文︱艾特
核财经APP1月7日报道区块链向我们许诺,以分布式和防篡改的方式存储和交换有价值的信息。
而历史提醒我们,新生事物初期的野蛮生长,总是伴随着重大安全教训。纵观整个2018年,出现了BTG遭双花攻击、BEC智能合约漏洞、EOS“史诗级”漏洞、以太坊“致命报文”、BTC超发漏洞等重大安全事件。事实证明,那一行行的代码,尚不足以保护人类社会已岌岌可危的信任。
“而面对黑客肆虐,资产被盗,公链与DApp应用在被攻破之前,似乎永远不知道它是否安全。”前360首席科学家、PeckShield创始人兼CEO蒋旭宪博士表示,区块链1.0时代大家对技术本身认知还欠缺成熟,存在双花攻击风险以及私钥被盗的问题;2.0时代随着以太坊平台和大量智能合约的涌现,出现了溢出和阻塞等安全问题;3.0时代随着EOS和TRON等公链的兴起,一些追求高并发TPS的平台开始出现,在落地一些实时性互动的竞猜类应用时,出现了随机数和交易回滚问题等等。
蒋旭宪认为,公链冒出的安全问题,与区块链独特属性相关,特别是在币的承载和币的转移方法上面,成了黑客的天堂。而且,没有久攻不破的公链,只有尚未发现的漏洞。
他强调,区块链领域的安全由来已久,从区块链技术的发展来看,每一个系统以及相关的生态都是非常庞大的,其技术层面也是非常复杂的,把多个技术融合在一起,本身就是很困难的事。安全领域有一个所谓的木桶理论,最短的木板决定了你的安全高度。另外,在用户环节体验设计上,目前来看还有相当高的门槛。用户使用上如果不习惯,就容易犯各种错误。
数据:2032年Web3.0市场规模将达到819亿美元,年复合增长率达44.5%:金色财经报道,据市场研究及顾问公司Acumen Research&Consulting发布的《2023-2032 Web3.0市场预测》报告显示,预计到2032年Web3.0市场规模将达到819亿美元,年复合增长率为44.5%,其中亚太地区的Web 3.0市场将经历显着增长,预计从2023年到2032年的复合年增长率约为47%。另据此前德勤的一份报告表明,由于减少了欺诈并改进了索赔处理,保险业每年可以通过采用区块链技术节省高达 5-100 亿美元的成本。(globenewswire)[2023/4/30 14:35:34]
区块链生态安全亟待加强
核财经:从传统互联网安全换道区块链安全领域,您发现了什么?为什么要做一家区块链安全公司?
蒋旭宪:这反映了我个人的创业思考历程。关于创业的思考由来已久,但很遗憾在国外高校期间,完美的错过了国内的PC互联网阶段。在360期间我主要负责移动端的核心安全能力,算是参与和亲身体会了移动互联网的浪潮。
2017年下半年的时候,区块链行业开始热起来,那时候也是看了很多白皮书,不过市场上更多的是炒币,感觉这个做法根本不符合我的性格,也没有太大的兴趣。相反,当我更多的分析几大公链的底层代码,再结合自己个人的安全背景以及攻防的思维逻辑上去研究,这个层面一下子就吸引了我。
看进去之后,觉得区块链技术确实是一大技术变革,可能会是下一代的互联网核心技术,预计会重构目前的很多行业。同时觉得区块链根本上解决的是信任问题,安全又成了里面最核心的基石。如果安全没做好,信任问题根本无从谈起。所以,我决定Allin。
某以太坊早期投资者14年购入7.5万美元ETH,现浮盈超5300倍:金色财经报道,Coinbase业务主管Conor在社交媒体上称,开头为(0x2B6e)的地址是所有加密货币中最神秘的地址之一。其中,在14年的ICO中购买了价值75000美元的ETH;完全没有接触过的钱包;从来没有进行过一次交易。钱包现在价值4亿多美元,增长了5333倍。仅仅是通过空投,就收到了650万美元的空投(仅初始投资就有87倍)。这是我能找到的唯一未动过的 ICO 巨鲸钱包,想象一下在多个牛市和熊市中持有的精神毅力。尽管更有可能的结果是他们丢失了密钥。[2023/2/27 12:32:25]
核财经:您认为区块链领域面临的安全问题都有哪些?目前,在区块链行业做安全服务的难点和挑战有哪些?
