比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 火星幣 > Info

區塊鏈:專訪蔣旭憲:沒有久攻不破的公鏈 只有尚未發現的漏洞_以太坊區塊鏈工程專業學什么

Author:

Time:1900/1/1 0:00:00

文︱艾特

核財經APP1月7日報道區塊鏈向我們許諾,以分布式和防篡改的方式存儲和交換有價值的信息。

而歷史提醒我們,新生事物初期的野蠻生長,總是伴隨著重大安全教訓。縱觀整個2018年,出現了BTG遭雙花攻擊、BEC智能合約漏洞、EOS“史詩級”漏洞、以太坊“致命報文”、BTC超發漏洞等重大安全事件。事實證明,那一行行的代碼,尚不足以保護人類社會已岌岌可危的信任。

“而面對黑客肆虐,資產被盜,公鏈與DApp應用在被攻破之前,似乎永遠不知道它是否安全。”前360首席科學家、PeckShield創始人兼CEO蔣旭憲博士表示,區塊鏈1.0時代大家對技術本身認知還欠缺成熟,存在雙花攻擊風險以及私鑰被盜的問題;2.0時代隨著以太坊平臺和大量智能合約的涌現,出現了溢出和阻塞等安全問題;3.0時代隨著EOS和TRON等公鏈的興起,一些追求高并發TPS的平臺開始出現,在落地一些實時性互動的競猜類應用時,出現了隨機數和交易回滾問題等等。

蔣旭憲認為,公鏈冒出的安全問題,與區塊鏈獨特屬性相關,特別是在幣的承載和幣的轉移方法上面,成了黑客的天堂。而且,沒有久攻不破的公鏈,只有尚未發現的漏洞。

他強調,區塊鏈領域的安全由來已久,從區塊鏈技術的發展來看,每一個系統以及相關的生態都是非常龐大的,其技術層面也是非常復雜的,把多個技術融合在一起,本身就是很困難的事。安全領域有一個所謂的木桶理論,最短的木板決定了你的安全高度。另外,在用戶環節體驗設計上,目前來看還有相當高的門檻。用戶使用上如果不習慣,就容易犯各種錯誤。

FTX Digital的臨時清算程序獨立于正在進行的美國第十一章程序:4月21日消息,普華永道官網消息,普華永道代表FTX Digital (巴哈馬主體)向用戶發布郵件,建議客戶注冊以確保聯合臨時清盤人擁有當前的聯系信息、發送臨時清算狀態的更新、獲取進度報告的副本、參加會議并在需要時提交索賠法定貨幣或加密貨幣。FTX Digital 的臨時清算程序獨立于正在進行的美國第十一章程序,但與之并行。已向美國第十一章程序所涵蓋的實體提交索賠的 FTX.com 客戶不會被阻止通過 FTX Digital 索賠門戶注冊他們的詳細信息。[2023/4/21 14:18:28]

區塊鏈生態安全亟待加強

核財經:從傳統互聯網安全換道區塊鏈安全領域,您發現了什么?為什么要做一家區塊鏈安全公司?

蔣旭憲:這反映了我個人的創業思考歷程。關于創業的思考由來已久,但很遺憾在國外高校期間,完美的錯過了國內的PC互聯網階段。在360期間我主要負責移動端的核心安全能力,算是參與和親身體會了移動互聯網的浪潮。

2017年下半年的時候,區塊鏈行業開始熱起來,那時候也是看了很多白皮書,不過市場上更多的是炒幣,感覺這個做法根本不符合我的性格,也沒有太大的興趣。相反,當我更多的分析幾大公鏈的底層代碼,再結合自己個人的安全背景以及攻防的思維邏輯上去研究,這個層面一下子就吸引了我。

看進去之后,覺得區塊鏈技術確實是一大技術變革,可能會是下一代的互聯網核心技術,預計會重構目前的很多行業。同時覺得區塊鏈根本上解決的是信任問題,安全又成了里面最核心的基石。如果安全沒做好,信任問題根本無從談起。所以,我決定Allin。

幣安地址APE質押量達660萬枚,為質押量最高的地址:金色財經報道,據推特用戶Bit余燼監測,幣安在約30分鐘前向APE質押地址轉入100萬枚APE,目前幣安地址APE質押量達660萬枚(價值約3844萬美元),為質押量最高的地址。[2023/2/6 11:50:24]

核財經:您認為區塊鏈領域面臨的安全問題都有哪些?目前,在區塊鏈行業做安全服務的難點和挑戰有哪些?

