宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 中币 > 正文

金色观察|那些关于区块链安全的正事和趣事?

作者:

时间:1900/1/1 0:00:00

自从加密货币出现,安全问题就没断过,这似乎和大家认识到的区块链“安全性”有些落差。这种密码学的机制是否足够安全?主要的问题出在了哪里?

10月中旬,笔者参加了西安SSC安全峰会,这是中国互联网界的安全盛会,以安全主题为核心,并且会议的组织者、参会者都与安全相关。

在峰会的区块链安全论坛,我们与论坛的组织者零时科技团队聊了聊用户尤为关注的安全问题,区块链安全猛于虎。但这个严肃的问题也包含了很多看似有趣的趣事。

以下为受访者零时科技CEO邓永凯和金色财经记者王航对话时的自述。

图为零时科技CEO邓永凯在西安安全峰会演讲中

金色财经记者王航:我看到零时科技的官网现在有三个产品,其中还包含两个工具,这些是什么时候做的?

零时科技CEO邓永凯:我们开发的第一个产品是智能合约安全自动化检测工具,现已免费开放给C端用户,我们将一些基础并重要的安全审计逻辑做成工具后开放了出来;另外一个是基于EOS DApp的防火墙,以SDK的形式存在,当合约接入SDK之后,有异常的一些交易就可以预警并阻断的。

金色财经挖矿数据播报 :BTC今日全网算力上涨3.48%:金色财经报道,据蜘蛛矿池数据显示:

BTC全网算力154.522EH/s,挖矿难度23.58T,目前区块高度680894,理论收益0.00000630/T/天。

ETH全网算力558.595TH/s,挖矿难度7137.91T,目前区块高度12325907,理论收益0.00350625/100MH/天。

BSV全网算力0.728EH/s,挖矿难度0.10T,目前区块高度684805,理论收益0.00123484/T/天。

BCH全网算力2.525EH/s,挖矿难度0.30,目前区块高度685324,理论收益0.00035644/T/天。[2021/4/28 21:06:08]

对于安全审计来说,智能合约安全审计也类似与传统安全的源代码安全审计,如果全靠自动化其实不是很靠谱,因为机器规则是死的,有些涉及到业务逻辑上的问题,业务上的问题缺陷,自动化规则是无法审计的。即便是形式化验证,也是需要有一定的判断依据的。自动化工具可以作为辅助,比较隐蔽的问题,需要人工去通过经验去判断出来的。

金色财经行情播报 | BTC小幅反弹回落,整体震荡:据火币行情显示,昨日晚间BTC最低至10833USDT后开始反弹,今日上午最高触及11173.59USDT开始回落,局部价格在11000USDT附近徘徊。日线图已连续整理三日,乖离过大得到调整;4小时图在10900-11200USDT区间构成区间整理;1小时图单根K线波动幅度增大,多空博弈激烈。截至10:00,火币平台的主流币的具体表现如下。[2020/7/31]

我们开放智能合约检测工具的目的是,让用户可以自己把合约代码传上去进行免费检测并且获取审计报告,如果需要更详细的审计,可以再联系我们,结合人工一起做审计,发现安全问题,避免资产损失。

金色财经记者王航:一般情况下,你们的审计流程是怎么进行的?

零时科技CEO邓永凯:首先,我们拿到用户的审计需求,先用团队内部安全审计工具过一遍,工具是一个辅助,然后是人工按照审计列表将常规漏洞点审计一遍,第二个就是涉及合约是什么业务场景、业务规模、业务逻辑。然后业务的描述,再去看代码里有没有和描述功能不一致的问题。例如说会不会被薅羊毛,币有没有被锁,权限设置错误问题,会不会增发了以及无限铸币等等。

金色晨讯 | BCH网络升级将增加两项新功能,ETC就支持PoW发起提案:1、比特币安全专家:比特币和以太坊只有在完全失败的情况下才会被取代

2、阿联酋社区发展部将为区块链竞赛拨款1.63万美元

3、BCH网络升级将增加两项新功能

4、Mark Yusko创始人:比特币是解决“通缩死亡螺旋”的良方

5、委内瑞拉最大的连锁百货公司开设首台比特币ATM

6、Cinnobe前加密货币主管:比特币供应可能会超过2100万

7、英国和欧盟进行结构性关系重建的最后冲刺可能以区块链为核心

8、媒体:韩国民主党议员提交的加密法规或在2020年6月前生效

9、ETC就支持PoW发起提案。[2019/10/7]

