文|李雪婷,郝方舟圖|孔繁星
談到區塊鏈安全,Odaily星球日報認為行業處于“薛定諤的”中間態。攻擊事件層出不窮、安防等級難以量化、風控權責不易劃分……區塊鏈生態參與者似乎一直在“成功被黑”和“還沒出事”間徘徊。行業中既出現過頗具影響的風險事件:2016年6月,以太坊最大眾籌項目TheDAO被攻擊,黑客獲得超過360萬個ETH,后直接導致以太坊硬分叉。2017年7月,以太坊多重簽名錢包Parity出現漏洞,攻擊者從多重簽名合約中竊取超過15萬個ETH。2018年1月,日本大型數字貨幣交易所Coincheck遭黑客攻擊,平臺上價值超過5.2億美元的NEM被非法轉移。近半年,“防守一方”也積累了不少“成功案例”:2018年3月,慢霧安全團隊披露了一起由于以太坊生態缺陷導致的億級數字資產盜竊事件:攻擊者利用以太坊節點Geth/ParityRPCAPI鑒權缺陷,惡意調用eth_sendTransaction,盜取數字資產,持續時達兩年。2018年5月,360發現了EOS區塊鏈系統在解析智能合約WASM文件時的一個越界緩沖區溢出漏洞,驗證了該漏洞的完整攻擊鏈并進行披露,防止黑客最終控制整個EOS網絡。2018年上半年,派盾PeckShield陸續曝出美鏈BEC、SMT、EDU等能合約的重大安全漏洞,并持續發布有關公鏈與交易所的各類攻擊預警。據BCSEC統計,自2011年到2018年7月,全球范圍內因區塊鏈安全事件造成的損失近30億美元。
站在區塊鏈技術架構層級的角度,風險事故最頻發的受攻擊面依次是業務層、合約層、共識層和網絡層。從受攻擊點來看,交易平臺、智能合約和普通用戶成為核心的受害人。
區塊鏈真的比“傳統”互聯網更安全嗎?去中心化系統有經濟機制加防,攻擊目標分散;中心化系統經歷過更嚴謹的攻防測試,安保級別更高。兩者似乎很難橫向比較。單聊區塊鏈技術,其安全的邊界和維度該如何定義?安全服務企業又能向哪些客戶提供何種防護?在區塊鏈生態中,風險是多點、復合的,安全是全流程、多環節的,而技術安全只是其中的一個“組件”。技術相關的風險之外,還有操作風險、道德風險、投機風險、政策風險等,均不在安全服務公司的保護范圍內,故不納入本次的討論范圍。在本報告中,Odaily星球日報將按“事件回顧-攻擊方式-防御策略”的邏輯順序,分析交易所、智能合約、錢包、礦池這些業務場景對應的區塊鏈技術安全問題,并探討區塊鏈安全服務行業的概況與企業案例。目錄I不同業務場景下的區塊鏈技術安全一、數字貨幣交易所安全性分析二、智能合約安全性分析三、數字貨幣錢包安全性分析四、礦池安全性分析II區塊鏈技術安全服務企業概括與案例III參考文獻和相關閱讀IV致謝和免責聲明I不同業務場景下的區塊鏈技術安全
在區塊鏈技術安全范疇中,既有“傳統”互聯網世界中存在的漏洞,也包含區塊鏈獨有的風險點。為方便C端用戶理解,我們在分類時選擇站在安全服務公司的視角,即按行業需求將區塊鏈安全分類。數字貨幣交易所、智能合約、錢包、礦池等場景的背后對應著巨額資產,吸引了潛在的攻擊者,也是安全服務公司的重點保護對象。一、數字貨幣交易所安全性分析
據CoinMarketCap數據顯示,截至2018年7月27日,全球有1690種虛擬貨幣在“二級市場”交易,有12137個虛擬貨幣交易市場在運營。其中,以幣安、Bitfinex、OKEx、火幣等為代表的中心化數字貨幣交易所,既是數字貨幣交易流通和價格確定的場所,也是財富的匯聚中心。
然而,對于中心化數字貨幣交易所來說,其精力重心放在盈利、品牌與生態布局,具體體現在流量獲取、交易深度和產業布局。安防與風控更像是效果不好量化的成本項,因此,被重視程度和投入比例還遠遠不夠。數字貨幣交易所安全事件回顧從2011年6月至2018年6月,發生在數字貨幣交易所的安全事故從未停止。
網易星球區塊鏈聯合網易云音樂、網易天音,發布國內首款AI音樂NFT:近日,網易星球區塊鏈聯合網易云音樂、網易天音,發布國內首款AI音樂NFT,于1月27日、30日、31日晚21點開放領取,至網易云音樂App搜索“拜年”,可免費領取。[2022/1/28 9:19:30]
