前言
2020年初,隨著整個行業認知和規模的不斷升級,以及疫情、Fcoin等各類黑天鵝事件頻出的影響,區塊鏈技術的更新迭代由此受到了更嚴峻的挑戰,安全領域也同樣面臨考驗。
之前提到,雖然2019年行業安全意識整體有所提高,DApp、智能合約等原先存在的溢出、重放、隨機數等基礎型攻擊方式整體減少,但這也使黑客們的攻擊方式趨于多樣化。
2020年的技術方向有何變化?更應注意哪些領域的安全防范措施?發展迅猛的DeFi如何解決安全性和隱私性問題?本期米林有約邀請到了慢霧科技的安全團隊,一起來解答以上這些問題。
文/星陽
出品/米林財經&慢霧團隊
01關于慢霧科技
慢霧科技是一家專注區塊鏈生態安全的公司,由一支擁有十多年一線網絡安全攻防實戰的團隊創建,團隊成員曾打造了擁有世界級影響力的安全工程。
自2018年1月成立至今,致力于成為全球領先且專注于區塊鏈生態的安全公司,慢霧科技已經為全球多家領先的數字貨幣交易所、錢包、底層公鏈、智能合約等項目做了安全審計及防御部署。
慢霧科技在行業內曾獨立發現并公布多起通用高風險的安全漏洞,得到業界的廣泛關注與認可。
NFT交易平臺Element上線權益NFT項目DA AGE 白名單:據官方消息,NFT交易平臺Element今日上線香港首個大型權益NFT項目DA AGE(de-age.io)1,000張白名單,持有element PassCard會員卡EPG和EPS的用戶,將以210U的會員價(公售價為240U)搶先認購,特惠權益保留至6月5日21點。NFT項目DA AGE詳情可在Element首頁和會員頁面檢索。
Element是全球排行前五的大型NFT聚合交易平臺,依靠社區活力驅動,其平臺PassCard持有者可以優先認購平臺上架的優質藍籌NFT,并可以專屬會員價獲得優質籌碼。[2023/5/31 11:50:43]
目前慢霧科技已為全球50多家交易所提供了安全審計與安全顧問服務,例如火幣、OKEx、幣安、BigONE等。
同時也為100多款軟件、硬件錢包提供了安全服務,包括MYKEY、imToken、imKey等,此外,慢霧已經累計審計了30幾條公鏈和600多份智能合約,例如唯鏈、本體、PlatON,以及穩定幣TrueSD、HUSD、OKUSD等,慢霧在區塊鏈安全方面有著非常豐富的經驗。
價值36億美元的比特幣和以太坊期權合約將于周五到期:金色財經報道,據Deribit數據,價值36億美元的比特幣和以太坊期權合約將于周五到期,其中,約85,000份價值23億美元的比特幣期權合約,約70萬份價值13億美元的以太坊期權合約。
Deribit首席商務官Luuk Strijers表示,看跌期權比率為0.38,未完成的看漲期權可能比看跌期權多兩倍半以上。即將到期的期權金額相當可觀,但這并不意味著市場有理由恐慌。隱含交易量仍處于最低水平,比特幣和以太坊的DVOL交易量為50,在今年1月看到了類似的最低IV情況,隨后出現了大幅飆升。[2023/5/25 10:38:43]
02如何判斷平臺的安全性
問:對于一個平臺或者公鏈的安全審核會從哪些維度評估?用戶如何判斷一個平臺的安全性?
答:我們在審計交易所時,會從服務端安全配置、身份鑒別管理、認證與授權管理、業務邏輯、私鑰管理系統、熱錢包架構等方面進行安全審計,確保平臺各個方面都是安全的。
公鏈審計的話,主要關注的是P2P通信、RPC調用、密碼學組件、共識機制、資產交易等關鍵模塊。
從用戶角度看,盡量選擇國際知名的交易所是一個比較通用的原則,同時,也可以看這個交易所有沒有請第三方安全公司做過安全審計,這樣可以從側面看出這個交易所對安全的重視程度。
美股三大指數集體收漲,標普500指數漲1.61%:金色財經報道,美股三大指數集體收漲,納指漲1.97%,標普500指數漲1.61%,道指漲1.17%。[2023/3/4 12:41:51]
03慢霧的優勢
問:和其他安全領域的公司相比,慢霧有什么優勢?
