9月,北京秋高氣爽,藍天白云。受去中心化漏洞平臺DVP邀約,《8問》欄目組在工體北路的科技寺做了一期別開場面的訪談。
本次討論的主題是“去中心化安全眾測在區塊鏈上發揮的作用”,對于普通觀眾來說,光是“區塊鏈”三個字就已經讓他們燒腦了,加上“去中心化”、“安全眾測”這些詞,就更難理解了。但這次我們竟然深入淺出地將這個話題聊得很通透,并且現場爆笑不斷!
本期嘉賓有DVP平臺首席執行官DanielWen,派盾PeckShield聯合創始人吳家志,長亭科技區塊鏈安全負責人于曉航,Bibox交易所副總裁向丹,以及公鏈Contentos的CTO楊鵬博。
為符合閱讀習慣,《8問》文字版對原對話內容稍做了調整。
賈小別:先請我們的嘉賓簡單的介紹一下自己吧。
DanielWen:《8問》的朋友,很高興在這里跟大家見面,我叫DanielWen,是DVP去中心化漏洞平臺的CEO。DVP今天有很多新聞帶給大家,第一是長亭科技加入DVP平臺,第二是DVP和白帽會、派頓,還有長亭會一起建立一個漏洞安全態勢的信息平臺,給大家提供更多的安全方面的信息。第三我們上線了Bibox、Bithumbglobal和Bithumbkorea,這對我們項目的發展是一個非常有里程碑意義。
于小航:大家好,我是于小航,是長亭科技區塊鏈安全方面的技術負責人。我們平時的工作就是挖0day漏洞,然后做一些安全研究。挖漏洞可能會涵蓋向交易所、供鏈、合約、錢包、礦池、礦機這些。最近我們在跟DVP平臺合作,一起建立一個安全世界的數據庫。
向丹:《8問》的朋友們,大家好,我是向丹,來自Bibox,Bibox是一家已經平穩安全運行快兩年的數字資產交易所,前不久剛上線了DVP這個項目,我們一直以來都秉承著去精選優質的數字資產,為更多的用戶提供更好的服務這樣一個宗旨。
吳家志:《8問》的朋友,你們今天過得好嗎?我是吳家志,現在在派盾PeckShield擔任研發副總裁。我們現在主要做的是給各個區塊鏈的企業項目方做安全服務,主要是做安全審計的業務,里面包括代碼的,數據分析的。今天很開心能夠參加采訪,DVP其實就是像我的孩子一樣,我是前一任的DVP的負責人,DVP主網上線那天是我的生日。
楊鵬博:大家好,楊鵬博,目前是Contentos的技術負責人。Contentos是一個專注于區塊鏈內容領域的公鏈項目,在平臺中有直播、短視頻、圖片以及文字相關的內容。我們9月25號主網上線,會正式開啟線上的挖礦模式,大家可以在我們的主網中來進行一些創作,發直播、發短視頻都可以得到主網的激勵。
賈小別:第一個問題,我想知道當我們在聊區塊鏈安全的時候,我們究竟在聊什么?
楊鵬博:對于公鏈項目來講的話,區塊鏈安全最重要的問題其實是項目方和用戶都比較關注的Token,就是Token會不會哪天莫名其妙地丟失掉,比如被別人偷走了,這是從使用的角度上來講。
從公鏈技術角度來講的話,區塊鏈安全有可能第一個維度就是共識協議的設計是否是安全,其次是你公鏈經濟系統的模型是否存在著缺陷,第三個就是你的代碼會不會有一些嚴重的漏洞,能夠導致于整個系統崩潰這樣的情況,這是我所理解的安全。
吳家志:我講的更簡單一點,區塊鏈的安全其實就是數字資產相關的問題,數字資產是否安全,是否會被丟失。如果更深一個層次的理解,其實就是跟數字資產相關的安全問題,包括雙花,包括增發、丟失這種事情,是我認知的區塊鏈安全。
Filecoin基金會將在太空中測試基于IPFS的通信:金色財經報道,Filecoin基金會周二宣布,控制Filecoin網絡的治理實體 Filecoin Foundation正在推進今年在太空推出去中心化文件系統的計劃。公告稱,Filecoin 基金會將在洛克希德馬丁公司的一顆衛星上部署行星際文件系統 (IPFS) 。Filecoin基金會主席Marta Belcher在公告中稱,使用IPFS,數據不需要每次點擊都在地球上來回傳輸。[2023/1/17 11:16:53]
