當前區塊鏈生態處於發展初期,百廢待興之時,安全攻防對抗非常激烈。而且隨著區塊鏈生態的豐富和完善,未來這種激烈的對抗將會繼續增強。
一行程式碼葬送一個專案的事情頻頻發生,據Carbon Black的調查資料,2018年上半年,有價值約11億美元的數字加密貨幣被盜,在全球範圍內因區塊鏈安全事件損失金額還在不斷攀升。
區塊鏈生態自帶金融屬性,讓攻擊者更容易套現,更多的駭客正加速。另外,區塊鏈生態被盜幣後,由於生態的匿名屬性,也讓溯源變得困難。這兩個原因直接導致了區塊鏈安全將會成為一場沒有硝煙的戰爭。
本期,嗶嗶News邀請慢霧科技安全研究員Keywolf來直播間做“區塊鏈安全技術探討”主題採訪,以下為文字整理。
從傳統網際網路安全到區塊鏈安全
區塊鏈的生態安全危機四伏,不過行業內還是有利用自己強大的計算機技術來維護區塊鏈內的公平正義的白帽子團隊,慢霧科技就是其中之一。
在區塊鏈之前,Keywolf一直從事網際網路公司安全方面的工作。直到三年前,一次偶然的機會了解到區塊鏈,他便開始鑽研區塊鏈技術。
某次在星巴克和朋友們的聊天中,大家都覺得區塊鏈市場的前景非常美好,於是決定一起出來幹事業。
慢霧科技總部
慢霧科技專注於區塊鏈生態安全,總部位於廈門一個美麗的海島上,由一支擁有十多年一線網路安全攻防實踐的團隊建立。
雖然從傳統網際網路出走,但是他們瞭解,區塊鏈技術並不是全新的,區塊鏈的存在形式以及底層架構和傳統網際網路的基礎設施息息相關。因此區塊鏈安全同樣也包含了傳統網際網路的安全問題。
區塊鏈安全和傳統網際網路安全的區別是區塊鏈有一些新的東西,智慧合約、語言等,這些也可能存在漏洞。
作為區塊鏈從業者,則應該在瞭解傳統網際網路的基礎上,加強學習區塊鏈技術,包括語言和共識演算法等。
慢霧技能樹
慢霧團隊都非常熱衷於《三體》的科幻感,而“慢霧”的取名也正是來自於此,他們希望將慢霧建造成為區塊鏈黑暗森林中的安全領域,從而給整個生態帶來更多的安全感。
區塊鏈四大安全
交易所安全
在區塊鏈安全問題中,交易所安全問題佔了大頭。各國監管的滯後性,導致數字資產成為駭客眼中的肥肉,各大交易所安全事故不斷。
數字貨幣交易所有中心化交易所和去中心化交易所,兩者的安全內容也各有側重點。當前中心化交易所在區塊鏈生態中佔了很大的比重,中心化交易所的安全問題,其實囊括了網際網路安全的方方面面。
去中心化交易所構建在智慧合約之上,所以去中心化交易所面臨的主要是智慧合約的安全問題,包括許可權管理、資料校驗、餘額檢查、撮合交易等業務邏輯。
無論是以太坊、EOS或者其他,它們都是透過外掛或者錢包來進行操作,都包含Web的程式,以及錢包的DApp。
在慢霧科技統計整理的交易所安全審計項中,將審計內容分為十二大類,開源情報採集、App安全審計、服務端安全配置審計、節點安全審計、身份鑑別管理審計、認證與授權審計、會話管理審計、輸入安全審計、業務邏輯審計、密碼學安全審計、熱錢包架構安全審計、私鑰管理系統安全設計。
智慧合約安全
區塊鏈頻繁爆出智慧合約的安全問題,由智慧合約安全事件導致的經濟損失甚至超越交易所,智慧合約成為區塊鏈專案的重中之重。
2018年3月20日,慢霧科技披露以太坊黑色情人節盜幣事件,曝光長達兩年之久的自動化盜幣行為,其造成的損失達近5萬多枚以太幣及數量巨大的各類代幣。
早期BEC等token類的智慧合約,因為出現了溢位或者邏輯漏洞,攻擊者無中生有地建立了非常大量的token,最後將token拿去交易所交易來獲得收入,這會對整個token市場和交易所的交易造成很大的影響。比如,the DAO事件損失很大。
除了BEC透過智慧合約溢位的問題,另外還有條件競爭,比如合約初始化,攻擊者可以影響token的相關資訊。
智慧合約的開發人員需要有足夠的安全意識,儘可能避免一些常見的安全問題,例如智慧合約溢位、許可權控制或者建構函式的大小寫等。
錢包安全
在區塊鏈的圈子裡,錢包有著舉足輕重的地位,無論是使用者還是企業,無論是to C還是to B都有需求的場景,錢包也分為去中心化的錢包和中心化的錢包。在安全審計方面,不同類別的錢包,安全各有側重。
但它們的共同點是,加密數字貨幣資產的安全性完全建立在加密數字錢包私鑰本身的安全性上,私鑰是唯一的數字資產憑證。私鑰一旦建立就不能修改,沒法重置,只要私鑰不丟失,資產就不會丟失。
因此整個加密數字資產的安全性話題都是圍繞私鑰的儲存和使用來進行的。而數字錢包卻又不盡安全。目前數字錢包主要存在三方面的安全隱患:第一,設計缺陷。第二,數字錢包中包含惡意程式碼。第三,電腦、手機丟失或損壞導致的丟失資產。
慢霧結合慢霧區夥伴的力量輸出了惡意錢包地址庫,包含釣魚、勒索、盜竊三大型別的惡意錢包地址,覆蓋比特幣、以太幣、達世幣、R/" target="_blank"">門羅幣等數字貨幣,同時提供 Python、NodeJS、Go、Java 等主流語言的 SDK,可靈活接入產品風控體系。
