本文由 Block.one 撰寫,慢霧安全團隊翻譯,點選閱讀原文連結可檢視英文原文。
https://medium.com/@eosio/builtoneosio-firewall-x-mitigates-the-risk-of-attacks-for-apps-5ead07941b7c
對於大多數人來說,“防火牆”這個詞是一個不受歡迎的術語,它意味著審查、限制訪問許可權以及管控上網自由。然而,對於 EOSIO 開發人員而言,FireWall.X 更像是一個有用的工具,而非網路障礙,因為該平臺致力於保護基於 EOSIO 構建的智慧合約免受惡意攻擊和網路威脅,從而有助於 EOS 生態系統的健康發展。本期文章我們採訪了慢霧科技(FireWall.X 背後的公司)的產品經理 Keywolf,他跟我們談了“世界上第一個智慧合約防火牆”是如何成為所有 EOS 應用程式的安全衛士。
Q. 該如何描述 FireWall.X?
FireWall.X 是一個為智慧合約所構建的強大、簡潔且實用的防火牆,也是全球首個智慧合約防火牆。就像傳統的作業系統防火牆可以實現對網路流量的管控一樣,FireWall.X 可以實現對合約呼叫的管控,並防止未經授權的智慧合約訪問。同時結合預言機技術還可以實現風險控制,防止智慧合約的賬號資產被攻擊者竊取。我們更擅長網路安全技術,並且我們把攻防經驗轉化為了 FireWall.X,這樣對於開發者來說,他們只需要專注於業務本身,在智慧合約安全方面,他們只需要在編寫智慧合約時引入我們提供的一個庫檔案,就可以實現對合約的安全管理,並且 FireWall.X 是免費的,何樂而不為呢?
Q. 最初研發 FireWall.X 的想法是因為什麼?
2018 年下半年,EOS 生態安全事件頻發,不少智慧合約被駭客攻擊,造成了大量的 EOS 被竊取,我們分析了大量的智慧合約攻擊手法,發現了安全防禦的痛點和難點,在一次團隊的頭腦風暴中我們的一個安全研究員提出了 FireWall.X 的想法,隨後我們很快就著手將它開發出來。
Q. 能介紹一下你們的團隊並告訴我們你們的特殊之處嗎?
我們慢霧安全團隊成員都具有豐富的網路安全攻防實戰經驗,團隊成員曾為 Google、微軟、W3C、騰訊、阿里、百度等輸出過安全能力,團隊成員多項成果也曾進入過 Black Hat 等全球駭客大會。我們已經為全球多家頂級 EOS 去中心化交易所、錢包、智慧合約提供了安全審計服務,例如 WhaleEx、Newdex、Chaince、MORE.TOP Wallet、MEET.ONE 等,並且在 2018 年 6 月主網啟動時,為了保障主網順利啟動,我們總結了一份《EOS 超級節點安全執行指南》,為社羣中眾多超級節點提供了安全保障。在 2018 年 9 月,我們結合眾多 EOS 智慧合約審計的經驗,為開發者整理了一份《EOS 智慧合約最佳安全開發指南》,彙總了所有已知的漏洞並提供解決方案,避免後續的開發者因為這些漏洞被攻擊。
Q. 目前該專案處於什麼階段?接下來的擴充套件計劃是什麼?
現在 FireWall.X 已經完全實現了對惡意賬號的遮蔽、黑白名單管理、呼叫統計、日誌記錄,還有對惡意轉賬的識別,並且有一個十分友好的 Web 控制檯提供給開發者使用。接下來我們的正式版將增加動態資料展示,並推出風險控制功能,結合我們成熟而智慧的鏈下分析系統,在攻擊發生時及時阻止攻擊,減少專案方的損失。
Q. 為什麼決定使用區塊鏈技術,特別是 EOSIO?
區塊鏈技術的優勢在於它提供了加密和驗證技術,可以確保在此過程中不會有任何資料被篡改。同時可以改善身份認證和資料授權領域,對提高威脅情報資料共享效率也有很大的幫助。至於選擇在 EOSIO 上構建,那是因為它很快且易於使用。自主網上線以來,我們看到越來越多的應用程式在 EOSIO 上開發,這讓我們對 EOSIO 生態系統寄予厚望。
FireWall.X 上線僅僅三個月,但我們已經在 EOS 社羣中看到了很多對我們專案的積極迴應。到目前為止,已經有 31 個專案接入 FireWall.X 防火牆,FireWall.X 目前也已為 DApp 提供了超過 1700 萬次安全防護和超過 9 萬次攻擊攔截,從而保護了許多應用免受網路攻擊。
EOS 超級節點安全執行指南:
https://github.com/slowmist/eos-bp-nodes-security-checklist
EOS 智慧合約最佳安全開發指南:
https://github.com/slowmist/eos-smart-contract-security-best-practices
有關 FireWall.X 的更多資訊,請訪問:
https://firewallx.io/
