7月30日,Facebook在最新季度報告中提醒投資人,由于很多因素導致他們可能無法在2020年如期推出Libra數字貨幣,面臨的最大阻力就是監管。
而最讓監管機構擔憂的便是Facebook面臨的一系列安全問題,如何保障用戶的隱私安全,如何防止不法分子入侵…
安全是各行業發展面臨的首要問題,但絕對的安全是不存在的,只能通過技術讓它更安全而已。
浪潮涌起,泥沙俱下。近年來,交易平臺監守自盜、交易所遭受黑客攻擊、用戶賬戶被盜、私鑰丟失等安全事件層出不窮。
白帽匯2018年發布區塊鏈安全報告稱,每年因區塊鏈安全漏洞造成的損失高達數十億美元。目前,近80%的攻擊損失都是基于業務層面的攻擊所造成的,其損失額度從2017年開始呈現出指數上升的趨勢,截止到2018年第一季度,所暴露的安全事件就已經造成了8.1億美元的損失。
攻擊事件大致可分為四類安全事件:共識機制、智能合約、交易平臺和用戶自身。攻擊者主要選擇保護相對薄弱的數據層、網絡層、共識層、擴展層和業務層進行攻擊。
區塊鏈安全與傳統互聯網安全,既有共性,又有個性,既有交集,也有差異。
墨子區塊鏈安全實驗室CEO苗知秋告訴鋅鏈接,區塊鏈安全并不是一個全新的安全范疇,它運用了大量的傳統技術。
廣東新基建實施方案:打造人工智能、區塊鏈等新技術基礎設施集群:廣東省人民政府辦公廳印發廣東省推進新型基礎設施建設三年實施方案(2020—2022年)通知,方案提出,打造人工智能、區塊鏈等新技術基礎設施集群。推動形成安全可控的區塊鏈支撐體系,支持建設一批區塊鏈基礎架構、安全保護、跨鏈互操作、鏈上鏈下數據協同、監管等區塊鏈基礎平臺型重大項目,鼓勵領軍企業建設自主區塊鏈底層技術平臺和開源平臺,聚集區塊鏈開發者和用戶資源。推進“區塊鏈+”,爭取國家級區塊鏈行業平臺落戶廣東。支持省信息技術領域創新平臺加大區塊鏈投入力度,到2022年建設5個左右省級區塊鏈創新平臺。(廣東省人民政府)[2020/11/5 11:44:21]
所以,區塊鏈安全與傳統安全之間,大部分是重疊的,小部分是區塊鏈技術獨有的特點。
從底層代碼來說,傳統安全與區塊鏈安全大同小異。但是上面的應用層安全,區塊鏈安全帶有自身的特性,比如共識機制,使互聯網的中心化單點攻擊,轉變為區塊鏈的大面積攻擊。
假設有人要攻擊一個網上銀行,互聯網的方式是入侵某臺電腦的服務器、網銀地址,修改數據庫。
在區塊鏈里,共識機制是至少要篡改超過51%的節點。因為所有節點都依托于一段代碼程序,如果程序本身有漏洞,就可以篡改大面積節點。
新華時評:隨著區塊鏈等不斷實踐 金融企業助力經濟升級:10月15日,新華網發文《舊題新解為金融改革打開空間》稱,近年來,隨著金融供給側結構性改革的持續推進,區塊鏈、大數據、人工智能等新科技應用的不斷實踐,金融企業重裝上陣,借科技之力自我革新,力求讓金融服務更快、更好、更便捷、更安全,助力經濟升級,豐富百姓生活。[2020/10/16]
一個很典型的事件是美圖發布的BEC,出現了溢出漏洞,大量超發,導致BEC瞬間歸零。相當于一只螞蟻絆倒了一頭大象。
快速入場,火速退場
區塊鏈安全公司的數量多少與區塊鏈行業的發展成正相關。2017年到2018年初,區塊鏈行業處于火熱期,很多人擠進來做項目,對安全的需求增多,于是很多區塊鏈安全公司順勢而生,主要有三類:
一個就是傳統安全行業轉型過來的安全服務商,比如知道創宇、白帽匯;
另一個是安全圈的新力量,因為有了區塊鏈新的場景引發了新的需求也加入進來,比如成都鏈安;
