有人说区块链的安全就是资产的安全,即使是数字货币界的亿万富翁,也有一定可能会因为一个安全漏洞瞬时间一贫如洗。
安全问题永远是悬在区块链行业从业者头上的达摩克利斯之剑,永不可掉以轻心,是重中之重。
8月26日,冉道资本、哔哔News、巴比特联合加速器、BYSEC、WhaleEx联合举办第四期主题为“攻防有道”的圆桌论坛,默然公关刘惠迪主持, BYSEC COO张任伟、区块链安全专家Seckeep、安恒风暴中心的赵连州、WhaleEx的CEO Charlie Zhang应邀出席。
在区块链2.0时代,各种代币泛滥,各种交易所横生。然而大多数人都缺乏安全意识,也没有特殊的防范手段。张任伟戏言,在黑客面前,这些代币就像一块裸奔的肥肉,充满了危险的意味。
论坛伊始,张任伟便向大家介绍了区块链黑灰产。业内俗称的黑产其实很广泛,只要是法律明文规定禁止的行为都可称为黑产,“灰产”即为游走在法律边缘,没明确法律规定的灰色产业,其行为虽无明确的法律规章定性为违法犯罪,但对社会有明显大的危害。
张任伟提到当前的代币案件绝大部分是通过勒索病毒、偷盗代币、控制挖矿、操控行情以及区块链传销等方式诈取不义之财。
一:目前很多黑客企图胁迫用户或加密文件等方式以达到勒索的目的,比较猖狂的勒索病毒还属Wanna Cry,它勒索了大概一百多个比特币,进行了124次接收,通过两次发送使得巨额虚拟货币化整为零,从而逃避法律的制裁。
二:漏洞盗币主要有三种:平台漏洞、智能合约漏洞、公链设计缺陷,其中绝大多数的区块链出现安全事故的最重要的因素是智能合约漏洞。如果厂商迟迟不修补漏洞,公众对于漏洞的存在不知情,风险会跟着时间的增长迅速膨胀,漏洞一旦爆发可能会造成更大的危害,波及更大的人群,可能会造成很多人的投资瞬间化为乌有。
三:一则挖矿商无良囤货,待价而沽;二则挖矿软件开发商使用高额算力抽成;三则部分软件存在恶意挖矿程序。
四:数字货币给传销组织提供了一个天然的产品渠道,虚拟币暴涨之下,即使是空气币也会被传销组织赋予百倍万倍的上升空间,然而更可怕的是所有的韭菜对此深信不疑。
安全是一个极其复杂的系统性工程,安全是一场没有结果、没有硝烟的战争。安全的最高分是零分,稍微差一点是负分。安全部门的考核通常是一个公司最头疼的问题,因为它和别的部门性质完全不同,系统安全且内部没有泄露就是最大的产出。
诚然区块链的设计中包含了一定的安全考量,但区块链相关配套的安全性却做得很差。举例来说高铁很安全,但假如没有两侧的护栏,谈何安全?
一个中心化的交易所其实是传统电商和区块链合二为一的产物,它有50%的问题归属于传统安全。以下分享部分安全工作内容(只是众多安全内容中的一部分)
一、端安全:市场上有很多app安全厂商,但是很少有厂商能够针对交互数据加密的,此加密不是https协议层的加密,而是封装在内的数据加密,无论app自身如何加固都很难避免黑客通过代理抓包改包的方式来进行各种渗透攻击。一旦端的安全能够保障,那么就能屏蔽99%的攻击量,而剩下的1%高手攻击才是安全部门应该重点布局防范的。现实的情况是,很多项目方本末倒置,利用绝大多数安全资源以防范小黑攻击,实属被动。
二、资源安全:DDOS、和短信轰炸都是灰黑产常常使用的,只要平台有流量有价值,他就会攻击勒索,有些黑客很精明,只诈取小额,因为小额不够网络犯罪立案标准,足以拜托制裁。因此若不想平台服务,就需要在上线前做好ddos和短信轰炸防范措施。
三、最基本的防火墙是必须的。曾经两个月前,网络爆出一个很知名的行情与数据服务平台连防火墙都没有,当然也有几率存在防火墙没开启白名单策略。针对这种安全级别,即使没有一点黑客技术,从网山下载几个黑客工具,就可以把平台黑掉。
四、WAF必不可少。WAF是一类在安全性和易用性之间做左右平衡的系统,规则过严肯定导致正常业务被误杀,规则过松就没有一点价值了。所以waf是必须要部署的,但是也必须要有一个专人负责waf规则的量身定制和及时来更新(例如:针对spring、struts2的0day,就需要第一时间增加规则)。
五、建立语言级防火墙rasp。这是一道最新的安全防护体系,它是在语言层面做防护,能弥补WAF的不足。
