區塊鏈:星球日報資深分析師郝方舟：黑客攻擊都開始用金融的思維了，防守該如何應對？| 區塊鏈P.O.D大會_CRYP

9月5日，由Odaily星球日報主辦、36Kr集團戰略協辦的P.O.D大會在北京舉行。在大會安全分論壇上，星球日報資深分析師郝方舟正式發布了《2018年區塊鏈技術安全服務行業報告》，并做了專題演講。《2018年區塊鏈技術安全服務行業報告》按照“事件回顧-攻擊方式-防御策略”的邏輯順序，分析交易所、智能合約、錢包、礦池這些業務場景對應的安全問題，并探討區塊鏈安全服務行業的概況與企業案例。在分享中，郝方舟介紹了星球日報研究院的一些發現，比如黑客攻擊去中心化的平臺所用的方式，和傳統的中心化平臺很不一樣，有的時候還要靠一些創新的思維，他舉了黑客今年攻擊幣安和Fomo3D的例子，黑客甚至用到了金融知識，以及抓住底層設計機制的漏洞。根據他的研究，區塊鏈安全事件的高發地集中在業務層和合約層，從業務線來說則是交易平臺還有智能合約。郝方舟還提出，“中心化交易平臺可能的演變路徑是擁抱監管，同時也要向銀行等傳統金融機構靠近，包括做好實名、托管、建立自己的物理防御機制”。以下是演講全文，enjoy：各位嘉賓下午好，歡迎大家來到安全分會場。我們星球研究院一直希望用更直觀方式向大家呈現更真實的區塊鏈世界。我們制作的一個系列叫《星球圖說》，就是用圖譜展示了行業結構、大公司布局、代碼抄襲等等問題，有些人在朋友圈見過這些圖。今天我在這里代表研究院發布2018年區塊鏈技術安全服務行業報告。安全是一個相對的概念，在他對立面是風險，但是這兩個詞比較抽象，于是我們在腦海中希望化成一個更具像概念，所以安全和風險長什么模樣？攻防雙方角色切換是足球運動中的一個核心，這個核心也就是對球的控制權。我們現在把這套邏輯平移到區塊鏈安全里來，會發現核心是對信息和資產的控制權，在中間一圈保衛安全的是礦和鏈，更外層一圈就是各類風險，這其中包括技術風險，政策風險，道德風險，投機風險，操作風險等等。風險具有一定的特點，往往是多點復合，意想不到又層出不窮的，這就需要安全要是全方位多流程多環節的。可是很重要的安全問題，往往卻沒有得到重視。我們會發現，權責往往是發生不清的，標準很難量化，所以我們在寫文章的時候經常問到一個問題，說安全問題有點像是薛定諤的安全，這什么意思？就是只有在出事的時候我們才會意識到這個問題有多么嚴重，但是在出事之前，我們不知道一個公司一個產品，或者一項服務他們安全其實是很難判定的中間態。說到這里，我們還要先明確一下，當我們談到網絡安全的時候，攻防角色誰來扮演，攻比較好理解，一般就是黑客，防守有政府，有企業，有第三方安全公司，也有用戶自己。在這里我想問一下在座各位，有人曾經遭遇過數字資產被盜的事情嗎。忘記私鑰的不算，沒有是吧，那有人的法幣資產在網上被盜過嗎，不管是網銀、P2P或者是支付寶？大家從來沒有遭遇過這件事情。其實我們從數據面上來看，現在數字資產總市值已經超過了2300億美金。根據騰訊安全還有知道創宇上半年的報告，在7月份之前，數字資產被盜的金額差不多是在11億美金，這就是說上半年丟幣的差不多是在千分之五。庫神的數據好像在這個之上，如果是比較中心化的體系，其實中心化的攻防是經過更嚴謹的攻防測試而來的，一般是有法律保障和金融機構的賠償，線上資產往往跟線下實物進行綁定。所以黑客要是從直接進攻互聯網其實是很難的事情，反而走線下比較簡單一點。區塊鏈在防守上也有優勢，具體體現在“經濟機制加防”，舉個51%攻擊的例子，當你有能力進攻網絡時，要付出的成本已經高于能獲得的收益。“去中心化”就說，黑客毀掉一個節點，數據還在其他地方有備份。同時，匿名和分散也讓攻擊者更難找到理想的目標。所以，想進攻區塊鏈，有時要靠一些創新手段。這里我舉兩個例子，第一個是今年3月份的“幣安事件”，應該是3月7日凌晨，當時黑客是從API攻入，提前在其他交易所埋好空單，根本不需要從幣安這塊提現，這種是屬于技術結合一些金融工具的創新手段。第二個例子大家剛才講的Fomo3D。當這個結束之后，很多人懷疑黑客把其他玩家擠出去，最終獲得大筆的獎金，這種是結合底層設計機制的玩法。因為鏈上不僅有信息還有價值，再加上代碼不太完善，現在很多機構并沒有宣傳的那么全面，相關政策還是暫時缺席狀態，就造成一旦失守，造成巨額經濟損失。區塊鏈的不安全有一部分來自主觀原因，就是大家的重視程度還不夠，基本上入局的投資者都是稍微有一點點閑錢的人，真正賣房進場的人還是少數。那么具體怎么做防護呢？進攻的突破口一般都是防守建立要塞的位置。現在我們看到一張圖，分別是2011年到今年，以及今年7月份之前，區塊鏈受攻擊的面和點的分析。按技術架構分，業務層&合約層是重災區。按業務場景，交易平臺&智能合約是事故高發地。為方便讀者理解，我們在分類時，參考了安全服務公司的視角，也按行業需求和業務場景討論。所以，報告以“從事件回顧，到攻擊方式，再到防御策略”的邏輯順序，分析了交易所、智能合約、錢包、礦池這些業務場景對應的區塊鏈技術安全問題。報告中這一part的信息量比較大，我只挑兩個小點在這里簡單分享下：先聊交易所。去中心化交易所入場，就是瞄準了中心化交易所存在的安全痛點。他們下一步的重心應該是把體驗做好，獲取更大的流量。中心化交易所的演變方向，應該是靠近銀行等傳統金融機構，做好實名、KYC、托管、冷熱隔離解決方案和其他物理防御。再說智能合約。智能合約一旦運行就無法修改，所以代碼審計、形式化驗證越來越重要。公鏈們，還要考慮到底層設計、token經濟上可能出現的安全問題，最好提前咨詢安全團隊。安全服務，更早介入到區塊鏈項目中，也將成為一個趨勢。報告中還有更多結論，這里就不展開了。在報告的最后一part，我們梳理了區塊鏈技術安全服務行業的概況和典型企業。發現大家各有切入角度和擅長領域，有的側重形式化驗證，發布了自動檢測引擎；有的注重生態的安全性和隱私性；很多做冷錢包起家的公司則專于私鑰安全存儲方案；也有項目用去中心化的思路，吸引極客，建立社群，一起檢查和修復漏洞。我們在收錄的10家區塊鏈安全服務代表企業中，選取了五個典型案例，做了采訪和分析，這個部分也包含了大佬們輸出的經驗和觀點。最后，要感謝接受我們采訪，給予智慧支持，并對報告提出指導意見的庫神、慢霧、知道創宇、PeckShield、360、CertiK、曲速未來、安全鏈、Bepel。也感謝我同事，這篇報告的主筆，分析師李雪婷。我也做個小預告，更多的研報、圖說、新聞報道、項目介紹和深度文章已經在路上。謝謝大家！相關閱讀：星球研報|2018年區塊鏈技術安全服務行業報告