答:慢霧是國內最早專門做區塊鏈生態的安全公司,同時我們的服務范圍包括交易所、錢包、公鏈、聯盟鏈、智能合約、礦池等等,幾乎所有區塊鏈生態里的項目類型我們都能提供針對性的安全服務。
這主要是因為,我們團隊成員擁有十幾年的網絡安全攻防經驗,以及深厚的區塊鏈漏洞挖掘能力,目前我們已經獨家發現并命名了多個區塊鏈漏洞。
例如:以太坊黑人節漏洞、USDT假充值漏洞、以太坊代幣假充值漏洞、瑞波幣(XRP)“假充值”漏洞、EOSDApp充值“假通知”漏洞、EOS假充值(hard_fail狀態攻擊)、門羅幣(XMR)鎖定轉賬攻擊等等。
此外,我們同時服務了世界前三大交易所、世界頂級去中心化錢包、世界知名公鏈及穩定幣,我們服務的客戶數量已超過700家,是行業里遙遙領先的。
富達的加密投資產品Fidelity Crypto向散戶投資者開放等候名單:11月3日消息,投資巨頭富達(Fidelity )的加密投資產品Fidelity Crypto已向散戶投資者開放等候名單,但沒有說明早期采用者何時可以進行交易。據稱它將在一個應用程序中提供比特幣和以太坊的免傭金交易以及傳統股票投資。其他加密貨幣正在評估中,將來可能會添加。 交易不會向用戶收取傭金,但每筆交易執行價格都會考慮1%的價差。這款面向零售的產品得到了其專注于機構的富達數字資產部門的支持。[2022/11/4 12:15:14]
04FCoin需要改進的地方
問:Fcoin張健前幾天在公告中提出,技術問題造成了1000萬美金的損失,在慢霧看來,Fcoin在資產安全和透明上有哪些需要改進的地方?
答:慢霧專注于區塊鏈生態安全,從我們安全服務的50幾家交易所來看,我們深刻覺得運營交易所是一個知識覆蓋面很廣、技術難度也比較大的事情,需要各方面人力、物力、財力的投入,才能保障交易所安全、穩定的運營。
目前交易所行業內值得推崇的做法是資產透明和100%保證金,公開交易所的冷熱錢包地址,讓公眾能查看錢包的交易記錄,提升用戶對交易所的信任感。
問:談到交易所的安全,去中心化交易所是否就比中心化交易所安全呢?對于去中心化交易所的安全評估維度會有什么側重點嗎?
Cosmos生態流動性質押協議Stride將推出stOSMO:10月31日消息,Cosmos生態流動性質押協議Stride在推特上宣布將推出stOSMO。此外,Stride還將在明日更新有關代幣空投的信息。
此前報道,Stride宣布將向ATOM、OSMO與JUNO質押者空投代幣ST,數量分別為220萬枚、100萬枚和20萬枚,快照時間為北京時間8月14日21:00。[2022/11/1 12:02:33]
答:去中心化交易所主要的特點是資產在用戶的錢包地址中,資產轉移由用戶的私鑰簽名控制,平臺本身不會托管或者無法挪用用戶資產,對用戶的使用門檻更高。
在安全審計方面,會重點關注去中心化交易所的智能合約是否存在安全漏洞,在身份認證、權限管理、拒絕服務漏洞等方面會特別關注,Web安全方面就和中心化交易所一樣。
2019交易所攻擊事件
05如何規避攻擊
問:交易所被黑客攻擊已經是家常便飯,慢霧曾經發現其中一個重要的攻擊手法為APT(AdvancedPersistentThreat:高級持續性威脅),可否簡單描述一下這個攻擊手段?區塊鏈的攻擊主要有哪些類型,慢霧有沒有做一些分析和統計,需要哪些方面去規避攻擊?
答:APT攻擊是一種高級攻擊手法,攻擊方往往是團隊作戰,并且會持續很長時間的盯著一個目標。
APT攻擊在傳統互聯網安全攻防中是比較多出現的,近兩年由于數字貨幣生態的逐漸發現,越來越多的交易所、錢包遭遇APT攻擊,這在攻防對抗實力上是不對等的,交易所可以借助職業的第三方安全團隊來針對性提升平臺對抗APT攻擊的水平。
區塊鏈生態中的攻擊類型有非常多,可以按照項目的類型來區分,慢霧開發了區塊鏈被黑檔案庫和慢霧BTI平臺,能夠對區塊鏈生態歷史上發生的各類攻擊進行分類整理和統計,同時通過圖表進行可視化的展示。
網址分別是https://hacked.slowmist.io/和https://bti.slowmist.com/
062020安全和技術的方向
問:在2020年,區塊鏈行業安全和技術領域應重點關注的是哪塊?
