自從加密貨幣出現,安全問題就沒斷過,這似乎和大家認識到的區塊鏈“安全性”有些落差。這種密碼學的機制是否足夠安全?主要的問題出在了哪里?
10月中旬,筆者參加了西安SSC安全峰會,這是中國互聯網界的安全盛會,以安全主題為核心,并且會議的組織者、參會者都與安全相關。
在峰會的區塊鏈安全論壇,我們與論壇的組織者零時科技團隊聊了聊用戶尤為關注的安全問題,區塊鏈安全猛于虎。但這個嚴肅的問題也包含了很多看似有趣的趣事。
以下為受訪者零時科技CEO鄧永凱和金色財經記者王航對話時的自述。
圖為零時科技CEO鄧永凱在西安安全峰會演講中
認識代碼審計的過程
金色財經記者王航:我看到零時科技的官網現在有三個產品,其中還包含兩個工具,這些是什么時候做的?
零時科技CEO鄧永凱:我們開發的第一個產品是智能合約安全自動化檢測工具,現已免費開放給C端用戶,我們將一些基礎并重要的安全審計邏輯做成工具后開放了出來;另外一個是基于EOSDApp的防火墻,以SDK的形式存在,當合約接入SDK之后,有異常的一些交易就可以預警并阻斷的。
金色晨訊|7月13日隔夜重要動態一覽:21:00-7:00關鍵詞:多省市、區塊鏈應用、DeFi、洗錢
1.江蘇省區塊鏈產業發展集聚區正式成立。
2.上半年6省市出臺區塊鏈專項發展政策涉及多個方向。
3.杭州:推動區塊鏈等技術在中樞系統融合應用。
4.湖南:到2022年推動3萬家企業“上鏈”。
5.貴州:到2022年引進培育區塊鏈企業超百戶。
6.當前DeFi中鎖定資產總價值達25.10億美元。
7.二季度全球最大的加密貨幣交易所的交易量凈下降7%。
8.前高盛高管:以太坊可能會帶動下一次牛市反彈。
9.美國特勤局成立網絡欺詐工作組 將調查暗網洗錢等問題。[2020/7/13]
對于安全審計來說,智能合約安全審計也類似與傳統安全的源代碼安全審計,如果全靠自動化其實不是很靠譜,因為機器規則是死的,有些涉及到業務邏輯上的問題,業務上的問題缺陷,自動化規則是無法審計的。即便是形式化驗證,也是需要有一定的判斷依據的。自動化工具可以作為輔助,比較隱蔽的問題,需要人工去通過經驗去判斷出來的。
金色相對論 | 楊玉梅:今后區塊鏈領域投資機構比拼的將是綜合實力:在本期金色相對論中,節點資本管理合伙人楊玉梅發言指出:2019年以來,區塊鏈機構的發展呈現幾個趨勢:
1、注重投后管理,精耕細作,與項目一起成長。“火爆”的市場行業不再,以“快進快出”為主要手段的投機性較重的投資性行為難以為繼。而腳踏實地,步步為營的價值投資機構將逐漸的展現自身優勢,獲得更多發展機會;
2、今后區塊鏈領域投資機構的比拼將是綜合實力的比拼。區塊鏈領域的特殊性,一級市場的投資與二級市場的投資非常緊密;另外,單項業務或者單個賽道的投資難以生存,產業投資是王道。總結起來,在這個領域要保持領先,那么一二級聯動,生態布局將是兩項必不可少的殺手锏;
3、更加專業化。從大的投資行業而言,垂直行業的投資是大方向,而垂直行業投資首當其沖的是專業能力。如果我們把區塊鏈領域的投資機構與頭部穿透投資機構相比,無論是募、投、管、退哪個環節,我們都存在一定差距。所以,要成為區塊鏈領域這個產業頭部機構,我們不僅需要對行業專業的認知,還要具備專業的投資管理能力。可喜的是,這兩年區塊鏈領域的投資機構成長非常快,呈現出了一批非常優秀的投資機構。[2020/2/13]
我們開放智能合約檢測工具的目的是,讓用戶可以自己把合約代碼傳上去進行免費檢測并且獲取審計報告,如果需要更詳細的審計,可以再聯系我們,結合人工一起做審計,發現安全問題,避免資產損失。
金色晨訊 | 美聯儲主席:比特幣被用作代替黃金,是投機性的價值儲備:1.美聯儲主席:Libra引發隱私、洗錢等嚴重擔憂,懷疑其按時推出的可行性
2.報告:區塊鏈是推動全球運輸管理系統市場增長的數字技術之一
3.美聯儲主席:比特幣被用作代替黃金,是投機性的價值儲備
4.英國央行行長:Libra必須從一開始就絕對可靠
5.美國SEC向YouNow基于以太坊的代幣授予Reg A+資格
6.德國央行官員:加密貨幣未對金融穩定構成威脅
7.?墨西哥央行副行長:不完全匿名的CBDC無法使公眾產生興趣
8.?歐洲央行管委維勒魯瓦:Facebook發行的數字貨幣Libra帶來許多問題
9.Bitfinex比特幣空頭持倉量銳減至5200張 創歷史新低
10.英國央行副行長:數據保護將成為加密貨幣Libra的一個大問題
11.華盛頓智庫保衛民主基金會發布受美制裁國家使用加密貨幣的風險評估報告[2019/7/12]
金色財經記者王航:一般情況下,你們的審計流程是怎么進行的?
