅谷富豪使用比特币购买了价值数百万美元的昂贵手表、钻石等奢侈品.
1900/1/1 0:00:00ICO咨询公司StatisGroup最近的一项研究显示,2017年进行的首次公开发行中有超过80%被认定为局。该研究考虑了2017年运行的ICO从最初的销售可行性提议到加密交换的最成熟的交易阶段的生命周期.
1900/1/1 0:00:00