蒋旭宪:从整个区块链行业的生态来说,我认为,里面的各个环节都碰到了区块链自身独特的安全问题。
我们可以分为横向和纵向来看。横向来说,有交易所、钱包、矿池、合约、DAPP等安全问题;纵向来看,有基础设施、数据层、网络层、共识层、激励层、合约层、业务层等方面的安全问题。
在各个维度上,区块链领域面临的安全服务与挑战也是前所未有的。这里我就不展开说了,但需要特别指出的是,目前区块链上攻击的犯罪成本极低,这会间接放纵安全事件的频发,而安全事件往往是突发的、在区块链上造成的资产损失和影响也是不可逆的。另外,黑客玩的是实打实的数字资产,回报率比传统互联网高很多,而惩罚的技术门槛颇高,力度也是明显不足。从另外一个角度看,比较遗憾的是,目前区块链开发者的安全意识和基础技能还是相对薄弱,不少底层合约代码存在较大的同质性,一旦出现问题就会有连带威胁。
BAYC系列NFT近24小时交易额增幅超100%:金色财经报道,据OpenSea数据显示,Bored Ape Yacht Club(BAYC)系列NFT近24小时交易额为722ETH,增幅达139%,24小时交易额排名位列OpenSea第3。[2023/2/6 11:49:23]
核财经:今年新生了不少做区块链安全服务的公司,这个赛道的整体生态如何?行业寒冬里,您是如何思考在这一领域一展所长的?
蒋旭宪:区块链行业目前还处在早期,区块链安全亦是如此。为此,现在说整体生态还为时尚早,不过可以看出不同安全公司的切入点,大概有以下几种:一是链上数据分析和安全预警;二是形式化验证和机器证明;三是安全众测和威胁情报共享;四是传统互联网的安全业务转型。当然,未来还会有新的安全方向和公司不停的冒出来,包括数字资产的反。
随着区块链行业寒冬的到来,也会有不少安全公司被淘汰或者选择转型。我认为要想在安全服务这个赛道掌握核心竞争优势,关键要看:一是能否实时感知行业生态各个环节的运转动态,敏锐洞察可能出现的安全风险状况,并能准确的提供必要的预警和防范;二是能否切实解决生态中存在的安全问题,对行业生态的合作伙伴提供有感知的,且愿意付费的产品和服务。
正视公链安全漏洞问题
核财经:从1.0的比特币,到2.0的以太坊,再到3.0的百链竞发时代,公链成了黑客攻击的所谓天堂。那么,在您看来公链的安全问题主要有哪些?
蒋旭宪:区块链1.0时代大家对技术本身认知还欠缺成熟,存在双花攻击风险以及私钥被盗的问题;2.0时代随着以太坊平台和大量智能合约的涌现,出现了溢出和阻塞等安全问题;3.0时代随着EOS和TRON等公链的兴起,一些追求高并发TPS的平台开始出现,在落地一些实时性互动的竞猜类应用时,出现了随机数和交易回滚问题等问题。
多力多滋将于2月8日进驻Decentraland并分发基于Polygon的NFT等礼品:2月5日消息,多力多滋(Doritos)官方推特宣布,将于2月8日在元宇宙平台Decentraland中推出Doritos Triangle Studios,届时参与用户有机会在8日-10日间获得定制游戏电脑、RTFKT、Meebits NFT、限量版Doritos穿戴设备等礼品。
多力多滋官方表示,所有的mint均在Polygon链上进行,用户无需购买。[2023/2/5 11:48:38]
总之,随着区块链生态的持续发展和逐渐繁荣,一些安全问题也会随之升级,并和业务场景息息相关,黑客实施攻击的手段和形式也趋于多样化。但根本上来说,对公链的核心要求还是需要提供高可靠性、低延迟、和高吞吐量的保障,可以支撑成千上万的各类区块链DApp应用。
核财经:2018年里,我印象中有两起重大安全事件,即5月29日360爆出EOS“史诗级”漏洞和6月15日PeckShield宣布发现以太坊上一个高危安全漏洞,可导致当前60%的以太坊节点瞬间崩溃。您如何看待这些被披露的安全问题的?