六、主机防护。当黑客进入主机系统时,主机要有敏感的神经感知和自动阻断策略。很多公司的主机防护做得都不尽如人意,因为公司给安全部门的系统权限太低,再好的主机防护技术,在没有系统高权限的情况下,做不了多少事情,只能眼看黑客行凶确无力阻击。
七、数据库审计。很多企业虽然有数据库审计,但是所有的审计日志调出来,只看到有人执行了SQL语句,至于这条SQL语句涉及的关键数据ID很多都没有记录。若发生安全事件,并不能锁定某个人。当然细粒度的强审计需要很大的存储资源,有可能审计数据比生产系统源数据还要大。
八、内网安全。对于一个中心化交易所,内网安全是重中之重。用户个人在中心化交易所的数字资产并没有在公链上,除非把虚拟币提到钱包,所看到的币值仅仅是交易所数据库中的数据。如果中心化交易所的数据管理员、程序员,利用职权方便随意在数据库增加BTC,交易所还不能实时监控,这种安全岂不是贻笑大方!这样的案例在行业内时有耳闻。
不管是做一个中心化的交易所还是做其他区块链平台,合法经营是一个大前提,如果是非法平台,那么内部有些员工可能会毫无顾忌的窃取资产。实时的和当地网监部门保持同步,积极的接受有关部门的监管和安全巡检才是上上之策,这样才可以显示公司是完全合法的,从而给那些有小心思的人警告,消除其作案动机。
九、首发币合约审计。合约审计是必须要做的,不做可能会面临很大的灾难,很多交易所上币门槛很低,没有审计报告就可以随便上,最后可能会造成一群人资产归零。但是这并不意味着审计通过就是绝对安全,要知道审计报告只能对已知漏洞负责,无法对未知漏洞负责。
十,私钥安全。私钥安全有两个维度。一个是防范私钥被偷走后的损失—多重签名。二个是私钥内部及外部的非法调用防护。
据了解,目前市场上共有13547家加密数字货币交易所,这些交易所在风口中激流勇进,极大地吸引了黑客的注意。
据不完全数据统计,数字货币因黑客攻击累计造成的直接经济损失达33亿5千万美元。根据这个趋势,攻击事件会慢慢的频繁。
现在的区块链产业被放在一个放大镜下,只要存在一些微小的问题,马上都会被放大,造成了强大攻击影响。无论多么小的漏洞,但凡被发现,都是造成难以估量的影响。
实际上中心化交易所与传统的金融交易没差别,因为本身是中心化的系统,而且是网络系统,所以中心化交易所的安全措施和传统金融差不多。
一个交易所分为四个组成部分,分别为券商(用户入口)、上交所深交所(撮合)、中证登(清算)、银行(资产托管)。在传统的股票交易所里面,中证登和银行充当着一个安全管家的角色,它们确保每一笔交易的资产安全。而在区块链中心化交易所中,这四个部分由中心化交易所充当,大家在中心化交易所中完成注册、交易、撮合、充值等操作。
如何在用户资产相关的清算和托管这两个层面实现去中心化呢?鲸交所做了一些尝试。
一、用户入口的去中心化。鲸交所开放WhaleEX全球新伙伴计划,通过流量进行引流。
二、清算和资产托管实现去中心化。智能合约和股票市场中银行角色相同,在EOS上用户每转一笔账,合约都会自动记账。账本完全由代码控制,没有人为地增发和销毁。
三、交易层面的去中心化。鲸交所为每个用户在每个设备上创造了一把私钥。这把私钥大多数都用在签发交易。每次撮合都需要交易双方签名和交易所签名,才能完成一次资产的转移,确保用户资产完全由用户自己控制。
四、资产提现的去中心化。若用户的私钥泄露了怎么办?因此用户在提现时,需要绑定自己的EOS账户。这也就从另一方面代表着用户充值只能充值到原来的地址,而地址本身的私钥掌握在用户手里。即使是交易所的私钥被盗了,也不会盗取到私钥,因此最大限度保护了用户的资产。
区块链刚刚兴起,但是安全问题却屡曝不止,几乎成为众矢之的。区块链的本质是去中心化,重新构筑信任的藩篱,如果基本的安全问题都未能解决,所构筑的藩篱也不过是想象中的保护层,随时幻灭与倾覆。
当前,区块链还是新兴行业,处于起步阶段,它的安全问题可能比传统互联网安全更为复杂与棘手,区块链从业者在具备安全意识的基础上,及时关注区块链行业新出现的安全风险隐患,创新开拓安全防范手段也是必要的。返回搜狐,查看更加多
