当前区块链生态处于发展初期,百废待兴之时,安全攻防对抗非常激烈。而且随着区块链生态的丰富和完善,未来这种激烈的对抗将会继续增强。
一行代码葬送一个项目的事情频频发生,据Carbon Black的调查数据,2018年上半年,有价值约11亿美元的数字加密货币被盗,在全球范围内因区块链安全事件损失金额还在不断攀升。
区块链生态自带金融属性,让攻击者更容易套现,更多的黑客正加速。另外,区块链生态被盗币后,由于生态的匿名属性,也让溯源变得困难。这两个原因直接导致了区块链安全将会成为一场没有硝烟的战争。
本期,哔哔News邀请慢雾科技安全研究员
Keywolf
来直播间做“区块链安全技术探讨”主题采访,以下为文字整理。
从传统互联网安全到区块链安全
区块链的生态安全危机四伏,不过行业内还是有利用自己强大的计算机技术来维护区块链内的公平正义的白帽子团队,慢雾科技就是其中之一。
在区块链之前,Keywolf一直从事互联网公司安全方面的工作。直到三年前,一次偶然的机会了解到区块链,他便开始钻研区块链技术。
某次在星巴克和朋友们的聊天中,大家都觉得区块链市场的前景非常美好,于是决定一起出来干事业。
慢雾科技总部
慢雾科技专注于区块链生态安全,总部位于厦门一个美丽的海岛上,由一支拥有十多年一线网络安全攻防实践的团队创建。
虽然从传统互联网出走,但是他们了解,区块链技术并不是全新的,区块链的存在形式以及底层架构和传统互联网的基础设施息息相关。因此区块链安全同样也包含了传统互联网的安全问题。
区块链安全和传统互联网安全的区别是区块链有一些新的东西,智能合约、语言等,这些也可能存在漏洞。
作为区块链从业者,则应该在了解传统互联网的基础上,加强学习区块链技术,包括语言和共识算法等。
慢雾技能树
慢雾团队都非常热衷于《三体》的科幻感,而“慢雾”的取名也正是来自于此,他们希望将慢雾建造成为区块链黑暗森林中的安全领域,从而给整个生态带来更多的安全感。
区块链四大安全
交易所安全
在区块链安全问题中,交易所安全问题占了大头。各国监管的滞后性,导致数字资产成为黑客眼中的肥肉,各大交易所安全事故不断。
数字货币交易所有中心化交易所和去中心化交易所,两者的安全内容也各有侧重点。当前中心化交易所在区块链生态中占了很大的比重,中心化交易所的安全问题,其实囊括了互联网安全的方方面面。
去中心化交易所构建在智能合约之上,所以去中心化交易所面临的主要是智能合约的安全问题,包括权限管理、数据校验、余额检查、撮合交易等业务逻辑。
无论是以太坊、EOS或者其他,它们都是通过插件或者钱包来进行操作,都包含Web的程序,以及钱包的DApp。
在慢雾科技统计整理的交易所安全审计项中,将审计内容分为十二大类,开源情报采集、App安全审计、服务端安全配置审计、节点安全审计、身份鉴别管理审计、认证与授权审计、会话管理审计、输入安全审计、业务逻辑审计、密码学安全审计、热钱包架构安全审计、私钥管理系统安全设计。
智能合约安全
区块链频繁爆出智能合约的安全问题,由智能合约安全事件导致的经济损失甚至超越交易所,智能合约成为区块链项目的重中之重。
2018年3月20日,慢雾科技披露以太坊黑色情人节盗币事件,曝光长达两年之久的自动化盗币行为,其造成的损失达近5万多枚以太币及数量巨大的各类代币。
早期BEC等token类的智能合约,因为出现了溢出或者逻辑漏洞,攻击者无中生有地创建了非常大量的token,最后将token拿去交易所交易来获得收入,这会对整个token市场和交易所的交易造成很大的影响。比如,the DAO事件损失很大。