蒋旭宪:360披露的“史诗级”漏洞问题,从严谨安全的层面可能会有一定程度的争议,尤其是“史诗级”的媒体渲染,让不明真相的人感到了恐慌。当时的争议在于,安全公司披露和项目方出现了一些摩擦,造成了广泛的行业影响。不过从另一个角度看,当时360选择在EOS主网上线前披露漏洞,确实让大家认识到区块链底层公链存在的严重安全问题。
交互沉浸式数字艺术画廊37xDubai完成逾500万美元融资:12月14日消息,交互沉浸式数字艺术画廊37xDubai宣布完成逾500万美元新一轮融资,迪拜数字资产和区块链投资公司Morningstar Ventures领投。该画廊预计于2023年一季度正式开业。
37xDubai旨在成为艺术与科技的桥梁,其背后的模块化技术可支持快速更新展出数字藏品,为专注于Web3教育、传统艺术、数字艺术、娱乐和社区的市场带来全新概念。(KhaleejTimes)[2022/12/14 21:44:32]
PeckShield发现以太坊上的一个高危安全漏洞,也就是“致命报文”(EthereumPacketofDeath—EPoD)。EPoD可导致60%以上节点瞬间崩溃的问题,其实在6月初就已经发现并和以太坊基金会取得联系,协助其展开修复,真正披露是在6月底,确认该漏洞已经彻底修复后才对外披露的。
我认为,对于一个并未产生危害的严重漏洞,媒体披露的角度会过于夸大其危害性,从而警醒媒体受众加强安全认识,这无可厚非。但作为安全公司,我们可以尽量确保安全问题已经修复完之后再在合适时机进行披露,避免造成不必要的负面影响。
核财经:2018年称之为公链元年,您如何评价过去一年公链项目的安全问题的?
蒋旭宪:其实,回顾整个2018年公链安全问题来看,在生态的各个环节都出现了比较重大的安全事件,包括BTC、ETH、EOS、BCH等。这些公链上的安全问题从某种程度上可以完全摧毁整个公链。我认为,这里面影响最大的还是BTC的超发漏洞。虽然大部分媒体可能并不知晓这个漏洞的细节,该漏洞也没引起广泛的媒体传播,这是因为在这个BTC超发漏洞的处理上,包括研究人员的负责任披露、BTC核心团队的应急响应、最后相关的媒体报道,都是非常专业和值得称道的。但我们知晓这个漏洞的时候还是吓了一跳,也在内部认为这是2018年影响最大的漏洞,即使没有广泛的媒体报道。
每个公链漏洞都有它的特殊性,比如说以太坊的“致命报文”、EOS节点的“远程代码执行”等等这些安全问题,我认为都在各自公链上有它的独特性,但也有某种共通性。另外任一公链层面的安全漏洞,因为会影响到上面运行的所有DApp应用,所以他们的重要性必须给予足够的重视和关注。
DApp被薅公链亦成殇
核财经:公链的核心价值是应用,如您所说,公链层面的安全能影响上面所有的应用。为此,其自身应该采取哪些措施,以保护DApp应用的安全性?
蒋旭宪:这个问题我们内部有不少讨论。2018年暑假的时候,Fomo3D游戏火爆,当时攻击者做了一个阻塞攻击之后,把奖金池里面的钱全取走了。类似的攻击也出现在了其它Fomo3D类游戏,比如LastWin。这种阻塞攻击利用的就是公链本身设计的某一个特定环节。而且修复这些漏洞的成本也是很高。本质上说,2017年底的以太猫和2018年中的Fomo3D游戏,暴露了底层以太坊公链技术存在的不足,也就是TPS和响应时间等方面都不够理想。从保护DApp的角度看,期待以太坊公链2.0以及其它竞争公链在自身设计上,应该有一种机制能够防止这些所谓的阻塞攻击。
在EOS的公链,为了有效支持DApp应用,有一个有趣的设计,那就是延迟交易。这一点上,我觉得EOS还是值得赞赏的。通过延迟交易,DApp可以用一个未来的数据来充当随机数,这样就能够形成一个比较可靠的随机数生成,保证了谁也没法预测。这个也是目前各种EOS竞猜类DApp游戏当中,大部分都采用的随机数机制。
核财经:上个月,BetDice因交易漏洞损失近20万EOS。在EOS上,盗币事件屡被诟病,您对此有过哪些关注?为何EOS公链上的盗币事件如此频发?
