区块链安全保卫战:三分技术,七分管理 | 锌式
百科 · 2020-03-04 14:47:55
 区块链安全保卫战:三分技术,七分管理 | 锌式文:赵雪娇

  7月30日,Facebook在最新季度报告中提醒投资人,由于很多因素导致他们可能无法在2020年如期推出Libra数字货币,面临的最大阻力就是监管。

  而最让监管机构担忧的便是Facebook面临的一系列安全问题,如何保障用户的隐私安全,如何防止不法分子入侵…

  安全是各行业发展面临的首要问题,但绝对的安全是不存在的,只能通过技术让它更安全而已。

  浪潮涌起,泥沙俱下。

  近年来,交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗、私钥丢失等安全事件层出不穷。

  白帽汇2018年发布区块链安全报告称,每年因区块链安全漏洞造成的损失高达数十亿美元。目前,近80%的攻击损失都是基于业务层面的攻击所造成的,其损失额度从2017年开始呈现出指数上升的趋势,截止到2018年第一季度,所暴露的安全事件就已经造成了8.1亿美元的损失。

  攻击事件大致可分为四类安全事件:共识机制、智能合约、交易平台和用户自身。攻击者主要选择保护相对薄弱的数据层、网络层、共识层、扩展层和业务层进行攻击。

  区块链安全与传统互联网安全,既有共性,又有个性,既有交集,也有差异。 墨子区块链安全实验室CEO苗知秋告诉锌链接,区块链安全并不是一个全新的安全范畴,它运用了大量的传统技术。  墨子区块链安全实验室CEO苗知秋告诉锌链接,区块链安全并不是一个全新的安全范畴,它运用了大量的传统技术。

  所以,区块链安全与传统安全之间,大部分是重叠的,小部分是区块链技术独有的特点。

  从底层代码来说,传统安全与区块链安全大同小异。但是上面的应用层安全,区块链安全带有自身的特性,比如共识机制,使互联网的中心化单点攻击,转变为区块链的大面积攻击。

  假设有人要攻击一个网上银行,互联网的方式是入侵某台电脑的服务器、网银地址,修改数据库。

  在区块链里,共识机制是至少要篡改超过51%的节点。因为所有节点都依托于一段代码程序,如果程序本身有漏洞,就可以篡改大面积节点。

  一个很典型的事件是美图发布的BEC,出现了溢出漏洞,大量超发,导致BEC瞬间归零。

  相当于一只蚂蚁绊倒了一头大象。 区块链安全保卫战:三分技术,七分管理 | 锌式  快速入场,火速退场

  区块链安全公司的数量多少与区块链行业的发展成正相关。2017年到2018年初,区块链行业处于火热期,很多人挤进来做项目,对安全的需求增多,于是很多区块链安全公司顺势而生,主要有三类:

  一个就是传统安全行业转型过来的安全服务商,比如知道创宇、白帽汇;

  另一个是安全圈的新力量,因为有了区块链新的场景引发了新的需求也加入进来,比如成都链安;

  还有就是互联网安全巨头,比如360。

  他们早期以安全研究打开局面,用安全服务、安全开发切入市场,服务主要集中在合约审计、交易所安全、钱包安全、链安全、黑产对抗、威胁预警等领域。

  与互联网安全发展相似,区块链安全早期报的漏洞也相对比较少,但随着技术的成熟、业务场景的增长,安全事件也会逐渐增多。

区块链安全保卫战:三分技术,七分管理 | 锌式  随着业务热点的转移,哪个技术用得越多,安全公司研究的方向也会相应变化。

  2018年,以太坊为首的智能合约是关注的重点,很多人去研究智能合约。

  白帽汇联合创始人、安全负责人邓焕告诉锌链接,“智能合约很简单,像以太坊,几百行代码就能写出一个应用,发行一个代币。有的项目发行代币,基于某个模板改几个参数。只要模板有问题,好几种代币就都存在问题。”

  随着切入点越来越深,被爆出来很多链上的设计理念、业务逻辑存在问题。首先在合约或者经济模型设计会存在漏洞,被人利用。此外,底层的安全问题也会逐渐增多。

  玩家多了,自然会产生泡沫。知道创宇CTO兼COO杨冀龙告诉锌链接,在市场行情好的时候,存在大量的恶意竞争。比如,合约审计服务甚至出现了打价格战,导致安全产品和服务的价值非常廉价。另外,割韭菜的项目非常多,

热门资讯热门资讯