區塊鏈:星球日報資深分析師郝方舟：黑客攻擊都開始用金融的思維了，防守該如何應對？| 區塊鏈P.O.D大會

9月5日，由Odaily星球日報主辦、36Kr集團戰略協辦的P.O.D大會在北京舉行。在大會安全分論壇上，星球日報資深分析師郝方舟正式發布了《2018年區塊鏈技術安全服務行業報告》，并做了專題演講。《2018年區塊鏈技術安全服務行業報告》按照“事件回顧-攻擊方式-防御策略”的邏輯順序，分析交易所、智能合約、錢包、礦池這些業務場景對應的安全問題，并探討區塊鏈安全服務行業的概況與企業案例。在分享中，郝方舟介紹了星球日報研究院的一些發現，比如黑客攻擊去中心化的平臺所用的方式，和傳統的中心化平臺很不一樣，有的時候還要靠一些創新的思維，他舉了黑客今年攻擊幣安和Fomo3D的例子，黑客甚至用到了金融知識，以及抓住底層設計機制的漏洞。根據他的研究，區塊鏈安全事件的高發地集中在業務層和合約層，從業務線來說則是交易平臺還有智能合約。郝方舟還提出，“中心化交易平臺可能的演變路徑是擁抱監管，同時也要向銀行等傳統金融機構靠近，包括做好實名、托管、建立自己的物理防御機制”。以下是演講全文，enjoy：各位嘉賓下午好，歡迎大家來到安全分會場。我們星球研究院一直希望用更直觀方式向大家呈現更真實的區塊鏈世界。我們制作的一個系列叫《星球圖說》，就是用圖譜展示了行業結構、大公司布局、代碼抄襲等等問題，有些人在朋友圈見過這些圖。今天我在這里代表研究院發布2018年區塊鏈技術安全服務行業報告。安全是一個相對的概念，在他對立面是風險，但是這兩個詞比較抽象，于是我們在腦海中希望化成一個更具像概念，所以安全和風險長什么模樣？攻防雙方角色切換是足球運動中的一個核心，這個核心也就是對球的控制權。我們現在把這套邏輯平移到區塊鏈安全里來，會發現核心是對信息和資產的控制權，在中間一圈保衛安全的是礦和鏈，更外層一圈就是各類風險，這其中包括技術風險，政策風險，道德風險，投機風險，操作風險等等。風險具有一定的特點，往往是多點復合，意想不到又層出不窮的，這就需要安全要是全方位多流程多環節的。可是很重要的安全問題，往往卻沒有得到重視。我們會發現，權責往往是發生不清的，標準很難量化，所以我們在寫文章的時候經常問到一個問題，說安全問題有點像是薛定諤的安全，這什么意思？就是只有在出事的時候我們才會意識到這個問題有多么嚴重，但是在出事之前，我們不知道一個公司一個產品，或者一項服務他們安全其實是很難判定的中間態。說到這里，我們還要先明確一下，當我們談到網絡安全的時候，攻防角色誰來扮演，攻比較好理解，一般就是黑客，防守有政府，有企業，有第三方安全公司，也有用戶自己。在這里我想問一下在座各位，有人曾經遭遇過數字資產被盜的事情嗎。忘記私鑰的不算，沒有是吧，那有人的法幣資產在網上被盜過嗎，不管是網銀、P2P或者是支付寶？大家從來沒有遭遇過這件事情。其實我們從數據面上來看，現在數字資產總市值已經超過了2300億美金。根據騰訊安全還有知道創宇上半年的報告，在7月份之前，數字資產被盜的金額差不多是在11億美金，這就是說上半年丟幣的差不多是在千分之五。庫神的數據好像在這個之上，如果是比較中心化的體系，其實中心化的攻防是經過更嚴謹的攻防測試而來的，一般是有法律保障和金融機構的賠償，線上資產往往跟線下實物進行綁定。所以黑客要是從直接進攻互聯網其實是很難的事情，反而走線下比較簡單一點。區塊鏈在防守上也有優勢，具體體現在“經濟機制加防”，舉個51%攻擊的例子，當你有能力進攻網絡時，要付出的成本已經高于能獲得的收益。“去中心化”就說，黑客毀掉一個節點，數據還在其他地方有備份。同時，匿名和分散也讓攻擊者更難找到理想的目標。所以，想進攻區塊鏈，有時要靠一些創新手段。這里我舉兩個例子，第一個是今年3月份的“幣安事件”，應該是3月7日凌晨，當時黑客是從API攻入，提前在其他交易所埋好空單，根本不需要從幣安這塊提現，這種是屬于技術結合一些金融工具的創新手段。第二個例子大家剛才講的Fomo3D。當這個結束之后，很多人懷疑黑客把其他玩家擠出去，最終獲得大筆的獎金，這種是結合底層設計機制的玩法。因為鏈上不僅有信息還有價值，再加上代碼不太完善，現在很多機構并沒有宣傳的那么全面，相關政策還是暫時缺席狀態，就造成一旦失守，造成巨額經濟損失。區塊鏈的不安全有一部分來自主觀原因，就是大家的重視程度還不夠，基本上入局的投資者都是稍微有一點點閑錢的人，真正賣房進場的人還是少數。那么具體怎么做防護呢？進攻的突破口一般都是防守建立要塞的位置。現在我們看到一張圖，分別是2011年到今年，以及今年7月份之前，區塊鏈受攻擊的面和點的分析。按技術架構分，業務層&合約層是重災區。按業務場景，交易平臺&智能合約是事故高發地。為方便讀者理解，我們在分類時，參考了安全服務公司的視角，也按行業需求和業務場景討論。所以，報告以“從事件回顧，到攻擊方式，再到防御策略”的邏輯順序，分析了交易所、智能合約、錢包、礦池這些業務場景對應的區塊鏈技術安全問題。報告中這一part的信息量比較大，我只挑兩個小點在這里簡單分享下：先聊交易所。去中心化交易所入場，就是瞄準了中心化交易所存在的安全痛點。他們下一步的重心應該是把體驗做好，獲取更大的流量。中心化交易所的演變方向，應該是靠近銀行等傳統金融機構，做好實名、KYC、托管、冷熱隔離解決方案和其他物理防御。再說智能合約。智能合約一旦運行就無法修改，所以代碼審計、形式化驗證越來越重要。公鏈們，還要考慮到底層設計、token經濟上可能出現的安全問題，最好提前咨詢安全團隊。安全服務，更早介入到區塊鏈項目中，也將成為一個趨勢。報告中還有更多結論，這里就不展開了。在報告的最后一part，我們梳理了區塊鏈技術安全服務行業的概況和典型企業。發現大家各有切入角度和擅長領域，有的側重形式化驗證，發布了自動檢測引擎；有的注重生態的安全性和隱私性；很多做冷錢包起家的公司則專于私鑰安全存儲方案；也有項目用去中心化的思路，吸引極客，建立社群，一起檢查和修復漏洞。我們在收錄的10家區塊鏈安全服務代表企業中，選取了五個典型案例，做了采訪和分析，這個部分也包含了大佬們輸出的經驗和觀點。最后，要感謝接受我們采訪，給予智慧支持，并對報告提出指導意見的庫神、慢霧、知道創宇、PeckShield、360、CertiK、曲速未來、安全鏈、Bepel。也感謝我同事，這篇報告的主筆，分析師李雪婷。我也做個小預告，更多的研報、圖說、新聞報道、項目介紹和深度文章已經在路上。謝謝大家！相關閱讀：星球研報|2018年區塊鏈技術安全服務行業報告