蒋旭宪:这确实是个很严重的问题。我们内部梳理过EOS上线以来发生的所有安全事件,包括背后的漏洞原理分析、攻击流程的还原、攻击者的定位、获利情况、和最后不正当获利的资金流向等。分析其过程:一是有助于我们更好理解当前行业的现状;二是理解攻击者的能力,有助于我们更好去检测、阻截这些攻击者。也只有这样,我们才能更好的保护DApp开发者和用户。
但为什么现在EOS盗币事件这么频繁?我认为,一是EOS在某些方面的设计,虽然使得这些DApp的开发门槛相对较低,能吸引更多的开发者进来,但由于,它确实是一种新鲜的编程和运行环境,开发者对其认知程度,包括相关的安全考量和影响,我认为还需要时间沉淀。目前的现状是,在某些开发者和开发环节上确实难免会出现疏漏,在单点上也是容易被攻击者利用和攻破。
现在EOS公链上,更多的是竞猜类游戏,而竞猜类游戏又特别容易汇聚资产。有资产之后,资产会对黑客有更大的吸引力。攻击者一进来,就造成目前看到盗币新闻比较频发的问题。必须承认,目前的攻防现状上,攻击者是走在安全防守者的前面,他们甚至比防守者更快定位到哪些有安全漏洞或者安全问题的DApp。
最后,我们发现,在梳理攻击者最终所得的赃款流向的时候,特别是努力帮助开发者追回资金的时候,我们发现黑客的犯罪成本很低,因为目前适用的法律法规还不完善。在EOS上,虽然有ECAF的社区治理机制,但在时间的响应、流程上,我认为还有很大的空间可以改善。
核财经:现在,许多基于公链开发的DApp项目方都会担心会安全问题。从安全角度来讲,你认为DApp项目方应该如何提高自身的安全系数?
蒋旭宪:很多开发者在开发相关DApp的时候,或许因为沿袭了以前在传统互联网或移动互联网的开发模式,为了尽快推动业务上线,在安全方面没有第一时间重视,在安全应急响应流程上也是缺失。
我一直强调在区块链行业,安全一定要先行,而且需要在业务里面第一时间考虑进去。开发者在设计DApp的时候,在整体架构上就需要有安全意识和相应的安全模块。比如在开始设计合约的时候,如果出现了安全问题,应该会有怎样的应急流程和具体的响应机制。我认为好多DApp开发者根本就没思考过这个问题。一旦出了问题,他们可能就懵了。另外,DApp开发者术业有专攻,建议项目方和专业的安全团队建立有效地互动,包括合约上线之前的审计、遭遇攻击事件时的应急响应等等。最后尽量利用社区的力量,用社区的经验避免自己去踩同行以前踩过的坑。同时,也希望把发现的安全问题尽量回馈给社区,让社区都知道有类似的问题。我接触过很多类似的安全事件,别人踩的坑下一个项目方又去踩了一次,这让DApp开发者更加伤痕累累,我认为这个成本是有点高的,也没有必要。
忍耐与等待是智者的选择,急躁慌张是莽夫的本性。没有波动时候冒进不过是等待行情审判,无意中选了一条路,无奈中带着挣扎,退一步太憋屈,进一步太迷茫,市场往往是这样看不懂的时候老想动,看懂的时候总犹豫.
1900/1/1 0:00:00文︱艾特 从币圈的暴富与幻灭到亦来云的追捧与声讨,顶着一头花白头发的陈榕在币圈“火”了。事实上,在传统世界里,陈榕并不缺少光环.
1900/1/1 0:00:00本期核财经创业一线邀请到的嘉宾是天算基金的创始人兼CEO汪波先生。汪波先生是天算基金会创办人,原Factom联合创始人、网录科技联合创始人.
1900/1/1 0:00:00关于K线和技术指标信的人以技术为王不信的人完全嗤之以鼻,在这里我说明一下K线和技术指标反映的是历史的交易数据和行情走势,并不能预知未来的走势,下一分钟是涨是跌概率都是一样的都是50%.
1900/1/1 0:00:00截至2018年5月3日24时,全球数字货币总市值为4474.59亿美元。在中国,持有数字货币的人数可能达到近500万.
1900/1/1 0:00:002014年3月,当AngelList联合创始人兼CEONavalRavikant写下"TheBitcoinModelforCrowdfunding"这篇著名的讨VC檄文时.
1900/1/1 0:00:00