當黑暗森林泛起慢霧,那是頂級駭客的江湖|人物誌

買賣虛擬貨幣

文 | Aholiab  區塊鏈大本營

慢霧,《三體》中黑暗森林裡的安全區域,也是區塊鏈安全公司慢霧科技的名字。

如果說區塊鏈開啟了一個全新的世界,那麼安全問題就是籠罩在這個世界裡的一抹烏雲。從區塊鏈興起似乎就一直伴隨著整個行業。不斷的考驗著人們的信心,或者說「信仰」。

在區塊鏈安全相關公司中,慢霧可以非常特別,由一群熱愛技術的駭客創立,整個團隊也由眾多曾經參加過如Black Hat等駭客大會的人組成,帶著濃濃的極客基因。他們熱衷於披露不為人知的安全漏洞,併為他們發現的安全事件起一個高冷的名字,比如以太坊黑色情人節等。

雖然營長也曾採訪過不少安全團隊,但在與慢霧團隊的溝通中,營長的感受是這支團隊是:區塊鏈裡安全做的最好的、做安全的公司裡最愛寫文章的、愛寫文章的公司裡最有情懷的

那麼,這支團隊的背後有哪些有意思的故事?這些極客又是怎樣理解和看待區塊鏈安全?區塊鏈安全的未來,究竟在何方?帶著這些問題,營長採訪了慢霧安全負責人海賊王,聽他講講自己的獨到的見解。

暗網與區塊鏈

區塊鏈大本營:你什麼時候關注到區塊鏈?區塊鏈最吸引你和最讓你受不了的地方分別是什麼? 

海賊王:最早是接觸比特幣。當時暗網會使用比特幣在地下進行一些交易買賣。其實暗網也不是像新聞報道的那樣充斥著人性的黑暗面,也有一些自由主義者希望在網路世界打造一套獨立身份,隱藏自己的真實資訊。 

著名暗網交易市場CGMC

而作為最關鍵的支付環節,比特幣恰好提供了這種匿名性,後來比特幣被證明並沒有想象中的可以完全匿名。所以門羅幣、Zcash成了受追捧的匿名加密貨幣,這些加密貨幣也是地下駭客的風向標

我對比特幣的理解和大家不一樣,有些人搞礦機或者炒幣,但我覺得在駭客主義這個方面,得有這個東西

區塊鏈大本營:你是駭客嗎?能具體談談什麼是駭客主義嗎?

海賊王:本身就是駭客,但是駭客分兩種:邪惡的和正義的,而我屬於後者——正義的駭客,至於駭客精神我理解的就是「守正出奇」,像一個俠客或者劍客一樣行走江湖,身上的能力和責任成正比,並且時刻告訴自己不要作惡

莊家收割韭菜,地下駭客收割莊家

區塊鏈大本營:區塊鏈安全的現狀如何?如何看待目前頻頻爆發的安全事故?

海賊王:區塊鏈生態,當前正處於發展初期,百廢待興的感覺,安全攻防對抗非常之激烈,可預見的未來這種激烈程度會繼續增加,因為除了類似慢霧這樣的安全正規軍加入,地下駭客正規軍也越來越多。各種正規軍其實都在陸續進來,這也包括地下駭客群體(也是我們常說的攻擊者),他們遠比我們想象的職業

舉個例子,我們今年3月20號披露的一個大事件:以太坊黑色情人節,這個攻擊其實2016年2月14日就發生了(這也是為什麼我們命名這個為以太坊黑色情人節),持續了兩年多,自動化盜取了近5萬枚以太幣,幾十億枚各種代幣。 

「黑色情人節」最新動態

以太坊「黑色情人節」專題頁:

https://4294967296.io/eth214/

技術細節我們這裡就不談了,但是大家仔細琢磨下:為什麼持續了兩年多,直到我們的進來,才完整披露了呢?如果我們沒披露呢?

之所以如此,是因為兩大原因:

1. 區塊鏈生態自帶金融屬性,但沒有足夠的國家力量背書;

2. 區塊鏈生態被盜幣後,由於生態存在匿名屬性,溯源難。

至於,如何有效的提高區塊鏈安全性,從這個例來說,在區塊鏈的架構設計之初,如技術模型、經濟模型、治理模型等,就應該融入安全基因,成型後,需要全方面的職業安全審計,長遠的發展需要運用全球安全社羣的力量,開放漏洞賞金計劃等。

對於這個生態的相關企業來說,看團隊發展規劃,明確安全負責人,並第三方專業的安全公司進行全方位的安全把關。最終,還得擁抱全球安全社羣的力量,業務與安全齊頭並進、迭代發展

區塊鏈大本營:區塊鏈安全涉及到哪些方面? 

