內容摘要:今天《先鋒對話》中的主角是劉鵬。此次星鑑網(微信搜尋:IPFS-FIRST)與他的獨家對話,將從全新的角度瞭解到他對區塊鏈及安全方面的認知和見解。
人物名片
劉鵬
Armors Labs研究院院長
區塊鏈安全研究專家、資深架構師、資深IT技術培訓師
星鑑網:簡單介紹一下自己和團隊?
劉鵬:ArmorsLabs作為全球頂級的區塊鏈安全實驗室,從智慧合約全生態平臺延展到整體區塊鏈安全。Armors提供一整套區塊鏈免疫系統,使用無監督機器學習和AI演算法為DApp構建多維模式。團隊成員來自蘋果、谷歌、360、百度、騰訊等世界級網際網路公司,畢業於伯克利、卡內基梅隆、清華等院校。目前,Armors已經與okEx、BT/" target="_blank"">ArcBlock、MyToken、BGOGO、幣贏網、BUMO,DATA,COINTIGER,COINEAL,COINBIG等多個專案進行了深度合作。未來,Armors將致力於構建一套通用型智慧合約安全規範,為構建區塊鏈安全生態而努力。
星鑑網:“白帽子”這個概念大家都比較陌生,能說說國內的“白帽子”公司大概有哪些,他們的工作是什麼?
劉鵬:“白帽子”這個詞是我們用來描述正面的駭客的專用詞。他可以識別計算機系統或網路系統中的安全漏洞,但並不會惡意去利用,而是公佈其漏洞。這樣系統可以在被其他人利用之前修補漏洞。
所以國內其實並不存在所謂的“白帽子”公司。
準備的說Armors是網際網路安全行業是一個垂直分支,區塊鏈安全公司。Armors的主要業務是以區塊鏈智慧合約安全為切入點,延展到整體區塊鏈安全。Armors認為,安全應該是製造一套堅固的防禦體系,追查漏洞只是開始,完整的防禦體系才是最終的目標。為此,Armors提供了IPS(入侵防禦系統)、IDS(入侵偵測系統)、AMS(異常止損遷移系統)系列解決方案。同時Armors還在打造一套安全的智慧合約體系及虛擬機器解決方案,直接可以對接各種底鏈。
從Armors提供的服務上可以看到,安全類公司的主要工作是提供防護和監控;以及出現問題時候的止損處理。
目前在國內做區塊鏈安全的公司也有很多,例如:知道創宇、安比實驗室、鏈安、慢霧等。大家都在為區塊鏈安全做出自己的貢獻。
星鑑網:“白帽子”公司的安全防護能力如此之強,是否意味著他們的攻擊能力也很強,如何保證他們不作惡?
劉鵬:每一家安全公司都有自己的安全技術團隊,對於企業來說,作惡的成本太高,對於公司的聲譽影響和品牌價值影響太大,所以公司層面的行為根本不可能會有。
對於成員個人來說,在公司內部都有會網路監測系統,對所有人員的網路訪問請求都有監控預警,可以保障在工作時間,安全工程師不會有攻擊性行為。所有的智慧合約的攻擊測試,Armors都是在內部網路和私有鏈上進行,以保障工程師的操作不會影響到主鏈。在發現問題後,Armors及時彙總溝通相關專案方,協助專案方調整安全策略,保護自己的產品。安全這個圈裡,工程師也是非常在乎自己聲譽的。所以基本上不會出現安全工程師作惡的情況。
星鑑網:區塊鏈生態安全危機四伏,您覺得原因是什麼?該怎麼去解決或者最佳化?
劉鵬:區塊鏈安全問題非常的多,具體的原因可以歸為以下幾類:
1.現階段區塊鏈的發展處於2.0時代,數字貨幣是目前主流的表現形式。因為其有價值,可以變現,所以才會被眾多的攻擊者關注。
2.進入區塊鏈領域的工程師大部分都是傳統開發工程師轉型的,對於金融體系的風險沒有明確的認知。相關資料以英文為主,國內工程師的英文水平也侷限了他們獲取國外先進經驗的可能。
3.傳統網際網路企業的測試工程師對於金融體系的業務也不熟悉,對於常見測試用例不熟悉,也限制了他們尋找到漏洞的可能。
4.缺少監管及安全意識不高,也是影響目前區塊鏈生態的一個重要因素。
針對數字貨幣的發展,我們能做的就是儘可能的在安全領域有一些投資,或者說多投資一些,透過第三方安全機構協助將問題發生的可能降到最低。
對於開發工程師和測試工程師,就需要尋找自身短板,快速學習,完善自己的知識體系結構,儘可能寫出安全的程式碼。
使用者安全意識的提高,需要我們行業內的媒體帶頭,大家一起將安全意識反覆提醒,儘可能的幫助使用者提升安全意識。
星鑑網:問一個大家都很關心的問題,數字貨幣是放在交易所,還是錢包比較安全?怎麼選交易所?怎麼選錢包?
劉鵬:數字貨幣的安全性是相對的。沒有絕對的安全。目前來說,如果使用者的數字貨幣有交易的需求,可以部分放到交易所中。如果沒有交易的需求,還是放在錢包裡比較穩妥。
同時建議使用者在可能的情況下,多擁有幾個錢包,將資產分散存放,即使單個錢包出問題,也能降低一些損失。
目前市面上排名靠前的交易所都是有保障的,他們經歷過了多輪的攻擊,同時也在安全方面有相當大的投入。
錢包方面,市場排名靠前的錢包也是值得信任的。
請注意,沒有絕對的安全。安全這個話題永遠不是恆定的。所以提升自己的安全意識,將風險發生的概率降到最低,是我們必須要做的事情。
星鑑網:貴公司或者您個人有沒有意向做一些區塊鏈安全科普的課程?
劉鵬:如有需要,我們非常願意為區塊鏈整個安全生態做出貢獻。