金色財經現場報道 Coin Club項目Emily Liao: 大企業入局將擠出區塊鏈投機者:金色財經現場報道,在全球區塊鏈世界巡回高峰會議大灣區站, 論壇嘉賓以“區塊鏈科技如何服務實體經濟”展開討論,Coin Club聯合創始人Emily Liao說,傳統互聯網大企業入局對現有區塊鏈公司會有不少沖擊,大企業的加入也會擠出行業、項目的投機者,這也是對廣大投資者的教育,使其更加清醒地認識到資金、技術等核心競爭力企業在區塊鏈產業的價值。[2018/4/23]
零時科技CEO鄧永凱:首先,我們拿到用戶的審計需求,先用團隊內部安全審計工具過一遍,工具是一個輔助,然后是人工按照審計列表將常規漏洞點審計一遍,第二個就是涉及合約是什么業務場景、業務規模、業務邏輯。然后業務的描述,再去看代碼里有沒有和描述功能不一致的問題。例如說會不會被薅羊毛,幣有沒有被鎖,權限設置錯誤問題,會不會增發了以及無限鑄幣等等。
因為智能合約的特殊性,加之當前defi項目中業務邏輯的復雜性,所以,我們所有的代碼審計都是要經過交叉審計的,多個審計人員交叉審計,有哪些問題提出來,然后相互審查,看他們審計的問題是不是重合的點。不同的人審計切入點是不一樣的。所以交叉審計可能會發現更多的問題。
金色財經訊:10月17日,百度旗下百度金融正式加入Linux基金會旗下Hyperledger開源項目,成為該項目核心董事會成員。“這標志著國內金融科技企業在全球區塊鏈技術領域話語權進一步提高。”百度金融方面表示,“我們在大力搭建并完善區塊鏈技術平臺的同時,也希望進一步推動全球區塊鏈技術開源規范和標準的建立。”[2017/10/19]
嚴肅又有趣的社會工程學攻擊
金色財經記者王航:目前你們的業務客戶主要是哪些角色??
零時科技CEO鄧永凱:大部分的公鏈生態客戶主要是交易平臺和公鏈項目,聯盟鏈生態客戶主要在傳統金融行業及政企領域,其中交易平臺的安全最為復雜。
比如說交易平臺,從它本身的產品業務到移動端APP、web網站、資產錢包,還有賬戶體系,因為它是中心化的,大部分安全問題跟傳統安全是一樣的,但在錢包和資產管理比較特殊。在交易平臺的安全服務過程中,除了對業務的安全測試,滲透測試,我們還會進行社會工程學攻擊,釣魚攻擊等,還有特別值得一提的是,我們做最多的出現問題的都是辦全問題上。
其中的社會工程學攻擊,是通過一些非常規的手段去檢測目標的弱點,最容易出問題是他的辦公網,我們曾經審計的幾家交易所都是通過辦公網打進目標系統的。方式很多,在跟目標客戶獲得授權的情況下,例如可以去目標的辦公地點,但很多交易所找不到他的辦公點的。確定地點之后,我們可以去拜訪他們,可以將一些準備好的設備,例如改裝過的數據線、鼠標,貼上名字的U盤等,在不經意間這些設備被使用后,就可以控制他們的網絡或者主機,如果這些主機是可以連到交易平臺業務后臺,或者是有權限操作錢包,基本上就可以控制目標資產和核心數據了。
這就是社會工程學攻擊,利用的都是人的失誤,以及人性的弱點。例如攻擊者需要進入工作地點,可以因為商務需求,可以依靠工作人員,或者偽造工牌、門禁等,最終進入目標網絡。
還有其他的方式例如仿冒WiFi,我們偽造一個WiFi讓受害者連接,或者仿冒大量跟目標WiFi一樣的熱點讓受害者連接,或者直接讓目標WiFi無法工作,目的就是讓受害者連接我們的WiFi,受害者隨便連一個就是我們偽造的,受害者輸入后密碼就被我們拿到了,從而可以持續的進入目標網絡,竊取數據。
甚至于攻擊方式還有針對打印機,打印機一般都是很少有人關注的,但現在的打印機都比較智能,會把歷史打印掃描的文件存儲一段時間,而有些人會把助記詞打印出來,有一個展示案例就是,目標客戶打印機可以配置郵箱,將打印的歷史內容統一發送到制定郵箱。
對于辦全的問題,技術人員可能還好,但是行政、財務、商務人員可能基本上沒有什么安全意識的,可能殺軟件都不裝,補丁也不打,簡直相當于當街裸奔。我們之前的一個案例,就是一個客戶的財務人員電腦中病了,財務人員電腦可以操作錢包,錢包的90多萬美元被盜走了。
所以,安全從業者總有辦法在授權的情況下進入目標網絡,從而接觸并控制目標數據和資產,那么此時就需要極高的道德要求,必須是“正義的hacker”,我們就是。
金色財經記者王航:那交易所這一類交易業務集中,資產集中的平臺如何做安全呢?
