文︱艾特
核財經APP1月7日報道區塊鏈向我們許諾,以分布式和防篡改的方式存儲和交換有價值的信息。
而歷史提醒我們,新生事物初期的野蠻生長,總是伴隨著重大安全教訓。縱觀整個2018年,出現了BTG遭雙花攻擊、BEC智能合約漏洞、EOS“史詩級”漏洞、以太坊“致命報文”、BTC超發漏洞等重大安全事件。事實證明,那一行行的代碼,尚不足以保護人類社會已岌岌可危的信任。
“而面對黑客肆虐,資產被盜,公鏈與DApp應用在被攻破之前,似乎永遠不知道它是否安全。”前360首席科學家、PeckShield創始人兼CEO蔣旭憲博士表示,區塊鏈1.0時代大家對技術本身認知還欠缺成熟,存在雙花攻擊風險以及私鑰被盜的問題;2.0時代隨著以太坊平臺和大量智能合約的涌現,出現了溢出和阻塞等安全問題;3.0時代隨著EOS和TRON等公鏈的興起,一些追求高并發TPS的平臺開始出現,在落地一些實時性互動的競猜類應用時,出現了隨機數和交易回滾問題等等。
蔣旭憲認為,公鏈冒出的安全問題,與區塊鏈獨特屬性相關,特別是在幣的承載和幣的轉移方法上面,成了黑客的天堂。而且,沒有久攻不破的公鏈,只有尚未發現的漏洞。
他強調,區塊鏈領域的安全由來已久,從區塊鏈技術的發展來看,每一個系統以及相關的生態都是非常龐大的,其技術層面也是非常復雜的,把多個技術融合在一起,本身就是很困難的事。安全領域有一個所謂的木桶理論,最短的木板決定了你的安全高度。另外,在用戶環節體驗設計上,目前來看還有相當高的門檻。用戶使用上如果不習慣,就容易犯各種錯誤。
Pantera Capital最近從1INCH歸屬合約中獲得24,125,000枚1INCH:金色財經報道,據Token Unlocks監測,Pantera Capital最近從1INCH歸屬合約中獲得24,125,000枚1INCH(745萬美元);目前,該錢包持有9650萬枚1INCH(2950萬美元),是過去600天內四次索賠所累積的。[2023/7/27 16:02:08]
區塊鏈生態安全亟待加強
核財經:從傳統互聯網安全換道區塊鏈安全領域,您發現了什么?為什么要做一家區塊鏈安全公司?
蔣旭憲:這反映了我個人的創業思考歷程。關于創業的思考由來已久,但很遺憾在國外高校期間,完美的錯過了國內的PC互聯網階段。在360期間我主要負責移動端的核心安全能力,算是參與和親身體會了移動互聯網的浪潮。
2017年下半年的時候,區塊鏈行業開始熱起來,那時候也是看了很多白皮書,不過市場上更多的是炒幣,感覺這個做法根本不符合我的性格,也沒有太大的興趣。相反,當我更多的分析幾大公鏈的底層代碼,再結合自己個人的安全背景以及攻防的思維邏輯上去研究,這個層面一下子就吸引了我。
看進去之后,覺得區塊鏈技術確實是一大技術變革,可能會是下一代的互聯網核心技術,預計會重構目前的很多行業。同時覺得區塊鏈根本上解決的是信任問題,安全又成了里面最核心的基石。如果安全沒做好,信任問題根本無從談起。所以,我決定Allin。
核財經:您認為區塊鏈領域面臨的安全問題都有哪些?目前,在區塊鏈行業做安全服務的難點和挑戰有哪些?
