本文转载自锌链接
7月30日,Facebook在最新季度报告中提醒投资人,由于很多因素导致他们可能无法在2020年如期推出Libra数字货币,面临的最大阻力就是监管。
而最让监管机构担忧的便是Facebook面临的一系列安全问题,如何保障用户的隐私安全,如何防止不法分子入侵…
安全是各行业发展面临的首要问题,但绝对的安全是不存在的,只能通过技术让它更安全而已。
浪潮涌起,泥沙俱下。近年来,交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗、私钥丢失等安全事件层出不穷。
白帽汇2018年发布区块链安全报告称,每年因区块链安全漏洞造成的损失高达数十亿美元。目前,近80%的攻击损失都是基于业务层面的攻击所造成的,其损失额度从2017年开始呈现出指数上升的趋势,截止到2018年第一季度,所暴露的安全事件就已经造成了8.1亿美元的损失。
攻击事件大致可分为四类安全事件:共识机制、智能合约、交易平台和用户自身。攻击者主要选择保护相对薄弱的数据层、网络层、共识层、扩展层和业务层进行攻击。
区块链安全与传统互联网安全,既有共性,又有个性,既有交集,也有差异。
墨子区块链安全实验室CEO苗知秋告诉锌链接,区块链安全并不是一个全新的安全范畴,它运用了大量的传统技术。
所以,区块链安全与传统安全之间,大部分是重叠的,小部分是区块链技术独有的特点。
从底层代码来说,传统安全与区块链安全大同小异。但是上面的应用层安全,区块链安全带有自身的特性,比如共识机制,使互联网的中心化单点攻击,转变为区块链的大面积攻击。
假设有人要攻击一个网上银行,互联网的方式是入侵某台电脑的服务器、网银地址,修改数据库。
在区块链里,共识机制是至少要篡改超过51%的节点。因为所有节点都依托于一段代码程序,如果程序本身有漏洞,就可以篡改大面积节点。
一个很典型的事件是美图发布的BEC,出现了溢出漏洞,大量超发,导致BEC瞬间归零。相当于一只蚂蚁绊倒了一头大象。
快速入场,火速退场
区块链安全公司的数量多少与区块链行业的发展成正相关。2017年到2018年初,区块链行业处于火热期,很多人挤进来做项目,对安全的需求增多,于是很多区块链安全公司顺势而生,主要有三类:
一个就是传统安全行业转型过来的安全服务商,比如知道创宇、白帽汇;
另一个是安全圈的新力量,因为有了区块链新的场景引发了新的需求也加入进来,比如成都链安;
还有就是互联网安全巨头,比如360。
他们早期以安全研究打开局面,用安全服务、安全开发切入市场,服务主要集中在合约审计、交易所安全、钱包安全、链安全、黑产对抗、威胁预警等领域。
与互联网安全发展相似,区块链安全早期报的漏洞也相对比较少,但随着技术的成熟、业务场景的增长,安全事件也会逐渐增多。
随着业务热点的转移,哪个技术用得越多,安全公司研究的方向也会相应变化。
2018年,以太坊为首的智能合约是关注的重点,很多人去研究智能合约。
白帽汇联合创始人、安全负责人邓焕告诉锌链接,“智能合约很简单,像以太坊,几百行代码就能写出一个应用,发行一个代币。有的项目发行代币,基于某个模板改几个参数。只要模板有问题,好几种代币就都存在问题。”
随着切入点越来越深,被爆出来很多链上的设计理念、业务逻辑存在问题。首先在合约或者经济模型设计会存在漏洞,被人利用。此外,底层的安全问题也会逐渐增多。
玩家多了,自然会产生泡沫。知道创宇CTO兼COO杨冀龙告诉锌链接,在市场行情好的时候,存在大量的恶意竞争。比如,合约审计服务甚至出现了打价格战,导致安全产品和服务的价值非常廉价。另外,割韭菜的项目非常多,“一些所谓的安全需求方可能根本不关心他们的安全问题,而只是想发钱买个安全背书”。
泡沫一年之内就被戳破了。2018年,数字货币市场总市值从年初的4889亿美元,下跌至12月13日的1081亿美元,减少了77.89%。
区块链行业开始萎缩,买单的人越来越少,市场上只剩下5、6个头部玩家。一些新型安全创业团队已经销声匿迹,大部分安全公司也减少了对应的投入或者考虑转型。
慢慢地,进来的人发现区块链整个生态和实际应用要发展起来,还有很长的路要走。不做实事的团队,没法在短期内获得收益。如果做实际项目,比如金融、溯源等,可能短期内无法快速落地,需要投入比较长的时间,有些人就打了退堂鼓。
邓焕告诉锌链接,当时的现象是,很多区块链公司快速入场,又快速退场。整个行业一定是业务先行,市值撑起来才会有安全需求。否则,项目方自己都养活不了,安全公司更没办法生存。
重视不足,区块链安全发展缓慢
前段时间,币安被盗7000个BTC事件。邓焕认为,现阶段存在比较大的问题,是行业内对安全的重视不足,连头部企业也不例外,更别说中小型企业,问题就更多了。在这样一个环境下,区块链安全公司的发展是很缓慢的。
在业务落地过程中,杨冀龙也遇到这些难点。
首先,市场监管不明朗,公司之前做了很多事情都是摸着石头过河。随着今年年初《区块链信息服务备案管理办法》的出台,在监管方面还是需要与监管机构进行积极沟通。
其次,市场波动太大。从2018年初币价创下新高,到2018年底集体抱团过冬,大部分区块链从业者都经历了冰火两重天,导致有部分项目做到一半就停了。