除了BEC通过智能合约溢出的问题,另外还有条件竞争,比如合约初始化,攻击者可以影响token的相关信息。
智能合约的开发人员需要有足够的安全意识,尽可能避免一些常见的安全问题,例如智能合约溢出、权限控制或者
构造函数的大小写
等。
钱包安全
在区块链的圈子里,钱包有着举足轻重的地位,无论是用户还是企业,无论是to C还是to B都有需求的场景,钱包也分为去中心化的钱包和中心化的钱包。
在安全审计方面,不同类别的钱包,安全各有侧重。
但它们的共同点是,加密数字货币资产的安全性完全建立在加密数字钱包私钥本身的安全性上,私钥是唯一的数字资产凭证。私钥一旦创建就不能修改,没法重置,只要私钥不丢失,资产就不会丢失。
因此整个加密数字资产的安全性话题都是围绕私钥的存储和使用来进行的。而数字钱包却又不尽安全。目前数字钱包主要存在三方面的安全隐患:
第一,设计缺陷。第二,数字钱包中包含恶意代码。第三,电脑、手机丢失或损坏导致的丢失资产。
慢雾结合慢雾区伙伴的力量输出了恶意钱包地址库,包含钓鱼、勒索、盗窃三大类型的恶意钱包地址,覆盖比特币、以太币、达世币、门罗币等数字货币,同时提供 Python、NodeJS、Go、Java 等主流语言的 SDK,可灵活接入产品风控体系。
游戏安全
随着区块链游戏的井喷,慢雾也披露了多个区块链游戏的安全问题,比如EOS Fomo3D、God Game等。
在游戏的安全和审计方面,慢雾科技也做了很多的安全研究,无论是针对游戏攻击方式的预警,还是攻击源码的复现,以及对新出现的智能合约进行威胁监测。
以太坊天然具有上传源码进行验证的功能,以太坊上的游戏一般都会公开源码。
相较而言,EOS的各种设施还不完善,因此慢雾科技在EOS上推出了合约源码一致性验证工具,此平台可以查询EOS合约是否开源,后续也会为源码的升级提供监控。
安全策略要点
策略一:
人工验证
+
形式化验证
现在整个行业都非常关注人工智能,通过人写出来的智能程序会淘汰人本身吗?比如Alpha Go也涉及相关的问题。
形式化验证应用非常久了,区块链具有不可篡改性,也让形式化验证得到非常多的关注。但是从合约安全的角度看,用形式化验证或者自动化方式没有办法完美地解决所有的安全问题。
首先,在解决安全漏洞方面,形式化验证需要人工进行数据的规则书写。其次,如果出现一些未知的问题,程序里没有输入相应的判断或者测试规则,形式化验证的缺陷性就会暴露。
因此,慢雾通过自动化程序+人工验证/人工把关的方式进行智能合约的审计操作。一是,通过自动化的过程把一些常规的问题扫描出来。二是,在智能合约、DApp业务逻辑、整体锁仓时间等方面,人工把关会结合功能设计的文档进行详细的验证。
当前,形式化验证存在一定的局限性。人工验证是否会被工具完全给取代?这其实是人工智能威胁论。
目前来看,答案是否定的,因为人工或者人脑的经验优势是显而易见的。
策略二:独有的技术
+丰富的经验
慢雾的威胁情报业务中采用了独有的地下黑客风向标追踪引擎,这是基于慢雾科技全网扫描技术,通过全网扫描、蜜罐、探针来获取区块链或者传统互联网的安全漏洞。
因此,慢雾科技捕
获了以太币假充值、
USDT假充值,以及一些关注度比较高的第三方组件。
慢雾科技的团队成员从传统互联网走来,他们在金融安全和政企安全等方面,都已经积累了数十年的一线网络安全攻防经验。同时,他们很早就开始从事区块链安全的研究。
目前,慢雾科技已经服务了国内外多家知名的交易所、钱包、链以及智能合约,他们所掌握的情报也非常多。
策略三:侧重联防