零時科技CEO鄧永凱:交易所的安全問題,它是一個面,不是單點,只有整個業務面都做到盡可能安全的情況下,整體的安全性才能提高。木桶原理非常明顯。尤其混入的這種社會工程學和釣魚攻擊的特征之后,例如交易所對外的商務人員肯定很多,這些風險都是不確定的。
安全問題類別也很多,我們團隊做安全攻防這么多年來,攻擊者的攻擊技術在提升,我們的安全防護技術也在在提升,白帽子漏洞挖掘技術在提升,惡意黑客的技術提升更快。甚至于惡意黑客可以直接在地下市場夠買一個0day漏洞就可以直接攻破一些系統。
還有一個方面就是資產安全管理,錢包安全配置,資產及交易風控,例如有些攻擊盜幣,在不正常的時間內,在不正常的交易數量等,對這些異常行為需要有風控系統,第一時間對異常交易進行預警,或者直接攔截交易。
另外對于異常轉賬的地址,也可以做到前期篩查,對可疑地址做內容關聯或者地址畫像。例如暗網的地址、黑客的地址、勒索軟件的地址、洗錢地址、釣魚網站的地址等。
我們的“數字資產及交易安全系統”就可以提供這些風控功能的API,可以把這個接口給交易所,如果這種惡意地址產生交易的話,及時進行預警并配合交易所風控措施進行資產及交易的保護。
其他與區塊鏈安全審計相關且重要的事
金色財經記者王航:對于公鏈安全的理解有什么不同嗎?
零時科技CEO鄧永凱:正常情況下,公鏈代碼都是開源的,開源也可能出現問題,例如社區每一個人都可以貢獻代碼,當提交了一個代碼提在分支上面,然后官方把分支打包進去了,打包進去之后,但這個代碼是個隱藏非常深的后門,此時項目中就引入了一個定時炸彈,可能過了半年之后,全部資產就被轉走了。
比如今年7月,RVN項目的盜幣事件,三行代碼價值4000萬人民幣,就是典型的因為開源以及安全意識缺失導致的安全事故。
安全問題是一個很多元化,且復雜的問題,特別是區塊鏈領域的安全問題,更是復雜。加強所有人的安全意識,是一個非常重要的事情,所有的漏洞都是人為造成的。
金色財經記者王航:最后請您聊一聊區塊鏈安全審計的原則。
零時科技CEO鄧永凱:首先,第一點是責任和信任,客戶信任安全團隊可以找到安全問題且不影響自身業務,安全團隊必須對客戶的需求負責人,盡可能多的發現問題并提出安全解決方案,協助修復。
安全領域的人都是心懷正義的,如果沒有正義感你就做不了合格的白帽子,無論在任何時候都得堅守原則,確保團隊不做錯的事情,一念成佛,一念成魔。
1、如果你是一個剛剛入門的投資者,或者是一個長期虧損的客戶,請看看下面總結出來的虧損原因。自己是不是也存在同樣的問題?如果有,我們當務之急就是先改掉這些不好的操作習慣、心態.
1900/1/1 0:00:00什么是資金盤呢?很多人對于資金盤的理解很少的,每當聽見這個詞是第一反應就是。哦,騙人。當然也不是沒有道理,畢竟資金盤就是取巧的.
1900/1/1 0:00:00行情回顧:昨日到今早比特幣上漲1500美元是近期行情波動最大的一次,單邊上行中雖然有小幅的回調但是隨后就一波接著一波的拉升,突破前段高點后連續破新高,早間7點開始大幅回調.
1900/1/1 0:00:0010月21日,螞蟻集團公眾號發布《井賢棟致投資人的一封信》,信中提到,信任成本是生意中最大的障礙和成本.
1900/1/1 0:00:00數據顯示,到今年年底,比特幣(Bitcoin)有7%的可能性突破2萬美元的歷史高點。根據鏈上分析資源Skew的數據,截至10月22日,比特幣期權表明2020年比特幣價格會持續走高.
1900/1/1 0:00:0010月22日,螞蟻鏈正式宣布數字版權服務平臺面向全社會開放,這一平臺依托于螞蟻鏈的區塊鏈技術和AI技術,可以為原創作品提供從登記到維權的全流程服務.
1900/1/1 0:00:00