蔣旭憲:從整個區塊鏈行業的生態來說,我認為,里面的各個環節都碰到了區塊鏈自身獨特的安全問題。

我們可以分為橫向和縱向來看。橫向來說,有交易所、錢包、礦池、合約、DAPP等安全問題;縱向來看,有基礎設施、數據層、網絡層、共識層、激勵層、合約層、業務層等方面的安全問題。

在各個維度上,區塊鏈領域面臨的安全服務與挑戰也是前所未有的。這里我就不展開說了,但需要特別指出的是,目前區塊鏈上攻擊的犯罪成本極低,這會間接放縱安全事件的頻發,而安全事件往往是突發的、在區塊鏈上造成的資產損失和影響也是不可逆的。另外,黑客玩的是實打實的數字資產,回報率比傳統互聯網高很多,而懲罰的技術門檻頗高,力度也是明顯不足。從另外一個角度看,比較遺憾的是,目前區塊鏈開發者的安全意識和基礎技能還是相對薄弱,不少底層合約代碼存在較大的同質性,一旦出現問題就會有連帶威脅。

核財經:今年新生了不少做區塊鏈安全服務的公司,這個賽道的整體生態如何?行業寒冬里,您是如何思考在這一領域一展所長的?

馬克·庫班:“肯定不會從加密貨幣跳船”,暗示SBF會坐牢:11月26日消息,NBA達拉斯獨行俠隊老板、億萬富豪馬克·庫班表示自己肯定不會從加密貨幣“跳船”,盡管FTX破產引發交易所危機,但數字貨幣仍有大量價值,“有人犯了很多錯誤,但沒有改變加密貨幣潛在價值。”在談到SBF時,馬克·庫班說“我不知道所有細節,我和SBF交流過,覺得他很聰明,但不知道會把別人的錢占為己有,如果我是他,會害怕坐很長時間的牢。”

此前報道,11月21日,達拉斯小牛隊老板、億萬富翁馬克·庫班取消對MetaMask、The Block、Solana、Treum、Mirror Protocol、Polkadot、DeFi Pulse、Flow、Dapper Labs、Uniswap Labs等加密項目的推特關注。其中諸多項目被所馬克·庫班投資,包括Mintable、Dapper Labs等。(TMZ)[2022/11/26 20:48:25]

蔣旭憲:區塊鏈行業目前還處在早期,區塊鏈安全亦是如此。為此,現在說整體生態還為時尚早,不過可以看出不同安全公司的切入點,大概有以下幾種:一是鏈上數據分析和安全預警;二是形式化驗證和機器證明;三是安全眾測和威脅情報共享;四是傳統互聯網的安全業務轉型。當然,未來還會有新的安全方向和公司不停的冒出來,包括數字資產的反洗錢。

隨著區塊鏈行業寒冬的到來,也會有不少安全公司被淘汰或者選擇轉型。我認為要想在安全服務這個賽道掌握核心競爭優勢,關鍵要看:一是能否實時感知行業生態各個環節的運轉動態,敏銳洞察可能出現的安全風險狀況,并能準確的提供必要的預警和防范;二是能否切實解決生態中存在的安全問題,對行業生態的合作伙伴提供有感知的,且愿意付費的產品和服務。

Celo區塊鏈恢復出塊,官方已發布解決宕機問題的更新版本:7月15日消息,Celo官方在推特上表示,GitHub發布的1.5.7和1.5.8版本已被共享,以解決中斷問題。下一步是達到采用1.5.8的驗證者的法定人數。所有資金都是安全的。經查看Celo Explorer,Celo區塊鏈已恢復出塊。

此前消息,Celo于區塊高度14035109處停止出塊。[2022/7/15 2:15:00]

正視公鏈安全漏洞問題

核財經:從1.0的比特幣,到2.0的以太坊,再到3.0的百鏈競發時代,公鏈成了黑客攻擊的所謂天堂。那么,在您看來公鏈的安全問題主要有哪些?