交易所外的SHIB最大持有者從幣安和Coinbase中提現1000萬美元SHIB:6月13日消息,據Lookonchain監測,除交易所地址外的SHIB最大持有者4小時前再次從幣安和Coinbase中提現了1.5萬億枚SHIB(約1000萬美元)。目前0x40B3開頭地址持有5.3萬億SHIB(3550萬美元),并于5月16日將200萬億枚SHIB(1.344億美元)轉移到0x73AF開頭地址。[2023/6/13 21:33:51]
蔣旭憲:從整個區塊鏈行業的生態來說,我認為,里面的各個環節都碰到了區塊鏈自身獨特的安全問題。
我們可以分為橫向和縱向來看。橫向來說,有交易所、錢包、礦池、合約、DAPP等安全問題;縱向來看,有基礎設施、數據層、網絡層、共識層、激勵層、合約層、業務層等方面的安全問題。
在各個維度上,區塊鏈領域面臨的安全服務與挑戰也是前所未有的。這里我就不展開說了,但需要特別指出的是,目前區塊鏈上攻擊的犯罪成本極低,這會間接放縱安全事件的頻發,而安全事件往往是突發的、在區塊鏈上造成的資產損失和影響也是不可逆的。另外,黑客玩的是實打實的數字資產,回報率比傳統互聯網高很多,而懲罰的技術門檻頗高,力度也是明顯不足。從另外一個角度看,比較遺憾的是,目前區塊鏈開發者的安全意識和基礎技能還是相對薄弱,不少底層合約代碼存在較大的同質性,一旦出現問題就會有連帶威脅。
核財經:今年新生了不少做區塊鏈安全服務的公司,這個賽道的整體生態如何?行業寒冬里,您是如何思考在這一領域一展所長的?
安全公司:Deribit攻擊者已累計將7499枚ETH轉入Tornado Cash:11月8日消息,據派盾監測數據顯示,Deribit熱錢包攻擊事件黑客已累計將7499枚ETH(約合1180萬美元)通過中間地址(0x3...e2d)轉入Tornado Cash。[2022/11/8 12:30:48]
蔣旭憲:區塊鏈行業目前還處在早期,區塊鏈安全亦是如此。為此,現在說整體生態還為時尚早,不過可以看出不同安全公司的切入點,大概有以下幾種:一是鏈上數據分析和安全預警;二是形式化驗證和機器證明;三是安全眾測和威脅情報共享;四是傳統互聯網的安全業務轉型。當然,未來還會有新的安全方向和公司不停的冒出來,包括數字資產的反洗錢。
隨著區塊鏈行業寒冬的到來,也會有不少安全公司被淘汰或者選擇轉型。我認為要想在安全服務這個賽道掌握核心競爭優勢,關鍵要看:一是能否實時感知行業生態各個環節的運轉動態,敏銳洞察可能出現的安全風險狀況,并能準確的提供必要的預警和防范;二是能否切實解決生態中存在的安全問題,對行業生態的合作伙伴提供有感知的,且愿意付費的產品和服務。
正視公鏈安全漏洞問題
核財經:從1.0的比特幣,到2.0的以太坊,再到3.0的百鏈競發時代,公鏈成了黑客攻擊的所謂天堂。那么,在您看來公鏈的安全問題主要有哪些?
蔣旭憲:區塊鏈1.0時代大家對技術本身認知還欠缺成熟,存在雙花攻擊風險以及私鑰被盜的問題;2.0時代隨著以太坊平臺和大量智能合約的涌現,出現了溢出和阻塞等安全問題;3.0時代隨著EOS和TRON等公鏈的興起,一些追求高并發TPS的平臺開始出現,在落地一些實時性互動的競猜類應用時,出現了隨機數和交易回滾問題等問題。
加州州長否決一項加密貨幣許可和監管法案:金色財經報道,加利福尼亞州州長Gavin Newsom否決一項加密貨幣許可和監管法案。該法案被視為可能是紐約州BitLicense的加州版本。
由美國國會議員Tim Grayson發起的Assembly Bill 2269將為任何希望促進加密交易的人創建一個許可制度。(CoinDesk)[2022/9/24 7:18:20]
總之,隨著區塊鏈生態的持續發展和逐漸繁榮,一些安全問題也會隨之升級,并和業務場景息息相關,黑客實施攻擊的手段和形式也趨于多樣化。但根本上來說,對公鏈的核心要求還是需要提供高可靠性、低延遲、和高吞吐量的保障,可以支撐成千上萬的各類區塊鏈DApp應用。
核財經:2018年里,我印象中有兩起重大安全事件,即5月29日360爆出EOS“史詩級”漏洞和6月15日PeckShield宣布發現以太坊上一個高危安全漏洞,可導致當前60%的以太坊節點瞬間崩潰。您如何看待這些被披露的安全問題的?