海賊王:我認為,包括:安全審計、防禦部署、地下駭客風向標追蹤等。而我們的角色更偏向於Red Team。區塊鏈生態,包括交易所、錢包、礦池等,參與者角色更是複雜,有攻擊者、防守方,還有大莊家,一旦有漏洞,駭客隨時盜走你的資產。

區塊鏈大本營:今天的「區塊鏈安全」所涉及的方面比以往的移動網際網路和Web更多,你認為這是否是區塊鏈安全與之前我們所說的「安全」最本質的區別?如果是,這樣的情況會給安全的防禦和部署帶來哪些獨有的挑戰?

海賊王:比起傳統的攻防來說,區塊鏈生態會有自己的特別點,比如幣屬性、自帶金融屬性等。攻擊者有時不一定要盜走這個幣,只是想辦法做空做多就好

然後這個生態裡做個溯源其實更難,法幣溯源有國家力量,這個生態這些幣的溯源,沒什麼力量,太分散,大家自掃門前雪,偶爾還會看到互相嘲諷。

但是我們得意識到,安全這個東西,是整個生態的事,攻擊者喜聞樂見幣圈的亂,越亂,他們越喜歡,收割起來毫不留情。有句話是:莊家收割韭菜,地下駭客收割莊家

給人安全感,而不是危機感

區塊鏈大本營:請談談慢霧科技建立的經過。

海賊王:慢霧團隊成員主要來自一些頂級的安全公司,曾經在政企安全、雲安全、移動端安全、IoT安全等這些傳統網路攻防方面都有很深的沉澱。由於對於網際網路安全的深刻執念,使我們認為安全是一以貫之的事情,其中融入了團隊的因素與想法。在深入接觸區塊鏈之後,我們選擇了區塊鏈安全領域,單純的希望區塊鏈生態是安全的。

區塊鏈大本營:慢霧團隊是個怎樣的團隊?

海賊王:就像前面說的,慢霧團隊成員主要來自一線的頂級安全公司,因為區塊鏈生態的安全是方方面面的、成體系的,因此,除了區塊鏈本身的安全之外,其他分支領域的安全也不可或缺。而且慢霧現在的團隊管理非常的扁平,這樣有利於發展初期小步快跑,快速試錯。

區塊鏈大本營:現在區塊鏈安全行業除了慢霧,還有很多其他公司,在安全公司之間,有沒有達成一些針對整個安全方面的共識或標準?

海賊王:有的,我們在披露的過程中,輸出給了安全生態同行,跟他們之間建立橋樑,這種橋樑就是情報之間的互通有無。大家的客戶都可能會受到影響。建立這種橋樑,可以無償的奉獻給大家,快速的修復問題,是有意識形態在裡面,我們也確實真真正正的落地的在執行這件事情。

區塊鏈大本營:可以舉個具體的例子嗎?

海賊王:現在有初步的安全共識的概念,裡面會有各種區塊鏈、技術手段,大家都在裡面互通有無,達成基本的區塊鏈安全行業的共識。

例如負責任的漏洞披露過程。做安全首先要客觀、中立,不能把安全輿論化,不能拿安全作為炒作的工具。

安全團隊是給別人安全感,而不是危機感,這非常重要。我們希望能樹立起行業的標杆,讓整個行業往更好更健康的方向發展。

安全其實沒那麼玄乎

區塊鏈大本營:你們發現的另你印象深刻的漏洞有哪些?針對這些漏洞,你們會給開發者哪些建議? 

海賊王:印象深刻的基本是我們第一時間應急與負責任披露了一些影響整個生態的安全大事件,像是:

  • 以太坊黑色情人節;

  • 以太坊智慧合約 BEC 溢位漏洞;

  • MyEtherWallet 錢包 DNS 劫持事件;

  • 以太坊智慧合約 SMT 溢位漏洞;

  • 以太坊智慧合約 EDUBAI 等許可權濫用漏洞;

  • 獲得EOS第一個漏洞 CVEEOSIO P2P 拒絕服務漏洞;

  • USDT假充值漏洞攻擊事件;

  • 以太坊代幣假充值漏洞攻擊事件;

  • XRP假充值漏洞攻擊事件;

  • 門羅幣假充值漏洞攻擊事件;

  • EOS 生態第一個溢位攻擊事件。

至於如何應對,還是如上面所說,需要開發者在區塊鏈的架構設計之初,如技術模型、經濟模型、治理模型等,就應該融入安全基因,成型後,需要全方面的職業安全審計,長遠的發展需要運用全球安全社羣的力量,開放漏洞賞金計劃等。

區塊鏈大本營:目前安全事件的高發區在哪些環節?這些高發區中,典型的安全事件包括什麼?