蔣旭憲:區塊鏈1.0時代大家對技術本身認知還欠缺成熟,存在雙花攻擊風險以及私鑰被盜的問題;2.0時代隨著以太坊平臺和大量智能合約的涌現,出現了溢出和阻塞等安全問題;3.0時代隨著EOS和TRON等公鏈的興起,一些追求高并發TPS的平臺開始出現,在落地一些實時性互動的競猜類應用時,出現了隨機數和交易回滾問題等問題。

總之,隨著區塊鏈生態的持續發展和逐漸繁榮,一些安全問題也會隨之升級,并和業務場景息息相關,黑客實施攻擊的手段和形式也趨于多樣化。但根本上來說,對公鏈的核心要求還是需要提供高可靠性、低延遲、和高吞吐量的保障,可以支撐成千上萬的各類區塊鏈DApp應用。

核財經:2018年里,我印象中有兩起重大安全事件,即5月29日360爆出EOS“史詩級”漏洞和6月15日PeckShield宣布發現以太坊上一個高危安全漏洞,可導致當前60%的以太坊節點瞬間崩潰。您如何看待這些被披露的安全問題的?

支付供應商Episode Six為Galaxy FinX提供數字錢包管理系統:金色財經報道,支付基礎設施供應商Episode Six今天宣布與越南金融科技公司Galaxy FinX建立新的合作關系。

Galaxy FinX選擇Episode Six提供基于云的現代銀行卡和支付處理,其中包括消費者信用卡和借記卡服務,以及與越南國內金融交易服務的連接。正如Episode Six的Tritium平臺幫助傳統銀行創新和提供數字解決方案一樣。Tritium提供了一個多資產類別的數字錢包管理系統,可以為銀行網絡中的銀行卡計劃處理和轉賬打開通道,包括ATM和銷售點(POS)設備。Galaxy FinX將以數字方式向越南不斷增長的消費群體提供金融服務產品,如儲蓄、借貸、支付和保險。(finextra)[2022/6/17 4:35:04]

蔣旭憲:360披露的“史詩級”漏洞問題,從嚴謹安全的層面可能會有一定程度的爭議,尤其是“史詩級”的媒體渲染,讓不明真相的人感到了恐慌。當時的爭議在于,安全公司披露和項目方出現了一些摩擦,造成了廣泛的行業影響。不過從另一個角度看,當時360選擇在EOS主網上線前披露漏洞,確實讓大家認識到區塊鏈底層公鏈存在的嚴重安全問題。

PeckShield發現以太坊上的一個高危安全漏洞,也就是“致命報文”(EthereumPacketofDeath—EPoD)。EPoD可導致60%以上節點瞬間崩潰的問題,其實在6月初就已經發現并和以太坊基金會取得聯系,協助其展開修復,真正披露是在6月底,確認該漏洞已經徹底修復后才對外披露的。

我認為,對于一個并未產生危害的嚴重漏洞,媒體披露的角度會過于夸大其危害性,從而警醒媒體受眾加強安全認識,這無可厚非。但作為安全公司,我們可以盡量確保安全問題已經修復完之后再在合適時機進行披露,避免造成不必要的負面影響。

核財經:2018年稱之為公鏈元年,您如何評價過去一年公鏈項目的安全問題的?

