文|藍河
說到區塊鏈,自然就會聯想到數字貨幣,談到數字貨幣,也就繞不開數字貨幣安全以及區塊鏈安全的問題。
進入5月以後,區塊鏈安全事件頻繁發生,先是360公司Vulcan(伏爾甘)團隊也發現了區塊鏈平臺EOS的高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。
緊接著是韓國加密貨幣交易所Coinrail宣佈被黑客攻擊,被盜走價值4000萬美元的代幣,再到最近發生的Solidity智能合約的call注入問題。總結來看,目前國內和國際的區塊鏈安全,主要是智能合約的代碼安全,以及交易所的安全問題。
安全問題頻發導致各類數字貨幣有了不同程度的下跌,從另外一個層面上來講,這也喚醒了大家對區塊鏈行業的安全意識。
縱觀國內區塊鏈安全的整體發展態勢,目前仍還處於初步的起步階段, 已經有越來越多專注於區塊鏈安全的團隊、公司如春後雨筍般出現。而且隨著最近越來越多的安全事件的暴露,區塊鏈安全目前在國內備受矚目,不少安全公司也紛紛加入區塊鏈安全的研究。
區塊鏈安全之前一直體現在業務層的安全,例如:攻擊交易所、通過釣魚攻擊個人。但是隨著近段時間不斷爆發的智能合約漏洞和智能合約虛擬機漏洞,區塊鏈安全逐漸從上層業務層轉向更底層,可以表明國內的區塊鏈安全研究者正在往越來越深的方向研究,這是一個健康的發展方向。
但是,在國內目前還缺少系統化的區塊鏈安全的學習途徑,一些安全人員進行區塊鏈安全研究只能從零碎的知識中提取精華,導致具備區塊鏈安全研究能力的人才緊缺。
與此同時,國內的區塊鏈安全情況還是比較嚴峻的,一方面大家都在努力的建立各種形態的區塊鏈,另外一方面,代碼的編程工作沒有很嚴謹的實施安全審計和設計工作。大量的區塊鏈項目,包括區塊鏈的基礎設施,都缺乏安全設計和最佳實踐。
那麼目前國內專注於區塊鏈安全的公司有哪些?他們對於區塊鏈安全的研究方向是什麼?在他眼中又是怎樣看待區塊鏈安全?對區塊鏈安全發展的未來又有怎樣的展望?
帶著這些問題,安在與自己的幾位好朋友一起聊了聊。
知道創宇
知道創宇目前著眼於區塊鏈業態的整體安全態勢,從交易所、礦機、辦公網絡等多個維度提供了專業安全解決方案,致力於打造一個安全的業務生態。利用行業先進的雲安全防禦技術架構,推出的區塊鏈應用安全解決方案能給交易平臺提供CDN加速、隱藏源站IP、抗DDoS攻擊、抗CC攻擊等黑客攻擊行為,從源頭解決安全問題。
當前區塊鏈安全處於一個起步階段,未來隨著應用越來越廣泛、新的合約機制的引入,必然將出現更多的針對性的安全技術。
展望:在未來,知道創宇將更加關注區塊鏈自身算法及共識機制、以及區塊鏈生態方面的反欺詐,屆時將更多的投入這些方面的研究。
基於區塊鏈技術構建的金融、物流、能源、知識產權等應用場景的安全態勢監測和防護,向更高階的網絡安全演進,促進網絡安全技術的發展,從中心化防禦向去中心化防禦變革。
白帽匯
目前白帽匯已經單獨成立了一個關於區塊鏈安全的團隊:BCSEC。不久前舉辦了區塊鏈安全峰會,並且發佈了《區塊鏈產業安全報告》。BCSEC團隊會在未來更專注聚焦區塊鏈安全生態,提供區塊鏈行業領先的安全解決方案。
BCSEC關注和研究最前沿的漏洞以及相關安全情報資訊,目前已對數字錢包、交易所、礦池、智能合約等多個應用場景有深厚研究積累,可為區塊鏈社區安全運營提供預警,持續為區塊鏈安全生態提供技術支撐。
展望:白帽匯認為,區塊鏈安全在未來會建立起專門的知識體系,並延伸出不同的分支,類似信息安全最終劃分為二進制安全、Web安全等領域,區塊鏈安全也需要有不同的分支,例如:智能合約安全、算法安全、業務安全等。但區塊鏈安全研究的重點應當還是與經濟直接或間接相關的領域,例如智能合約等。
在區塊鏈安全發展到一定階段會產生相應的一些系統、工具、活動等以滿足區塊鏈安全的需求,例如漏洞眾測等形式。區塊鏈與區塊鏈安全相輔相成,區塊鏈安全隨著區塊鏈的發展會吸引大量的人才踏入網絡安全行業,進一步促進經濟和網絡安全的強綁定關係。最終區塊鏈安全研究會為區塊鏈奠定牢固的基石,區塊鏈以此為基礎發展成為一個高度安全的去中心化經濟體。
慢霧科技
慢霧科技專注區塊鏈生態安全,目前已為全球多家交易所、錢包、智能合約、公鏈等做了安全審計與防禦部署,並通過獨有的地下黑客風向標追蹤引擎,持續為合作公司及國家相關部門提供威脅情報。
單智能合約方面,截止目前,慢霧安全團隊作為第三方審計機構已為知名交易所審計了 300 多份以太坊智能合約,累計發現數十個高危、中危安全問題。未來,慢霧會持續專注區塊鏈生態安全並領跑相關技術研究與工程創新,重點孵化社區力量,給整個行業帶來更多安全感。
展望:未來區塊鏈安全應更多的關注到底層,從鏈、虛擬機層面注入安全防護解決方案,規避溢出等基礎缺陷。
Haloblock.io
Haloblock.io目前專注於建立區塊鏈的安全基礎架構。在他們看來,區塊鏈的安全問題,撥開濃霧和各種紛繁複雜的表面現象,其本質是區塊鏈基礎設施的問題。這裡的基礎設施,以最熱門的以太坊為例,一個是智能合約編程語言Solidity本身,一個是以太虛擬機EVM的問題。以太坊虛擬機EVM就好像計算機的芯片,如果芯片都不能安全,何談其他上層軟件的安全?而智能合約編程語言solidity,就是描述整個交易模型的語言,描述的語言不完備,何談整個交易模型的安全?
Haloblock.io的優勢在於對數學邏輯,也就是區塊鏈的最根本基石的把握。他們第一次證明了安全、效率和去中心化鐵三角關係的理論上限,為優化區塊鏈系統提出了理論指導,有助於我們從根本上改變區塊鏈的安全現狀。
展望:區塊鏈安全目前還是處在頭痛醫頭腳痛醫腳的階段,雖然有很多快錢可以賺,但是最終解決區塊鏈安全的辦法,是要升維攻擊,從系統架構上進行根治。網絡安全漏洞,說到底是代碼的bugs被攻擊者利用的結果,而程序員的疏忽產生bugs,就像芯片製造中的瑕疵一樣,是必然會發生的。從基礎設施來解決程序員的疏忽,用嚴謹的編程語言去約束,用安全的虛擬機去保護,才是正道。
總結
區塊鏈的安全問題已經延伸到了傳統的網絡安全、基礎設施、移動信息安全等問題。所以在談及區塊鏈安全的時候,不應該僅僅侷限於區塊鏈本身,它的使用者以及衍生的東西都是我們所需要重點關注的。安全是區塊鏈未來的生命,只有本身的安全才能使得區塊鏈技術的落地
閱讀更多 安在信息安全新媒體 的文章
