区块链技术在经历了数年的迭代之后,引发出了新的问题和担忧,那就是安全。去年我们技术团队发现了区块链平台EOS的高危安全漏洞,更是让行业内开始流传“一行代码,打倒一种代币”、“一个漏洞,摧毁一类智能合约”这类的话语。虽有夸大的成份,但确实对通过技术手段打造区块链全生态安全解决方案提出了新的要求。
自进入今年三月以来,区块链安全事件频繁发生,据我们不完全统计,截至今天共发生超50起黑客攻击事件,总损失超2亿元,涉及竞猜类DApp、交易所、钱包、公链等,包含EOS、BTC、ETH、USDT等数十种数字资产。其中较为重大的为三起黑客攻击交易所事件:DragonEX龙网交易所被盗损失超4,000万元;韩国Bithumb交易所被盗损失近9,000万元;币安热钱包被盗损失7000比特币。其余还包括数类DApp安全事件、GitHub遭黑客攻击、BCH升级遭到攻击、15%的以太坊节点易受到51%攻击等。区块链安全已经上升到网络安全的高度。
区块链技术目前尚存哪些问题,未来还会可能产生怎样的风险与隐患,安全公司又应该通过哪些手段有效保证区块链的安全?
针对这些问题,Beosin成都链安合伙人&CMO高子扬在由Beosin成都链安、SmartMesh、MeshBox共同举办的新加坡Meetup分享会上作出了深入解答,并与现场嘉宾共同探讨了区块链安全的重要性、区块链领域的形式化验证技术、区块链各企业的安全建设以及安全服务公司在区块链生态扮演的角色。
大会伊始,高子扬做了关于区块链安全分析与热点安全事件的分享,当前区块链领域发展迅速,但不得不承认的是区块链技术还处于早期发展阶段,技术和应用场景都不是太完善与成熟,进而导致了大量黑客攻击事件的发生。
据我们不完全统计,当前至少已有22家交易所被黑客成功攻击,被盗次数达30余次,总共约1,000,000枚比特币和8亿美元的等值数字货币被黑客偷取。
这其中,不但包括币安、OKEx、Mt.Gox、Bitfinex、Bithumb等头部交易所,还涉及了印度交易所Coinsecure、日本交易所Zaif、意大利交易所BitGrail等。
近期被大家所熟知的是5月8日凌晨1时15分,币安BTC热钱包发生被盗事件,价值4000万美元的7,000枚BTC被黑客盗走。
据我们技术团队分析后判断,这是黑客在 5 月 8 日 1:17:18,通过 API 接口在同一时间发起提币操作,推测是用户的 API key 和 Secret key 信息泄露导致的此次攻击。截至目前,攻击者已将BTC从实施攻击时的账户分散转移,资金已基本从最初的攻击账户转出,最新的存储地址主要是bc1q2*****(1060个BTC)。
高子扬在峰会上着重强调并建议开发者与普通用户应该注意信息的保护,用户在使用开放提现等高级功能时,应提高对安全性的重视,避免信息泄露导致的各种危害,不让攻击者有可乘之机。
峰会中,有开发者提问在交易所中的资产风险究竟能否得到正常的风险控制,高子扬耐心细致的做了回答,总体来说用户在交易所的资产还是比较安全的,普通用户需要做的是尽可能保护好自己的个人信息。
如果资产主要在交易所,应该注意交易所账号密码和密保(手机或邮箱等)的保护,有条件的话将资产相关的手机邮箱和日常使用邮箱的分开。如果资产主要保存在自己的账号或钱包,那么需要格外注意私钥的保存,建议加密和隔离存储。
紧接着,高子扬表示,目前区块链还处于一个相对早期的阶段,安全问题却屡报不止,但毫无疑问安全是区块链领域的核心问题。目前区块链的安全问题主要集中在共治机制安全、私钥安全以及智能合约安全等方面,区块链项目的成与败,安全起到一票否决制。如果一个项目在开始之初没考虑到安全,那么有可能导致安全成为其失败最关键的一个因素。
会上,嘉宾问及对于近期区块链安全事件频发,Beosin成都链安作为安全公司如何看待。高子扬向与会嘉宾回答到,区块链没有绝对安全,需要从不同方面去解决问题。
区块链企业的安全建设和传统企业类似,最关键的是企业员工的安全意识和安全技能建设。企业需要建立安全规章制度,为员工提供安全意识和技能培训,提升技术人员的安全编码能力,才能从源头上解决企业安全问题。此外,可以邀请第三方安全公司对业务进行安全