從表1可見,數字貨幣交易所的安全問題已成為制約其發展的重大隱患。數字貨幣交易所存在的安全漏洞目前中心化數字貨幣交易所最大的安全隱患在于其薄弱的線上防護體系。在傳統金融市場中,證券交易所、期貨交易所等除了線上防護體系,還受系統性安全網絡保障,再加上嚴格的法律監管條文和國家級的追查體系,都抬升了黑客的攻擊成本。中心化數字貨幣交易所集成了多個角色功能,卻只有一層線上防護體系,一旦被黑客突破,幾乎毫無還手之力。通過對表1中安全事故的分析,Odaily星球日報發現,中心化數字貨幣交易所的線上防護體系在網絡帶寬、賬戶體系、支付體系和業務撮合系統等多個環節存在安全隱患。1.網絡帶寬網絡帶寬易受拒絕服務攻擊。DDoS攻擊亦稱洪水攻擊,是黑客通過傀儡機生成大量“合法”請求或模擬多個用戶不停訪問、占用網絡資源的網絡攻擊手法。其目的在于使目標網絡或系統資源耗盡,直至服務中斷,導致正常用戶無法訪問。若數字貨幣交易所遭遇DDoS攻擊,不僅交易所將蒙受巨大損失,數字貨幣交易量也會大大減少,間接影響數字貨幣價格。2.交易所賬戶體系黑客通過釣魚網站、終端逆向破解、植入木馬、欺詐、窮舉、后門、撞庫等手段對交易所賬戶體系進行盜號,轉移用戶的數字資產。在Binance事件里,官方說法是黑客利用釣魚網站劫持了用戶登錄信息,再創建了用于交易的API密鑰,并在2018年3月7日使用密鑰在VAI/BTC市場中進行大筆訂單交易從而推高VIA幣價,之后將VIA轉移到31個賬戶,待最高價時賣出,完成資產的轉移。3.交易所支付體系為防止黑客攻擊,中心化交易所通常會將95%以上的資產存儲在冷錢包中。但為維持支付等日常功能的正常使用,熱錢包必不可少。有關熱錢包的安全風險將在下文數字錢包業務場景中具體展開。4.交易所業務撮合系統交易所外部業務接口以及后臺管理系統并非完美,或存在業務邏輯漏洞。黑客可通過攻擊這些邏輯漏洞來實施非法操作,比如盜取用戶信息數據、賣出用戶資產。數字貨幣交易所如何應對安全漏洞劍橋大學Judge商學院發布的《2017GlobalCryptocurrencyBenchmarkingStudy》曾對數字貨幣交易所安全問題進行研究,并提出相關安全系統架構方案,主要包括“冷熱錢包”隔離、多重簽名、兩步驗證、密鑰保存機制、外部密碼審核機制等,對于數字貨幣交易所的安全防護有一定的借鑒意義。1.組建安全團隊交易所安全團隊需占團隊總人數的13%,需花費17%的預算用于保證交易所安全運行,并建立完善的安全保障機制。Odaily星球日報在采訪安全鏈SECC時,發起人錢科銘也建議各交易所建立自己的安全團隊,或至少要有一位足夠了解交易所風險點的CTO。2.“冷熱錢包”隔離采用“冷熱隔離”機制,將95%的幣值儲存在冷錢包中,只預留5%用于提現等,以此降低可能損失的金額。3.獨立第三方審查聘用外部安全團隊,就外部密碼審核、多重簽名錢包、兩步驗證等方面展開合作。4.進行多重測試智能合約的測試不同于普通軟件的測試,合約的并發能力測試需要得到足夠的重視。同時,由于智能合約的語言在不斷迭代,也要加強復用代碼的管理。二、智能合約安全性分析
傳統的合約需要有獨立于交易雙方的第三方存在,這不可避免地造成交易效率低、成本高。智能合約則利用區塊鏈點對點的技術特性,允許在沒有第三方的情況下進行可信、可追蹤的交易。然而與傳統程序一樣,智能合約也存在安全漏洞。雖然以太坊智能合約提升了交易的可信性,但一旦部署就無法修改的特性為攻擊者創造了機會。從2016年6月TheDAO被盜取6000萬美元,到Beautychain價值歸零、Smartmesh出現類似BEC的重大溢出漏洞,再到近期EOS漏洞允許惡意合約穿透虛擬機、危害礦工節點……愈加頻繁的智能合約漏洞將區塊鏈安全推向風口浪尖。據BCSEC數據,2018年,區塊鏈行業因智能合約漏洞而引發的經濟損失累計為11.6億美元,占區塊鏈安全事故的54.66%,已超過交易平臺事故,成為區塊鏈安全的重災區。
