文|Aesop,郝方舟編輯|郝方舟新一年的鐘聲剛剛敲響,屬于2019的喧囂、瘋狂、奇跡、感動正在開啟。2018,作為區塊鏈行業媒體,Odaily星球日報既陪伴了區塊鏈行業瘋狂的從零到一,也見證了非理性繁榮的泡沫破裂。有人感嘆,這短暫卻精彩的時代片段,再也無法被復制了。因此,我們希望記錄下那些行業親歷者、開拓者的真實聲音,為行業的探索者、守望者指引前路。《2019大佬說》是Odaily星球日報推出的區塊鏈訪談欄目,我們采訪了50余位區塊鏈行業引領者,將訪談精華整理沉淀為系列文章。穩固的基礎設施和完善的生態服務是判斷區塊鏈是否晉升成為“產業”的一項標準。對于滿載價值而不只是信息的區塊鏈網絡,既從屬于基建又可歸為服務的“安全”就像站在一串“0”前面的“1”。今年年初,日本大型數字貨幣交易所Coincheck遭攻擊,超過5.2億美元的新經幣被黑客洗劫。4月,黑客借道智能合約中的整數溢出漏洞轉出大量美蜜,引發市場拋售,BEC價值幾乎歸零。5月,因超級節點競選而備受關注的EOS被曝出“史詩級漏洞”……交易所、公鏈與智能合約的接連失守,不禁讓人回問,區塊鏈安全嗎?Odaily星球日報今年接觸了庫神、慢霧、派盾PeckShield、360、CertiK、曲速未來、知道創宇、成都鏈安、長亭科技、安全鏈SECC等向區塊鏈世界提供安全服務的企業。我們發現:和區塊鏈技術一樣,區塊鏈安全服務行業還處于早期階段。風險是小概率事件,短視與僥幸減弱了付費意愿,熊市又降低了客戶的付費能力。僅靠用戶教育,很難快速拉升安全服務需求。相關法規與標準或成為強推力。攻防雙方的戰場是匯集財富的“法外之地”。黑客擅長在“防護木桶的短板”游擊、“名利雙收”后還無處追責;安全服務商需要全線布防、“替人消災”卻常被懷疑,雙方顯然不是同一心態。近日,Odaily星球日報再次邀請到庫神COO張玉、派盾科技PeckShield創始人蔣旭憲、知道創宇創始人趙偉、慢霧安全團隊、CertiK聯合創始人顧榮輝,用五問五答盤點區塊鏈安全過去這一年、展望未來的風貌。以下為整理編輯后的問答精華,enjoy~
美國10年期國債收益率升至3.45% 續刷2011年以來新高:6月15日消息,美國10年期國債收益率升至3.45%,續刷2011年以來新高,日內當前漲超9.0個基點。兩年期美債收益率維持超過6.0個基點的漲幅,徘徊于日高3.435%附近。(財聯社)[2022/6/15 4:26:53]
Q1.今年在區塊鏈安全領域,讓您印象最深刻的一件事是什么?這件事在哪些方面影響了人們對區塊鏈的認知?張玉:今年1月份的NEM被盜事件,當時大概價值五億多美金,確實是整個區塊鏈行業里金額最大的一次。對這個事情印象比較深刻,等于這開啟了一連串的交易所被盜的序幕,某種程度上也影響了大家對這個行業的信心,間接影響了今年的市場走向。大家對安全重新進行了思考,因為之前大家可能感覺區塊鏈技術上比較完美,但其實也存在安全隱患,因為資產畢竟是保存在客戶自己手里。這跟傳統世界資產由中心化機構來保證是不一樣的。蔣旭憲:4月下半旬,美鏈BEC的智能合約漏洞。資產縮水,幣價歸零,我非常震撼。我從來沒想到數字資產一旦出現事故,影響會這么大。區塊鏈自帶金融屬性,和傳統的互聯網安全玩法完全不一樣。之前,更多是設備被黑可能影響到業務數據方面。但是在區塊鏈里,交易所、token、智能合約……全是安全問題。趙偉:過去一年就很亂!我印象最深的是新經幣事件,攻擊者把新經幣賣了狂砸盤,導致新經幣差點清零,這是到現在為止最大的一起盜竊。這件事讓人們認識到安全的重要性。安全是“1”,沒有安全,后面數字再多也是“0”。人們還發現,區塊鏈以前號稱的安全,只是某種意義上的安全。交易所和錢包還是集中式的,不是鏈上分布式的。但安全遵從著木桶效應,你的最短板就是黑客最容易攻擊的地方。慢霧安全團隊:3月20日的以太坊黑人節。我們團隊3月1日開張,在跟進這個問題時發現,地下黑客在這方面的攻防形勢是非常嚴峻的,黑客不需要知道任何錢包相關信息就可以把用戶的錢都偷走。這是之前從未出現過的遠程攻擊。這次事件造成的損失也非常嚴重,5萬多個以太坊被盜了。