迪士尼與Cryptoys合作推出星球大戰玩具NFT:金色財經報道，為了紀念5月4日的星球大戰日慶祝活動，數字玩具平臺 Cryptoys 宣布將與迪士尼合作銷售以星球大戰電影系列中三個最具標志性的角色為原型的數字玩具NFT。

在 Andreessen Horowitz、Mattel 和 Dapper Labs 的支持下，Cryptotoys 表示將發布15 款限量版盧克·天行者、萊婭公主和達斯·維達數字收藏玩具NFT。在 Dapper Labs 的 Flow 區塊鏈的支持下，消費者可以以 39.99 美元的價格購買 Cryptoys 星球大戰 NFT。據該公司稱，消費者可在全球范圍內使用 Apple Pay 和 Google Pay 進行購買。[2023/5/5 14:43:47]

藝術家張洹將推出元宇宙永生星球“宇宙花”:1 月 10 日，藝術家張洹宣布進軍元宇宙，將推出首個元宇宙永生星球“宇宙花”。據悉“宇宙花”用戶通過上傳數據、創造、交易、社交和游戲等數字行為構建自己的宇宙，實現記憶、身份和情感等靈魂碎片在鏈上的永久儲存，旨在創造數字資產（遺產）。[2022/1/10 8:37:42]

動態 | 網易星球開通現金兌付渠道 律師稱可能涉嫌違法:據財經網消息，在網易星球剛結束的“挖金子，兌現金”活動中，網易星球直接打出“挖寶”兌軟妹幣的口號，通過第三方平臺的中轉實現了黑鉆與人民幣之間的兌付，據一位玩家介紹，目前一顆黑鉆約等于20元人民幣。據資深律師陳慶廣透露，黑鉆已經具有了代幣職能，如果網易星球出產的黑鉆未在相關部門備案的話，黑鉆的兌付行為涉嫌違法。業內人士分析，網易星球目前的一系列活動更像是一種定價行為，通過黑鉆與實物之間的交換以確定黑鉆的市場價值。[2019/1/7]

網易星球黑鉆競拍今天正式開啟:抽獎參與條件：原力＞45且黑鉆數量＞0.01的星球居民，滿足條件的居民每天可免費抽獎2次，抽中獎品后將消耗0.01黑鉆，未抽中則不消耗。拍賣規則：每位居民每件商品有10次競拍機會，0鉆起拍，0.01黑鉆為加價單位，價高者得，如出現多位居民出價相同，最先出價者優先中標。[2018/5/14]

網易星球團隊回應質疑：黑鉆不是代幣:網易星球團隊就競拍活動引發的質疑進行回復表示，黑鉆不是代幣，此次競拍活動是一次正常的市場運營活動，網易星球后續將會引入更多的合作企業，不定期持續舉行黑鉆拍賣。同時，市場上出現的黑鉆交易的信息都是虛假的，與網易星球沒有任何關系。[2018/3/28]

Tags：區塊鏈NFTCRYPCRYPTO區塊鏈游戲幣最高漲多少LONDON Vault (NFTX)crypto幣圈CryptogerClub

火星幣