DanielWen:從我們DVP平臺的角度來看,可能更宏觀一點。大家可很多時候會認為安全是一個時點的、某個項目的狀態。從我們的角度來看,安全不是一個某個時點狀態,它是一個持續的過程。怎么樣去保持在安全狀態下的過程,需要一個更完整的體系。一你必須有自建自己的很強的安全團隊。第二個,你要去利用像派盾PeckShield這樣外部的一些安全團隊來幫助你,去補足一些方面。第三個必不可缺少的是社區力量,像DVP這樣的白帽子社區,他會去把前基點,不可能完全覆蓋的東西幫你覆蓋起來,這樣才會有一個立體的、安全的架構,來保持你持續的在一個安全狀態下。
向丹:對于交易平臺來說,安全像空氣一樣,我們平常可能感覺不到它,但是我們無時無刻都需要它。Bibox在安全上一直都把安全當成比生命更重要的事情,我們自己在日常的一些流程,技術監管流程上的一些動作,其實更多的是在于我們日常工作生活的一系列很多的細節。它不僅僅是在底層架構,還有在跟業內資深的安全機構公司、組織去合作。
于曉航:我在想到區塊鏈安全的時候,可能稍微復雜一點。安全從客觀上來說它應該是有兩個層面,一個是理論安全,一個是實踐安全。很多人在說到區塊鏈以安全著稱的時候,實際上是在說它的理論安全性,包括不可能三角里面提到的安全性,其實也是說它理論層面的安全性。但是理論層面安全性即使做得再好,在實現如果存在一些漏洞,比如一些語言特點上出現了內存讀寫的漏洞,或者其它的邏輯上、算法上的一些漏洞,這會是實踐安全和理論安全里面的兩個短板,這兩個木板無論哪一個出現了問題,都會讓整個項目的整體安全性下降到非常低的程度。但是說到區塊鏈以安全著稱這個話題的時候,可能更多的描述的是一個狹義上的區塊鏈的定義。
賈小別:2018年區塊鏈的重大安全事件有138起,造成了經濟損失是22.38億美元,2019年是68起,損失是6億多美元。溫總你這邊有沒有統計過,發生過哪些區塊鏈重大安全事件?
DanielWen:區塊鏈安全事件的發生可能在著幾個層面,第一是在底層,共識協議這一層,甚至物理層。逐漸往上走,就到了協議層,比如合約層。再往上走,可能就是像交易所這樣的交易平臺或者錢包這類的就比較偏應用層。再有是用戶自身他怎么處理安全問題,怎么做安全防范的這么一個問題。
最底層比較典型的例子是比特幣,比特幣遭受的攻擊事件是是非常多的,但是真正成功的并不多。2017年有一次遭受到服務的攻擊,導致了10%的節點當時有下限的情況。但底層面其實真正發生安全事件相對比較少的,合約層可能就相對看起來多一點了,那可能大家能夠記得的最典型的例子就是美鏈,BEC這個項目。其實我的理解是當時出現了一個應該是批量轉賬的代碼里邊,造成了可以無限制的去發幣的這么一個事件,等于是這個項目基本上就結束了,那損失的金額大概是在應該是在十個億美金左右,粗略的估計。
那如果我們看平臺的話,這個安全事件可能引起注意的就更多了,最新的大家印象比較深的就是幣安丟7000個比特幣的這么一個事件。那其實2018年也有很多安全事件,比方火幣也發生過,因為遭到這個攻擊,雖然沒有直接的經濟損失,但是當時停止交易是有三個小時的。再往前去看可能就比較大的交易所,日本的Coincheck,遭到黑客攻擊損失是5.3個億人民幣,這還是很令人震驚的。我們最早能夠記得的門頭溝的損失當時算下來大概是4.73億,這個就更大了。
雄安首筆科技創新券以數字人民幣形式完成兌付:金色財經報道,雄安新區首筆科技創新券以數字人民幣形式完成兌付,結合區塊鏈智能合約技術實現“秒兌付”。采用數字人民幣+區塊鏈智能合約形式發放科創券為新區首創,已納入新區科技企業庫和“專精特新”企業培育庫企業分別可領取5萬元和15萬元科創券。[2022/12/16 21:48:11]
所以整個從這個安全態勢你去看的話,其實最底層的出問題反而相對較少,那么越往上走,它出現的這個問題的可能性越大,我覺得這個最大的原因就是越往上走,它更是一個綜合的東西,它就不是單純的區塊鏈的東西,那它可能涉及到外部的安全,可能涉及到基礎設施的安全等等,這個就需要你自己的安全團隊,還有整個你的安全體系的架構能夠覆蓋的面更加廣了。
賈小別:長亭科技是做互聯網安全這一塊的,不局限于區塊鏈。區塊鏈這個行業的安全和互聯網的信息安全,有什么異同?