因为智能合约的特殊性,加之当前defi项目中业务逻辑的复杂性,所以,我们所有的代码审计都是要经过交叉审计的,多个审计人员交叉审计,有哪些问题提出来,然后相互审查,看他们审计的问题是不是重合的点。不同的人审计切入点是不一样的。 所以交叉审计可能会发现更多的问题。

金色财经现场报道捕手志创始人、主编李曌:区块链投资是价值投资者转移为共识投资者:金色财经现场报道,在2018中国区块链高峰论坛以“用什么姿态拥抱区块链”的圆桌论坛上,捕手志创始人、主编李曌表示,“区块链行业的投资是从价值投资者转移为共识投资者,现在区块链行业的投资出现了一体化投资,在区块链领域观望不如去尝试。”[2018/5/20]

金色财经记者王航:目前你们的业务客户主要是哪些角色? 

零时科技CEO邓永凯:大部分的公链生态客户主要是交易平台和公链项目,联盟链生态客户主要在传统金融行业及政企领域,其中交易平台的安全最为复杂。

比如说交易平台,从它本身的产品业务到移动端APP、web网站、资产钱包,还有账户体系,因为它是中心化的,大部分安全问题跟传统安全是一样的,但在钱包和资产管理比较特殊。在交易平台的安全服务过程中,除了对业务的安全测试,渗透测试,我们还会进行社会工程学攻击,钓鱼攻击等,还有特别值得一提的是,我们做最多的出现问题的都是办全问题上。

金色财经现场报道,Liam:欧洲的执行效率较低:在2018年世界数字资产峰会(WDAS)暨FBG年会上,大会邀请来自欧洲各地的企业项目前来针对区块链在欧洲的现状进行探讨。来自Alphabit的Liam表示,在效率方面,欧洲与亚洲还会有一定的差距,就像亚洲的一些区块链项目方,当他们决定去做的时候,他们往往会非常有效的去执行并且做完,但相对而言欧洲的一些项目组往往需要花几个月的时间来进行探讨,一年多才可能执行去做一个项目。[2018/5/3]

其中的社会工程学攻击,是通过一些非常规的手段去检测目标的弱点,最容易出问题是他的办公网,我们曾经审计的几家交易所都是通过办公网打进目标系统的。方式很多,在跟目标客户获得授权的情况下,例如可以去目标的办公地点,但很多交易所找不到他的办公点的。确定地点之后,我们可以去拜访他们,可以将一些准备好的设备,例如改装过的数据线、鼠标,贴上名字的U盘等,在不经意间这些设备被使用后,就可以控制他们的网络或者主机,如果这些主机是可以连到交易平台业务后台,或者是有权限操作钱包,基本上就可以控制目标资产和核心数据了。

这就是社会工程学攻击,利用的都是人的失误,以及人性的弱点。例如攻击者需要进入工作地点,可以因为商务需求,可以依靠工作人员,或者伪造工牌、门禁等,最终进入目标网络。

还有其他的方式例如仿冒WiFi,我们伪造一个WiFi让受害者连接,或者仿冒大量跟目标WiFi一样的热点让受害者连接,或者直接让目标WiFi无法工作,目的就是让受害者连接我们的WiFi,受害者随便连一个就是我们伪造的,受害者输入后密码就被我们拿到了,从而可以持续的进入目标网络,窃取数据。

甚至于攻击方式还有针对打印机,打印机一般都是很少有人关注的,但现在的打印机都比较智能,会把历史打印扫描的文件存储一段时间,而有些人会把助记词打印出来,有一个展示案例就是,目标客户打印机可以配置邮箱,将打印的历史内容统一发送到制定邮箱。

对于办全的问题,技术人员可能还好,但是行政、财务、商务人员可能基本上没有什么安全意识的,可能杀软件都不装,补丁也不打,简直相当于当街裸奔。我们之前的一个案例,就是一个客户的财务人员电脑中病了,财务人员电脑可以操作钱包,钱包的90多万美元被盗走了。

所以,安全从业者总有办法在授权的情况下进入目标网络,从而接触并控制目标数据和资产,那么此时就需要极高的道德要求,必须是“正义的hacker”,我们就是。

金色财经记者王航:那交易所这一类交易业务集中,资产集中的平台如何做安全呢?