網易推出網易星球數字藏品平臺:1月19日消息,網易星球數字藏品作為基于網易區塊鏈技術的數字化平臺于今日啟動。網易星球數字藏品(又稱 NFT)是基于網易區塊鏈技術,具有區塊鏈上唯一標識特性的數字化內容作品,是作為元宇宙底層系統的基礎支持。網易星球數字藏品平臺致力于使藝術收藏的邊界得以延展到數字世界,不再局限于物理世界,為 IP 方提供數字藏品的合約鑄造、產品營銷、用戶管理等整套的品牌解決方案,也為藏家提供了數字藏品的二次創作、兌換、購買、贈送,及收藏分享等服務。網易星球數字藏品館中的所有作品,都通過區塊鏈智能合約技術完成加密部署,并保存在網易區塊鏈中。[2022/1/19 8:59:16]
智能合約安全事件回顧
智能合約存在的安全隱患智能合約以數字形式來定義承諾。如果在創建過程中不夠嚴謹,容易留下隱患。安比實驗室認為智能合約的安全隱患主要包含三個方面:智能合約代碼中是否有常見的安全漏洞;智能合約是否可信;智能合約是否符合一定規范和流程。360代碼衛士團隊盤點的目前常見的智能合約安全漏洞主要包括整數溢出、越權訪問、拒絕服務、邏輯錯誤、信息泄露和函數誤用等漏洞:
由于智能合約的基石是代碼,伴隨代碼技術的演化,未來將出現更多的安全隱患。智能合約安全漏洞如何應對1.代碼安全審計和升級在智能合約上線之前,交由專業機構團隊對其進行全面深入的代碼安全審計,盡可能的消除漏洞,降低安全風險。并在任何新的攻擊手法被發現后及時的測試和更新。2.設置應急響應智能合約上線后,組建應急響應團隊,設置應急響應機制,比如監控智能合約有沒有異常等交易情況。3.開發驗證工具開發驗證工具包括:一是開發證明輔助生成?具,提?形式化驗證的?動化?平。二是在區塊鏈共識協議中引?必要的形式化證明驗證流程。三是支持鏈下的證明檢查流程等。4.漏洞獎勵機制如果智能合約開發者定期發布一些漏洞獎勵計劃,也將促使區塊鏈行業形成一個健康的生態環境。三、數字貨幣錢包安全性分析
由于歷史數據、網絡同步和使用不便等原因,由個人運行維護龐大的比特幣客戶端來管理資產并不現實。越來越多的數字貨幣資產管理廠商開發了錢包應用或硬件。在數字資產相關各業態中,數字貨幣錢包作為與數字貨幣共生的存儲管理工具,是安全防護最為關鍵的一環。錢包也往往是區塊鏈全產業鏈中最重視安全的,畢竟對于錢包來說,兼顧安全和體驗是核心競爭力。數字貨幣錢包安全事件回顧
數字貨幣錢包存在的安全隱患數字貨幣錢包根據聯網狀態不同,可分為熱錢包和冷錢包。總的來說,在線的熱錢包的安全漏洞要多于永不觸網的冷錢包,攻擊點也更多。1.熱錢包安全隱患熱錢包,又稱在線錢包,可再細分為中心化錢包和去中心化錢包。中心化熱錢包通常面臨兩種安全隱患:一是網絡運行風險,黑客通過網絡漏洞攻擊錢包、以勒索軟件持續威脅,進而轉移用戶數字資產;二是釣魚網站和APP風險,當用戶誤登釣魚網站或假冒APP時,黑客竊取其私鑰和助詞器,造成用戶資產損失。2.冷錢包安全隱患冷錢包,又稱硬件錢包。冷錢包通常會面臨三種安全隱患:一是設備遺失,黑客直接獲得硬件錢包,采取物理攻擊或非侵入式攻擊:二是在交易的操作流程上進行偽造,通過攻破計算機、手機的客戶端軟件,誘騙用戶簽署偽冒交易;三是對硬件系統進行篡改。數字貨幣錢包安全漏洞如何應對1.錢包應用開發商升級錢包系統。重新創建新一版本的錢包,讓用戶將資產轉賬到新的錢包地址,再將舊地址作廢。收集并建立全面的惡意地址庫、惡意合約庫、惡意網址庫以及區塊鏈安全事件庫等。當最新安全事件發生時,及時提醒用戶防范要點。實時監控。當發現用戶向惡意地址轉賬或使用惡意合約時,或發現可能不是用戶本人的操作時,及時提醒用戶注意。2.普通用戶在開發商完成漏洞修補升級版本前,普通用戶應立即換用其他安全數字貨幣錢包,并創建全新的錢包地址,保護并離線備份自己的私鑰,作廢舊地址。使用冷錢包時做到“三個不要”:不要將冷錢包上的二維碼拍照發給別人;不要向任何人交出私鑰或助記詞;不要輕信“客服”、“升級”,或任何“代操作”。四、礦池安全性分析