于曉航:區塊鏈安全其實跟傳統安全有很多相同點,也有很多不同的地方。
剛才溫總也提到區塊鏈領域很多東西是建立在一些傳統的技術站基礎之上的,比如說像中心化的交易所,它需要依托于一個中心化的外部服務器去做,包括一些移動端錢包。我們做區塊鏈安全的解決方案里面,也會對區塊鏈安全事件做一個二維拆分。就是我們把它劃分成區塊鏈特有的應用場景,和傳統技術站兩個方向。
經過劃分之后,我們把區塊鏈領域特有的一些應用場景,比如像交易所、錢包、礦池,這一類的場景把它考慮在一個特殊的、具體的客戶案例中,都把它分解為一個區塊鏈,它有的應用場景以及它所依托的技術載體。我們其實可以很方便的把我們在傳統互聯網安全領域積累了多年的一些經驗,去很快速的轉化到區塊安全這個方面上來。
當然區塊鏈安全也有它自己很多的獨特性,因為像區塊鏈系統有很多的數據不可篡改性,也就說很多交易發出去以后它是不可逆的,那么也就意味著很多安全事件,它一旦發生了以后,是很難讓整個社區去回滾整個鏈回滾整個交易,回滾這些數據去追回這個損失的,所以說區塊鏈行業對于安全的需求量會更大一些。
面如果從宏觀一點角度來看,區塊鏈這個行業起步的比較晚,發展特別快,它得到的社會關注特別高,以及承載的資源資金量特別高,所以自然而然它得到黑客的關注也特別高,其實會更容易成為這個黑客的提款機。
它發展速度太快了,但是整體區塊鏈行業的安全水平并沒有一個非常可靠的、快速提升的解決方案,或者我們還沒有建立起一個非常完善區塊鏈安全的一套標準,一套業務流程。所以這兩者的差異之下,會使得區塊鏈生態對安全的需求會更加的強烈一些。
賈小別:廠商方在面對自己項目上面的一些安全問題時,解決步驟是怎么樣的?會不會找外援?去哪里找外援呢?這個問題就從我們Contentos和bibox來回答一下。
楊鵬博:一般遇到安全問題的話,肯定是先看一下自己能不能解決。正常情況下,百分之七八十自己都能解決掉。剩下那些實在是自己搞不定的話,目前我們有一些比較合作緊密的合作伙伴,他們有自己的專業的安全團隊,他們也會幫我們來看一些安全的問題。
向丹:首先我們這個交易所可能不太一樣的地方是我們有人工智能算法在里邊,它會在交易過程中,還有訪問過程中會監控數據,一旦發現有異常情況會及時的警報,然后我們專業的安全人員就會介入,會去把初級的或者說沒有那么復雜的那些安全問題給解決掉。
路透社:馬斯克對推特的反訴細節或將于周五公開:8月4日消息,據主審法官、特拉華州衡平法院院長凱瑟琳·麥考密克(Kathleen McCormick)周三裁定,馬斯克的反訴應在當地時間 8 月 5 日下午公布。
此前報道,特拉華州衡平法院法官 Kathaleen McCormick 在威爾明頓聽證會上將推特(Twitter)訴馬斯克(Elon Musk)案定于 10 月進行審判。(路透社)[2022/8/4 3:42:43]
另外一方面是在業界,我們也跟一些很頂級的資深的一些安全團隊、安全公司,甚至說像阿里、百度這種互聯網的一些安全工程師跟他們進行合作,同時還有跟白帽協會這樣的一些協會、組織去做合作,他們會幫我們發現很多漏洞,一旦發現了之后,我們會進行及時地修復。所以在國外的一家第三方的評測機構來看的話,我們的漏洞懸賞有效性全國所有交易所中是最高的,也把我們的安全系數通過很多方面的一個測試放到了最高的一個位置。
賈小別:用自己的黑客技術來維護網絡,他們是公平的、正義的黑客,那我們就把稱為白帽。白帽發現系統bug,向項目方提出bug求修復的獎勵。項目方或交易所會不會將此視為一種勒索,這樣的事情有沒有發生?
