首發 | 國家區塊鏈漏洞庫《區塊鏈漏洞定級細則》發布_EOS

為進一步建立區塊鏈行業統一客觀的漏洞評級體系，建立健全區塊鏈安全的基礎設施，逐步改善區塊鏈領域的諸多安全問題，國家互聯網應急中心聯合長亭科技、鏈安科技、安比實驗室和慢霧科技四家安全廠商，在CVSS2.0漏洞評分系統基礎上，結合大量真實區塊鏈漏洞案例，共同起草國家區塊鏈漏洞庫《區塊鏈漏洞定級細則》，現向社會發布。 

在網絡安全評測體系中，漏洞分級、分類的標準化研究是評測十分重要的基礎環節，建立統一的漏洞定級標準化方案對統一行業認知、提升行業技術安全、建立健全 安全測評體系具有重要意義。前期很多區塊鏈企業和團隊在發行漏洞懸賞計劃時，由于沒有可供直接參考的統一標準，往往都會按照各自的理解定義漏洞的威脅等級；而安全廠商也會根據各自對CVSS的理解制定出不同的評定標準。當前區塊鏈生態中各個角色對于安全漏洞的認知并不統一，甚至分歧較大。亟需建立一套針對區塊鏈技術的、被行業普遍認可的定級細則，明確漏洞分析原則，并給出確定且可執行的威脅等級評定參考。 

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道，2020年2月28日，百度（股票代碼BAIDU）公布財報，其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述，依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上，百度與上海浦東發展銀行達成合作，共建區塊鏈聯盟，在百度區塊鏈服務（BaaS）平臺上實現跨行信息驗證。[2020/2/28]

在這一背景下，國家區塊鏈漏洞庫聯合行業安全企業聯合發布《區塊鏈漏洞定級細則》。《細則》整體分為《公鏈系統漏洞定級細則》、《聯盟鏈系統漏洞定級細則》、《智能合約漏洞定級細則》、《外圍系統漏洞定級細則》，主要依據“危害程度”和“利用難度”等方面分析，將漏洞分為高、中、低三個威脅等級，且每種危害和難度的描述中都羅列了非常詳細的參考條目，基本涵蓋了區塊鏈領域可能遇到的大部分漏洞情況，可以幫助使用者快速定位和分析漏洞。同時依托 CVSS2.0，力爭實現與傳統基礎領域漏洞規則的互通，從大網絡安全的角度打通區塊鏈新興領域與傳統領域對于漏洞的認知和定義。 

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露，Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務，每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉，目前僅支持BTC和ETH資產轉賬。[2020/2/26]

當前，國內外對于區塊鏈的安全評測體系尚不成熟。在這一背景下，國家區塊鏈漏洞庫積極探索區塊鏈安全規范，聯合行業力量，努力形成可操作、可執行、可量化的區塊鏈漏洞定級細則，以推動區塊鏈行業安全有序發展，助力我國在區塊鏈新技術領域占據領先地位。

IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道：近日ETH出現多個ERC20智能合約的處理溢出錯誤，BM在推特上發表評論：新的ETH契約Bug可能會破壞整個Token的供應，讓持有者留下無價值Token.這就算為什么代碼不能成為法律，隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護？BM回應：有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]

目前《區塊鏈漏洞定級細則》僅為初始版本，后面將根據區塊鏈安全的實際情況進行不斷迭代修改。同時也歡迎各安全廠商、白帽、區塊鏈參與者提出寶貴意見，共同幫助該細則的完善和提升。 

聯系方式：cnvdbc@cert.org.cn

本篇內容由“國家區塊鏈漏洞庫”授權首發，轉載請著名出處。

Tags：區塊鏈EOSUMBITH區塊鏈專業NEOSskrumblenetworkLithium Finance

火必下載