動態 | 媒體爆料網易星球或已無人運營 網易回應運營一切正常:近日，有網易星球用戶爆料稱，網易金融在大規模調整業務，網易星球已經無人運營，相關團隊已經解散。財經網向網易求證，對方表示，網易星球運營一切正常，且負責團隊也沒有解散。但據財經網了解，網易星球無人運營的消息并不是空穴來風。網易星球曾在該產品成立之初成立了多個官網微信群，有用戶爆料稱目前微信群已經無人運營管理，成為廣告集散地。另外，網易星球隸屬于杭州網易增盈科技有限公司所有，據天眼查顯示，杭州網易增盈科技有限公司也是網易理財的運營主體。而網易理財早在2018年12月宣布平臺正式關閉。[2019/3/5]

動態 | 網易星球將向用戶發放虛擬數字資產可兌換成比特幣:網易星球官方宣布將于下周舉辦”全民比特幣”活動，向星球居民發放200萬虛擬數字資產，在此次“全民比特幣”活動中斬獲的BT幣都可兌換成比特幣。[2018/8/10]

聲音 | 2345星球聯盟負責人：與區塊鏈最相匹配的領域，是與共享經濟的結合:7月13日消息，2345星球聯盟負責人寇杰毅近日表示，“區塊鏈可以快速啟動和激活共享經濟，共享經濟的前提是規模效應，沒有規模就沒法共享。通過區塊鏈技術進行共享，企業能將用戶手中閑散的資源利用起來，無需投入大量資金購買資源，就解決了企業在共享經濟中資源原始積累的問題。除此之外，區塊鏈還可以解決共享經濟中存在的公平性問題，即公平地獲得資源和公平地獲得回報。”[2018/7/13]

網易星球黑鉆拍賣活動將于3月27日開啟:3月26日晚間，網易星球微信公眾號發布消息稱，3月27日-30日，網易星球將舉辦為期4天的拍賣活動，用戶可用“黑鉆”競拍由我們提供的各種獎品。據透露，“競拍”活動將于在3月27日上午10點正式開始，每件商品拍賣1小時。競拍商品方面，主要由網易嚴選、網易考拉海購、網易味央、網易云音樂等網易系產品提供。[2018/3/27]

網易發布基于區塊鏈的生態價值共享平臺“星球”:網易發布基于區塊鏈的生態價值共享平臺“星球”，目前尚處于內測中，據了解，星球基地通過區塊鏈加密存儲技術幫助用戶管理數字資產，讓用戶的數據真正為自己所有，也可以讓需求者在星球基地中與進行直接交易，并利用黑鉆進行結算。同時，用戶通過在“星球”上進行瀏覽、交易、社交等所有活動，可以增加原力值，而原力越高用戶則能獲得的黑鉆越多。據了解，黑鉆每天的產量固定，第一年每天產量約27萬個，每兩年減半一次，并按照用戶當前的原力值占比分配黑鉆。[2018/2/9]

Tags：區塊鏈數字資產比特幣中心化交易所區塊鏈賺錢是什么模式數字資產是未來最大的資產比特幣是什么材質做的去中心化交易所算證券么

比特幣