以前大家都在關注智能合約,沒有人關注節點層面的安全問題。節點操作不當的話也會出現非常大的損失,并且這種攻擊方式不需要知道你的任何信息,僅僅通過一行命令就可以把你的錢全轉走。顧榮輝:4月以太坊智能合約ERC-20中BatchOverFlow漏洞被黑客利用,對BEC和SmartMash兩個智能合約進行攻擊。前者導致市場恐慌,大量拋售BEC,64億市值短時間內蒸發;后者使得SMT在各大交易所平臺的交易暫停。人們逐漸意識到區塊鏈安全問題的重要性,少數公司能夠自己檢測到安全漏洞。但公鏈的安全性應該怎么保障,由誰來保障?現有的技術還不夠成熟,而目前區塊鏈安全領域的公司較少。Q2.能否簡單總結下區塊鏈安全服務行業的生存現狀。行業目前遇到最大的困難是什么?2019該如何突破困境?張玉:區塊安全服務行業還處于比較初期的階段,因為大家都還在探索商業模式。遇到最大的困難是用戶對安全的認知不清晰,安全教育工作也比較初步。安全是貫穿于資產的生產、存儲、交易全過程的。我們一直通過公眾號上知識問答、漫畫等內容來向大眾普及安全。蔣旭憲:首先,現在的區塊鏈安全行業,攻擊者是強于安全保護者的,甚至強于生態建設者。第二,整個行業還處在野蠻生長階段,空氣幣、傳銷甚至跑路,都給真正做事的那一方增加了輿論壓力。第三,區塊鏈行業本身門檻比較高,為了發展又需要接納新用戶和開發者,所以有產品落地的問題。行業最大的問題是安全事故節奏太快,我們有點應接不暇。從生態來說,我們對區塊鏈合約的理解可以再提高,開發者安全意識和技能還可以改善,安全公司任重道遠。黑客攻擊也有助于安全服務生態的建設。趙偉:區塊鏈行業泡沫太多,所以準定要經歷泡沫的再壓縮。壓縮也會影響到安全服務行業,我們能服務的客戶減少了,但也留下了更優質的客戶。相對而言,安全服務業算是受熊市影響較少的。區塊鏈安全服務目前遇到的困難是要保護的環節太多,從幣的產生、發放到流通、持有等等,每個都要做到位,生態才安全。行業所服務的對象也有些變化,今年全年主要圍繞公鏈,年初和年中的智能合約審計多些。慢霧安全團隊:2018年之前,無論在國內還是在國際上做這一塊的比較少,今年很多之前做傳統安全的轉型到區塊鏈安全,但是這個行業還沒有達到飽和,依然在發展。但是蓬勃發展后,都會進入類似紅海的階段,需要大家進行差異化競爭。比如現在經常有客戶問我們:你們和別人有什么不一樣?所以后續大家需要進行差異化競爭,不斷提升自己的硬實力。顧榮輝:人們對區塊鏈安全的了解過少。本身這個領域要求很前沿的技術,進入門檻高。市場上有太多打著“形式化驗證”旗號的公司,真正能做到“深度規范”的幾乎為零。目前比較主流的解決方案是使用眾包平臺對智能合約進行篩選。這種基于人力的驗證和審計往往成本巨大。對于每份智能合約而言,這種定制型解決方案也許很奏效,但顯然,巨大的市場需求無法就此滿足。由于信息不對稱,消費者缺少安全領域方面的必要知識,不能很好區分真正具備技術的公司。我們十分希望能夠有更多的業內人士通過與我們的合作真正了解形式化驗證。Q3.外人看來,攻方似乎更容易“收獲名利”,那么守方的信仰是什么?是否曾有動搖的瞬間,或被黑客“誘惑”過?蔣旭憲:我從沒想過這個問題,我覺得也不要想,因為我們工作在安全第一線。我們也從沒聯系過黑客,只是從黑客思維去理解他們為什么這么想。趙偉:我們年輕時就入行了,做安全行業不是為了發財有名啊什么的,而是保護別人比較有成就感。我們看好的是創造一份持久的事業,而不是這點錢。比特幣第一代參與者很多都是安全人員,我的幾個朋友每人都持有40萬枚,沒必要去偷去搶。如果是真正的安全行業高手,是有能力靠自己的技術掙錢,不需要做黑客偷別人的。我們都是從10年、11年開始玩,那時候比特幣才五美分。慢霧安全團隊:其實我們做安全本身就是出于自己的愛好。在我們安全圈內有句話叫“未知攻焉知守”,指的是做安全肯定要知道怎么去攻擊。我們的成就感在于給客戶發現更多的漏洞。其實黑客做了壞事都能被抓到的,只是說抓你的成本有多大,值不值得。我們在篩選團隊時就會看對方價值觀能不能被我們接受和認可,如果是那種動搖的人,我們就不會讓他進來。