DanielWen:我先講白帽的故事,我專門考證過,白帽這個名詞從美國這邊過來的,它最早應該是在1965年左右,最早出現用英文whitehat這個詞,whitehat是指的是指美國西部片里那些奉公守法的牛仔。那幫壞的牛仔一般不戴白帽子,一般好的牛仔都是戴著白帽子的。所以這個詞后來就演變成了你戴著白帽子就是善或好的代名詞。
黑客這個詞最早是一個褒義詞,是講一些技術特別好的,有理想的,會對系統漏洞進行彌補的的人。當然也被居心不良的人用來作為活力手段,詞意擴大,才有黑客白帽之說。
有些項目他會把白帽子的一些要求,當做一些是勒索的手段,這種情況也有,但是這種情況其實并不多。很多時候是更多的是白帽的這個群體和項目方之間,大家并不完全理解雙方的一個訴求,溝通上的一些誤差導致。因為從白帽的角度來講,我做的是一件好的事情,我做這件事情也是有成本的,我是覺得更多的時候,我的這種努力有一定的回報,是對我的努力這種認可。
其實我看過一個統計,白帽的這個群體其實蠻特別的,第一大概有80%的白帽子實際上是35歲以下的,說明這個群體是非常非常年輕的,可能還在學校讀書的這么一些人群。第二個特點大概有百分之八九十的白帽子,是自學成才的,這個比例非常的高。從這兩個特點來講,他們其實的訴求,第一個經濟上的激勵肯定是一個因素。但是實際上,我看的統計百分之四十幾的白帽子,其實它的主要的訴求就是提高技能。第二個是為我將來的職業,在安全行業從事這個職業去做一些鋪墊。
賈小別:這個問題需要白帽子代表來回答,白帽子和廠商之間有沒有掐架過?
吳家志:常常在調這些事情。其實溫總剛剛講的一點我很認同,是一個雙方認知的問題,假設我們要溝通好,說白帽子跟項目方都可以理解說這個漏洞的危害性是什么,到底說白帽花了多少時間,多少成本,去做這個東西,給你看讓你修復這個問題,雙方的認知是不一樣的,常常是說白帽子覺得他絕對是高危的特別嚴重的漏洞,項目方可能會認為,又不能直接造成損失,不能利用,理論上的那種攻擊模式。
他們可能不一定會認同,所以我覺得在這種情況其實是很需要像DVP這樣的平臺,因為他們是有安全的專業的人員,我們就直接把這些規則白紙黑字寫清楚,什么樣的程度的攻擊是嚴重的,什么是中維,什么是低維,什么不是漏洞,這只要講清楚,雙方假設都是技術人其實都能夠互相溝通好,能夠理解。
Solana Labs聯創:此次攻擊事件似乎是iOS供應鏈受到攻擊:8月3日消息,Solana Labs首席執行官 Anatoly Yakovenko在社交媒體上稱,該事件很可能是對使用Apple iOS操作系統的錢包的“供應鏈攻擊”。當黑客通過在系統中注入惡意代碼來進入和修改軟件時,就會發生供應鏈攻擊。代碼插入可用于傳遞惡意負載或后門惡意軟件。根據團隊的分析,在 Solana 的案例中,黑客可能攻擊了其 iOS 錢包庫以提取私鑰。
Yakovenko得出他的結論是基于這樣一個事實,即被利用的錢包之前沒有與 dApp 進行過交互,并且在一段時間內一直處于不活動狀態。這表明黑客可能已經從 Solana 的熱錢包中提取了私鑰,而不是通過惡意鏈接進行的通常的網絡釣魚攻擊。獲得私鑰意味著黑客能夠從熱錢包中轉移資金,包括 Phantom 和 Slope 錢包服務。[2022/8/3 2:56:20]
賈小別:交易所這邊呢?有沒有和白帽子掐架的情況?