蔣旭憲:360披露的“史詩級”漏洞問題,從嚴謹安全的層面可能會有一定程度的爭議,尤其是“史詩級”的媒體渲染,讓不明真相的人感到了恐慌。當時的爭議在于,安全公司披露和項目方出現了一些摩擦,造成了廣泛的行業影響。不過從另一個角度看,當時360選擇在EOS主網上線前披露漏洞,確實讓大家認識到區塊鏈底層公鏈存在的嚴重安全問題。
PeckShield發現以太坊上的一個高危安全漏洞,也就是“致命報文”(EthereumPacketofDeath—EPoD)。EPoD可導致60%以上節點瞬間崩潰的問題,其實在6月初就已經發現并和以太坊基金會取得聯系,協助其展開修復,真正披露是在6月底,確認該漏洞已經徹底修復后才對外披露的。
Double Protocol推出的可租賃NFT標準“ERC-4907”成為以太坊最終標準:6月29日消息,NFT租賃市場Double Protocol推出的可租賃NFT標準“EIP-4907”已通過以太坊開發團隊最終審核,成為以太坊上第30個狀態為“Final”(最終版)的ERC標準。該標準通過雙角色的設置,實現了NFT所有權與使用權的分離,并首創了到期自動收回使用權功能。“ERC-4907”這一標準的應用將極大地降低游戲、元宇宙、會員卡等Utility NFT租賃的開發和集成成本,讓NFT資產更具流動性。據悉,目前確認應用“ERC-4907”標準的項目已達12家。[2022/6/29 1:38:14]
我認為,對于一個并未產生危害的嚴重漏洞,媒體披露的角度會過于夸大其危害性,從而警醒媒體受眾加強安全認識,這無可厚非。但作為安全公司,我們可以盡量確保安全問題已經修復完之后再在合適時機進行披露,避免造成不必要的負面影響。
核財經:2018年稱之為公鏈元年,您如何評價過去一年公鏈項目的安全問題的?
蔣旭憲:其實,回顧整個2018年公鏈安全問題來看,在生態的各個環節都出現了比較重大的安全事件,包括BTC、ETH、EOS、BCH等。這些公鏈上的安全問題從某種程度上可以完全摧毀整個公鏈。我認為,這里面影響最大的還是BTC的超發漏洞。雖然大部分媒體可能并不知曉這個漏洞的細節,該漏洞也沒引起廣泛的媒體傳播,這是因為在這個BTC超發漏洞的處理上,包括研究人員的負責任披露、BTC核心團隊的應急響應、最后相關的媒體報道,都是非常專業和值得稱道的。但我們知曉這個漏洞的時候還是嚇了一跳,也在內部認為這是2018年影響最大的漏洞,即使沒有廣泛的媒體報道。
每個公鏈漏洞都有它的特殊性,比如說以太坊的“致命報文”、EOS節點的“遠程代碼執行”等等這些安全問題,我認為都在各自公鏈上有它的獨特性,但也有某種共通性。另外任一公鏈層面的安全漏洞,因為會影響到上面運行的所有DApp應用,所以他們的重要性必須給予足夠的重視和關注。
DApp被薅公鏈亦成殤
核財經:公鏈的核心價值是應用,如您所說,公鏈層面的安全能影響上面所有的應用。為此,其自身應該采取哪些措施,以保護DApp應用的安全性?
蔣旭憲:這個問題我們內部有不少討論。2018年暑假的時候,Fomo3D游戲火爆,當時攻擊者做了一個阻塞攻擊之后,把獎金池里面的錢全取走了。類似的攻擊也出現在了其它Fomo3D類游戲,比如LastWin。這種阻塞攻擊利用的就是公鏈本身設計的某一個特定環節。而且修復這些漏洞的成本也是很高。本質上說,2017年底的以太貓和2018年中的Fomo3D游戲,暴露了底層以太坊公鏈技術存在的不足,也就是TPS和響應時間等方面都不夠理想。從保護DApp的角度看,期待以太坊公鏈2.0以及其它競爭公鏈在自身設計上,應該有一種機制能夠防止這些所謂的阻塞攻擊。
在EOS的公鏈,為了有效支持DApp應用,有一個有趣的設計,那就是延遲交易。這一點上,我覺得EOS還是值得贊賞的。通過延遲交易,DApp可以用一個未來的數據來充當隨機數,這樣就能夠形成一個比較可靠的隨機數生成,保證了誰也沒法預測。這個也是目前各種EOS競猜類DApp游戲當中,大部分都采用的隨機數機制。
核財經:上個月,BetDice因交易漏洞損失近20萬EOS。在EOS上,盜幣事件屢被詬病,您對此有過哪些關注?為何EOS公鏈上的盜幣事件如此頻發?