答:根據慢霧區塊鏈被黑檔案庫(hacked.slowmist.io)數據統計,區塊鏈世界至今被黑金額已近85億美金,其中交易所占了40多億,47%,這個比例是很可怕的,近一半的被黑都來自交易所。
而未被披露的更多,根據我們內部數據統計,已披露被黑事件占所有被黑事件的比率大概是1/3。在2020年交易所安全依然是重點關注的。
2020年,區塊鏈技術的發展有三個方向值得期待:
1.穩定幣的商業創新應用。如果Libra等項目進展順利的話,對加密世界也是個很大的推進。
2.Web3.0讓用戶掌握自己的數據,期待Web3.0亮眼的應用出現。
3.我們始終期待隱私應用在幾個關鍵方向的成熟:資金交易隱私及用戶數據隱私,其中一個很期待成熟落地的應用是安全多方計算(MPC)相關應用,這可以很通用且安全地解決需要多方角色進行的私鑰操作及數據授權等場景的安全可信問題。
07DeFi的安全隱私問題
問:慢霧如何看DeFi仍然會面臨的安全和隱私性問題?是否具備可執行的解決方案?
答:2019年DeFi應用發展迅猛,新形態的推出總會經歷一段混沌期,目前用戶更多會關注DeFi應用的功能和收益,未來在安全和隱私上,隨著Web3.0的發展也會帶來一定的升級。
在平臺安全方面,近期的bZx安全事件反應出一個風控機制缺失的問題,對Oracle的數據沒有進行相應的檢查,導致兌換價格被惡意操縱,給平臺帶來資產及品牌上的損失。
bZx已經遭受了兩次攻擊,不同的是本次的對象是ETH/sUSD交易對,但也許有人會有疑問,sUSD不是對標USD的穩定幣嗎?這都能被攻擊?攻擊手法具體是怎樣的?
在第一次攻擊中,攻擊者結合Flashloan和Compound中的貸款,對bZx實施攻擊,主要分成以下幾步:
1.從dYdX借了10000個ETH;
2.到Compound用5500ETH借了112個BTC準備拋售;
3.到bZx中用1300個ETH開5倍杠桿做空,換了51.345576個BTC,而這里換取的BTC是通過KyberNetwork來獲取價格的,然而KyberNetwork最終還是調用Uniswap來獲取價格,5倍杠桿開完后兌換回來的51個BTC實際上是拉高了UniSwap中BTC/ETH的價格,換取價格是1/109,但是實際上大盤的價格不會拉到這么多;
4.用從Compound借來的112個BTC來在UniSwap中賣掉,由于第三步中bZx中的5倍杠桿已經把價格拉高,所以這個時候出售ETH肯定是賺的,然后賣了6871個ETH;
5.歸還dYdX中的借貸。
第二次攻擊與之前稍有不同,但核心都在于控制預言機價格,并通過操縱預言機價格獲利。
兩次攻擊的主要原因還是因為Uniswap的價格的劇烈變化最終導致資產的損失,這本該是正常的市場行為,但是通過惡意操縱市場,攻擊者可通過多種方式壓低價格,使項目方造成損失。
針對這種通過操縱市場進行獲利的攻擊,慢霧安全團隊給出如下建議:
項目方在使用預言機獲取外部價格的時候,應設置保險機制,每一次在進行代幣兌換時,都應保存當前交易對的兌換價格,并與上一次保存的兌換價格進行對比,如果波動過大,應及時暫停交易。防止市場被惡意操縱,帶來損失。
Tags:區塊鏈ETHBTC區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢ETH錢包地址ETH挖礦app下載Etherael指什么寓意BTCs是不是黃了btc錢包官網btc短線交易
真的要和現金說再見了?“新人民幣”試點,碰碰手機就能轉賬。隨著智能手機的普及,移動支付慢慢走進人們的生活里,支付寶、微信支付等支付手段相信就連買菜的大媽也都完全掌握了,然而,令人意想不到的是,在.
1900/1/1 0:00:00▌美國總統特朗普批準紐約宣布進入災難狀態美國總統特朗普批準紐約宣布進入災難狀態,將允許紐約獲得聯邦基金的援助,舒默發推表示,美國聯邦緊急措施署現在應該采取行動,為紐約提供數十億美元直接援助.
1900/1/1 0:00:00央行數字貨幣DCEP的測試開始提速,關于數字貨幣的討論熱度居高不下,也有不少人發出疑問,數字貨幣發行會給行業和消費者帶來多大影響呢? 撰文|昂格 出品|支付百科 央行數字貨幣DCEP測試開始提速.
1900/1/1 0:00:00來源:葉檀財經 文章一共2924字預計閱讀時間:8分鐘 明天投資必看的財經解讀 要聞解讀 1美國宣布:中國不再是發展中國家了!日前,美國貿易代表辦公室在聯邦紀事發布公告.
1900/1/1 0:00:00來源:中國經營報 本報記者/鄭瑜/張榮旺/北京報道因與火熱的區塊鏈概念產生交集,恒久科技在互動易上備受投資者矚目.
1900/1/1 0:00:00文章目錄 黑客勒索、洗錢版權保護慈善捐款物流鏈黑客勒索、洗錢比特幣地址匿名性完全去中心化導致無法監管也無法凍結比特幣全球通用,流通非常方便.
1900/1/1 0:00:00