同互联网一样,区块链是开放而不是封闭的,主打安全的区块链技术是相对的而不是绝对的,区块链安全是共同的而不是孤立的。
·区块链 8月1日,由区块链安全公司BCSEC与PeckShield共同发起——去中心化漏洞平台DVP召开“安全链接计划”发布会,于7月24日正式上线的DVP平台,上线首周已收到白帽子所提供的312个漏洞,涉及175个项目方。
DVP全称Decentralized Vulnerability Platform(去中心化漏洞平台)意在利用区块链技术,建立匿名化的安全众测社区场景,打造去中心化、漏洞即挖矿的平台概念。该平台致力于解决区块链企业安全危机,将连结区块链厂商、安全公司和白帽子等社区参与者,最大化减少漏洞暴露风险,共筑区块链生态安全。
DVP平台CEO吴家志表示,区块链技术还处于发展中阶段,技术仍难以达到天衣无缝,同时,目前多数应用在金融领域,且涉及大量资金,这就意味着,一旦遭到漏洞攻击,就会带来无法挽回的巨额损失。根据BCSEC最新统计数据,目前500家数字货币全球交易所,1644种数字货币,市值总额3448亿元。截至2018年6月,针对数字货币的攻击累计达到100次造成的直接经济损失33亿5千万美元。
吴家志表示,安全问题是区块链企业成长的核心“命脉”,从智能合约代码审计,到节点加固再到渗透测试,无不涉及安全。尤其是智能合约具有“不可篡改”的特性,代码又不可避免的存在一些BUG,这些安全漏洞很容易被黑客利用实施攻击。
同时,仍未普及的区块链技术,其安全技术体系更是零散。有数据显示,目前全球有10000+的区块链项目,区块链安全服务公司却只有不到50家。
存在安全隐患的区块链生态自然成为黑客眼中的香饽饽,近年来,一系列安全事件层出不穷,波及范围和资产损失数额也不断增加。BCSEC数据显示,仅今年上半年以来区块链产业损失金额高达10亿美元。以日前曝出的Bancor (BNT)的智能合约安全漏洞为例,其导致价值2350万美元资金被窃取。而此前日本Coincheck交易所价值5亿美元的加密货币被盗,韩国Coinrail交易所也丢失价值4000万美元的加密货币。
吴家志表示,作为新兴产业,区块链产业的从业人员安全意识较为缺乏,导致目前的区块链相关软硬件的安全系数不高,存在大量的安全漏洞;此外,整个区块链生态环节众多,相较之下,相关的安全从业人员力量分散,难以形成合力解决问题。迎接上述挑战需要系统化的解决方案。
DVP平台CSO邓焕表示,DVP平台就是希望能通过将企业和白帽子之间形成利益共同体,促使更多的“白帽子”主动寻找企业漏洞,让企业被动变主动,能及时发现漏洞进行修补,避免遭受更大损失。
邓焕介绍,漏洞即挖矿,促使白帽子和厂商形成利益体。白帽子在DVP平台可以提交区块链相关漏洞及威胁情报。并随时查看漏洞审核及认领进度,获得相应的奖励。同时,为确保整个流程的公正性,DVP平台会将漏洞信息进行公钥加密,区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。
正因为此,通过社区将重构白帽子与厂商之间的关系,DVP平台一方面将利用区块链的天然的匿名性等特点有效保护“白帽子”,促使全球的白帽子和安全工程师都可以参与进来发掘漏洞,另一方面则是有效扩充企业有限的沟通渠道,降低沟通成本。
事实上,DVP平台上不停增加的漏洞动态,便是平台建立意义的最好佐证。截止7月31日,DVP去中心化漏洞平台上线仅一周时间,“白帽子”所提交的漏洞已多达312个,涉及175个项目方,包括目前的一些智能合约,知名公链,交易所等一系列的项目。
具体来看,经审核后,所提交的漏洞中,高危漏洞达122个占所有漏洞的39.1%,中危漏洞53个,约占17%。其中,包括某智能合约厂商存在重入漏洞,黑客可通过该漏洞从合约中无限提取资金。某大型公链更是存在设计缺陷,可导致此项目大量的公链节点崩溃,甚至可能导致项目方硬分叉。
吴家志认为,随着各种公链价值的不断提升,更多的攻击者将涌入到区块链行业。DVP作为一个去中心化的自治组织,将全方位多维度贯彻执行漏洞的负责任披露,努力实现区块链厂商与白帽子双赢的良性循环。提升区块链整体的安全意识,共同构建更好的区块链生态。
发起方背景:
PeckShield(派盾)是面向全球的业内顶尖区块链安全团队,由前360首席科学家、美国北卡州立大学终身教授蒋旭宪博士创办,团队核心成员为海归博士及清华博士,过去在移动安全方面有深厚的积累,先是2012年,率先进行了全球第一个智能手机上的恶意软件基因组研究,目前该研究成果已被全球超过500所的科研机构和知名跨国公司采用。此后又于2014年首次发现了特斯拉汽车的应用程序安全漏洞。成立PeckShield以来,今年上半年因连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞,而广受业内关注。
BCSEC核心创始团队来自于白帽汇安全研究院,拥有行业最大的漏洞平台创办和运营经验,目前已汇聚了数万名白帽子共同守护行业安全。该团队关注和研究最前沿的漏洞以及相关安全情报资讯,可为区块链社区安全运营提供预警,并持续为区块链安全生态提供行业领先的技术解决方案,目前已对数字钱包、交易所、矿池、智能合约等多个应用场景有深厚研究积累。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。