還有就是互聯網安全巨頭,比如360。
他們早期以安全研究打開局面,用安全服務、安全開發切入市場,服務主要集中在合約審計、交易所安全、錢包安全、鏈安全、黑產對抗、威脅預警等領域。
聲音 | 普華永道高管:區塊鏈在零售行業中的“可追溯性”存在一定問題:據Cointelegraph消息,在11月7日的Tech Wire?Asia采訪中,普華永道(PwC)農業綜合企業負責人Craig Heraghty談及區塊鏈在全球零售行業的快速發展趨勢。 他認為,沃爾瑪和雀巢等食品零售巨頭采用區塊鏈系統面臨的最大障礙與該技術本身無關。區塊鏈中最薄弱的環節不是區塊鏈或任何技術,而是將標簽貼在包裝上的膠帶。鑒于數據記錄本身可能是防篡改的,但物理入口點并非萬無一失,因此區塊鏈給超市連鎖店和消費者“可追溯性的幻想”存在潛在問題。[2019/11/7]
與互聯網安全發展相似,區塊鏈安全早期報的漏洞也相對比較少,但隨著技術的成熟、業務場景的增長,安全事件也會逐漸增多。
隨著業務熱點的轉移,哪個技術用得越多,安全公司研究的方向也會相應變化。
2018年,以太坊為首的智能合約是關注的重點,很多人去研究智能合約。
白帽匯聯合創始人、安全負責人鄧煥告訴鋅鏈接,“智能合約很簡單,像以太坊,幾百行代碼就能寫出一個應用,發行一個代幣。有的項目發行代幣,基于某個模板改幾個參數。只要模板有問題,好幾種代幣就都存在問題。”
隨著切入點越來越深,被爆出來很多鏈上的設計理念、業務邏輯存在問題。首先在合約或者經濟模型設計會存在漏洞,被人利用。此外,底層的安全問題也會逐漸增多。
動態 | 韓國三大移動運營商將合作推出基于區塊鏈技術的數字版駕照APP:韓國科學技術信息通信部批準了一項計劃,三大主要移動運營商SK、KT和LG U+將推出一款名為Pass的應用程序,可在客戶的手機上存儲數字化版本的駕照。韓國也批準了這一舉措。
韓國科學技術信息通信部表示,區塊鏈解決方案將有助于“降低成本,防止身份證丟失和被盜造成犯罪。”政府還證實,商店和電影院還將接受該駕照信息作為年齡證明。據報道,新駕照可能會在“2020年初”公布,SK、KT和LG U+三家運營商將與合作開發技術解決方案。(Cryptonews)[2019/9/29]
玩家多了,自然會產生泡沫。知道創宇CTO兼COO楊冀龍告訴鋅鏈接,在市場行情好的時候,存在大量的惡意競爭。比如,合約審計服務甚至出現了打價格戰,導致安全產品和服務的價值非常廉價。另外,割韭菜的項目非常多,“一些所謂的安全需求方可能根本不關心他們的安全問題,而只是想發錢買個安全背書”。
泡沫一年之內就被戳破了。2018年,數字貨幣市場總市值從年初的4889億美元,下跌至12月13日的1081億美元,減少了77.89%。
區塊鏈行業開始萎縮,買單的人越來越少,市場上只剩下5、6個頭部玩家。一些新型安全創業團隊已經銷聲匿跡,大部分安全公司也減少了對應的投入或者考慮轉型。
分析 | ConsenSys:EOS區塊鏈未能滿足承諾:據ethnews報道,根據由ConsenSys項目負責人Brent Xu領導,區塊鏈測試平臺Whiteblock完成的一項研究顯示,EOS區塊鏈可能無法滿足其向投資者所承諾的。該研究稱,即使在最佳設置即延遲為0ms,丟包率為0%的的情況下,系統中的事務吞吐量也不會超過250TPS。在實際測試條件下,往返延遲為50ms,丟包率為0.01%,性能降至50TPS以下,使EOS系統與以太坊的性能非常接近。此外,該研究還質疑EOS網絡的透明度和平臺治理的問題。[2018/11/7]
