更多精彩 >

黑客攻击都开始用金融的思维了,防守该如何应对?

2018-09-11 10:33:39   来源:陀螺财经  作者: 

摘要:客攻击去中心化平台所用的方式,和中心化平台很不一样,有时候还要靠一些创新思维。


9 月 5 日,由 Odaily 星球日报主办、36Kr 集团战略协办的 P.O.D 大会在北京举行。在大会安全分论坛上,星球日报资深分析师郝方舟正式发布了《2018年区块链技术安全服务行业报告》,并做了专题演讲。


《2018年区块链技术安全服务行业报告》按照“事件回顾-攻击方式-防御策略”的逻辑顺序,分析交易所、智能合约、钱包、矿池这些业务场景对应的安全问题,并探讨区块链安全服务行业的概况与企业案例。 


在分享中,郝方舟介绍了星球日报研究院的一些发现,比如黑客攻击去中心化的平台所用的方式,和传统的中心化平台很不一样,有的时候还要靠一些创新的思维,他举了黑客今年攻击币安和 Fomo3D 的例子,黑客甚至用到了金融知识,以及抓住底层设计机制的漏洞。


根据他的研究,区块链安全事件的高发地集中在业务层和合约层,从业务线来说则是交易平台还有智能合约。


郝方舟还提出,“中心化交易平台可能的演变路径是拥抱监管,同时也要向银行等传统金融机构靠近,包括做好实名、托管、建立自己的物理防御机制”。



以下是演讲全文,enjoy:


各位嘉宾下午好,欢迎大家来到安全分会场。我们星球研究院一直希望用更直观方式向大家呈现更真实的区块链世界。我们制作的一个系列叫《星球图说》,就是用图谱展示了行业结构、大公司布局、代码抄袭等等问题,有些人在朋友圈见过这些图。今天我在这里代表研究院发布 2018 年区块链技术安全服务行业报告。


安全是一个相对的概念,在他对立面是风险,但是这两个词比较抽象,于是我们在脑海中希望化成一个更具像概念,所以安全和风险长什么模样?攻防双方角色切换是足球运动中的一个核心,这个核心也就是对球的控制权。


我们现在把这套逻辑平移到区块链安全里来,会发现核心是对信息和资产的控制权,在中间一圈保卫安全的是矿和链,更外层一圈就是各类风险,这其中包括技术风险,政策风险,道德风险,投机风险,操作风险等等。风险具有一定的特点,往往是多点复合,意想不到又层出不穷的,这就需要安全要是全方位多流程多环节的。


可是很重要的安全问题,往往却没有得到重视。我们会发现,权责往往是发生不清的,标准很难量化,所以我们在写文章的时候经常问到一个问题,说安全问题有点像是薛定谔的安全,这什么意思?就是只有在出事的时候我们才会意识到这个问题有多么严重,但是在出事之前,我们不知道一个公司一个产品,或者一项服务他们安全其实是很难判定的中间态。


说到这里,我们还要先明确一下,当我们谈到网络安全的时候,攻防角色谁来扮演,攻比较好理解,一般就是黑客,防守有政府,有企业,有第三方安全公司,也有用户自己。


在这里我想问一下在座各位,有人曾经遭遇过数字资产被盗的事情吗。忘记私钥的不算,没有是吧,那有人的法币资产在网上被盗过吗,不管是网银、P2P 或者是支付宝?


大家从来没有遭遇过这件事情。其实我们从数据面上来看,现在数字资产总市值已经超过了 2300 亿美金。根据腾讯安全还有知道创宇上半年的报告,在 7 月份之前,数字资产被盗的金额差不多是在 11 亿美金,这就是说上半年丢币的差不多是在千分之五。库神的数据好像在这个之上,如果是比较中心化的体系,其实中心化的攻防是经过更严谨的攻防测试而来的,一般是有法律保障和金融机构的赔偿,线上资产往往跟线下实物进行绑定。所以黑客要是从直接进攻互联网其实是很难的事情,反而走线下比较简单一点。


区块链在防守上也有优势,具体体现在“经济机制加防”,举个 51% 攻击的例子,当你有能力进攻网络时,要付出的成本已经高于能获得的收益。“去中心化”就说,黑客毁掉一个节点,数据还在其他地方有备份。同时,匿名和分散也让攻击者更难找到理想的目标。


