駭客攻擊去中心化平臺所用的方式,和中心化平臺很不一樣,有時候還要靠一些創新思維。
文 | 黃雪姣
9 月 5 日,由 Odaily 星球日報主辦、36Kr 集團戰略協辦的 P.O.D 大會在北京舉行。在大會安全分論壇上,星球日報資深分析師郝方舟正式釋出了《2018年區塊鏈技術安全服務行業報告》,並做了專題演講。
《2018年區塊鏈技術安全服務行業報告》按照“事件回顧-攻擊方式-防禦策略”的邏輯順序,分析交易所、智慧合約、錢包、礦池這些業務場景對應的安全問題,並探討區塊鏈安全服務行業的概況與企業案例。
在分享中,郝方舟介紹了星球日報研究院的一些發現,比如駭客攻擊去中心化的平臺所用的方式,和傳統的中心化平臺很不一樣,有的時候還要靠一些創新的思維,他舉了駭客今年攻擊幣安和 Fomo3D 的例子,駭客甚至用到了金融知識,以及抓住底層設計機制的漏洞。
根據他的研究,區塊鏈安全事件的高發地集中在業務層和合約層,從業務線來說則是交易平臺還有智慧合約。
郝方舟還提出,“中心化交易平臺可能的演變路徑是擁抱監管,同時也要向銀行等傳統金融機構靠近,包括做好實名、託管、建立自己的物理防禦機制”。
以下是演講全文,enjoy:
各位嘉賓下午好,歡迎大家來到安全分會場。我們星球研究院一直希望用更直觀方式向大家呈現更真實的區塊鏈世界。我們製作的一個系列叫《星球圖說》,就是用圖譜展示了行業結構、大公司佈局、程式碼抄襲等等問題,有些人在朋友圈見過這些圖。今天我在這裡代表研究院釋出 2018 年區塊鏈技術安全服務行業報告。
安全是一個相對的概念,在他對立面是風險,但是這兩個詞比較抽象,於是我們在腦海中希望化成一個更具像概念,所以安全和風險長什麼模樣?攻防雙方角色切換是足球運動中的一個核心,這個核心也就是對球的控制權。
我們現在把這套邏輯平移到區塊鏈安全裡來,會發現核心是對資訊和資產的控制權,在中間一圈保衛安全的是礦和鏈,更外層一圈就是各類風險,這其中包括技術風險,政策風險,道德風險,投機風險,操作風險等等。風險具有一定的特點,往往是多點複合,意想不到又層出不窮的,這就需要安全要是全方位多流程多環節的。
可是很重要的安全問題,往往卻沒有得到重視。我們會發現,權責往往是發生不清的,標準很難量化,所以我們在寫文章的時候經常問到一個問題,說安全問題有點像是薛定諤的安全,這什麼意思?就是隻有在出事的時候我們才會意識到這個問題有多麼嚴重,但是在出事之前,我們不知道一個公司一個產品,或者一項服務他們安全其實是很難判定的中間態。
說到這裡,我們還要先明確一下,當我們談到網路安全的時候,攻防角色誰來扮演,攻比較好理解,一般就是駭客,防守有政府,有企業,有第三方安全公司,也有使用者自己。
在這裡我想問一下在座各位,有人曾經遭遇過數字資產被盜的事情嗎。忘記私鑰的不算,沒有是吧,那有人的法幣資產在網上被盜過嗎,不管是網銀、P2P 或者是支付寶?
