区块链:区块链安全保卫战:三分技术 七分管理

7月30日,Facebook在最新季度报告中提醒投资人,由于很多因素导致他们可能无法在2020年如期推出Libra数字货币,面临的最大阻力就是监管。

而最让监管机构担忧的便是Facebook面临的一系列安全问题,如何保障用户的隐私安全,如何防止不法分子入侵…

安全是各行业发展面临的首要问题,但绝对的安全是不存在的,只能通过技术让它更安全而已。

浪潮涌起,泥沙俱下。近年来,交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗、私钥丢失等安全事件层出不穷。

白帽汇2018年发布区块链安全报告称,每年因区块链安全漏洞造成的损失高达数十亿美元。目前,近80%的攻击损失都是基于业务层面的攻击所造成的,其损失额度从2017年开始呈现出指数上升的趋势,截止到2018年第一季度,所暴露的安全事件就已经造成了8.1亿美元的损失。

攻击事件大致可分为四类安全事件:共识机制、智能合约、交易平台和用户自身。攻击者主要选择保护相对薄弱的数据层、网络层、共识层、扩展层和业务层进行攻击。

区块链安全与传统互联网安全,既有共性,又有个性,既有交集,也有差异。

墨子区块链安全实验室CEO苗知秋告诉锌链接,区块链安全并不是一个全新的安全范畴,它运用了大量的传统技术。

Globant成立智能支付工作室,将利用区块链等技术提供服务:金色财经消息,数字原生技术服务公司Globant成立智能支付工作室(Smart Payments Studio)。该工作室提供战略业务和技术咨询,帮助企业分析和开发支付解决方案。通过利用元宇宙、区块链和游戏化技术等,Smart Payments Studio旨在提供无缝、个性化和具有吸引力的体验。(prnewswire)[2022/5/19 3:26:51]

所以,区块链安全与传统安全之间,大部分是重叠的,小部分是区块链技术独有的特点。

从底层代码来说,传统安全与区块链安全大同小异。但是上面的应用层安全,区块链安全带有自身的特性,比如共识机制,使互联网的中心化单点攻击,转变为区块链的大面积攻击。

假设有人要攻击一个网上银行,互联网的方式是入侵某台电脑的服务器、网银地址,修改数据库。

在区块链里,共识机制是至少要篡改超过51%的节点。因为所有节点都依托于一段代码程序,如果程序本身有漏洞,就可以篡改大面积节点。

一个很典型的事件是美图发布的BEC,出现了溢出漏洞,大量超发,导致BEC瞬间归零。相当于一只蚂蚁绊倒了一头大象。

快速入场,火速退场

智度股份:智链2.0已通过工信部下属电子技术标准研究院区块链功能测试:金色财经消息,有投资者在投资者互动平台提问:广州已经成功入围第三批央行数字人民币试点城市,贵司在数字货币产业方面也关注已久。请问:是否可以在广州数字人民币推广使用的时候能在这方面有商业化的布局?

智度股份(000676.SZ)5月10日在投资者互动平台表示,为支持广州市“数字新基建”的发展,公司充分发挥在移动互联网和区块链项目方面的优势,各方携手共进,努力实现合作共赢。在区块链底层技术方面,公司已在广州市建设区块链总部广州智链未来科技有限公司,打造了自主知识产权的区块链底链平台“智链2.0”,智链2.0已经通过工信部下属电子技术标准研究院的区块链功能测试,并入选广州市工信局软件示范平台;在区块链应用创新方面,公司搭建了“区块链+供应链金融”服务平台。(每经网)[2022/5/10 3:04:49]

区块链安全公司的数量多少与区块链行业的发展成正相关。2017年到2018年初,区块链行业处于火热期,很多人挤进来做项目,对安全的需求增多,于是很多区块链安全公司顺势而生,主要有三类:

一个就是传统安全行业转型过来的安全服务商,比如知道创宇、白帽汇;

另一个是安全圈的新力量,因为有了区块链新的场景引发了新的需求也加入进来,比如成都链安;

公告 | 爱迪尔:珠宝销售运用区块链技术特性有效解决了商品及供应信息的可信问题:爱迪尔(SZ002740))在互动平台上回答记者提问时表示,本次珠宝销售以电子货票形式完成交易,商品信息数据全部上链,运用区块链技术特性,一定程度上有效解决了商品及供应信息的可信问题,是珠宝新零售业务的全新尝试。之后公司将继续探索“线上+线下互通”的运营模式和“货票通”技术系统在珠宝、钻石及黄金等行业的融合和应用,打造全新的行业平台和 SaaS 服务体系,提升供应链和数字化营销效率,降低运营成本,增加增值服务内容,塑造多赢运营机制。[2020/2/14]