Borderless Capital完成了1000萬美元的星球基金:11月24日消息,致力于Algorand生態系統的邁阿密風險投資公司Borderless Capital今天宣布完成了PLANETS.Fund,這是一個1000萬美元的基金,專注于建立一個綠色數據經濟。該基金將投資于圍繞PlanetWatch的生態系統,這是世界上第一個建立在Algorand區塊鏈上的去中心化的室內外空氣質量監測網絡。參加PlanetWatch網絡的 \"PlanetWatchers\"或空氣質量傳感器主機因流傳空氣質量數據而得到PLANETS代幣的獎勵。PLANETS.Fund計劃將籌集到的資金用于在全球范圍內部署一個由數千個PlanetWatch空氣質量傳感器組成的全球網絡。該基金還將長期持有PLANETS代幣和股票。(PRNewswire)[2021/11/24 7:07:43]
比特幣等數字貨幣的獲得一般是通過購買,或加入區塊鏈節點挖礦。不過,以現有比特幣全網的挖礦難度,個人礦工很難承受高昂的電力和時間成本,或抵御波動風險。為此,礦池應運而生。普通個人使用礦池提供的專用挖礦軟件,連接礦池服務器,按照算力貢獻獲利分成。據BTC.com數據顯示,截至2018年7月27日,近一年礦池份額排名前六的分別是BTC.com、螞蟻礦池、BTC.TOP、ViaBTC(10.7%)、SlushPool和F2Pool。
因此,礦池作為數字貨幣的上游環節,為廣大個人礦工提供穩定的挖礦收益,其安全的重要性不言而喻。礦池安全事件回顧
礦池存在的安全隱患分析上述安全事件,礦池的風險主要在于DDoS攻擊和扣塊攻擊。DDoS攻擊下,黑客可通過大量合法的請求占用大量網絡資源,達到癱瘓網絡的目的,使得曠工無法正常運行挖礦軟件。扣塊攻擊,也稱藏塊攻擊。通俗的解釋是,礦池的曠工解題成功,但未將“解”回傳給礦池,而是選擇私吞,因此,其他的曠工無法共享此次解題帶來的收入獎勵。當然,礦池也存在其他風險:一是礦池服務器域名被BGP劫持,客戶端加入了假的礦池進行挖礦;二是挖礦服務器中病或被黑,挖礦過程中錢包地址被替換;三是挖礦軟件本身異常導致的數字貨幣錢包地址被替換。礦池安全漏洞如何應對礦池開發者首先,采用高性能的網絡硬件產品,保證網絡設備不會成為限制防御的瓶頸;其次,盡可能地保證網絡帶寬富余;再次,定時優化升級硬件配置,提高服務器的負載能力;此外,選擇專業的DDoS高防服務,將大流量攻擊交給運營商及云端清洗。曠工要從官方可靠渠道下載挖礦軟件,使用專門的挖礦電腦;不要將錢包等重要信息保留在挖礦電腦上。小結一下,上述安全事件造成的影響:1.投資者資產流失,維權困難數字貨幣交易所、智能合約、錢包等安全事件會直接導致投資者資產被竊或減值,且一旦黑客事件,很難追回,在匿名機制下維權困難。2.評級受損,聲譽降低數字貨幣交易所、錢包等遭遇黑客事件后,其在用戶財產保障和應急處理措施的缺陷暴露出來,將影響自身聲譽,甚至一蹶不振。3.市場信心受挫,相關企業存續難大型安全事件通常會造成較大范圍的市場行情波動,引發市場恐慌。受市值暴跌影響,發幣項目的資產減值,承受更大的生存壓力。數字貨幣交易所、智能合約、錢包以及礦池是事故多發地,但區塊鏈安全問題并不僅限于此。底層設計也決定安全性,不過,底層設計不在安全服務公司的業務范圍內。只有區塊鏈項目、用戶自身、交易平臺、存儲工具、安全服務公司多方共同保證安全,數字貨幣和區塊鏈生態才能持續健康發展。II區塊鏈技術安全服務企業概括與案例
在區塊鏈安全領域,安全服務企業各有切入點。比如,CertiK擅長形式化驗證;派盾PeckShield、慢霧科技注重區塊鏈生態安全性和隱私性;庫神、碧盾、Bepal幣派等則專于私鑰安全存儲方案;安全鏈SECC的重心在于建立全球社群,吸引更多極客加入社區。案例一·庫神
sLendhub星球創世挖礦即將開啟:官方消息,sLendhub星球創世挖礦將在4月20日16:00在SuperNova正式開啟; 第一階段用戶可以組建LHB/sHT的LP流動性挖礦獲取LHB的預挖收益。sLHB是1:1錨定LHB價值的算法穩定幣,初始流通量為2100枚,未來將廣泛應用于超新星宇宙中的跨鏈資產轉換、無抵押借貸、游戲應用等諸多場景中。當流動性達成50萬美金后可開啟第二階段無損挖礦及LP挖取2500枚SHARE收益。
