安全是所有技术发展的根基,只有在安全的问题上防微杜渐慎之又慎,被寄予厚望的区块链技术才能越走越远。
当前区块链生态处于发展初期,百废待兴之时,安全攻防对抗非常激烈。而且随着区块链生态的丰富和完善,未来这种激烈的对抗将会继续增强。
一行代码葬送一个项目的事情频频发生,据CarbonBlack的调查数据,年上半年,有价值约11亿美元的数字加密货币被盗,在全球范围内因区块链安全事件损失金额还在不断攀升。
区块链生态自带金融属性,让攻击者更容易套现,更多的黑客正加速。另外,区块链生态被盗币后,由于生态的匿名属性,也让溯源变得困难。这两个原因直接导致了区块链安全将会成为一场没有硝烟的战争。
从传统互联网安全到区块链安全
区块链的生态安全危机四伏,不过行业内还是有利用自己强大的计算机技术来维护区块链内的公平正义的白帽子团队,慢雾科技就是其中之一。
在区块链之前,Keywolf一直从事互联网公司安全方面的工作。直到三年前,一次偶然的机会了解到区块链,他便开始钻研区块链技术。
某次在星巴克和朋友们的聊天中,大家都觉得区块链市场的前景非常美好,于是决定一起出来干事业。
慢雾科技专注于区块链生态安全,总部位于厦门一个美丽的海岛上,由一支拥有十多年一线网络安全攻防实践的团队创建。
虽然从传统互联网出走,但是他们了解,区块链技术并不是全新的,区块链的存在形式以及底层架构和传统互联网的基础设施息息相关。因此区块链安全同样也包含了传统互联网的安全问题。
区块链安全和传统互联网安全的区别是区块链有一些新的东西,智能合约、语言等,这些也可能存在漏洞。
作为区块链从业者,则应该在了解传统互联网的基础上,加强学习区块链技术,包括语言和共识算法等。
慢雾技能数慢雾团队都非常热衷于《三体》的科幻感,而“慢雾”的取名也正是来自于此,他们希望将慢雾建造成为区块链黑暗森林中的安全领域,从而给整个生态带来更多的安全感。
区块链四大安全
1.交易所安全
在区块链安全问题中,交易所安全问题占了大头。各国监管的滞后性,导致数字资产成为黑客眼中的肥肉,各大交易所安全事故不断。
数字货币交易所有中心化交易所和去中心化交易所,两者的安全内容也各有侧重点。当前中心化交易所在区块链生态中占了很大的比重,中心化交易所的安全问题,其实囊括了互联网安全的方方面面。
去中心化交易所构建在智能合约之上,所以去中心化交易所面临的主要是智能合约的安全问题,包括权限管理、数据校验、余额检查、撮合交易等业务逻辑。
无论是以太坊、EOS或者其他,它们都是通过插件或者钱包来进行操作,都包含Web的程序,以及钱包的DApp。
在慢雾科技统计整理的交易所安全审计项中,将审计内容分为十二大类,开源情报采集、App安全审计、服务端安全配置审计、节点安全审计、身份鉴别管理审计、认证与授权审计、会话管理审计、输入安全审计、业务逻辑审计、密码学安全审计、热钱包架构安全审计、私钥管理系统安全设计。
2.智能合约安全
区块链频繁爆出智能合约的安全问题,由智能合约安全事件导致的经济损失甚至超越交易所,智能合约成为区块链项目的重中之重。
年3月20日,慢雾科技披露以太坊黑色情人节盗币事件,曝光长达两年之久的自动化盗币行为,其造成的损失达近5万多枚以太币及数量巨大的各类代币。
早期BEC等token类的智能合约,因为出现了溢出或者逻辑漏洞,攻击者无中生有地创建了非常大量的token,最后将token拿去交易所交易来获得收入,这会对整个token市场和交易所的交易造成很大的影响。比如,theDAO事件损失很大。
除了BEC通过智能合约溢出的问题,另外还有条件竞争,比如合约初始化,攻击者可以影响token的相关信息。
智能合约的开发人员需要有足够的安全意识,尽可能避免一些常见的安全问题,例如智能合约溢出、权限控制或者构造函数的大小写等。
3.钱包安全
在区块链的圈子里,钱包有着举足轻重的地位,无论是用户还是企业,无论是toC还是toB都有需求的场景,钱包也分为去中心化的钱包和中心化的钱包。在安全审计方面,不同类别的钱包,安全各有侧重。
但它们的共同点是,加密数字货币资产的安全性完全建立在加密数字钱包私钥本身的安全性上,私钥是唯一的数字资产凭证。私钥一旦创建就不能修改,没法重置,只要私钥不丢失,资产就不会丢失。
因此整个加密数字资产的安全性话题都是围绕私钥的存储和使用来进行的。而数字钱包却又不尽安全。目前数字钱包主要存在三方面的安全隐患:第一,设计缺陷。第二,数字钱包中包含恶意代码。第三,电脑、手机丢失或损坏导致的丢失资产。
慢雾结合慢雾区伙伴的力量输出了恶意钱包地址库,包含钓鱼、勒索、盗窃三大类型的恶意钱包地址,覆盖比特币、以太币、达世币、门罗币等数字货币,同时提供Python、NodeJS、Go、Java等主流语言的SDK,可灵活接入产品风控体系。
4.游戏安全
随着区块链游戏的井喷,慢雾也披露了多个区块链游戏的安全问题,比如EOSFomo3D、GodGame等。
在游戏的安全和审计方面,慢雾科技也做了很多的安全研究,无论是针对游戏攻击方式的预警,还是攻击源码的复现,以及对新出现的智能合约进行威胁监测。
以太坊天然具有上传源码进行验证的功能,以太坊上的游戏一般都会公开源码。
相较而言,EOS的各种设施还不完善,因此慢雾科技在EOS上推出了合约源码一致性验证工具,此平台可以查询EOS合约是否开源,后续也会为源码的升级提供监控。
安全策略要点
策略一:人工验证+形式化验证
现在整个行业都非常