雖然程序漏洞的檢測和驗證已經引起業界的高度重視,但在區塊鏈行業內,安全問題仍舊頻繁發生。
據不完全統計,至少已有22家交易所被黑客成功攻擊,被盜次數達30余次,總共約1,000,000枚比特幣和8億美元的等值數字貨幣被黑客盜取。這其中,不但包括幣安、OKEx、Mt.Gox、Bitfinex、Bithumb等頭部交易所,還涉及了印度交易所Coinsecure、日本交易所Zaif、意大利交易所BitGrail等。
每一個漏洞,都將會成為黑客攻擊的機會,造成的損失也將不可估量。在目前區塊鏈技術蓬勃發展階段,區塊鏈的生態安全是一場真槍實彈的戰爭。而采用形式化驗證技術的CertiK在安全保護方面從不退讓,不僅僅是找出漏洞,更重要的是證明漏洞不存在。
加密貨幣守衛戰
智慧海南總體方案:做優做強區塊鏈等數字新產業:8月14日,智慧海南總體方案(2020-2025年)發布,方案中提出,做優做強互聯網、大數據、區塊鏈、人工智能、信息安全、電子競技等數字新產業,推動離岸創業創新和數據跨境服務,打造法治化、國際化、便利化營商環境,建成立足南海、輻射21世紀海上絲綢之路沿線國家的開放型數字經濟創新高地。[2020/8/14]
“目前區塊鏈數字資產基本都是采用智能合約來進行約束,但智能合約在安全方面存在問題具有不可逆性、代碼開源、高成本、思維受限幾個方面,因此讓區塊鏈上的數字資產很容易遭受黑客攻擊和掠奪。”CertiK中國區VP陳波錦表示,“區塊鏈生態安全其實比我們預想的更加脆弱,要進行全面性的防御和保護才能實現生態安全。”
行情 | A股股區塊鏈板塊下跌2.4% 安妮股份跌停:東方財富數據顯示,A股區塊鏈板塊下跌2.4%, 區塊鏈板塊197只概念股中,25漲165跌6平1停牌。漲幅前三分別為:中南建設(+4.52%)、寶鋼股份(+4.36%)、輝煌科技(+4.06%);跌幅前三分別為:安妮股份(-10.00%)、易見股份(-9.82%)、華媒控股(-9.51%)。[2019/11/25]
根據陳波錦介紹,目前常見的盜幣手段主要有三大類:
1)以整數溢出為代表的代碼安全漏洞。這些通常是被寫代碼的人不小心引入的,可能會引起合約某些功能部件失效。最嚴重可能導致黑客攻擊,用戶丟幣,甚至黑客憑空造幣。
2)智能合約權限控制。一般智能合約里面會設置一個擁有超級權限的管理員,這類合約的安全隱患比較大,因為一旦管理員的私鑰被盜用,很容易造成巨大的損失。
聲音 | 國貿促進委員會原副會長:區塊鏈技術將簡化跨境貿易流程:據中新網報道,中國國際貿易促進委員會原副會長于平表示,如果能利用區塊鏈技術提高跨境支付效率,提升安全度,將會大大推動國際貿易的發展,并對全球貿易產生更加深遠的影響。區塊鏈的應用讓進出口商頗為受益,幫助他們獲取欠缺的財政支持。[2018/8/7]
3)規范性問題。現在很多智能合約的實現并沒有統一規范,智能合約是以交互的方式進行多人合作。沒有一個規范的合約容易導致不同人對合約的行為產生誤解從而出現大量安全隱患。
正因為智能合約的不可更改性,黑客們不斷挖掘交易所可能存在的任何漏洞。如何保障你的加密貨幣的安全?CertiK的陳波錦給出了幾點建議:1)交易所和用戶重視安全信息,避免信息泄漏;2)智能合約一旦更改,務必進行二次審計,確保其安全性;3)解析目前的漏洞和威脅,從源頭上進行一定的技術防御,最大可能性降低黑客的可乘之機;4)無論是交易平臺還是數字貨幣本身,選擇可信的安全保護服務商。
動態 | 美國疾病控制和預防中心開始探索區塊鏈技術:近日,有消息稱,美國疾病控制和預防中心正在開發基于區塊鏈的系統,以共享威脅病原體的數據,分析疫情,并管理對公共衛生危機的應對措施。一些評論人士甚至提出,區塊鏈系統可能有助于追蹤阿片類藥物的使用和濫用。[2018/7/22]
從源頭上阻斷黑客之路,這無疑是一個非常大膽的想法。CertiK經過一年多時間的研發和論證,最終提出了完全可行并且可以落地的解決方案——“深度規范”的形式化驗證。該方法是采用數據邏輯來驗證程序的可靠性,在驗證的的過程中逆行代碼分層,對目標對象進行準確且無二異議的嚴格數學建模,描述以及推導與證明,證明它能得到預期的結果,沒有bug。
目前,CertiK在用形式化驗證技術審計智能合約方面已經相對成熟,不僅局限于solidity的以太坊智能合約語言,在其他多種語言環境下,也均有非常成功的案例。此外,CertiK與哥倫比亞和耶魯大學聯合研發并即將上線的DeepSea語言,可以幫助開發者編寫出更加安全高效的智能合約,并且確保通過函數式語言DeepSea設計的被完全驗證過的編譯器被編譯成bytecode的過程也是正確的。DeapSea也獲得了IBM,Qtum和以太坊基金會在科研和資金方面的支持,將很大程度上助力區塊鏈生態安全的建設。