向丹:坦白說是一個信任問題,就剛剛像溫總、吳總、談到的其實是溝通上面的一個誤差,還有就是理解認知上面的一個偏頗,所以導致了這些糾紛或者說誤解。但從我們的角度,我們自己對白帽協會這樣組織和他們所貢獻的力量是非常的敬畏的,非常敬重的。因為它是一個正義的象征,因為我們全球的交易所基本上都面臨著全球最頂級黑客的威脅。他們的力量也是非常強大的,他們想要去獲取的利益也是非常大的,所以對我們的損失就潛在的威脅和損失也會非常大。我們要做的是能夠更多的跟正義象征的白帽協會來去合作起來。
他們提出來的想法,或者說他們提出來的漏洞,原本可以直接去攻擊,原本就不需要跟我們說,可能帶來的收益更大,但是他跟我們說了,他拿到的懸賞肯定是要比他直接攻擊帶來的利益要小一些,那他們為什么要這樣做?這個邏輯我們覺得他們是看重自己的價值和自己的羽毛,才會去這樣做。如果說這一點信任沒有的話,那整個世界的秩序也很亂,并且之所以有白帽協會,還有安全的一些協會,一些組織架構存在,他會有一個行業或協會的一個自己的自律意識在里邊,不然他就不會加入這個協會了,也沒有必要說他就自己在家平常就黑一下交易所就可以了。
賈小別:剛剛關于信任的問題還是要讓我們的項目方來聊一下。
楊鵬博:首先我們項目來講的話,如果來給我們報bug或者報漏洞的話,我們肯定不會認為你是敲詐的,這個是一定的。因為就像剛才吳總說的,其實有很多項目方,他可能安全人員來講,其實本身的技術水平也沒有那么高,但是我們團隊其實是不太一樣的。像我的話,我第一份工作是做病分析,搞客戶端安全的。后來又做過大概兩三年的殺引擎,包括我們的CEO他在之前在也做了十年的這種反病軟件。我們還有一個非常核心的一個架構師,之前在江濱也做了將近十年的殺引擎。所以其實我們團隊中對于安全的意識,還有安全的技術水平來講,本身來講還是比較高的。因為這個事情本身就是溝通溝通和理解,所以在我們這里其實問題不是很大的。
我們只要講這種術語,其實雙方已經認知這個是什么程度了。但是如果你要跟一個完全可能比較少接觸安全的人,你跟他講一個RC。你還從頭要解釋說我怎么樣把代碼植入,怎么樣遠程執行什么,就前面的這種要講很多,是溝通認知的問題。
還是看像面對的是什么樣的廠商,可能以及我們對接過去的人是什么樣子。因為確實是像吳總說的,平時也有很多同事在報各種就不局限于區塊鏈方面、傳統方面的一些漏洞的時候,也經常會說這個東西是個低危,要不然說你跟別人撞洞了,但是私下一聊發現根本不是撞洞,根本完全就是兩個洞。這種情況還確實是可能是跟行業不同,因為像可能在區塊鏈行業大家都會更注重安全一些,所以我們在區塊鏈行業里面對接過去的人,可能往往都會相比于傳統行業來說對這個事情會更重視一些。
Solend敦促某巨鯨盡快償還巨額貸款,以避免清算風險:6月19日消息,Solana生態借貸協議Solend創始人Rooter發推稱,某個巨鯨(3oSE開頭地址)在Solend上擁有價值1.7億美元的SOL存款和價值1.08億美元的USDC+USDT債務頭寸,清算價約為22.27美元。其SOL存款占Solend Main Pool的近95%,USDC債務占86%。
Rooter希望其盡快償還貸款,并且正在為最壞的情況做好準備。如果巨鯨被清算,它將以未償借款的20%(約2100萬美元)為上限進行部分清算。在Solend上大多數清算人都是使用DEX流動性的機器人,在DEX上這樣大規模的銷售或會進一步降低SOL價格,讓其他賬戶面臨清算。
Solend擁有2000萬美元的財庫資金,可以用于幫助償還壞賬,但是在最壞的情況下,可能資金仍不夠。目前Solend正在積極嘗試讓該巨鯨償還頭寸。
據悉,之后Solend已臨時禁用其Main Pool的USDC、USDT和SOL借款。[2022/6/19 4:38:39]
而且我覺得剛剛吳總說得很好,就是的確需要一個平臺像DVP這樣的平臺。它能夠把一些安全漏洞去評級。對于我這種文科生來說,我根本就不知道剛才吳總說的那個是什么,但是我會相信一個第三方客觀的評級,這個安全漏洞的確系數很高了,那我們真的是需要花大量的精力、財力、物力去解決這個問題。我覺得這是有價值有意義的,對整個行業都是這樣的。
賈小別:請溫總聊一聊在去中心化漏洞平臺懸賞之前,我們區塊鏈行業的白帽子是怎么進行工作的?