Q4.區塊鏈安全和互聯網安全最大的不同是什么?張玉:互聯網資產基本是在中心化機構手中,中心化機構承擔安全的責任。中心化交易所在面臨安全問題時,還達不到互聯網的安全級別,區塊鏈資產在用戶手里面,所以用戶要承擔安全責任。蔣旭憲:數字貨幣天然有金融屬性,用戶影響和用戶感知會更強一點;互聯網安全偏重用戶隱私,但沒有這么明顯的密集損失效應。區塊鏈的安全攻防會更激烈、節奏更快。趙偉:首先,區塊鏈的運行本身就有現金流,所以安全的重要性高于其他行業。但問題在于需要用到熱錢包、交易所等中心化的東西,這些短板在放大安全的缺陷。然后,要說到黑客,俗話“不怕賊偷,就怕賊惦記”。有一些犯罪分子把這個行業當成提款機。再有呢,一旦在區塊鏈上丟了東西,就真的完了,因為是去中心化和匿名的。不像你丟了卡,還可以在銀行補辦。慢霧安全團隊:區塊鏈安全和互聯網安全都會有APP、網站、系統后臺等,差異在于區塊鏈有自己的屬性,也就是共識算力、智能合約、底層虛擬機等。傳統互聯網,比如說開發一個APP,特別注重的是用戶的隱私和身份信息。但是在區塊鏈領域,無論做錢包還是交易所都是和資產相關的,所以區塊鏈公司特別重視平臺的安全、幣存儲的安全。顧榮輝:智能合約是目前最容易出現安全問題的地方。和傳統程序不同,智能合約具有自治,自足和去中心化等特征。智能合約的安全隱患既有傳統的互聯網世界中所存在的漏洞,也有自身獨有的風險點。對于黑客來講,攻擊傳統程序就像閉卷考試,比如攻擊阿里的系統,完全是黑盒攻擊,根本無法走近它的代碼。而攻擊智能合約就好比是開卷考試,黑客可以針對源代碼進行攻擊,極大降低了攻擊難度。在銀行、軍事等高安全級別的系統中,除了線上防護體系,還受系統性安全網絡保障,再加上嚴格的法律監管條文和國家級的追查體系,都抬升了黑客的攻擊成本。而中心化數字貨幣交易所集成了多個角色功能,卻只有一層線上防護體系,一旦被黑客突破,幾乎毫無還手之力。Q5.對于區塊鏈安全,法規和標準意味著什么?蔣旭憲:現在整個區塊鏈監管法律法規還不完善,因為這個原因,黑客攻擊犯罪成本較低。趙偉:很多人覺得法律法規在限制,但你看國內能不限制嗎?凈是一些坑蒙拐騙偷的人搞ICO,最能忽悠的都跑路了,劣幣淘汰良幣。這影響了人們的心態,一旦你覺得掙錢難、騙錢容易,想著一夜暴富,心理弱點就容易被人利用。所以必須要有合適的法規來約束,因為騙子太多了,傻子不夠用。也有人反對約束,認為區塊鏈本身是去中心化的,自身數學就是法規,規則標準由礦機執行。我也覺得這挺完美的,但我發現技術人員多少有些對現實社會的“天真”。總體,法規對安全服務業來說有利有弊。利是如果要求有安全檢測,那客戶對安全都是放在第一位的,必須有安全檢測來加固保護。弊是設置了準入門檻,控制了市場總體量。慢霧安全團隊:法律和標準是為了規范從業者,能給這個行業帶來更多安全。如果不符合這樣一個標準,項目價值會降低,無論項目參與者還是項目方自身都不希望在安全標準之下,這樣就能不斷提高整個行業的安全水平。顧榮輝:用代碼替代法律還需要迭代,安全性最后由人來保障。代碼本身存在漏洞或者邏輯模棱兩可,這個是無法被標準化的,判斷設計者的意圖對錯沒有任何參考標準。
約2120億美元資金在2019年通過USDT結算或轉移:金色財經報道,根據The Block研究分析師John Dantoni進行的研究,2019年通過Tether(USDT)轉移或結算了價值約2120億美元的資金。Dantoni檢查了去年通過USDT進行的交易的總價值,發現最大的季度增長是從2019年第一季度到2019年第二季度,當時USDT的結算價值增加了??220%,從174億美元增至557億美元。[2020/5/26]
2018年在“熙熙攘攘”的區塊鏈安全攻防戰中結束了。黑客出于利益頻繁進攻,白帽子守于道義嚴加防守,雙方比拼誰先找到漏洞。“現在的攻擊者強于保護者,甚至強于生態建設者,但黑客攻擊有助于安全服務生態的建設”,是安全服務人士對目前形勢的判斷。多位業內人士預測,2019年將是“橫盤”的一年。市場的低迷可能“唆使”部分開發者轉為黑客。另一方面,以太坊的升級、多條公鏈的主網上線,又“贈予”黑客更多攻擊目標。區塊鏈世界依然充滿了未知與變數。但我們可以預見,2019年攻防大戰將繼續上演,并且更加頻繁激烈。相關閱讀