LendHub 是基于火幣生態鏈的去中心化借貸平臺。SUPERNOVA.CASH(超新星現金)是實驗性算法穩定幣多重宇宙的重要組成部分。[2021/4/20 20:39:34]
2016年底,庫神從冷錢包切入市場,是國內較早進場的數字資產硬件錢包開發商。2017年6月,庫神第一代產品上線,之后持續增添支持幣種,并迭代熱錢包APP。目前,硬件已更新至第二代,支持20多條公鏈,囊括大部分主流幣種,累計銷量超過4萬臺。團隊現有90余人,以研發人員為主,產品、運營、銷售、客服等部門配合支撐。創始人兼CEO袁大偉,北京大學金融科技創新實驗室學術委員。聯創兼CTO葉飛,中國科學院智能控制博士,清華大學區塊鏈公開課講師。聯創兼COO張玉,北京大學碩士,中國人工智能學會會員。聯創兼CMOWendy,前火幣海外負責人。聯創孫澤宇,北京大學金融科技創新實驗室區塊鏈顧問委員。首席硬件架構師劉建兵,曾主導研發SHA-256挖礦設備、xPAD3-TD-LTE移動通話終端、基于Zigbee協議的智能系統等。庫神曾于2017年6月完成數百萬人民幣天使輪融資,資方包括節點資本、比特大陸、火幣網;又于2017年12月獲來自首都金融服務商會的千萬美元A輪投資,截至今年5月,公司估值約5億人民幣。在區塊鏈生態中,錢包的作用是管理私鑰,以及記錄部分鏈上數據;集中解決數字資產安全存儲和流通的問題;從不同的角度,可分為中心化/去中心化錢包,冷/熱錢包,軟件/硬件錢包等。庫神主要瞄向安全性最強的冷錢包,通過物理隔離、永不觸網,保證無法被網絡黑客發現或攻擊。因此,相比通過更新增添新幣種的熱錢包,也犧牲了一定靈活性。從地域來看,歐美已有較為成熟的錢包品牌,庫神的用戶目前集中在亞洲市場。此外,美國、日本用戶的定制化需要較為明確。庫神的目標用戶既有交易所、礦場、項目方等持幣大戶,也有注重資產安全的個人用戶。針對前者,庫神根據客戶個性化需求提供定制化的安全解決方案,比如支持多重簽名等。面向后者,庫神注重并承擔安全教育工作,旨在降低操作風險,拓展增量市場。用戶教育包括如何備份和保管私鑰等內容,以操作指南、指導視頻等形式通過社群及售后服務傳遞。普通個人用戶感知明顯的是密碼強弱、私鑰位置和操作流程,同時需了解,一旦丟失私鑰,無法找回資產。回到安全的主題,葉飛認為,安全無止境,任何環節都可能出問題。庫神現階段的核心研發方向是不斷優化冷錢包解決方案,防御網絡和物理攻擊,并繼續探索商業化路線。防護既要靠技術,也離不開制度。“設計-制造-銷售-運輸-交易”全流程都要考慮防偽和反黑客細節。為此,像大多硬件產品一樣,庫神每個新版本錢包在發售前,會交予白帽子、專業團隊等從各維度做多輪測試;另一方面,收集專業用戶的意見反饋,對新出現的攻擊方式、安全漏洞保持動態關注、研究學習,預防未知的攻擊方式和潛在風險。錢包、交易所、DAPPStore、行情資訊等都稱得上幣圈流量入口。但葉飛認為,錢包的門檻較低,要想穩固先發優勢,需向專業化發展。考慮到錢包細分賽道尚未出現巨頭壟斷,且安全理念相似,行業高速發展中窗口期不大,技術團隊的執行力就成了競爭的關鍵。不同于互聯網世界用中心化的服務器存儲私鑰,區塊鏈世界中“如何處理私鑰”衍生出更多的可能。庫神選擇計算私鑰,而非存儲完整私鑰的方式,并采用非電磁波的二維碼作為信道,被安全領域人士評價為“降維打擊型防御”。簡述下庫神錢包使用流程:首次使用,生成種子密碼,設置交易密碼。需要發起交易時,輸入交易密碼,簽名在冷錢包內完成,用庫神APP掃碼硬件顯示屏上的二維碼,將交易信息廣播到區塊鏈網絡中。庫神APP可用于查詢余額,以及向硬件提供二維碼,同步地址余額信息。據其官網,庫神冷錢包專業版P2+定價4288元,并將于近期推出新產品ColdLarP3。整體發展路線為:軟硬件并行優化,在安全性基礎上,兼顧專業化、擴展性和便捷性,從交互、信道、外觀等方面進一步優化用戶體驗。
