WIFI:金色觀察｜那些關于區塊鏈安全的正事和趣事？_CEODOGE幣

自從加密貨幣出現，安全問題就沒斷過，這似乎和大家認識到的區塊鏈“安全性”有些落差。這種密碼學的機制是否足夠安全？主要的問題出在了哪里？

10月中旬，筆者參加了西安SSC安全峰會，這是中國互聯網界的安全盛會，以安全主題為核心，并且會議的組織者、參會者都與安全相關。

在峰會的區塊鏈安全論壇，我們與論壇的組織者零時科技團隊聊了聊用戶尤為關注的安全問題，區塊鏈安全猛于虎。但這個嚴肅的問題也包含了很多看似有趣的趣事。

以下為受訪者零時科技CEO鄧永凱和金色財經記者王航對話時的自述。

圖為零時科技CEO鄧永凱在西安安全峰會演講中

金色財經記者王航：我看到零時科技的官網現在有三個產品，其中還包含兩個工具，這些是什么時候做的？

零時科技CEO鄧永凱：我們開發的第一個產品是智能合約安全自動化檢測工具，現已免費開放給C端用戶，我們將一些基礎并重要的安全審計邏輯做成工具后開放了出來；另外一個是基于EOS DApp的防火墻，以SDK的形式存在，當合約接入SDK之后，有異常的一些交易就可以預警并阻斷的。

金色午報｜1月6日午間重要動態一覽:7:00-12:00關鍵詞：澳門特區政府、國務院、Coinlist、Alto

1.澳門特區政府：行政長官從未接受有關加密貨幣自動交易訪談或于任何訪談中發表相關言論；

2.國務院：研究制定區塊鏈等新領域新業態知識產權保護規則；

3.Coinlist 發布首個NFT，3000名用戶有空投領取資格；

4.國際文傳電訊社：哈薩克斯坦央行暫停了該國的銀行業務；

5.Alto完成4000萬美元融資，Coinbase Ventures參投；

6.數字資產銀行Sygnum以8億美元估值完成9000萬美元融資，新鴻基領投；

7.澳網公開賽進入元宇宙平臺Decentraland；

8.TDX Strategies獲得250萬美元A輪融資 創見資本領投。[2022/1/6 8:28:51]

對于安全審計來說，智能合約安全審計也類似與傳統安全的源代碼安全審計，如果全靠自動化其實不是很靠譜，因為機器規則是死的，有些涉及到業務邏輯上的問題，業務上的問題缺陷，自動化規則是無法審計的。即便是形式化驗證，也是需要有一定的判斷依據的。自動化工具可以作為輔助，比較隱蔽的問題，需要人工去通過經驗去判斷出來的。

金色財經挖礦數據播報：ETH今日全網算力下跌2.06%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力178.158EH/s，挖礦難度20.61T，目前區塊高度682492，理論收益0.00000669/T/天。

ETH全網算力581.759TH/s，挖礦難度7445.93T，目前區塊高度12390867，理論收益0.00339014/100MH/天。

BSV全網算力0.96EH/s，挖礦難度0.14T，目前區塊高度686259，理論收益0.00093883/T/天。

BCH全網算力2.901 EH/s，挖礦難度0.45 T，目前區塊高度686920，理論收益0.00031019 /T/天。[2021/5/8 21:36:44]

我們開放智能合約檢測工具的目的是，讓用戶可以自己把合約代碼傳上去進行免費檢測并且獲取審計報告，如果需要更詳細的審計，可以再聯系我們，結合人工一起做審計，發現安全問題，避免資產損失。

金色財經記者王航：一般情況下，你們的審計流程是怎么進行的？

金色晚報 | 11月1日晚間重要動態一覽:12:00-21:00關鍵詞：ETH 2.0、OKEx、dForce、數字人民幣、Coinbase、波卡

1. ConsenSys研究員：ConsenSys社區已準備好ETH 2.0相關工作。

2. 高盛前高管：未來5年微軟等科技巨頭將會投資比特幣。

3. OKEx徐坤：資產絕對安全 OKEx內部一切工作正有序推進。

4. dForce發起提議計劃永久性銷毀USDx協議分解費用。

5. 王永利：數字人民幣在支付運行體系和機制上可能出現重大變化。

6. 住友商事將與bitFlyer共同構建基于區塊鏈的房地產租賃和物業管理平臺。

7. OCC代理署長稱美國銀行機構尋求與Coinbase等加密托管機構合作。

8. 波卡二層擴容協議Plasm Network宣布Plasm Grit計劃。[2020/11/1 11:23:13]