慢慢地,進來的人發現區塊鏈整個生態和實際應用要發展起來,還有很長的路要走。不做實事的團隊,沒法在短期內獲得收益。如果做實際項目,比如金融、溯源等,可能短期內無法快速落地,需要投入比較長的時間,有些人就打了退堂鼓。
鄧煥告訴鋅鏈接,當時的現象是,很多區塊鏈公司快速入場,又快速退場。整個行業一定是業務先行,市值撐起來才會有安全需求。否則,項目方自己都養活不了,安全公司更沒辦法生存。
重視不足,區塊鏈安全發展緩慢
前段時間,幣安被盜7000個BTC事件。鄧煥認為,現階段存在比較大的問題,是行業內對安全的重視不足,連頭部企業也不例外,更別說中小型企業,問題就更多了。在這樣一個環境下,區塊鏈安全公司的發展是很緩慢的。
在業務落地過程中,楊冀龍也遇到這些難點。
首先,市場監管不明朗,公司之前做了很多事情都是摸著石頭過河。隨著今年年初《區塊鏈信息服務備案管理辦法》的出臺,在監管方面還是需要與監管機構進行積極溝通。
其次,市場波動太大。從2018年初幣價創下新高,到2018年底集體抱團過冬,大部分區塊鏈從業者都經歷了冰火兩重天,導致有部分項目做到一半就停了。
第三,沒有統一的標準,無法像成熟的技術領域一樣,有完備的規范參考。各個區塊鏈安全團隊都是從自己的角度提出對安全的理解,幫助客戶做服務,難以保證服務質量。
為了解決這個問題,知道創宇聯了區塊鏈產業鏈上下游以及相關監管部門,結合各自的經驗和積累,提出了一些安全評估標準,例如《智能合約審計Checklist》以及硬件錢包評級標準等,同時也參與到相關行業標準的制定中。但區塊鏈安全畢竟起步時間較短,還需要在實踐中不斷完善。
慢霧科技合伙人兼產品負責人啟富告訴鋅鏈接,在區塊鏈圈子里,用戶群數量比較少。當你推出一些產品和應用時,真正接觸到的用戶不多,再加上有些用戶門檻比較高,需要一些背景知識,導致得不到很多的用戶反饋,得到可行性驗證的有效數據就比較少,產品沒有辦法獲得快速認可。
成都鏈安創始人楊霞告訴鋅鏈接,當前區塊鏈生態比較少,用戶的關注點還在業務邏輯上,對安全的關注不夠。應該吸取傳統信息系統建設的教訓,加強全行業的安全教育,采用最新安全理念,即業務系統和安全系統同步建設、同步上線、同步運營。
楊霞認為,安全產品目前側重于解決某個點上的問題,需要隨著區塊鏈技術的落地和規模應用同步發展,逐步形成區塊鏈行業全生態的安全解決方案。
搭建漏洞社區,共建安全生態
當欺詐性泡沫、共識被清理后,區塊鏈技術會更加符合人性,也會有更多創新型的企業和優秀的人加入進來,共同建造出更健康的區塊鏈生態。
目前,區塊鏈安全領域的5個頭部玩家分別是派盾、白帽匯、知道創宇、慢霧科技、成都鏈安。
面對區塊鏈安全的重重困難,他們也選擇了不同的發展方向。
派盾、知道創宇、慢霧與成都鏈安則想要打造區塊鏈安全生態。
派盾的漏洞挖掘能力處于一線水平。其硅谷研發中心負責人Jeff稱,漏洞監測覆蓋底層公鏈、交易所、數字錢包、智能合約等區塊鏈生態的各個環節,連續發現并命名了BEC、SMT、EDU等智能合約的重大安全漏洞。
楊冀龍向鋅鏈接介紹,知道創宇主要以云防護專業的區塊鏈安全服務為核心,解決底層基礎設施到應用層智能合約和DApp中所面臨的安全問題。
知道創宇的優勢在于,覆蓋面比較廣,從節點、鏈、智能合約、DApp應用、到區塊鏈錢包的安全基本全覆蓋。
作為中國最早專注于區塊鏈生態安全的公司,慢霧科技的特長是實戰能力強,擁有一支十多年一線網絡安全攻防實戰的團隊。