零时科技CEO邓永凯:交易所的安全问题,它是一个面,不是单点,只有整个业务面都做到尽可能安全的情况下,整体的安全性才能提高。木桶原理非常明显。尤其混入的这种社会工程学和钓鱼攻击的特征之后,例如交易所对外的商务人员肯定很多,这些风险都是不确定的。

安全问题类别也很多,我们团队做安全攻防这么多年来,攻击者的攻击技术在提升,我们的安全防护技术也在在提升,白帽子漏洞挖掘技术在提升,恶意黑客的技术提升更快。甚至于恶意黑客可以直接在地下市场够买一个0day漏洞(没有防御方法和补丁的新漏洞)就可以直接攻破一些系统。

还有一个方面就是资产安全管理,钱包安全配置,资产及交易风控,例如有些攻击盗币,在不正常的时间内,在不正常的交易数量等,对这些异常行为需要有风控系统,第一时间对异常交易进行预警,或者直接拦截交易。

另外对于异常转账的地址,也可以做到前期筛查,对可疑地址做内容关联或者地址画像。例如暗网的地址、黑客的地址、勒索软件的地址、地址、钓鱼网站的地址等。

我们的“数字资产及交易安全系统(AML系统)”就可以提供这些风控功能的API,可以把这个接口给交易所,如果这种恶意地址产生交易的话,及时进行预警并配合交易所风控措施进行资产及交易的保护。

金色财经记者王航:对于公链安全的理解有什么不同吗?

零时科技CEO邓永凯:正常情况下,公链代码都是开源的,开源也可能出现问题,例如社区每一个人都可以贡献代码,当提交了一个代码提在分支上面,然后官方把分支打包进去了,打包进去之后,但这个代码是个隐藏非常深的后门,此时项目中就引入了一个定时炸弹,可能过了半年之后,全部资产就被转走了。

比如今年7月,RVN项目的盗币事件,三行代码价值4000万人民币,就是典型的因为开源以及安全意识缺失导致的安全事故。

安全问题是一个很多元化,且复杂的问题,特别是区块链领域的安全问题,更是复杂。加强所有人的安全意识,是一个非常重要的事情,所有的漏洞都是人为造成的。

金色财经记者王航:最后请您聊一聊区块链安全审计的原则。

零时科技CEO邓永凯:首先,第一点是责任和信任,客户信任安全团队可以找到安全问题且不影响自身业务,安全团队必须对客户的需求负责人,尽可能多的发现问题并提出安全解决方案,协助修复。

安全领域的人都是心怀正义的,如果没有正义感你就做不了合格的白帽子(正义的安全技术人员),无论在任何时候都得坚守原则,确保团队不做错的事情,一念成佛,一念成魔。

标签:区块链CEOWIFI比特币区块链币是什么币Doge CEOWiFi Map比特币是什么时候有的

中币热门资讯
让区块链技术赋能党建智慧化

10月15日,区块链党建系统交流研讨会在上海电信培训中心举行,中国电信直属党委张俊处长、李鑫业务经理及研究院党群工作部刘晨明主任、新兴信息技术研究所梁伟副主任在京远程接入;江苏电信党群工作部彭波、安徽电信党群工作部黄金平、北京电信党群.

1900/1/1 0:00:00
数字人民币正内测有限匿名交易方案

深圳数字人民币红包试点正在如火如荼的进行中,而移动支付网也独家获悉,已有机构正在测试有限匿名交易方案,即支付完成之后,交易记录便无法得知该交易的商户,只有较为模糊的交易类型.

1900/1/1 0:00:00
资金逃离中心化平台?冲高回落的DEX在等风起

一个月前DeFi风头正劲之时,SBF曾预测“DEX交易量激增是流动性挖矿激励下的非理性繁荣,不会持续太久”.

1900/1/1 0:00:00
Filecoin 将释放 25% 区块奖励 「困在质押里」的矿工有多难?

短期内 FIL 的质押依然是个问题,官方借贷平台的建立或成关键。18 日早间,协议实验室在 Slack 发布消息透露,或将于下周三 / 周四进行改进提案 FIP-0004 的升级.

1900/1/1 0:00:00
央行数字货币全取代现金吗?专家:二者将长期共存

随着多国计划研发或开展落地测试,央行数字货币渐行渐近。国际清算银行近期发布报告指出,今年是央行数字货币崛起的一年,截至7月中旬,全球至少有36家央行发布了数字货币计划.

1900/1/1 0:00:00
以太坊在美国大选中扮演着重要角色

以太坊预测市场正变得非常受欢迎。Polymarket在选举市场上的交易额达到500万美元。美联社正在使用以太坊公布总统竞选电话。美国总统大选正在如火如荼地进行中,占据了全球新闻头条.

1900/1/1 0:00:00