蔣旭憲:這確實是個很嚴重的問題。我們內部梳理過EOS上線以來發生的所有安全事件,包括背后的漏洞原理分析、攻擊流程的還原、攻擊者的定位、獲利情況、和最后不正當獲利的資金流向等。分析其過程:一是有助于我們更好理解當前行業的現狀;二是理解攻擊者的能力,有助于我們更好去檢測、阻截這些攻擊者。也只有這樣,我們才能更好的保護DApp開發者和用戶。
但為什么現在EOS盜幣事件這么頻繁?我認為,一是EOS在某些方面的設計,雖然使得這些DApp的開發門檻相對較低,能吸引更多的開發者進來,但由于,它確實是一種新鮮的編程和運行環境,開發者對其認知程度,包括相關的安全考量和影響,我認為還需要時間沉淀。目前的現狀是,在某些開發者和開發環節上確實難免會出現疏漏,在單點上也是容易被攻擊者利用和攻破。
現在EOS公鏈上,更多的是競猜類游戲,而競猜類游戲又特別容易匯聚資產。有資產之后,資產會對黑客有更大的吸引力。攻擊者一進來,就造成目前看到盜幣新聞比較頻發的問題。必須承認,目前的攻防現狀上,攻擊者是走在安全防守者的前面,他們甚至比防守者更快定位到哪些有安全漏洞或者安全問題的DApp。
最后,我們發現,在梳理攻擊者最終所得的贓款流向的時候,特別是努力幫助開發者追回資金的時候,我們發現黑客的犯罪成本很低,因為目前適用的法律法規還不完善。在EOS上,雖然有ECAF的社區治理機制,但在時間的響應、流程上,我認為還有很大的空間可以改善。
核財經:現在,許多基于公鏈開發的DApp項目方都會擔心會安全問題。從安全角度來講,你認為DApp項目方應該如何提高自身的安全系數?
蔣旭憲:很多開發者在開發相關DApp的時候,或許因為沿襲了以前在傳統互聯網或移動互聯網的開發模式,為了盡快推動業務上線,在安全方面沒有第一時間重視,在安全應急響應流程上也是缺失。
我一直強調在區塊鏈行業,安全一定要先行,而且需要在業務里面第一時間考慮進去。開發者在設計DApp的時候,在整體架構上就需要有安全意識和相應的安全模塊。比如在開始設計合約的時候,如果出現了安全問題,應該會有怎樣的應急流程和具體的響應機制。我認為好多DApp開發者根本就沒思考過這個問題。一旦出了問題,他們可能就懵了。另外,DApp開發者術業有專攻,建議項目方和專業的安全團隊建立有效地互動,包括合約上線之前的審計、遭遇攻擊事件時的應急響應等等。最后盡量利用社區的力量,用社區的經驗避免自己去踩同行以前踩過的坑。同時,也希望把發現的安全問題盡量回饋給社區,讓社區都知道有類似的問題。我接觸過很多類似的安全事件,別人踩的坑下一個項目方又去踩了一次,這讓DApp開發者更加傷痕累累,我認為這個成本是有點高的,也沒有必要。
Tags:區塊鏈EOS以太坊區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢EOS幣是什么幣以太坊幣是什么幣
雖然不是傳聞中的數字錢包,但該文件表明了藍色復選標記土地的金融服務角度。 馬斯克推特時代的開端并不順利,在這位備受爭議的億萬富翁買下該網站后,幾位知名用戶發誓要離開該網站.
1900/1/1 0:00:00《核財經》app編譯據區塊鏈研究公司Gartner在4月30日發布的信息顯示,到2025年,全球前十大零售商中的20%將使用區塊鏈技術.
1900/1/1 0:00:00簡單來說 一場大規模的集體訴訟針對的是眾多推廣FTX交易所的知名影響者和名人。這些有影響力的人被指控積極推廣FTX,并且沒有披露他們與現已倒閉的加密平臺的財務關系.
1900/1/1 0:00:00核財經App5月7日報道,5月6日下午,鏈得得產品合伙人曹潤雨宣布鏈得得將以“ChainDD”稱號參加競選波場超級代表,曹表示,“我們堅信作為區塊鏈媒體平臺.
1900/1/1 0:00:00「邊玩邊賺」死了嗎?在許多鏈游代幣、NFT價格暴跌后,許多鏈游廠商們正在回頭檢視,是否要轉移經營的重點.
1900/1/1 0:00:00Twitter的所有者和最初的模因硬幣Dogecoin的大力支持者ElonMusk將辭去社交媒體平臺首席執行官一職,專注于產品開發。他將擔任推特的首席技術官.
1900/1/1 0:00:00