來源 | TNW
編譯 | Guoxi
出品 | 區塊鏈大本營(blockchain_camp)
俗話說:“沒有不透風的牆”,世界上也不存在沒有安全漏洞的應用程式,只是大企業會透過嚴格的程式設計規範和充分的測試來減少安全漏洞,但人都是會犯錯的,應用程式並不能保證百分之百的安全。
那遇到安全漏洞該怎麼辦呢,傳統的應用程式得益於其中心化的架構可以立刻停止服務,修復漏洞後回滾到正常的狀態從而最小化安全漏洞的影響。而加密貨幣都是去中心化的,不太可能回滾交易,並且加密貨幣涉及的都是真金白銀,本身就很容易被駭客盯上。
於是不少加密貨幣專案開始另闢蹊徑,與其面對可能會造成巨大損失的安全漏洞,為何不花一少部分錢來僱傭駭客為自己修復漏洞呢?這樣駭客可以走上臺面用自己的本領贏得榮譽和獎金,可以說這是一種兩全其美的解決方案。
不過這樣的結果可謂是,不查不知道,一查嚇一跳。這裡先賣個關子,想知道這些加密貨幣專案在安全性方面存在多麼嚴重的問題,讓我們一起在文章中尋找答案。
白帽正在悄然興起
如今白帽駭客為加密貨幣專案修復安全漏洞已成為一種趨勢,據不完全統計,僅在過去的兩週裡( 3 月 14 日至 3 月 28 日)門羅幣( Monero )和恆星幣( Stellar )等流行的加密貨幣平臺已經給修復安全漏洞的駭客們發放了至少 7400 美元的獎賞。
根據安全漏洞披露平臺 HackerOne的資料,在過去的兩週裡,駭客們共修復了七個與加密貨幣相關的專案中的安全漏洞,並獲得了平臺的獎賞。
這些“金主”平臺包括去中心化預測市場平臺 Augur、門羅幣、被譽為韓國以太坊的 ICON 、恆星幣、甚至還包括加密貨幣交易平臺 Crypto.com,新加入加密貨幣交易領域的股票交易平臺Robinhood以及 V 神站臺的被譽為區塊鏈版支付寶的 Omise。
這幾個平臺都還處於業務的快速發展期,存在安全漏洞也是在所難免的,但哪個平臺被找出的安全漏洞最多呢?
在過去的兩週裡,加密貨幣OmiseGO背後的運營公司Omise收到了八份HackerOne安全漏洞報告,在所有的平臺中名列榜首。
基於區塊鏈的去中心化預測市場平臺Augur被找出了3處安全漏洞,共發放了2850美元的獎勵,其中一個“中等風險”的安全漏洞獲得了2500美元的獎勵。
加密貨幣交易平臺Crypto.com也收到了三份安全漏洞報告,發放的獎金共計2250美元。
各加密貨幣相關的平臺收到的安全漏洞報告數量
以匿名性為賣點的加密貨幣門羅幣向駭客們支付了兩筆修復安全漏洞的獎勵。韓國的以太坊,以互操作性為賣點的加密貨幣 ICON 支付了 1000 美元的修復安全漏洞獎勵。恆星幣也支付了一筆,但獎勵的具體金額尚未披露。
Robinhood(一款去年開始支援加密貨幣交易的傳統股票交易應用程式的運營公司)給駭客們支付了兩筆修復安全漏洞的獎勵,但是,這些安全漏洞的細節也尚未披露。
不幸的是,絕大多數的安全漏洞報告都還處於保密狀態,目前被公開報道的都是一些賞金微乎其微的低風險安全漏洞,就比如說 Omise 平臺和 Augur 平臺都有的一個安全漏洞,使用者在開啟其官網時可能會被駭客惡意重定向到仿冒的網站。
僅目前的資料來看,在過去的兩週內駭客們共在 7 個加密貨幣相關專案中修復了 20 個安全漏洞,並獲得了至少 7400 美元的獎勵。
這個資料聳人聽聞,而這都還是正常的現象,事實上,在2月13日至3月13日這一個月的時間裡,加密貨幣相關的平臺支付給駭客們的安全漏洞修復獎金數量達到了43筆,金額至少23,675美元。
加密貨幣安全,山高路遠
一般來說,企業一旦遇到致命的安全漏洞都會選擇支付大額封口費息事寧人,普通人能接觸到的安全漏洞少之又少,即使在這種情況下資料也十分驚人。
這不禁讓人們對加密貨幣專案的安全性產生懷疑。所以說,這些新興的加密貨幣專案還有很長的路要走……