胡潤研究院首次發布區塊鏈領域榜單,華為、萬向、金丘等入選領軍企業TOP20:《2018胡潤區塊鏈企業排行榜》發布,本次榜單共分為領軍企業TOP20、創新企業TOP50及投資機構TOP30三大子榜,這也是胡潤研究院首次發布區塊鏈領域榜單。其中萬向區塊鏈、華為、騰訊、金丘區塊鏈、平安金融壹賬通、嘉楠耘智、趣鏈等強勢登榜備受關注的領軍企業TOP20,上榜企業被認為在區塊鏈領域的行業內具有較為廣泛的知名度、較大的影響力或明顯的市場競爭優勢,同時在區塊鏈領域引領著技術研究/應用、營銷或運營模式的發展,并擁有業內實力較強的區塊鏈研發團隊。[2018/6/10]
據悉,一些知名的加密貨幣都采用了CertiK的形式化審計,其中包括BNB、OKUSD、TrueUSD、 NEO 、Qtum和QuarkChain等等,保護價值超過了44.9億美金資產。
公鏈,一場關于效率和安全的博弈
目前,公鏈從大的方向看,有兩種類型:一種是構建“大而全”的底層公鏈;一種是著眼于某個特定行業的公鏈體系。
細分行業也好,“大而全”也罷,其本質還都是依存于區塊鏈這個體系而存在的,那它們就不得不面對效率和安全的問題。就市面上的大部分公鏈而言,依然是犧牲效率,保證整個系統的安全。
但是,360周鴻祎曾說過,任何系統都會產生漏洞,沒有攻不下的系統,只有沒發現的漏洞,所以區塊鏈行業的安全在未來仍然任重道遠。
鑒于此,CertiK通過對平臺上開發的智能合約和DApps進行形式化驗證來提供公鏈安全定制服務。
“我們的編程語言/形式驗證專家將分析您的平臺并為其語言設計數學模型。 一旦轉換為我們的數學模型,平臺上的DApps就可以像CertiK保護的任何其他DApps一樣受到保護。”陳波錦說。這也意味著,通過形式化驗證,平臺上DApps的正確性可通過機器檢查校樣進行驗證,或通過自動生成的反例進行反駁。交付實現無漏洞的DApps,從而實現生態系統安全。
此外,CertiK還開放了滲透測試服務,強化公鏈平臺的安全保護方案。
什么是滲透測試?陳波錦解釋,它是針對計算機系統的授權模擬攻擊,用于評估系統的安全性。執行測試以識別可能存在的漏洞,包括未授權方訪問系統的特征和數據的可能性,以及優點,使得能夠完成完整的風險評估。他舉例介紹,Web應用程序滲透測試是通過在內部或外部模擬未經授權的攻擊來訪問敏感數據的。網絡滲透幫助終端用戶發現黑客從因特網訪問數據的可能性,發現他們的電子郵件服務器的安全性,并且也了解網站托管站點和服務器的安全程度。
“滲透測試是一種預防控制方法,它給出了系統現有安全層的總體視圖。從安全保護角度來講,滲透測試更具預見性和安全性。”陳波錦介紹。
公鏈的安全與效率是不可能三角中的兩個互斥節點。而CertiK可以幫助公鏈項目更好的解決安全方面的問題,減輕項目方的負擔,讓項目方可以有更多的時間和精力去解決如何提升其運行效率,如何為開發者和用戶提供更好的體驗等其他方面的問題。
CertiK一路走來,始終把握市場的脈搏,為迎合國內區塊鏈行業的快速發展,CertiK已于今年初,在北京成立了中國區運營團隊,以便為國內的客戶,提供更方便快捷的服務和支持。另外,在技術人才方面,CertiK也迎來了形式化驗證頂尖技術專家倪兆中博士和多名來自美國知名互聯網公司的技術工程師的加入,大大加快了公司在業務與技術方面的發展。
有了全方位的支持,陳波錦表示,CertiK將在今年進一步加大公司在區塊鏈安全技術方面的研發深度,完成DeepSea語言以及與其配套工具的開發。同時,利用自身優勢,用區塊鏈技術為傳統產業賦能,構建兩者之間溝通合作的橋梁,借助安全領域的合作,建立更加廣泛的合作關系。
Tags:區塊鏈ERTCERCERT區塊鏈通俗易懂的例子有哪些liberty幣1967LibreFreelencerCERT立方根
11月30日,萬向區塊鏈“區塊鏈+”技術部高級總監屠文慧受邀在由湖南省工業和信息化廳主辦,長沙經濟技術開發區管理委員會、工業互聯網產業聯盟承辦的“2021國際工業區塊鏈大會-新基建技術融合應用分.
1900/1/1 0:00:00頭條 ▌歐盟議會投票通過破壞隱私的加密規則金色財經報道,歐盟立法者今天投票支持有爭議的措施,禁止匿名加密交易,業界表示此舉將扼殺創新并侵犯隱私.
1900/1/1 0:00:00分析 | 金色盤面:BTC突破6700美元 維持多頭趨勢:金色盤面獨家分析:BTC剛剛突破了,6700美元,再次回到上升趨勢,我們最近在金色盤面和發現機會板塊多次提及這個位置不宜過分看空.
1900/1/1 0:00:00如果你想知道自己的 DOT 拿去提名會有多少獎勵,可以直接在這個頁面 https://polkadot.js.org/apps/#/staking/targets 輸入你的 DOT 數.
1900/1/1 0:00:002022年1月25日,區塊鏈服務網絡發展聯盟(簡稱“BSN聯盟”)根據季度版本迭代安排,上線推出了“BSN-DDC基礎網絡”(簡稱DDC網絡),并進入試商用階段.
1900/1/1 0:00:00在大部分的工作場景中,每個人的工作都或多或少的要與其他人的工作產生關聯。在計算機尚未誕生或普及的年代,這種聯系可能在文件末尾的各項簽名中體現.
1900/1/1 0:00:00