海賊王:高發區主要包括:節點、鏈、P2P層面

我們以往有做過幾個研究和披露,包括

節點RPC案例:攻擊者利用以太坊節點Geth/Parity RPC API鑑權缺陷,惡意呼叫 eth_sendTransaction 盜取代幣,持續時間長達兩年,單被盜的且還未轉出的以太幣價值就高達現價 2 千萬美金,還有代幣種類 164 種,總價值難以估計(很多代幣還未上交易所正式發行)。

參考連結:

https://mp.weixin.qq.com/s/Kk2lsoQ1679Gda56Ec-zJg

原始碼案例:位元現金礦工使用的 Bitcoin-ABC 0.17.0 及以下版本客戶端存在一個嚴重漏洞。事後,官方對程式碼進行了修正。

src/script/sighashtype.h

檔案第 70 行開始,官方修改了函式名並對 baseType 引數值進行了調整,由

BaseSigHashType(sigHash & 0x1f

更新為

BaseSigHashType(sigHash & ~(SIGHASH_FORKID | SIGHASH_ANYONECANPAY))

參考連結:

https://mp.weixin.qq.com/s/FWls2ThGLO-y8ze29vngPQ

P2P漏洞案例,EOSIO P2P 拒絕服務漏洞:該漏洞屬於 P2P 服務安全設計未完善所導致的阻塞攻擊,可以非常小的攻擊成本達到癱瘓主節點的目的。

參考連結:

https://github.com/slowmist/papers/blob/master/EOSIO-P2P-Sybil-Attack/zh.md

當然我們研究披露的只是一部分,在整個比特幣、以太坊發展過程中出現過很多安全問題,我們透過搜尋引擎可以詳細的瞭解。

區塊鏈大本營:區塊鏈生態出現安全問題,最嚴重的情況下會導致什麼後果?

海賊王:區塊鏈生態安全發生危險最嚴重的就是團隊資金破產及信譽破產。但是呢……其實我們是樂觀的,有時候安全這東西也沒那麼誇張,一個生態之所以是生態,就具備生態的一個屬性:即自愈能力其實很強……受損後會恢復,生態的容錯性就是這樣。安全這東西,到頭來還是人,人這個物種就是詭辯、聰明、進化。感覺這部分細節如果展開就偏題了。

區塊鏈大本營:目前to C的使用者教育最適合的方式是什麼?是否有to C的安全小tip或社羣可以分享? 

海賊王:我的建議是,一般的區塊鏈從業者,就保持空杯心態吧,至少能保護好自己的私鑰。技多不壓身,大家會看到越來越多攻擊手法被披露,至少保持理解為什麼會這樣。比如前面說的以太坊黑色情人節事件,為什麼為什麼為什麼會發生?

區塊鏈大本營:慢霧的成長中,遇到過最大的技術挑戰有哪些?你們是如何解決的?

海賊王:挑戰的話其實還是有的,比如區塊鏈的速度很快很容易就跟不上車了,一旦跟不上就容易形成知識和認知的斷層,要解決的話除了花時間去學習還真的沒有其他方法了,我始終覺得只要你花了時間總會有收穫的。

駭客的「守正出奇」

區塊鏈大本營:你們是怎樣吸引人才的?你們招人有哪些原則? 

海賊王:其實招人一直都是一件很難的事情對於創業公司,但是對於我們來說倒不是那麼難,我們的話吸引人才主要是靠自身的駭客文化的魅力和本身選擇了一條與眾不同的道路,一路總會遇到不少志同道合的小夥伴,在他們能力不足的時候我們會在合適的時間去引導他們,無論是技術上還是在在價值觀上,當我們覺得他能足以獨當一面的時候就會吸納他到團隊中來,這樣的話其實也減少了團隊新成員的磨合時間,對於我們來說也是團隊戰鬥力能那麼強的原因,因為我們每個人都足夠強,足以獨當一面。

至於招人的原則,我覺得首先是價值觀,我們是一支擁有十多年一線網路安全攻防實戰的團隊,我們很明白該遵守什麼規則,比如我們國家有網路安全法,這是我們團隊的共識也是我們的紅線,所以我們在招人時會尤其注意這個。所以,價值觀是首先要考慮的東西,

然後才是其他的一些東西。在自我約束這方面,我們是非常嚴肅的,像前段時間我們剛被重慶公安網安總隊邀請過去分享區塊鏈技術與攻防對抗。我們常說一個詞就是「守正出奇」,駭客這個身份,自帶「奇」,所以你更要「守正」。總結一下就是,價值觀要一致,要有敬畏之心。

區塊鏈大本營:圈裡人人都愛談「信仰」,你們的信仰是什麼?

海賊王:我們希望透過發生在區塊鏈安全領域的諸多事件,以及時刻活躍在第一線的技術核心們,讓區塊鏈企業及從業者更加註重生態安全的重要性。將我們團隊的一些理念傳達給更多的人,認識到安全的重要性,以及一些處理態度、標準,安全行業達標,進而達成共識。

歸結起來就是,「取之區塊鏈,迴歸區塊鏈」。只有這樣去做,才能給這個生態帶來真正的安全感,這也是慢霧的使命。

區塊鏈大本營:最後,請對CSDN的讀者說幾句寄語。

海賊王:當一個新時代開啟的時候不要內心去直接拒絕,嘗試去了解去學習新的技能和知識,因為大家都能看懂的時候已經沒有更多的機會了,立足於技術本身保持空杯心態去學習去了解,機會總會有的。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;