还有就是互联网安全巨头,比如360。

他们早期以安全研究打开局面,用安全服务、安全开发切入市场,服务主要集中在合约审计、交易所安全、钱包安全、链安全、黑产对抗、威胁预警等领域。

与互联网安全发展相似,区块链安全早期报的漏洞也相对比较少,但随着技术的成熟、业务场景的增长,安全事件也会逐渐增多。

随着业务热点的转移,哪个技术用得越多,安全公司研究的方向也会相应变化。

2018年,以太坊为首的智能合约是关注的重点,很多人去研究智能合约。

白帽汇联合创始人、安全负责人邓焕告诉锌链接,“智能合约很简单,像以太坊,几百行代码就能写出一个应用,发行一个代币。有的项目发行代币,基于某个模板改几个参数。只要模板有问题,好几种代币就都存在问题。”

声音 | 孙宇晨:预测2020年会是区块链大年 区块链将在全球回暖:据最新消息,波场TRON创始人孙宇晨今日11:00正在一直播平台进行直播,总结2019年波场 TRON的进展,以及首次公布niTROn SUMMIT 2020的神秘重磅嘉宾。孙宇晨在直播中预测2020年会是区块链大年,区块链将在全球回暖。波场TRON以推动互联网去中心化为己任,致力于为去中心化互联网搭建基础设施。旗下的TRON协议是全球最大的基于区块链的去中心化应用操作系统协议之一,为协议上的去中心化应用运行提供高吞吐,高扩展,高可靠性的底层公链支持。波场TRON还通过创新的可插拔智能合约平台为以太坊智能合约提供更好的兼容性。[2020/1/29]

随着切入点越来越深,被爆出来很多链上的设计理念、业务逻辑存在问题。首先在合约或者经济模型设计会存在漏洞,被人利用。此外,底层的安全问题也会逐渐增多。

玩家多了,自然会产生泡沫。知道创宇CTO兼COO杨冀龙告诉锌链接,在市场行情好的时候,存在大量的恶意竞争。比如,合约审计服务甚至出现了打价格战,导致安全产品和服务的价值非常廉价。另外,割韭菜的项目非常多,“一些所谓的安全需求方可能根本不关心他们的安全问题,而只是想发钱买个安全背书”。

泡沫一年之内就被戳破了。2018年,数字货币市场总市值从年初的4889亿美元,下跌至12月13日的1081亿美元,减少了77.89%。

动态 | 云南省区块链普洱茶追溯平台上线:11月13日,云南省区块链普洱茶追溯平台正式发布。相关部门表示,将通过建立云南省重要产品追溯体系协同机制,实现国家重要产品追溯体系数据的对接。

云南省商务厅市场秩序处副处长吕秀田表示,目前由云南省商务厅牵头,联合省数字经济局、市场监管局、农业农村厅、科技厅等相关部门建立云南省重要产品追溯体系协同机制,实现与国家重要产品追溯体系数据的对接。他呼吁大家积极参与到普洱茶追溯体系中,实现每一饼茶叶“来源可溯、去向可追、质量可查、责任可究”,重塑普洱茶品牌形象,让企业尝到甜头,让消费者购物更加放心。[2019/11/14]

区块链行业开始萎缩,买单的人越来越少,市场上只剩下5、6个头部玩家。一些新型安全创业团队已经销声匿迹,大部分安全公司也减少了对应的投入或者考虑转型。

慢慢地,进来的人发现区块链整个生态和实际应用要发展起来,还有很长的路要走。不做实事的团队,没法在短期内获得收益。如果做实际项目,比如金融、溯源等,可能短期内无法快速落地,需要投入比较长的时间,有些人就打了退堂鼓。

邓焕告诉锌链接,当时的现象是,很多区块链公司快速入场,又快速退场。整个行业一定是业务先行,市值撑起来才会有安全需求。否则,项目方自己都养活不了,安全公司更没办法生存。

重视不足,区块链安全发展缓慢

前段时间,币安被盗7000个BTC事件。邓焕认为,现阶段存在比较大的问题,是行业内对安全的重视不足,连头部企业也不例外,更别说中小型企业,问题就更多了。在这样一个环境下,区块链安全公司的发展是很缓慢的。