聲音 | 網易星球顧費勇:希望能推動“區塊鏈+場景”真正落地:網易星球負責人顧費勇表示,相信在網易星球公測2.0發布的個人數據護照模式上會產生新的商業模式,目前基于區塊鏈并沒產生新的商業模式,只是在現有商業模式上重新做分配。阿里和百度布局區塊鏈的做法并不適用于網易,星球的布局,目前一方面是區塊鏈和場景的結合,另一方面就是NBaaS的嘗試。[2018/9/17]
案例二·慢霧科技
區塊鏈因其去中心化、匿名性和金融基因,一旦發生安全問題,后果或比傳統互聯網更嚴重。同時,區塊鏈面臨的底層代碼、密碼算法、共識機制、智能合約、數字錢包等安全問題,又具有一定的獨特性。慢霧正是看好這一服務機會,為機構客戶提供區塊鏈生態相關的安全服務解決方案,包含安全審計、安全顧問、防御部署、威脅情報、漏洞賞金五大模塊。慢霧科技成立于2018年3月,總部位于廈門,團隊現有30余人,由一線網絡安全攻防實戰成員組建,具有十幾年的攻防實戰經驗,曾服務過Google、微軟、W3C、部、騰訊、阿里、百度等公司和機構。據介紹,截至2018年8月末,慢霧科技尚未接受任何形式的融資。對區塊鏈安全風險進行劃分時,業內有兩套常見標準:技術層級和業務形態。前者主要面向技術專家,后者更適合無專業知識積累的普通用戶。慢霧根據業務形態,將目標用戶分為五大類型:交易所、錢包,公鏈、智能合約和礦池;并根據不同客戶的需求,提供定制化解決方案;依據合作方體量和案例復雜程度收取服務費。交易所風險,主要存在于APP安全設計、服務端安全配置、節點安全、輸入安全、業務邏輯、熱錢包架構、私鑰管理系統等;智能合約風險,主要存在于對溢出漏洞、權限控制、條件競爭、安全設計、拒絕服務、設計邏輯、“假充值”等漏洞進行攻擊;熱錢包風險,主要存在于數據傳輸、私鑰存儲等方面;冷錢包被攻擊的前提是接觸到物理硬件,黑客雖然無法直接獲取私鑰,但可讀取相關信息進行破解;公鏈風險,主要存在于節點配置、節點通信、節點共識、合約虛擬機、錢包等。慢霧安全團隊對上述風險點逐一審計。
今年,慢霧陸續推出多項成果:3月,慢霧安全團隊上線“以太坊黑人節”專題頁面,對以太坊自動化盜幣隱患進行持續追蹤和披露;8月慢霧安全團隊推出EOS合約驗證平臺,功能包括:對已驗證EOS合約賬戶源代碼的查詢,項目方自行上傳源代碼進行一致性校驗等。團隊已累計審計300多份智能合約,涵蓋以太坊、EOS、AChain、唯鏈、本體(ONT)、星云鏈(Nebulas)等公鏈,發現數十個高危、中危漏洞。目前,慢霧獲客主要依靠口碑傳播。下一步,慢霧希望通過品牌效應,鞏固與客戶之間的信任與合作。團隊表示,區塊鏈處于早期發展階段,加之國家政府、各大機構對技術創新愈加重視、積極布局,安全服務市場尚不存在天花板。未來,慢霧科技將繼續聚焦行業生態建設與布局。案例三·CertiK
由于智能合約一旦上傳,即公開且不可更改,因此“區塊鏈2.0”時代的大多項目都產生了安全性驗證的需求。CertiK看好這一服務機會,致力于應用形式化驗證技術,為智能合約和區塊鏈生態提供安全保護。在傳統測試方法中,開發者會預想哪些情況下系統會遭攻擊,再針對這些情景測試。這套方法的缺陷在于,黑客往往是從程序員想象之外的路徑“下手”。而CertiK采用的形式化驗證(FormalVerification),將智能合約轉化為數學模型,通過邏輯上的推理演算來驗證模型,從而證明智能合約的安全性。因為整個演算過程符合嚴謹縝密的數學邏輯,所以其檢驗的結果很難被黑客攻克。CertiK的核心產品是CertiKOS防黑客操作系統。此系統花費千萬美元的科研經費,兩位創始人邵中和顧榮輝用6年多的時間來研究安全系統。目前CertiKOS不僅在商業市場中通過驗證,也被應用到軍事防御系統上,并引起耶魯大學等美國學術界的關注。由于軍方需求相對復雜,創始團隊于2015年中提出了分層結構理論,即將復雜的合約模塊化,先逐個驗證,再復合證明。CertiK的商業模式分兩步走:依靠CertiK自身算力的中心化驗證服務。如果客戶本身有強大的硬件設備和系統,可向CertiK提交智能合約和需求,CertiK將合約轉化為數學模型,進行形式化驗證,并生成報告,指明合約中哪一行可能出現漏洞,系統在什么狀態或條件下可能被侵入。