大家從來沒有遭遇過這件事情。其實我們從資料面上來看,現在數字資產總市值已經超過了 2300 億美金。根據騰訊安全還有知道創宇上半年的報告,在 7 月份之前,數字資產被盜的金額差不多是在 11 億美金,這就是說上半年丟幣的差不多是在千分之五。庫神的資料好像在這個之上,如果是比較中心化的體系,其實中心化的攻防是經過更嚴謹的攻防測試而來的,一般是有法律保障和金融機構的賠償,線上資產往往跟線下實物進行繫結。所以駭客要是從直接進攻網際網路其實是很難的事情,反而走線下比較簡單一點。
區塊鏈在防守上也有優勢,具體體現在“經濟機制加防”,舉個 51% 攻擊的例子,當你有能力進攻網路時,要付出的成本已經高於能獲得的收益。“去中心化”就說,駭客毀掉一個節點,資料還在其他地方有備份。同時,匿名和分散也讓攻擊者更難找到理想的目標。
所以,想進攻區塊鏈,有時要靠一些創新手段。
這裡我舉兩個例子,第一個是今年 3 月份的“幣安事件”,應該是 3 月 7 日凌晨,當時駭客是從 API 攻入,提前在其他交易所埋好空單,根本不需要從幣安這塊提現,這種是屬於技術結合一些金融工具的創新手段。第二個例子大家剛才講的 Fomo3D。當這個結束之後,很多人懷疑駭客把其他玩家擠出去,最終獲得大筆的獎金,這種是結合底層設計機制的玩法。因為鏈上不僅有資訊還有價值,再加上程式碼不太完善,現在很多機構並沒有宣傳的那麼全面,相關政策還是暫時缺席狀態,就造成一旦失守,造成鉅額經濟損失。
區塊鏈的不安全有一部分來自主觀原因,就是大家的重視程度還不夠,基本上入局的投資者都是稍微有一點點閒錢的人,真正賣房進場的人還是少數。
那麼具體怎麼做防護呢?進攻的突破口一般都是防守建立要塞的位置。現在我們看到一張圖,分別是 2011 年到今年,以及今年 7 月份之前,區塊鏈受攻擊的面和點的分析。
按技術架構分,業務層&合約層是重災區。按業務場景,交易平臺&智慧合約是事故高發地。
為方便讀者理解,我們在分類時,參考了安全服務公司的視角,也按行業需求和業務場景討論。
所以,報告以“從事件回顧,到攻擊方式,再到防禦策略”的邏輯順序,分析了交易所、智慧合約、錢包、礦池這些業務場景對應的區塊鏈技術安全問題。
報告中這一 part 的資訊量比較大,我只挑兩個小點在這裡簡單分享下:
先聊交易所。去中心化交易所入場,就是瞄準了中心化交易所存在的安全痛點。他們下一步的重心應該是把體驗做好,獲取更大的流量。中心化交易所的演變方向,應該是靠近銀行等傳統金融機構,做好實名、KYC、託管、冷熱隔離解決方案和其他物理防禦。
再說智慧合約。智慧合約一旦執行就無法修改,所以程式碼審計、形式化驗證越來越重要。公鏈們,還要考慮到底層設計、token經濟上可能出現的安全問題,最好提前諮詢安全團隊。安全服務,更早介入到區塊鏈專案中,也將成為一個趨勢。
報告中還有更多結論,這裡就不展開了。
在報告的最後一 part ,我們梳理了區塊鏈技術安全服務行業的概況和典型企業。
發現大家各有切入角度和擅長領域,有的側重形式化驗證,釋出了自動檢測引擎;有的注重生態的安全性和隱私性;很多做冷錢包起家的公司則專於私鑰安全儲存方案;也有專案用去中心化的思路,吸引極客,建立社群,一起檢查和修復漏洞。
我們在收錄的 10 家區塊鏈安全服務代表企業中,選取了五個典型案例,做了採訪和分析,這個部分也包含了大佬們輸出的經驗和觀點。
最後,要感謝接受我們採訪,給予智慧支援,並對報告提出指導意見的庫神、慢霧、知道創宇、PeckShield、360、CertiK、曲速未來、安全鏈、Bepel。也感謝我同事,這篇報告的主筆,分析師李雪婷。
我也做個小預告,更多的研報、圖說、新聞報道、專案介紹和深度文章已經在路上。謝謝大家!
原創文章,轉載/內容合作/尋求報道請聯絡 [email protected];未經授權嚴禁轉載,違規轉載法律必究。
推薦閱讀
點選圖片即可閱讀
星球研報 | 2018年區塊鏈技術安全服務行業報告
-END-
點選閱讀原文,下載Odaily星球日報App