蔣旭憲:其實,回顧整個2018年公鏈安全問題來看,在生態的各個環節都出現了比較重大的安全事件,包括BTC、ETH、EOS、BCH等。這些公鏈上的安全問題從某種程度上可以完全摧毀整個公鏈。我認為,這里面影響最大的還是BTC的超發漏洞。雖然大部分媒體可能并不知曉這個漏洞的細節,該漏洞也沒引起廣泛的媒體傳播,這是因為在這個BTC超發漏洞的處理上,包括研究人員的負責任披露、BTC核心團隊的應急響應、最后相關的媒體報道,都是非常專業和值得稱道的。但我們知曉這個漏洞的時候還是嚇了一跳,也在內部認為這是2018年影響最大的漏洞,即使沒有廣泛的媒體報道。

每個公鏈漏洞都有它的特殊性,比如說以太坊的“致命報文”、EOS節點的“遠程代碼執行”等等這些安全問題,我認為都在各自公鏈上有它的獨特性,但也有某種共通性。另外任一公鏈層面的安全漏洞,因為會影響到上面運行的所有DApp應用,所以他們的重要性必須給予足夠的重視和關注。

DApp被薅公鏈亦成殤

核財經:公鏈的核心價值是應用,如您所說,公鏈層面的安全能影響上面所有的應用。為此,其自身應該采取哪些措施,以保護DApp應用的安全性?

蔣旭憲:這個問題我們內部有不少討論。2018年暑假的時候,Fomo3D游戲火爆,當時攻擊者做了一個阻塞攻擊之后,把獎金池里面的錢全取走了。類似的攻擊也出現在了其它Fomo3D類游戲,比如LastWin。這種阻塞攻擊利用的就是公鏈本身設計的某一個特定環節。而且修復這些漏洞的成本也是很高。本質上說,2017年底的以太貓和2018年中的Fomo3D游戲,暴露了底層以太坊公鏈技術存在的不足,也就是TPS和響應時間等方面都不夠理想。從保護DApp的角度看,期待以太坊公鏈2.0以及其它競爭公鏈在自身設計上,應該有一種機制能夠防止這些所謂的阻塞攻擊。

在EOS的公鏈,為了有效支持DApp應用,有一個有趣的設計,那就是延遲交易。這一點上,我覺得EOS還是值得贊賞的。通過延遲交易,DApp可以用一個未來的數據來充當隨機數,這樣就能夠形成一個比較可靠的隨機數生成,保證了誰也沒法預測。這個也是目前各種EOS競猜類DApp游戲當中,大部分都采用的隨機數機制。

核財經:上個月,BetDice因交易漏洞損失近20萬EOS。在EOS上,盜幣事件屢被詬病,您對此有過哪些關注?為何EOS公鏈上的盜幣事件如此頻發?

蔣旭憲:這確實是個很嚴重的問題。我們內部梳理過EOS上線以來發生的所有安全事件,包括背后的漏洞原理分析、攻擊流程的還原、攻擊者的定位、獲利情況、和最后不正當獲利的資金流向等。分析其過程:一是有助于我們更好理解當前行業的現狀;二是理解攻擊者的能力,有助于我們更好去檢測、阻截這些攻擊者。也只有這樣,我們才能更好的保護DApp開發者和用戶。

但為什么現在EOS盜幣事件這么頻繁?我認為,一是EOS在某些方面的設計,雖然使得這些DApp的開發門檻相對較低,能吸引更多的開發者進來,但由于,它確實是一種新鮮的編程和運行環境,開發者對其認知程度,包括相關的安全考量和影響,我認為還需要時間沉淀。目前的現狀是,在某些開發者和開發環節上確實難免會出現疏漏,在單點上也是容易被攻擊者利用和攻破。

現在EOS公鏈上,更多的是競猜類游戲,而競猜類游戲又特別容易匯聚資產。有資產之后,資產會對黑客有更大的吸引力。攻擊者一進來,就造成目前看到盜幣新聞比較頻發的問題。必須承認,目前的攻防現狀上,攻擊者是走在安全防守者的前面,他們甚至比防守者更快定位到哪些有安全漏洞或者安全問題的DApp。

最后,我們發現,在梳理攻擊者最終所得的贓款流向的時候,特別是努力幫助開發者追回資金的時候,我們發現黑客的犯罪成本很低,因為目前適用的法律法規還不完善。在EOS上,雖然有ECAF的社區治理機制,但在時間的響應、流程上,我認為還有很大的空間可以改善。

核財經:現在,許多基于公鏈開發的DApp項目方都會擔心會安全問題。從安全角度來講,你認為DApp項目方應該如何提高自身的安全系數?

