【本文轉自微信公眾號“鏈得得”(ChainDD)】
5月25日午間,360安全衛士官方微博釋出訊息稱,360公司Vulcan(伏爾甘)團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞,在區塊鏈網路中可能引發整個網路癱瘓的風暴攻擊,對整個數字貨幣系統造成巨大沖擊。
5月29日凌晨,360第一時間將該類漏洞上報EOS官方,並協助其修復安全隱患。而因為安全問題,也影響到了EOS的上線程序。
但也就是因為這一戰,曾經用免費模式顛覆傳統網際網路安全領域的360攜“安全”重劍殺入了區塊鏈領域,人們不禁驚呼,新興區塊鏈領域終於迎來成熟網際網路安全巨頭的“駐紮”。也就在披露EOS“史詩級”漏洞的同一天,360陸續與幣安、歐鏈科技達成合作,在合約審計、區塊鏈底層技術和應用等多方面提供解決方案。
【EOS之後,360在做什麼?】
但是近5個月過去,360安全團隊在做什麼?區塊鏈領域的進展是什麼?近日,在2018ISC網際網路安全大會上,360區塊鏈資深安全專家李佳峰透露,360已經建立了自己的區塊鏈安全解決方案平臺,而集團在區塊鏈上的安全業務,並沒有太大的偏好,公鏈、交易所和錢包的安全測試都會去做。
據瞭解在360區塊鏈安全平臺上,提供了包括錢包、礦池、交易所、智慧合約和EOS超級節點等安全解決方案,幾乎涵蓋了區塊鏈生態中所有業務。
對於早期發展的區塊鏈來說,安全的重要性不言而喻。層出不窮的安全事件成為行業發展最大“隱憂”。2018年初,日本數字交易所Coincheck遭受駭客攻擊,26萬客戶損失4億美元。3月7日,幣安疑似遭遇駭客攻擊,交易系統出現故障,被駭客一夜捲走7個億。6月10日,韓國加密貨幣交易所Coinrail 稱系統遭遇“網路入侵”,雖然這只是個小交易平臺,但損失還是超過 4000萬美元。
據《2018上半年區塊鏈安全報告》顯示,因安全問題上半年損失超過27億美元。在此環境下,以知道創宇、SECBIT實驗室和鏈安科技等為代表的安全公司加入到區塊鏈安全領域,並迅速成長。
他們有一個共同的特徵,即以“合約”切入,對合約進行程式碼審計和形式化驗證。
不過目前市場中還沒有真正成長起一支“整體作戰能力”突出的安全團隊,而360似乎計劃在這一領域中承擔起這樣一個角色。李佳峰講到:“我們人數多,不存在以哪塊業務來切入;對我們來說,合約的安全檢查是沒有問題的,因為合約涉及到的安全積累是最早的。”他表示,對於一般的安全人員,學習一段時間都能夠去做一些安全測試,360則偏向於難度較高的業務。
作為一支深耕安全領域十三年的老牌勁旅,360公司在2013年就已經開始佈局區塊鏈安全研究,且已在錢包、礦機、智慧合約等生態領域發現多個嚴重
安全漏洞併發布預警。據瞭解,360資訊保安部有三個團隊做區塊鏈安全研究。
【區塊鏈安全的免費化趨勢】
對於360來說,似乎也不缺影響力。李佳峰解釋道,把漏洞攥在自己手裡是一種小作坊的做法,等客戶找上門再以更快的速度去測試,以獲得更大影響力,但是我們更願意把這些問題爆出來,來淨化整個網際網路安全環境。
而今年上半年360爆出的EOS“史詩級”漏洞,就被外界定義為一次“成功的營銷”。無可否認,對於處在行業龍頭的360來說,區塊鏈安全是一個複雜且蘊藏巨大機會的藍海市場,圍繞“數字資產”建立起來的區塊鏈體系,已然突破傳統的網際網路資訊保安演變成為一場帶有高金融屬性的“信任危機”,公司以一種高姿態殺入進來可以迅速佔據高點。
而區塊鏈本身分散式的賬本設計,每個節點頻繁維護決定了“安全方案”更高成本的投入,對於鏈的監控問題、鏈的異常出塊、異常大額交易和駭客地址的監控等,都需要付出很大的人力和物力。對於主打安全牌的360來說,勢必也想在區塊鏈行業再次佔得先機。李佳峰稱,他們在一些技術要求低的以合約審計為代表的業務上未來可能會結合公司戰略決定是否會有免費化趨勢,360目前在自己的平臺上已經提供了ERC20、ERC721等標準合約的審計業務但還未對外開放與免費。
360在傳統網際網路安全上的免費化策略是基於“安全防護要求不高”的C端使用者而運用,同時也是以360瀏覽器為代表的其他業務的成熟為基礎。但是在區塊鏈安全方面,使用者群體是安全要求高的B端企業,他們在安全風險的綜合考慮上,必然不會在安全上減少投入,甚至也不願以低廉的價格甚至免費來得到普通的安全服務。所以,對於“安全免費化”這個話題,無論是在傳統網際網路還是在區塊鏈領域,都不能是一個獨立的“手段”。
另外,知道創宇安全服務部專案主管沈瑞也聊到“安全是個奢侈品,其實它再奢侈,也超不過IT投資的10%或15%”。他還提出了一個“安全合夥人”的概念,安全公司以入股方式和專案方展開合作,這種一榮俱榮的方式對企業和整個行業的發展均有好處。
不過隨著基礎安全服務成本的下降,一些基礎的安全服務走向免費化是一個大概率事件。360的投入必然會加劇行業安全的競爭和迭代。
【360在區塊鏈安全領域是新生兒?】
不過,一位專業從事智慧合約安全的資深人士並不看好360在區塊鏈安全上的發展。他說道,360不足以對現有的區塊鏈安全格局產生影響,從傳統網際網路安全跳進來區塊鏈領域並不具有優勢。
準確來說,區塊鏈是不同於網際網路的新型應用模式,共識演算法、分散式儲存和非對稱密碼學研究都是一個全新的方式,對於在傳統網際網路安全有建樹的360來說,在專業能力和人才儲備上有先天優勢,但是這種優勢難以在短時間內適用於區塊鏈安全研究。
面對區塊鏈這種全新的技術框架,需要重新學習和積澱,而且不能用傳統網際網路的思路來研究區塊鏈。
雖然360是一個老前輩,但在區塊鏈安全上只是一個新生兒。
(本文僅代表原文作者觀點,不代表布朗客財經官方立場)
#今日互動#
你如何看待360佈局區塊鏈安全生態?
評論區見