DanielWen:第一,比較傳統的組織形式肯定是依賴自己的安全團隊。第二,全新模式,中心化的平臺。像美國的HackerOne,BugCrowd這樣的懸賞平臺是比較中心化運行。這個模式在國外是比較接受程度越來越高的。第三種就是去中心化平臺,相比傳統模式,它有更大的優勢,但它并不是要代替前兩種模式,而是要形成一個更完整的體系,覆蓋更大的范圍。
安全問題哪怕99.99%都做的很好,只剩那么一點點,都有可能成為致命的地方。從成本效益角度來講,完全靠自己的團隊無休無止的去檢測、去看,這個成本非常高。還有就是自己團隊和社區白帽子看問題角度不一樣,自己團隊往往是從防的角度來看。白帽子的思維更多的是從攻擊者的角度,找到你的弱點,覆蓋面很廣。
賈小別:DVP平臺的口號是“漏洞即挖礦”,聽起來蠻幸災樂禍的。其實更貼切的叫“填補漏洞即挖礦”,其實區塊鏈技術門檻它是有的,白帽子人數其實也沒那么多,就是參與的人也很少,那我們現在所謂的漏洞即挖礦,是不是有點曲高和寡?
DanielWen:區塊鏈這個行業畢竟比較早,本身專門從事區塊鏈安全的行業人員就更少了。第二白帽子群體可能要比我們一般想象要大,HackerOne的注冊白帽子45萬人。那第二個從獎金的角度來講,我們還是用傳統的平臺來舉例子,那么HackerOne截止到今年8月份,有六個黑客是累計拿到超過100萬美元的獎金。這個還是很多的,完全憑本事吃飯,就是看能力了對吧?這個是最公平的一個體系,就是說我有這個技術,我能找到很高危的漏洞,那我就能成為百萬富翁。
DVP平臺角度,我們過去一年真正發出去的獎金,包括我們自己的token加起來也有幾百萬人民幣這么多,其實并不算少了。當然從我們的角度來講,我們還會不斷的根據這個平臺發展情況去修改這個社區規則,來去提高比方更高質量的這個漏洞的這個獎金。
賈小別:我看到DVP平臺上一些漏洞的懸賞獎金并不高,高危的也就一千多塊錢人民幣。這個價格是高于市場還是低于市場價?
DanielWen:你看到的懸賞金額完全是項目方自己定的。懸賞金額高不高,我覺得是體現了項目方對安全的重視程度了。當然用這種方式來作為自己安全架構的一個部分,在這行業還是一個比較新的東西,大家有一個心理的適應過程,因為他也不知道效果到底是不是項目預期的那樣,我覺得也很正常。
我們平臺自己定的標準來講,我們的高危其實是相當高的。按照現在的價格去計算,我們嚴重的漏洞,基本上在6000美金左右,這是和整個市場持平的。其他等級的肯定是要比我們現在要高的,所以我希望呼吁項目方,重視安全的項目方,來提高懸賞金額。
提高懸賞并不是項目方吃虧的事情,如果你的一個漏洞會造成10億的損失,但你設置幾百美金的懸賞金額,漏洞就能解決。衡量一下會發現,懸賞是一件非常非常值得的事情。
賈小別:為什么白帽子希望自己匿名呢?如果不匿名,用真身份的話會暴露什么嗎?會發生什么事情?
吳家志:白帽群族有兩派,一派是用真名,比如我這種稱為安全研究人員的,用的都是真名。
還有一派是很明顯他都是用ID的,而且那個ID都不是正常會用的,比如黑客族群里面特別喜歡用數字去取代英文字母,ABCD的A它會寫成4,ABCDE的E它會寫成3,白帽圈是有用一個ID代替自己而他不要暴露真實的身份的文化。
另外白帽比較注重安全,比較注重數字痕跡。還是舉我為例子,我幾乎是不發朋友圈,不在Facebook點贊,Twitter我有時候會有點贊,但我會盡量避免大家知道我可能這個時間在哪,或者我對什么話題有興趣。為什么要盡量避免這個數字痕跡呢?因為你在不知不覺之中就說你的賬號密碼。你會用的ID不知不覺會跟你的數字痕跡會有關,假設你暴露你哪天生日,或者你的女兒哪天生日,他可以不是直接用那個生日的日期拼出你的密碼,但他可以用一些運算的邏輯算出你的密碼。所以盡量抹去數字痕跡絕對是安全程序人員會盡力要做的一個事情。所以很多黑客是不喜歡拍照的,像我就是很少拍照的那一種,今天上《8問》就暴露了。
所以我覺得兩個層面,第一黑客的文化就是這樣,他們習慣是用ID。第二就是他們希望抹除自己的數字痕跡。可能還有第三點是他其實現在有一個別的工作,他是用業余的時間增進自己的技術做這些事情,所以他就希望匿名。