蔣旭憲:很多開發者在開發相關DApp的時候,或許因為沿襲了以前在傳統互聯網或移動互聯網的開發模式,為了盡快推動業務上線,在安全方面沒有第一時間重視,在安全應急響應流程上也是缺失。

我一直強調在區塊鏈行業,安全一定要先行,而且需要在業務里面第一時間考慮進去。開發者在設計DApp的時候,在整體架構上就需要有安全意識和相應的安全模塊。比如在開始設計合約的時候,如果出現了安全問題,應該會有怎樣的應急流程和具體的響應機制。我認為好多DApp開發者根本就沒思考過這個問題。一旦出了問題,他們可能就懵了。另外,DApp開發者術業有專攻,建議項目方和專業的安全團隊建立有效地互動,包括合約上線之前的審計、遭遇攻擊事件時的應急響應等等。最后盡量利用社區的力量,用社區的經驗避免自己去踩同行以前踩過的坑。同時,也希望把發現的安全問題盡量回饋給社區,讓社區都知道有類似的問題。我接觸過很多類似的安全事件,別人踩的坑下一個項目方又去踩了一次,這讓DApp開發者更加傷痕累累,我認為這個成本是有點高的,也沒有必要。

Tags:區塊鏈EOS以太坊區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢EOS幣是什么幣以太坊幣是什么幣

火星幣
比特幣:比特幣價格預測:BTC 低于 2.9 萬美元——多頭能扭轉局面嗎?_40億比特幣能提現嗎

盡管在FOMC會議審議可能加息25個基點之前,比特幣價格仍跌破29,000美元。 比特幣價格跌破30,000美元的拋售勢頭似乎正在增強,導致最大的加密貨幣短暫下跌至29,000美元,交易至28,

1900/1/1 0:00:00
區塊鏈:核財經峰會實錄|余半城:區塊鏈世界的生存邏輯_比特幣

2018年4月8日,區塊鏈研究專家余半城先生在《核財經》舉辦的區塊鏈創業峰會上發表演講,以下是演講記錄摘要,未經本人審閱.

1900/1/1 0:00:00
萊特幣:萊特幣(LTC)減半前會出現重大調整嗎?_LTC

隨著減半事件的臨近,萊特幣目前成為加密貨幣社區的熱門話題。人們對這一事件的預期很高,因為它被認為是一個高度看漲的事件。然而,各種指標都表明LTC網絡可能出現重大調整.

1900/1/1 0:00:00
比特幣:比特幣 (BTC) 8 月份跑贏標準普爾 500 指數,市場觸底已近?_BTC比特幣中國官網聯系方式

比特幣和整個加密貨幣市場的交易虧損不斷增加表明,底部可能已接近并很快就會反彈。 全球最大的加密貨幣比特幣已進入在29,000美元左右徘徊的強勁盤整階段.

1900/1/1 0:00:00
SHIB:即使Shiba Inu下跌,SHIB持有人仍拒絕出售_40億比特幣能提現嗎

在比特幣創下月度高點后,柴犬價格本周下跌10%。SHIB持有者一直在等待獲利,持有超過48萬億的SHIB一個多月。如果meme硬幣突破“危險區域”,價值近25.9億美元的SHIB將很容易被拋售.

1900/1/1 0:00:00
比特幣:中國幣圈第一人 3個月賺2個億后神秘消失_40億比特幣能提現嗎

對于“幣圈”來說,有一個人的存在堪稱“幣圈“的傳奇和開創者,無論在什么”派系“中,他的故事都被人稱稱樂道。然而這個中國比特幣最早期的布道者,卻像武俠片中的終極大俠一樣,隱姓埋名,神秘消失.

1900/1/1 0:00:00
ads