星球研報|2018年區塊鏈技術安全服務行業報告你居然還以為區塊鏈更安全,我也是醉了附《2018區塊鏈領域走心盤點》
動態 | CME比特幣期貨合約日均交易量在2018-2019年間增長了75%:金色財經報道,芝加哥商品交易所集團(CME)的現金結算比特幣期貨合約已經運作兩年。截止2019年12月17日,CME已完成約250萬份合約交易。平均每日交易量(ADV)在2018年至2019年之間增長了75%,在2019年5月13日達到創紀錄的33,677張合約。比特幣未平倉合約(OI)在2018年至2019年之間增長了66%,2019年7月1日創下了6128份合約的新紀錄。此外,2019年第二季度和第三季度新增帳戶的數量有所增加,唯一地址的數量從2018年12月的不到500個增加到了3600個。[2019/12/20]
動態 | 2018全年區塊鏈領域融資額超百億美元 較去年增長94.67%:維京資本旗下研究院《2018區塊鏈年度報告》指出,截止至2018年12月25日,全年總體流入區塊鏈相關領域資金為11,624,185,710美元,相較2017年增長94.67%,全年呈現出前高后低的特征,3月募集資金達到一個小高峰,在5月份達到頂峰,11、12月達到最低點。ICO的融資數量、金額、完成度下半年惡化。維京研究院發現,目前目前全球大約有900家加密基金,超過400家的加密投資基金在2017年成立,其中556家為加密貨幣基金,380家傳統基金;在556家加密貨幣基金中,有41%是風險投資基金,47%是對沖基金。在380家傳統基金中,有72%為風險投資基金。[2019/1/7]
毛洪亮:2018以來數字貨幣與人民幣兌換交易額大概是13億人民幣:昨晚,在央視財經《經濟信息聯播》欄目中,國家互聯網金融安全技術專家委員會區塊鏈研究室主任毛洪亮表示,以一個最大的國際化的平臺為例來看。在這上面監測到從2018年到現在,數字貨幣跟人民幣的兌換交易額大概是13億人民幣,占整個平臺總的交易額大概13%左右。國內的交易平臺,尤其是主要的交易平臺,上線的交易幣種相對比較少,目前來看比原來豐富了很多,比如說火幣、OKEX,它們上線的幣種都已經超過了100種。2017年9月份之前基本上就是一般就是3個,比特幣,萊特幣和以太坊。IT社區和服務平臺CSDN副總裁孟巖向央視財經頻道表示,像太空鏈和英雄鏈這種我們可以比較有把握地稱之為空氣幣,占比很難說,但是我覺得在泡沫之下,這個比例是不小的,有可能會超過50%、60%甚至70%。[2018/5/22]
BTC數據日報*分析師觀點*昨日BTC新增地址較前日減少13.54%,活躍地址減少18.28%;交易總量明顯下降,較前日減少38.12%;大額轉賬總體減少23.95%.
1900/1/1 0:00:00原創:WeID:MrCNote平時都會說“別人恐懼的時候我貪婪”,到了人力資本上,怎么一個個都忘了呢。——引言先來看一副圖.
1900/1/1 0:00:00Signzy是一家利用人工智能技術,并通過區塊鏈智能合約進行生物識別的數字化KYC解決方案開發公司,總部位于印度班加羅爾,該公司已經宣布完成了一筆360萬美元的A輪融資.
1900/1/1 0:00:00通證通研究院出品文:宋雙杰,CFA;Linky導讀平臺通證在熊市要經歷戴維斯雙殺過程,純粹的多頭策略無法保證在熊市中獲利,對沖是熊市獲利的金鑰匙。摘要估值是一門古老的投資學問.
1900/1/1 0:00:00編者按:本文來自白話區塊鏈,作者:老白,星球日報經授權發布。主持人:現在,很少有人沒聽說過“比特幣”。但真正懂比特幣的人,就不見得有那么多了。10年時間,說長不長,說短不短.
1900/1/1 0:00:0012.01-12.15期間,全球數字貨幣市場逐步小幅度萎縮,市值在1000-1400億美元之間波動.
1900/1/1 0:00:00