于曉航:確實是這樣,會有出于一些安全性的考慮。其實我覺得這個事件就是白帽黑客或者是黑帽黑客非常注重自己的聲望,有點像一個美劇叫《黑客軍團》。《Mr.Robot》里面,我把世界上最大的一個銀行系統給搞掛了,把他的所有備份都刪掉了,把它所有數據全清空了,全世界在各種混亂狂歡的時候,大家都知道是這個ID干的。我做的所有事情都跟我這個ID聯系在一起,但是這個ID跟我的真人聯系不在一起。那種情況下我走在大街上感受到全世界的沸騰,所有人都知道是這個ID做的,但是大家都不知道這個人是我,這種感覺是一種很爽很奇妙的特殊的滿足感,有一點點成就感。
我們可能會用自己的ID來去做一個博客,自己運維這個博客,運維這個服務器的時候,其實也會特別注意,不把自己的任何的信息,比如說跟公司相關的那些私鑰或者是一些個人信息放在上面。因為一旦如果那個服務器被攻破,可能我們很多的信息就會被串聯在一起。如果有人嘗試去攻擊我們個人的信息,如果是針對某一個網站的某一個賬戶,只要你不是用一些很基礎的密碼,想要去破解他的密碼往往往往是挺困難的。但是如果把這個人的橫跨所有網站的各個東西,橫向的信息全部都拼接在一起,其實是能顯著降低攻擊的難度。因為你可以橫向的利用各個網站之間的一些安全小漏洞,把這些所有的信息橫向對比起來以后,很可能就可以恢復出來你的一些個人密碼或者一些其他的信息。相當于是畫像更加精準,定位到你這個人以后,如果是有意要做一些攻擊,當然是會更加容易一些。即使不是去做攻擊,其實我們個人的信息被暴露也是很不爽,比如會感受到好像在被人監控一樣。
所以一方面是為了一種滿足感,另一方面也是確實是有這種匿名安全方面的需求。
楊鵬博:我是覺得這個看個人的喜好,一般來講,因為它確實是存在這樣的一種文化。大家都是覺得自己低調,低調會顯得更牛逼一點。
賈小別:那要問問我們項目方,你們對于匿名的白帽子,信任感會不會低于不匿名的白帽子?
向丹:坦白說還是稍微有一些忐忑的。但是剛剛聽了幾位的分享,我是覺得理解他們的初衷和想法。如果是黑客,他可能是做壞事不留名有一種快感,但是做白帽的話,他是做好事不留名的一種雷鋒精神,也是一種滿足感。
同時我們自己其實不在意他留不留名,是在意他提供的漏洞是否真的很高危的,或者真的能對我們產生非常大作用的。同時還去解決,我覺得這件事情就比較有意義。而他這個人,其實無論是名字或者真實的身份、ID,它其實也就是一個代號,一個符號。
但是人的確是有這樣一個心態,真實的面對面的時候會更有踏實感,因為知道對方是一個什么樣,還有綜合的一些素質都能體現出來。在網絡上,在一個不留名的環境下,我們能不能相信他?這個要基于區塊鏈的技術,像中本聰也是一個非常厲害的黑客,到現在我們都不知道他的身份,我們依然用著他提供的這一套邏輯和這一套算法,我們也因此而獲得更多的福利。我覺得這是不在于他留不留名,而是在于他做的事情,牛不牛逼。
吳家志:我覺得她剛才講的一個點就特別好,其實我們在講為什么要用區塊鏈的東西來做這個事情?我們其實想做一個社區,而不是做一個單純的區塊鏈項目,而區塊鏈的這些技術包里,有很多東西能夠幫我們達成這樣的目的。
類似于比特幣這樣的網絡,你可能你永遠都不會知道對方是誰,但是你仍然會把你的比特幣打給他。會信任這個體系,信任這套規則,這套技術上要保證這個規則能夠不以某人的意志為轉移來執行的。所以在DVP這樣的平臺上,我們的努力也是要朝這個方向去做,就是它規則透明,大家認可,不能由某一個人的意志為轉移。包括廠商方對白帽子,其實不是對某一個白帽子信任不信任,而是它對這個群體信任不信任,所以為什么我們要逐步建立白帽子的信譽體系,其實放在一個群體來講,你很難判斷某一個白帽子到底是真正的白帽子,還是它其實是黑客或者它兩邊都會占,都是有可能的。
但是你能夠做的是看它在這里邊體系平臺上的行為,它發現的漏洞,提交的很多,貢獻很大的這些,它的傾向性就很明顯。
它要通過這個平臺交上去,來獲得它應有的回報,或者實現出名也好。比方說我們就有刷榜第一名的在上次黑客松也來了,他也可能也是一個滿足感,在這個群體里邊受尊敬的滿足感。所以我覺得建立一個體系,大家都可以信任,建立一套規則,大家都可以信任,而不是說側重于他實名了,我才能相信這個人,我覺得是要搭建這樣的一個平臺才可以把這個事情做下去。
賈小別:我們的項目方代表楊總可以再聊一下,你們對于白帽子匿名還是匿名的信任度,是否有關系?