所以,想进攻区块链,有时要靠一些创新手段。


这里我举两个例子,第一个是今年 3 月份的“币安事件”,应该是 3 月 7 日凌晨,当时黑客是从 API 攻入,提前在其他交易所埋好空单,根本不需要从币安这块提现,这种是属于技术结合一些金融工具的创新手段。第二个例子大家刚才讲的 Fomo3D。当这个结束之后,很多人怀疑黑客把其他玩家挤出去,最终获得大笔的奖金,这种是结合底层设计机制的玩法。因为链上不仅有信息还有价值,再加上代码不太完善,现在很多机构并没有宣传的那么全面,相关政策还是暂时缺席状态,就造成一旦失守,造成巨额经济损失。


区块链的不安全有一部分来自主观原因,就是大家的重视程度还不够,基本上入局的投资者都是稍微有一点点闲钱的人,真正卖房进场的人还是少数。 

    

那么具体怎么做防护呢?进攻的突破口一般都是防守建立要塞的位置。现在我们看到一张图,分别是 2011 年到今年,以及今年 7 月份之前,区块链受攻击的面和点的分析。



按技术架构分,业务层&合约层是重灾区。按业务场景,交易平台&智能合约是事故高发地。


为方便读者理解,我们在分类时,参考了安全服务公司的视角,也按行业需求和业务场景讨论。


所以,报告以“从事件回顾,到攻击方式,再到防御策略”的逻辑顺序,分析了交易所、智能合约、钱包、矿池这些业务场景对应的区块链技术安全问题。


报告中这一 part 的信息量比较大,我只挑两个小点在这里简单分享下:


先聊交易所。去中心化交易所入场,就是瞄准了中心化交易所存在的安全痛点。他们下一步的重心应该是把体验做好,获取更大的流量。中心化交易所的演变方向,应该是靠近银行等传统金融机构,做好实名、KYC、托管、冷热隔离解决方案和其他物理防御。


再说智能合约。智能合约一旦运行就无法修改,所以代码审计、形式化验证越来越重要。公链们,还要考虑到底层设计、token经济上可能出现的安全问题,最好提前咨询安全团队。安全服务,更早介入到区块链项目中,也将成为一个趋势。


报告中还有更多结论,这里就不展开了。


在报告的最后一 part ,我们梳理了区块链技术安全服务行业的概况和典型企业。


发现大家各有切入角度和擅长领域,有的侧重形式化验证,发布了自动检测引擎;有的注重生态的安全性和隐私性;很多做冷钱包起家的公司则专于私钥安全存储方案;也有项目用去中心化的思路,吸引极客,建立社群,一起检查和修复漏洞。


我们在收录的 10 家区块链安全服务代表企业中,选取了五个典型案例,做了采访和分析,这个部分也包含了大佬们输出的经验和观点。

猜你喜欢

像可溯这样无限拖延、失信,又不立案的,可怎么办?

资讯区块链P2P网贷

现在出借人组成借委会、还有个自媒体人也建了好几个维权群。借委会竟然说平台没有自融。这迹象看起来就是维...

29分钟前

比特币惊现拒绝服务漏洞,可造成比特币网络崩溃?

资讯比特币区块链

近期,开发人员发现BitcoinCore软件中存在着一个异常严重的漏洞,这促使开发者在本周三发布了一...

31分钟前

扒一扒上市公司的假账“套路”

资讯区块链假账

前两天我们给大家扒了《IPO的秘密:闯关上市得砸多少钱?》,其中聊到保荐承销等中介费用,最后是从IP...

33分钟前

警方通报大志集团案细节:旗下安捷财富未发现真实借贷标的

资讯区块链安捷财富

新金融探案9月20日消息,合肥市公安局庐阳分局官方微博“庐阳公安”发布情况通报,公开了大志集团涉嫌非...

36分钟前

区块链深度思考:五大原则之记录不可篡改

资讯区块链五大原则

如果我们能够找到一种大家都认可的,可以确保信息记录不可篡改的方法,那就可以抛弃第三方信任角色。

1小时前

BCH交易使用的虫洞协议是否安全?

资讯区块链BCH虫洞协议

比特币有很多衍生品,其中的一个便是BCH。BCH货币交易中使用的协议是Wormhole,其中的安全性...