零時科技CEO鄧永凱：首先，我們拿到用戶的審計需求，先用團隊內部安全審計工具過一遍，工具是一個輔助，然后是人工按照審計列表將常規漏洞點審計一遍，第二個就是涉及合約是什么業務場景、業務規模、業務邏輯。然后業務的描述，再去看代碼里有沒有和描述功能不一致的問題。例如說會不會被薅羊毛，幣有沒有被鎖，權限設置錯誤問題，會不會增發了以及無限鑄幣等等。

金色財經挖礦數據播報 | ETH今日全網算力上漲2.78%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力125.194EH/s，挖礦難度19.99T，目前區塊高度654506，理論收益0.00000823/T/天。

ETH全網算力262.149TH/s，挖礦難度3306.50T，目前區塊高度11142260，理論收益0.00642376/100MH/天。

BSV全網算力1.601EH/s，挖礦難度0.19T，目前區塊高度658758，理論收益0.00056203/T/天。

BCH全網算力2.370EH/s，挖礦難度0.32T，目前區塊高度659023，理論收益0.00037975/T/天。[2020/10/28]

因為智能合約的特殊性，加之當前defi項目中業務邏輯的復雜性，所以，我們所有的代碼審計都是要經過交叉審計的，多個審計人員交叉審計，有哪些問題提出來，然后相互審查，看他們審計的問題是不是重合的點。不同的人審計切入點是不一樣的。 所以交叉審計可能會發現更多的問題。

金色午報 | 4月12日午間重要動態一覽:7:00-12:00關鍵詞：稅務、首爾、直布羅陀、杭州

1. 稅務專家：疫情過后各國政府或助推對加密貨幣征稅；

2. 首爾市Magok區招募區塊鏈等項目參與者 并為選中項目提供約5.7萬美元資助；

3. 杭州市空手道協會首次利用區塊鏈技術存證獲獎證書；

4. 四川省出臺中醫藥創新發展實施意見 利用區塊鏈等為中醫藥行業提供數據支撐；

5. ETH網絡數據資源管理器The Graph發布V0.18版本節點；

6. 直布羅陀數字和金融服務部部長：直布羅陀在區塊鏈采用方面處于領先地位；

7. Chainalysis：因比特幣價格大跌，加密貨幣詐騙者收入下降33%；

8. 武漢大學學者：提升公共衛生事件應急能力 區塊鏈具備很大潛力；

9. BTC礦工優化礦機運營效率以應對減半。[2020/4/12]

金色財經記者王航：目前你們的業務客戶主要是哪些角色？ 

零時科技CEO鄧永凱：大部分的公鏈生態客戶主要是交易平臺和公鏈項目，聯盟鏈生態客戶主要在傳統金融行業及政企領域，其中交易平臺的安全最為復雜。

比如說交易平臺，從它本身的產品業務到移動端APP、web網站、資產錢包，還有賬戶體系，因為它是中心化的，大部分安全問題跟傳統安全是一樣的，但在錢包和資產管理比較特殊。在交易平臺的安全服務過程中，除了對業務的安全測試，滲透測試，我們還會進行社會工程學攻擊，釣魚攻擊等，還有特別值得一提的是，我們做最多的出現問題的都是辦全問題上。

其中的社會工程學攻擊，是通過一些非常規的手段去檢測目標的弱點，最容易出問題是他的辦公網，我們曾經審計的幾家交易所都是通過辦公網打進目標系統的。方式很多，在跟目標客戶獲得授權的情況下，例如可以去目標的辦公地點，但很多交易所找不到他的辦公點的。確定地點之后，我們可以去拜訪他們，可以將一些準備好的設備，例如改裝過的數據線、鼠標，貼上名字的U盤等，在不經意間這些設備被使用后，就可以控制他們的網絡或者主機，如果這些主機是可以連到交易平臺業務后臺，或者是有權限操作錢包，基本上就可以控制目標資產和核心數據了。

這就是社會工程學攻擊，利用的都是人的失誤，以及人性的弱點。例如攻擊者需要進入工作地點，可以因為商務需求，可以依靠工作人員，或者偽造工牌、門禁等，最終進入目標網絡。