遊戲安全
隨著區塊鏈遊戲的井噴,慢霧也披露了多個區塊鏈遊戲的安全問題,比如EOS Fomo3D、God Game等。
在遊戲的安全和審計方面,慢霧科技也做了很多的安全研究,無論是針對遊戲攻擊方式的預警,還是攻擊原始碼的復現,以及對新出現的智慧合約進行威脅監測。
以太坊天然具有上傳原始碼進行驗證的功能,以太坊上的遊戲一般都會公開原始碼。
相較而言,EOS的各種設施還不完善,因此慢霧科技在EOS上推出了合約原始碼一致性驗證工具,此平臺可以查詢EOS合約是否開源,後續也會為原始碼的升級提供監控。
安全策略要點
策略一:人工驗證+形式化驗證
現在整個行業都非常關注人工智慧,透過人寫出來的智慧程式會淘汰人本身嗎?比如Alpha Go也涉及相關的問題。
形式化驗證應用非常久了,區塊鏈具有不可篡改性,也讓形式化驗證得到非常多的關注。但是從合約安全的角度看,用形式化驗證或者自動化方式沒有辦法完美地解決所有的安全問題。
首先,在解決安全漏洞方面,形式化驗證需要人工進行資料的規則書寫。其次,如果出現一些未知的問題,程式裡沒有輸入相應的判斷或者測試規則,形式化驗證的缺陷性就會暴露。
因此,慢霧透過自動化程式+人工驗證/人工把關的方式進行智慧合約的審計操作。一是,透過自動化的過程把一些常規的問題掃描出來。二是,在智慧合約、DApp業務邏輯、整體鎖倉時間等方面,人工把關會結合功能設計的文件進行詳細的驗證。
當前,形式化驗證存在一定的侷限性。人工驗證是否會被工具完全給取代?這其實是人工智慧威脅論。目前來看,答案是否定的,因為人工或者人腦的經驗優勢是顯而易見的。
策略二:獨有的技術+豐富的經驗
慢霧的威脅情報業務中採用了獨有的地下駭客風向標追蹤引擎,這是基於慢霧科技全網掃描技術,透過全網掃描、蜜罐、探針來獲取區塊鏈或者傳統網際網路的安全漏洞。因此,慢霧科技捕獲了以太幣假充值、DT/" target="_blank"">USDT假充值,以及一些關注度比較高的第三方元件。
慢霧科技的團隊成員從傳統網際網路走來,他們在金融安全和政企安全等方面,都已經積累了數十年的一線網路安全攻防經驗。同時,他們很早就開始從事區塊鏈安全的研究。
目前,慢霧科技已經服務了國內外多家知名的交易所、錢包、鏈以及智慧合約,他們所掌握的情報也非常多。
策略三:側重聯防+獎金激勵
無論是區塊鏈安全,還是傳統網際網路安全,沒有一家安全公司敢說,我是全世界最厲害的,僅憑我一家公司就可以防護所有的安全問題。每家安全公司和安全團隊都有自己擅長的方面,安全細分的領域非常多,無論是外部還是二進位制、移動端等等。
因此,面對安全領域的問題,慢霧科技一直採取開放和共贏的心態。今年4月22日,慢霧科技成立慢霧區,一個月的時間人數破萬。他們希望更多的人可以加入區塊鏈的安全領域,以聯防的方式保衛整個區塊鏈的生態安全。
慢霧區釋出了漏洞賞金計劃,當前總共入駐了十個專案,包括錢包、公鏈以及交易所。
漏洞賞金入駐企業
從以上圖片可以看出,廠商對安全問題非常重視,獎勵的金額都高達一萬美金或者一萬人民幣。當前由廠商發出的賞金已累計高達十幾萬人民幣。
據慢霧區漏洞賞金後臺統計資料,每個入駐的廠商都收集到了一個或者多個安全漏洞,包括一些邊緣的、底層的或者核心的安全問題。廠商對漏洞都非常重視,他們會及時進行修復,併發放賞金。
策略四:區塊鏈底層將是未來安全的重點
未來,區塊鏈的安全更多的是在底層方面做鞏固。慢霧科技也會持續加強智慧合約語言,以及底層虛擬機器的安全。
隨著新技術的產生,區塊鏈必然會產生新的安全問題。當越來越多的人加入區塊鏈安全行業,整個行業會變得飽滿和豐富起來,行業內部也會形成差異化競爭,良性的競爭會讓區塊鏈行業變得越來越安全。
安全是所有技術發展的根基,只有在安全的問題上防微杜漸慎之又慎,被寄予厚望的區塊鏈技術才能越走越遠。
雖然從數學的角度上看,區塊鏈系統近乎完美,其具有公開透明、無法篡改、可靠加密、標識唯一、防DDoS攻擊等特點,讓它本身自帶“安全性”的高帽。
但是處於發展初期的區塊鏈生態,仍然受到基礎設施、系統設計、操作管理,以及隱私保護等諸多挑戰。
隨著技術的更新與迭代,區塊鏈專案安全從業者不僅要從技術角度做改善,同時也要考慮管理層面的影響,從全域性的角度加強基礎研究,補強技術短板。
相關連結:
交易所審計的項:https://www.slowmist.com/service-exchange-security-audit.html
智慧合約安全問題總結:https://github.com/slowmist/Knowledge-Base/blob/master/solidity-security-comprehensive-list-of-known-attack-vectors-and-common-anti-patterns-chinese.md