在业务落地过程中,杨冀龙也遇到这些难点。

首先,市场监管不明朗,公司之前做了很多事情都是摸着石头过河。随着今年年初《区块链信息服务备案管理办法》的出台,在监管方面还是需要与监管机构进行积极沟通。

其次,市场波动太大。从2018年初币价创下新高,到2018年底集体抱团过冬,大部分区块链从业者都经历了冰火两重天,导致有部分项目做到一半就停了。

第三,没有统一的标准,无法像成熟的技术领域一样,有完备的规范参考。各个区块链安全团队都是从自己的角度提出对安全的理解,帮助客户做服务,难以保证服务质量。

为了解决这个问题,知道创宇联了区块链产业链上下游以及相关监管部门,结合各自的经验和积累,提出了一些安全评估标准,例如《智能合约审计Checklist》以及硬件钱包评级标准等,同时也参与到相关行业标准的制定中。但区块链安全毕竟起步时间较短,还需要在实践中不断完善。

慢雾科技合伙人兼产品负责人启富告诉锌链接,在区块链圈子里,用户群数量比较少。当你推出一些产品和应用时,真正接触到的用户不多,再加上有些用户门槛比较高,需要一些背景知识,导致得不到很多的用户反馈,得到可行性验证的有效数据就比较少,产品没有办法获得快速认可。

成都链安创始人杨霞告诉锌链接,当前区块链生态比较少,用户的关注点还在业务逻辑上,对安全的关注不够。应该吸取传统信息系统建设的教训,加强全行业的安全教育,采用最新安全理念,即业务系统和安全系统同步建设、同步上线、同步运营。

杨霞认为,安全产品目前侧重于解决某个点上的问题,需要随着区块链技术的落地和规模应用同步发展,逐步形成区块链行业全生态的安全解决方案。

搭建漏洞社区,共建安全生态

当欺诈性泡沫、共识被清理后,区块链技术会更加符合人性,也会有更多创新型的企业和优秀的人加入进来,共同建造出更健康的区块链生态。

目前,区块链安全领域的5个头部玩家分别是派盾、白帽汇、知道创宇、慢雾科技、成都链安。

面对区块链安全的重重困难,他们也选择了不同的发展方向。

派盾、知道创宇、慢雾与成都链安则想要打造区块链安全生态。

派盾的漏洞挖掘能力处于一线水平。其硅谷研发中心负责人Jeff称,漏洞监测覆盖底层公链、交易所、数字钱包、智能合约等区块链生态的各个环节,连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞。

杨冀龙向锌链接介绍,知道创宇主要以云防护专业的区块链安全服务为核心,解决底层基础设施到应用层智能合约和DApp中所面临的安全问题。

知道创宇的优势在于,覆盖面比较广,从节点、链、智能合约、DApp应用、到区块链钱包的安全基本全覆盖。

作为中国最早专注于区块链生态安全的公司,慢雾科技的特长是实战能力强,拥有一支十多年一线网络安全攻防实战的团队。

其安全解决方案包括:安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品。

除了研究全球知名公链如比特币、以太坊等,慢雾还特别深耕以太坊和EOS生态,围绕DApp安全攻防对抗,安全审计与防御的知名智能合约数百份。

成都链安的目标是建立区块链行业全生态的安全解决方案,覆盖了链平台、交易所、钱包、用户等区块链行业的各参与方。

公司建立了全面的面向区块链安全的数据中台,为上层安全产品提供丰富、准确的数据支撑,以与国家区块链漏洞共享平台合作和社区共建的方式建立了自有威胁情报库,为其他安全产品提供情报支撑。

白帽汇的思路是切入漏洞社区。在传统安全领域,白帽汇支撑很多政府监管部门的安全项目;在区块链安全领域,白帽汇成立了DVP去中心化漏洞平台,把在传统安全做漏洞社区的思路放到区块链安全行业,提供合法的渠道,对接安全人员与项目方——安全人员提交漏洞,项目方根据漏洞的等级给其奖励。

至今,平台已经发现了4000漏洞,涉及到交易所、公链、智能合约各方面,比较知名的D网交易所、以太坊公链等也曾由DVP的白帽子发现过严重问题。最近,白帽汇也在与监管机构沟通,制定区块链安全行业标准。

启富告诉锌链接,未来区块链安全领域的攻防对抗会愈演愈烈。随着更多大规模的用户入场,就会有更多资产在区块链上,攻击者会不断盯着交易所等平台,将会有更多类似硬件钱包、金库的手段来保证巨额资产的安全。

另外,随着公链的底层设计越来越完善,底层基础的问题会越来越少,在上面运行的智能合约会越来越安全,可以规避溢出之类的基础问题,常规的漏洞会越来越少。漏洞将会集中在业务逻辑、应用场景方面。

技术往往是第二位的,很多问题是出在管理、制度、流程方面。苗知秋谈道,安全圈早就有一个说法,三分技术七分管理,过于依赖技术,不把人管好,只是把机器管好,最终不能真正解决问题。

归根结底,踏实让区块链技术实现落地应用,解决实际问题,才是最重要的。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:569ms