楊鵬博:首先作為項目方來講,我們肯定是希望他不匿名的。第一個來講肯定是人的好奇心,你晚上回家,然后發現門上貼了個條——“你的鎖壞了”。你第一反應肯定是我靠這是誰干的,他有沒有進我家,這個人要做什么?你肯定出于本身的這個安全感和這個好奇的需求,你肯定要知道他是誰。其次來講,如果他是真的沒有做什么壞事情,我們本身也可以建立一個很好的長期聯系,比如我要電視壞了,你可以再來修一修之類。
賈小別:正義的白帽子除了追求物質之外,他還在追求什么?
吳家志:就是證明自己,獲得社會大眾,或者是至少是項目方的肯定。
于曉航:平時不會去提我跟這個ID有任何聯系,比如應聘一份工作或者是做什么項目之類的時候,我會告訴大家或者是很低調的說下這其實我的ID。
賈小別:你得證明ID跟你的關系。
于曉航:一個私鑰就可以。一般來說,遇到要求證明的情況還挺少,不會有人去冒領冒認ID。你一說我的ID是什么,就會有人說我讀過您的文章,那篇寫得很好,有個問題剛好想問一下……這就很尷尬,穿幫了。冒領還是挺危險的,尤其是冒領大牛的ID。
向丹:就好多人都冒領中本聰。
吳家志:但是中本聰這個事情是黑客、安全圈的ID還是有一些區別。中本聰也是一個很玄的事情,你要用一個什么樣的身份可以在世界上消失,消失這件事情是很牛的一件事情。
要消失一個數位痕跡或是一個ID、EMAIL什么,他都有提交過代碼,有可能有任何的IP記錄,這種事情CIFBA肯定是能查的,可能他們是查到了,或者這個人是特別厲害,真的查不了,或者其實他們本身自己就是中本聰。
于曉航:說到中本聰這個話題,現在比特幣是大家都不知道是誰做的,是一個完全去中心化的一個典范。如果某天說谷歌突然說Bitcoin其實是我們在搞的,是我們發行的,核心團隊都是我們在運維。如果這個項目在早期出現了,有一個團隊固定的公司、固定的團隊、固定的身份為這個項目負責,Bitcoin推廣的方式、發行方式還會像現在這樣順利嗎?或者Bitcoin的發行方式是不是在當初就會遇到像利貝爾這樣的,來自各個國家政府級別的阻力?所以其實我覺得中本聰匿名的這件事情其實也是特別舒服,特別厲害,算是給區塊鏈這個行業做了特別智慧典范。
4個月前,Libra橫空出世,這個由Facebook主導的項目引發了數字貨幣的狂歡。4個月后,Libra離正式推出仍然遙遙無期,FacebookCEO馬克·扎克伯格還在為即將到來的聽證會惴惴不安.
1900/1/1 0:00:00據Cointelegraph10月14日報道,五大汽車制造商——寶馬、通用、福特、雷諾和本田——將于下個月在美國測試一個基于區塊鏈的汽車身份識別和支付系統.
1900/1/1 0:00:00如今,傳統金融正在融入一場前所未有的金融創新,特別是產業融資方面,很多企業都在嘗試以全新融資模式替代傳統融資方式.
1900/1/1 0:00:00一、前言 在區塊鏈領域,有兩句話流傳的很廣,但這兩句話聽起來好像有一點點矛盾:第1句話是:區塊鏈的本質就是發幣。只有發幣才能有效的協調分布式系統當中的各個利益方,才能有效的起到量化激勵作用.
1900/1/1 0:00:00美國金融服務公司富達投資個人投資總裁凱瑟琳·墨菲表示,因為要保護其客戶,該公司未在零售交易平臺上提供加密貨幣交易服務.
1900/1/1 0:00:00前言:本文是JoeLubin的日本大阪Devcon上的演講。當今的互聯網是web2.0主導的世界,那么,如何進入web3.0的世界,一個無須許可無須信任的價值網絡世界.
1900/1/1 0:00:00