CertiK根據合約的復雜程度收取不同的服務費。去中心化的安全驗證生態系統,借助社區參與者的算力,共同生成報告。前文提到的分層結構理論可將復雜任務拆分成小的模塊,CertiK接到客戶需求后,將“任務”和技術工具分發給社區,獎勵提供算力、幫助檢驗小型模塊的貢獻者。交叉驗證機制可以確保社區內無人投機取巧、沒完成任務還“騙取獎勵”。CertiK認為,這種任務分發要比算hash值挖礦更有意義、更低能耗。CertiK現已與NEO、量子鏈等機構達成戰略合作,同時對市面上的智能合約進行安全性驗證,發現安全漏洞后主動聯系團隊,說明問題,提供解決方案,獲取信任和口碑,逐步積累成功案例,再進行市場宣傳。據介紹,CertiK已獲耶魯大學,丹華資本,光速中國等機構種子輪融資。CertiK的核心優勢在于團隊。位于硅谷的技術團隊從學術圈出身,去年開始商業化,工程師全部來自Google、Facebook、Freewheel。聯合創始人邵中,普林斯頓大學博士、耶魯大學計算機系系主任/終身教授、中科大名譽院長、清華大學大師講習團成員,20余年安全領域經驗。聯合創始人顧榮輝,清華大學本科、耶魯大學博士、哥倫比亞大學助理教授。案例四·派盾PeckShield
派盾科技是面向全球的區塊鏈安全公司,由前360首席科學家、美國北卡州立大學終身教授蔣旭憲于2018年創辦。派盾科技曾發現并命名了BEC、SMT、EDU等智能合約的安全漏洞。今年5月,派盾科技完成來自高榕資本的數千萬元天使輪融資。派盾的優勢主要體現在三個方面:數據驅動。通過整理分析鏈上數據,發現安全隱患。派盾已將上百萬個智能合約整理匯總,主動分析查找安全問題。“可以無限生成代幣的漏洞”就是通過這種方式被發現的。關注區塊鏈生態各環節的安全問題。學術背景和工業界經驗。團隊核心成員擁有美國計算機博士學位,來自國內一線互聯網公司,擁有前瞻性國際視野。蔣旭憲認為區塊鏈最大的問題,是在POW機制下的51%算力攻擊。他認為,公鏈的安全風險涉及到的不僅是某個項目方,而是會波及整個生態。另外,公鏈底層的節點安全問題也很重要。比如360曝出的EOS“史詩級”安全漏洞;還有PeckShield報過的以太坊“致命報文”漏洞,可使三分之二以上的geth節點瞬間停擺,這些節點背后對應著交易所、礦池、和錢包等。派盾選擇曝出漏洞的時間秉持兩大原則:只要漏洞沒被利用,派盾會先與項目方進行溝通,等待他們修復漏洞。比如以太坊“致命報文”漏洞,派盾發現漏洞后,先與以太坊基金會溝通協商,待漏洞修復完成才予以公開,整個過程超過了一個月。如果漏洞被利用,那么派盾會選擇將漏洞公開。案例五·安全鏈
安全鏈是一個區塊鏈化、開源的安全社區。互聯網公司研發人員、區塊鏈項目方等作為需求方,付出SECC在社區內發布“任務”,自由極客、安全專家可作為供方“接單”,幫助查漏洞、提出安全建議來賺取SECC。這樣,供方可接觸到更多的“客戶”,并在鏈上查看更透明的勞務關系和收入分配,享受更高效公平的結算;需方可公開部分安全組件的數據,“分包”給有不同思維角度的極客。安全鏈涉及到的安全問題不只圍繞區塊鏈安全,也包括“傳統”的網絡安全、系統安全、結構性安全等方面。因此,安全鏈的要務將是做好社區內“安全任務”的標準化和數據化,建立合理的token定價體系。安全鏈于2018年1月啟動,近幾個月的重心在于建立全球社群,吸引更多極客加入社區。目前安全鏈正沿兩個方向縱深:一是團隊在做關于區塊鏈底層安全的前沿研究,預計年底前發布技術黃皮書,包含區塊鏈經濟的技術實現路徑、更嚴格的權限管理等部分,進一步豎立在“安全圈內”的權威;二是與66硬件錢包合作,提供包括軟件、服務器、硬件各層面的綜合安全方案。安全鏈更長遠的規劃是,與社區共建規則后,向DAPP開發者們提供API。團隊現有10余人,具有一定跨界資源整合和行業理解力,以及豐富的安全領域經驗,認同“社群即共識”。錢科銘,星安資本合伙人,連續創業者,曾創辦非營利性安全組織和區塊鏈安全公司,有億級用戶線上社群建設經驗。III參考文獻和相關閱讀
參考文獻
