雖然有著越來越多的人參與到區塊鏈的行業之中,然而由於很多人之前並沒有接觸過區塊鏈,也沒有相關的安全知識,安全意識薄弱,這就很容易讓攻擊者們有空可鑽。區塊鏈安全細分領域,有幾個現象可以讓大家零距離體會到問題所在。
公鏈的世界自帶金融屬性,裡面到處都是錢(幣);
這個世界還沒國家背書,不像銀行,出事了,國家力量會搞定;
幣被盜了,溯源很難,只要攻擊者稍微認真點,你找不到他。
往深裡說,在這個行業的世界內,私鑰就是身份,誰拿到私鑰誰都可以獲取裡面的財富,這個世界不管私鑰最原始持有者,這不是這個世界需要思考的事。
當然未來肯定會有所不同,這點我們在 eos 生態裡已經看到,透過裡面特殊的共識機制來凍結甚至歸還丟失的財富,感興趣的可以自行去了解 eos 生態裡的 ecaf 與 21 個超級節點。其實在 eos 之前,就有交易所的 kyc 及 aml(反洗錢) 這些機制來進行這種風險對抗,以及我們之後搞起的 bti(區塊鏈威脅情報),aml 是 bti 的一個重要模組。這些都試圖在這個世界裡尋找些安全感。
除了金融屬性,區塊鏈,被大量提及的另一個屬性是“去中心化”,這似乎導致,試圖要在這裡面做某種決策都是件非常艱難的事。但這個世界是微妙且多變的,艱難的也不一定會艱難,英明的決策還是會得到社羣的普遍支援,只要它看起來真的很對,大不了直接來個硬分叉,社羣該分裂的分裂。
我們在這個世界感受到了很多美好,也感受到了人性許多黑暗的一面。這裡面除了大量的技術革新、經濟革新,還有大量相比中心化世界初級得多的政治鬥爭。
這個世界有提倡“程式碼即法律”,也有自己的“憲法”,自己的治理機制。在攻擊者的眼裡甚至會認為,我憑本事發現的程式碼漏洞(比如某智慧合約漏洞)拿到的幣,為什麼說我是違法的?如果程式碼即法律,我的行為反而應該得到認可,是我促進了你們加強程式碼的質量與安全。
從安全形度來看,這個世界就是這樣的一種世界,一個嚴重缺乏安全感的世界。安全在這個世界已經是必選項。
都說是因為人們極度崇尚自由,為了衝破被控制束縛的枷鎖,試圖建立一個去中心化不受政府控制的世界,但是自由永遠不等於無政府主義。
| 這個世界的安全可以簡單分為兩大型別:
傳統體系的安全攻防與區塊鏈自身體系的安全攻防。對於傳統安全人員來說,需要突破的門檻是區塊鏈自身體系的安全攻防,但傳統體系的安全攻防也不能忽略,很多時候往往也很重要。這兩大型別是一體,否則做不好這個世界的安全。從這可以看出,要做好這個世界的安全,當前確實會很有門檻,但我們覺得未來的世界會如現在的 web 世界如此的方便,如此的無感知,如此的自然而然,那個時候,大多數安全人員只需僅關注偏向業務層面的安全就好,其他的都有分工明確的團隊來聚焦解決。
| 同樣,這個世界的駭客(攻擊者)也分為兩大型別:
傳統體系的駭客與區塊鏈自身體系的駭客。可以大概這樣理解:現在這個世界發生的攻擊事件,只要特別涉及到區塊鏈技術的,比如:智慧合約漏洞、假充值、雙花、51% 等等,大多都是區塊鏈本身的相關技術人員動了些邪念,這些人是區塊鏈自身體系的駭客。而這些之外的,都可以粗暴地認為是傳統體系的駭客的行為,比如:釣魚、業務漏洞、木馬植入、社會工程學等等。
從做好安全上來說,傳統體系也好、區塊鏈自身體系也好,都很重要。千里之堤潰於蟻穴,在區塊鏈世界毫不誇張。
區塊鏈技術不是獨立的存在,所以做安全需要覆蓋的也必須是方方面面,雲端計算、大資料、人工智慧等技術資源都是必修課。
本文來自網路,如有侵權請聯絡刪除