還有其他的方式例如仿冒WiFi，我們偽造一個WiFi讓受害者連接，或者仿冒大量跟目標WiFi一樣的熱點讓受害者連接，或者直接讓目標WiFi無法工作，目的就是讓受害者連接我們的WiFi，受害者隨便連一個就是我們偽造的，受害者輸入后密碼就被我們拿到了，從而可以持續的進入目標網絡，竊取數據。

甚至于攻擊方式還有針對打印機，打印機一般都是很少有人關注的，但現在的打印機都比較智能，會把歷史打印掃描的文件存儲一段時間，而有些人會把助記詞打印出來，有一個展示案例就是，目標客戶打印機可以配置郵箱，將打印的歷史內容統一發送到制定郵箱。

對于辦全的問題，技術人員可能還好，但是行政、財務、商務人員可能基本上沒有什么安全意識的，可能殺軟件都不裝，補丁也不打，簡直相當于當街裸奔。我們之前的一個案例，就是一個客戶的財務人員電腦中病了，財務人員電腦可以操作錢包，錢包的90多萬美元被盜走了。

所以，安全從業者總有辦法在授權的情況下進入目標網絡，從而接觸并控制目標數據和資產，那么此時就需要極高的道德要求，必須是“正義的hacker”，我們就是。

金色財經記者王航：那交易所這一類交易業務集中，資產集中的平臺如何做安全呢？

零時科技CEO鄧永凱：交易所的安全問題，它是一個面，不是單點，只有整個業務面都做到盡可能安全的情況下，整體的安全性才能提高。木桶原理非常明顯。尤其混入的這種社會工程學和釣魚攻擊的特征之后，例如交易所對外的商務人員肯定很多，這些風險都是不確定的。

安全問題類別也很多，我們團隊做安全攻防這么多年來，攻擊者的攻擊技術在提升，我們的安全防護技術也在在提升，白帽子漏洞挖掘技術在提升，惡意黑客的技術提升更快。甚至于惡意黑客可以直接在地下市場夠買一個0day漏洞（沒有防御方法和補丁的新漏洞）就可以直接攻破一些系統。

還有一個方面就是資產安全管理，錢包安全配置，資產及交易風控，例如有些攻擊盜幣，在不正常的時間內，在不正常的交易數量等，對這些異常行為需要有風控系統，第一時間對異常交易進行預警，或者直接攔截交易。

另外對于異常轉賬的地址，也可以做到前期篩查，對可疑地址做內容關聯或者地址畫像。例如暗網的地址、黑客的地址、勒索軟件的地址、洗錢地址、釣魚網站的地址等。

我們的“數字資產及交易安全系統（AML系統）”就可以提供這些風控功能的API，可以把這個接口給交易所，如果這種惡意地址產生交易的話，及時進行預警并配合交易所風控措施進行資產及交易的保護。

金色財經記者王航：對于公鏈安全的理解有什么不同嗎？

零時科技CEO鄧永凱：正常情況下，公鏈代碼都是開源的，開源也可能出現問題，例如社區每一個人都可以貢獻代碼，當提交了一個代碼提在分支上面，然后官方把分支打包進去了，打包進去之后，但這個代碼是個隱藏非常深的后門，此時項目中就引入了一個定時炸彈，可能過了半年之后，全部資產就被轉走了。

比如今年7月，RVN項目的盜幣事件，三行代碼價值4000萬人民幣，就是典型的因為開源以及安全意識缺失導致的安全事故。

安全問題是一個很多元化，且復雜的問題，特別是區塊鏈領域的安全問題，更是復雜。加強所有人的安全意識，是一個非常重要的事情，所有的漏洞都是人為造成的。

金色財經記者王航：最后請您聊一聊區塊鏈安全審計的原則。

零時科技CEO鄧永凱：首先，第一點是責任和信任，客戶信任安全團隊可以找到安全問題且不影響自身業務，安全團隊必須對客戶的需求負責人，盡可能多的發現問題并提出安全解決方案，協助修復。

安全領域的人都是心懷正義的，如果沒有正義感你就做不了合格的白帽子（正義的安全技術人員），無論在任何時候都得堅守原則，確保團隊不做錯的事情，一念成佛，一念成魔。

Tags：區塊鏈CEOETHWIFI區塊鏈dapp開發語言CEODOGE幣ETHM幣AdsByWiFi

FTX