區塊鏈是什么:從技術架構到哲學核心區塊鏈技術可能用于哪些方面?區塊鏈與新經濟:數字貨幣2.0時代區塊鏈技術中文社區中心化與去中心化區塊鏈是什么,如何簡單易懂地介紹區塊鏈?Parity官方針對第二次攻擊事件的回顧交易所協議路漏洞分析DrGarrickHileman&MichelRauchs,2017GlobalCryptocurrencyBenchmarkingStudy阿爾法公社,鏈圈必讀:一文看懂區塊鏈安全6大分類3大問題騰訊安全,2018上半年區塊鏈安全報告長亭科技、ConsenSys、比特大陸,區塊鏈安全生存指南白帽匯安全研究院,區塊鏈產業安全分析報告相關閱讀
星球獨家|360安全負責人:EOS存在更多漏洞,但有漏洞的不止EOSPeckShield創始人蔣旭憲:互聯網思維在codeislaw的區塊鏈世界行不通“軍用級別”防黑客?「CertiK」要用形式化驗證技術保護智能合約和區塊鏈生態的安全星球首發|區塊鏈安全公司「曲速未來」獲首輪融資,百度風投、薛蠻子、圣山資本投資你的幣安全嗎?「Bepal」認為比賣冷錢包更重要的是培養數字資產用戶的安全意識一文看懂“挖礦劫持”,拒絕成為“免費礦工”一文讀懂EOS抵押漏洞細節主網上線在即,價值2000多萬美金的EOS映射無效BEC美蜜現重大漏洞價值幾乎歸零,OKEx暫停BEC提現和交易有加密幣的地方就有黑客,FAB礦池被盜幣10萬枚后永久關閉你居然還以為區塊鏈更安全,我也是醉了IV致謝和免責聲明
致謝
安全鏈、Bepal幣派、Certik、庫神、慢霧、派盾PeckShield、360、知道創宇等對本報告提供智慧支持,在此表示感謝!免責聲明
本報告版權歸北京星球節點傳媒文化有限公司,未經書面許可任何機構和個人不得以任何形式使用、復制或傳播。任何有關本報告的摘要或節選都不代表本報告正式完整的觀點,一切須以本報告完整版本為準。本報告基于已公開和采訪的資料或信息撰寫,但不保證該資料及信息的完整性、準確性。本報告所載的信息、資料、建議及推測僅反映Odaily星球日報于本報告公開發布當日的判斷,在不同時期,Odaily星球日報可能撰寫并發布與本報告所載資料、建議及推測不一致的報告。Odaily星球日報不保證本報告所含信息及資料處于最新狀態;Odaily星球日報將隨時補充、更新和修訂有關信息及資料,但不保證及時公開發布。本報告僅供參考之用。在任何情況下,本報告中的信息和意見均不構成對任何個人的投資建議。投資者應結合自己的投資目標和財務狀況自行判斷是否采用本報告所載內容和信息并自行承擔風險,Odaily星球日報對投資者使用本報告及其內容而造成的一切后果不承擔任何法律責任。點擊下載pdf版完整報告
數字資產的安全是一個全副武裝的過程。從平臺端的保護機制,到用戶端的賬戶操作,安全都十分重要。個人數字身份的認證是資產安全中重要的一環.
1900/1/1 0:00:00編者按:本文來自區間集,作者:區間集。星球日報經授權轉載。現在區塊鏈行業可謂進入“深秋”。最近筆者參加一些區塊鏈行業相關活動,譬如鏈改、地方區塊產業基金發布會、區塊鏈項目投資對接會等,現場情形也.
1900/1/1 0:00:00編者按:本文來自藍狐筆記,作者:JamesMartinDuffy,編譯:郭知行,星球日報經授權發布.
1900/1/1 0:00:00編者按:本文來自哈希派,作者:LucyCheng,星球日報經授權轉載。自2017年以來,區塊鏈項目就如井噴狀出現;截止2017年年底,GitHub上上傳的項目超過8萬.
1900/1/1 0:00:00編者按:本文來自哈希派,譯者:哈希派,星球日報經授權轉發。本文編譯自Coindesk:WhenCapitulation?3WaysBitcoin'sBearMarketMightEnd相.
1900/1/1 0:00:00火幣正在收復幣安的失地。9月12日,火幣宣布公司已控股在日本擁有合法牌照的BitTrade交易所,火幣日本團隊與BitTrade團隊將進行合并,將在日本展開合法經營.
1900/1/1 0:00:00