其安全解決方案包括:安全審計、安全顧問、防御部署、威脅情報(BTI)、漏洞賞金等服務并配套相關安全產品。
除了研究全球知名公鏈如比特幣、以太坊等,慢霧還特別深耕以太坊和EOS生態,圍繞DApp安全攻防對抗,安全審計與防御的知名智能合約數百份。
成都鏈安的目標是建立區塊鏈行業全生態的安全解決方案,覆蓋了鏈平臺、交易所、錢包、用戶等區塊鏈行業的各參與方。
公司建立了全面的面向區塊鏈安全的數據中臺,為上層安全產品提供豐富、準確的數據支撐,以與國家區塊鏈漏洞共享平臺合作和社區共建的方式建立了自有威脅情報庫,為其他安全產品提供情報支撐。
白帽匯的思路是切入漏洞社區。在傳統安全領域,白帽匯支撐很多政府監管部門的安全項目;在區塊鏈安全領域,白帽匯成立了DVP去中心化漏洞平臺,把在傳統安全做漏洞社區的思路放到區塊鏈安全行業,提供合法的渠道,對接安全人員與項目方——安全人員提交漏洞,項目方根據漏洞的等級給其獎勵。
至今,平臺已經發現了4000漏洞,涉及到交易所、公鏈、智能合約各方面,比較知名的D網交易所、以太坊公鏈等也曾由DVP的白帽子發現過嚴重問題。最近,白帽匯也在與監管機構溝通,制定區塊鏈安全行業標準。
啟富告訴鋅鏈接,未來區塊鏈安全領域的攻防對抗會愈演愈烈。隨著更多大規模的用戶入場,就會有更多資產在區塊鏈上,攻擊者會不斷盯著交易所等平臺,將會有更多類似硬件錢包、金庫的手段來保證巨額資產的安全。
另外,隨著公鏈的底層設計越來越完善,底層基礎的問題會越來越少,在上面運行的智能合約會越來越安全,可以規避溢出之類的基礎問題,常規的漏洞會越來越少。漏洞將會集中在業務邏輯、應用場景方面。
技術往往是第二位的,很多問題是出在管理、制度、流程方面。苗知秋談道,安全圈早就有一個說法,三分技術七分管理,過于依賴技術,不把人管好,只是把機器管好,最終不能真正解決問題。
歸根結底,踏實讓區塊鏈技術實現落地應用,解決實際問題,才是最重要的。
?寫在前面? 幣圈除了比特幣,我們大體上可以把各種幣分為主流幣和山寨幣兩種。其中有一種項目,直接復制了其他項目的源碼生成的,這種我們稱之為山寨,因為其模仿屬性比較強.
1900/1/1 0:00:00美國加密貨幣指數基金提供商BitwiseInvestments近日發布了一份報告,報告中稱Facebook的Libra已經將加密貨幣的發展加快了三年。2019年7月則是加密史上最重要的月份之一.
1900/1/1 0:00:00據TokenInsight統計,2014年至2019年上半年,各交易所共被盜取至少價值16億美元的數字貨幣資產,2019年上半年就至少有2億美元資金被盜.
1900/1/1 0:00:00區塊鏈企業在傳統資本市場上的路又堵了一條。7月26日,香港聯交所發布重磅監管文件《有關借殼上市及其他殼股活動等咨詢總結》很有可能打斷OK及火幣兩大交易所的借殼之路.
1900/1/1 0:00:00——接《以太坊:數字金融堆棧》 金融堆棧 所有這些平臺都使用Dai和ETH進行操作。Dai和ETH的數量、以及這些平臺的日交易量都將受到以太坊抵押率、穩定費用/DSR和DaiWABR&W.
1900/1/1 0:00:00原創:?白話區塊鏈? 以太坊創始人V神曾經預測“金融和游戲是區塊鏈最容易先落地的兩個領域”。那么,“區塊鏈游戲”究竟會給我們帶來什么樣的驚喜呢?7月27日,白話區塊鏈直播采訪了?FairyLan.
1900/1/1 0:00:00