2018-09-05

比特币在货币贬值的国家迅速普及

资讯比特币区块链

面临经济和货币危机的国家伊朗,土耳其,委内瑞拉,阿根廷和津巴布韦的比特币交易活动都出现了激增。

2018-09-05

区块链成了黑客手里的屠龙刀?

资讯区块链区块链技术DNS

区块链DNS与传统DNS有所不同。一般来讲,当我们将网站地址输入互联网浏览器时,计算机将向DNS服务...

2018-09-05

美团员工实名举报同事组织区块链项目诈骗 美团:正在积极核实

资讯美团区块链区块链项目

9月3日下午,微博网友@蜉蝣小猫酱发布微博称,其本人联合联合何某、张某、黄某,实名举报美团外卖设计师...

2018-09-05

CoinVoice区块链创新峰会开幕在即,共话新投资机遇

活动区块链

9月4日,由CoinVoice主办的“BLOCKCHAIN INNOVATION SUMMIT”区块...

2018-09-05

央行在深圳设立金融科技公司,运营贸易金融区块链

资讯区块链央行

湾区贸易金融区块链平台是在 中国人民银行 数字货币研究所与 中国人民银行 深圳市中心支行的共同推动、...

2018-09-05

最高科技的中秋节 金储区块链月饼你知道吗

资讯区块链月饼

这次的区块链月饼是知味观和金储仓单、33复杂美合作,搭建在金储区块链仓单上的一次月饼售卖活动。与传统...

2018-09-04

程智鹏:日本乐天买交易所还要发币!中日差距咋那么大?

资讯区块链乐天

据日经新闻消息,日本乐天8月31日宣布收购日本交易所“ Minnano Bitcoin”,进军数字货...

2018-09-04

原创

专题 | 94一周年: 潮水退去 谁在裸泳?

资讯区块链94一周年

区块链作为下一代价值网络的雏形,有望重新构建人类的信任网络,并像互联网一样彻底改变人类社会活动的形态...

2018-09-04

区块链应用:西班牙使用区块链技术积极打击腐败

西班牙资讯区块链

2015年,西班牙通过了经合组织(OECD)批准的新立法措施,旨在打击腐败,提高政治活动和机构的透明...

2018-09-04

财链社(www.bcpress.com)专业的全球区块链财经媒体与社群,链接区块链、物联网、大数据、人工智能,致力于成为最有深度的区块链全产业链分析家,为区块链创业者及投资者提供最好的产品和服务。

清华大学信息科学技术研究院副院长邢春晓:区块链数字经济

清华大学信息科学技术研究院副院长邢春晓在会上表示:“数字化的信息、知识已经成为新的战略要素,并已与实...

全国社保基金原副理事长王忠民:区块链赋能实体经济

全国社保基金原副理事长王忠民在会上以“区块链赋能实体经济”进行了演讲。他用了四个逻辑对区块链在实体经...

蔡维德:链满天下是中国的大机会

英国伦敦大学区块链研究中心顾问蔡维德在会上以“数字社会、链满天下”为主题做了演讲。蔡维德认为,201...

方军:通证经济所用到的四个基本特性

观察了以太坊带来的变化后,区块链特征以及与这些特征相关的应用已经较为清晰地展现在我们面前。这四个基础...

邓维:区块链技术在券商PB业务的创新应用

随着区块链技术的不断发展和成熟,其与具体证券业务的应用融合在不断加深和拓展,应用范围大致可以从交易前...

一起寻找“全球链改优秀项目”!

一起寻找“全球链改优秀项目”!

2018年9月10日,由中国通信工业协会区块链专业委员会、区块链改革全国联席会议作为指导,全球链改节...

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行,第六站厦门将在本周六(9月8日)...

区动智慧,链接未来-区块链如何赋能实体经济

区动智慧,链接未来-区块链如何赋能实体经济

自区块链概念流入国内,吸引大量人才进入到这个行业,随着区块链掀起的火热风潮,它被视为本世纪最大的风口...

区块链峰会受监管政策屡屡叫停,920这场峰会却办得热火朝天

区块链峰会受监管政策屡屡叫停,920这场峰会却办得热火朝天

“2018国际数字经济博览会”将于9月20日-22日在石家庄国际会展中心隆重举办。本次峰会邀请到了诸...

嘉楠耘智推出7nm矿机新品,算力翻倍

嘉楠耘智推出7nm矿机新品,算力翻倍

据中关村在线消息,目前首批由台积电代工生产的7nm芯片已完成交货。