第三,没有统一的标准,无法像成熟的技术领域一样,有完备的规范参考。各个区块链安全团队都是从自己的角度提出对安全的理解,帮助客户做服务,难以保证服务质量。
为了解决这个问题,知道创宇联了区块链产业链上下游以及相关监管部门,结合各自的经验和积累,提出了一些安全评估标准,例如《智能合约审计Checklist》以及硬件钱包评级标准等,同时也参与到相关行业标准的制定中。但区块链安全毕竟起步时间较短,还需要在实践中不断完善。
慢雾科技合伙人兼产品负责人启富告诉锌链接,在区块链圈子里,用户群数量比较少。当你推出一些产品和应用时,真正接触到的用户不多,再加上有些用户门槛比较高,需要一些背景知识,导致得不到很多的用户反馈,得到可行性验证的有效数据就比较少,产品没有办法获得快速认可。
成都链安创始人杨霞告诉锌链接,当前区块链生态比较少,用户的关注点还在业务逻辑上,对安全的关注不够。应该吸取传统信息系统建设的教训,加强全行业的安全教育,采用最新安全理念,即业务系统和安全系统同步建设、同步上线、同步运营。
杨霞认为,安全产品目前侧重于解决某个点上的问题,需要随着区块链技术的落地和规模应用同步发展,逐步形成区块链行业全生态的安全解决方案。
搭建漏洞社区,共建安全生态
当欺诈性泡沫、共识被清理后,区块链技术会更加符合人性,也会有更多创新型的企业和优秀的人加入进来,共同建造出更健康的区块链生态。
目前,区块链安全领域的5个头部玩家分别是派盾、白帽汇、知道创宇、慢雾科技、成都链安。
面对区块链安全的重重困难,他们也选择了不同的发展方向。
派盾、知道创宇、慢雾与成都链安则想要打造区块链安全生态。
派盾的漏洞挖掘能力处于一线水平。其硅谷研发中心负责人Jeff称,漏洞监测覆盖底层公链、交易所、数字钱包、智能合约等区块链生态的各个环节,连续发现并命名了 BEC、SMT、EDU 等智能合约的重大安全漏洞。
杨冀龙向锌链接介绍,知道创宇主要以云防护+专业的区块链安全服务为核心,解决底层基础设施到应用层智能合约和DApp中所面临的安全问题。
知道创宇的优势在于,覆盖面比较广,从节点、链、智能合约、DApp应用、到区块链钱包的安全基本全覆盖。
作为中国最早专注于区块链生态安全的公司,慢雾科技的特长是实战能力强,拥有一支十多年一线网络安全攻防实战的团队。
其安全解决方案包括:安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品。
除了研究全球知名公链如比特币、以太坊等,慢雾还特别深耕以太坊和 EOS 生态,围绕 DApp 安全攻防对抗,安全审计与防御的知名智能合约数百份。
成都链安的目标是建立区块链行业全生态的安全解决方案,覆盖了链平台、交易所、钱包、用户等区块链行业的各参与方。
公司建立了全面的面向区块链安全的数据中台,为上层安全产品提供丰富、准确的数据支撑,以与国家区块链漏洞共享平台合作和社区共建的方式建立了自有威胁情报库,为其他安全产品提供情报支撑。
白帽汇的思路是切入漏洞社区。在传统安全领域,白帽汇支撑很多政府监管部门的安全项目;在区块链安全领域,白帽汇成立了DVP去中心化漏洞平台,把在传统安全做漏洞社区的思路放到区块链安全行业,提供合法的渠道,对接安全人员与项目方——安全人员提交漏洞,项目方根据漏洞的等级给其奖励。
至今,平台已经发现了4000+漏洞,涉及到交易所、公链、智能合约各方面,比较知名的D网交易所、以太坊公链等也曾由DVP的白帽子发现过严重问题。最近,白帽汇也在与监管机构沟通,制定区块链安全行业标准。
启富告诉锌链接,未来区块链安全领域的攻防对抗会愈演愈烈。随着更多大规模的用户入场,就会有更多资产在区块链上,攻击者会不断盯着交易所等平台,将会有更多类似硬件钱包、金库的手段来保证巨额资产的安全。
另外,随着公链的底层设计越来越完善,底层基础的问题会越来越少,在上面运行的智能合约会越来越安全,可以规避溢出之类的基础问题,常规的漏洞会越来越少。漏洞将会集中在业务逻辑、应用场景方面。
技术往往是第二位的,很多问题是出在管理、制度、流程方面。苗知秋谈道,安全圈早就有一个说法,三分技术七分管理,过于依赖技术,不把人管好,只是把机器管好,最终不能真正解决问题。
归根结底,踏实让区块链技术实现落地应用,解决实际问题,才是最重要的。
注:以上图片来源于unsplash
公司媒体矩阵
官网
https://www.lianantech.com
GitHub网址
https://github.com/Lianantech/VCA
Facebook网址
https://www.facebook.com/BeosinChengdu/
twitter网址
https://twitter.com/Beosin_com
Telegram中文群
https://t.me/LiananTech_cn
Telegram英文群
https://t.me/LiananTech_en
微博
https://weibo.com/u/6566884467
CSDN博客
https://blog.csdn.net/CDLianan
官方电话:028-83262585
官方邮箱:vaas@lianantech.com
官方地址:成都市世纪城南路599号
天府软件园D7座504室