一行代碼葬送一個(gè)項(xiàng)目的事情頻頻發(fā)生,據(jù)Carbon Black的調(diào)查數(shù)據(jù),2018年上半年,有價(jià)值約11億美元的數(shù)字加密貨幣被盜,在全球范圍內(nèi)因區(qū)塊鏈安全事件損失金額還在不斷攀升。
區(qū)塊鏈生態(tài)自帶金融屬性,讓攻擊者更容易套現(xiàn),更多的黑客正加速。另外,區(qū)塊鏈生態(tài)被盜幣后,由于生態(tài)的匿名屬性,也讓溯源變得困難。這兩個(gè)原因直接導(dǎo)致了區(qū)塊鏈安全將會(huì)成為一場沒有硝煙的戰(zhàn)爭。
本期,嗶嗶News邀請(qǐng)慢霧科技安全研究員Keywolf來直播間做“區(qū)塊鏈安全技術(shù)探討”主題采訪,以下為文字整理。
從傳統(tǒng)互聯(lián)網(wǎng)安全到區(qū)塊鏈安全
區(qū)塊鏈的生態(tài)安全危機(jī)四伏,不過行業(yè)內(nèi)還是有利用自己強(qiáng)大的計(jì)算機(jī)技術(shù)來維護(hù)區(qū)塊鏈內(nèi)的公平正義的白帽子團(tuán)隊(duì),慢霧科技就是其中之一。
在區(qū)塊鏈之前,Keywolf一直從事互聯(lián)網(wǎng)公司安全方面的工作。直到三年前,一次偶然的機(jī)會(huì)了解到區(qū)塊鏈,他便開始鉆研區(qū)塊鏈技術(shù)。
某次在星巴克和朋友們的聊天中,大家都覺得區(qū)塊鏈?zhǔn)袌龅那熬胺浅C篮?,于是決定一起出來干事業(yè)。
慢霧科技總部
慢霧科技專注于區(qū)塊鏈生態(tài)安全,總部位于廈門一個(gè)美麗的海島上,由一支擁有十多年一線網(wǎng)絡(luò)安全攻防實(shí)踐的團(tuán)隊(duì)創(chuàng)建。
雖然從傳統(tǒng)互聯(lián)網(wǎng)出走,但是他們了解,區(qū)塊鏈技術(shù)并不是全新的,區(qū)塊鏈的存在形式以及底層架構(gòu)和傳統(tǒng)互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施息息相關(guān)。因此區(qū)塊鏈安全同樣也包含了傳統(tǒng)互聯(lián)網(wǎng)的安全問題。
區(qū)塊鏈安全和傳統(tǒng)互聯(lián)網(wǎng)安全的區(qū)別是區(qū)塊鏈有一些新的東西,智能合約、語言等,這些也可能存在漏洞。
作為區(qū)塊鏈從業(yè)者,則應(yīng)該在了解傳統(tǒng)互聯(lián)網(wǎng)的基礎(chǔ)上,加強(qiáng)學(xué)習(xí)區(qū)塊鏈技術(shù),包括語言和共識(shí)算法等。
慢霧技能樹
慢霧團(tuán)隊(duì)都非常熱衷于《三體》的科幻感,而“慢霧”的取名也正是來自于此,他們希望將慢霧建造成為區(qū)塊鏈黑暗森林中的安全領(lǐng)域,從而給整個(gè)生態(tài)帶來更多的安全感。
區(qū)塊鏈四大安全
1. 交易所安全
在區(qū)塊鏈安全問題中,交易所安全問題占了大頭。各國監(jiān)管的滯后性,導(dǎo)致數(shù)字資產(chǎn)成為黑客眼中的肥肉,各大交易所安全事故不斷。
數(shù)字貨幣交易所有中心化交易所和去中心化交易所,兩者的安全內(nèi)容也各有側(cè)重點(diǎn)。當(dāng)前中心化交易所在區(qū)塊鏈生態(tài)中占了很大的比重,中心化交易所的安全問題,其實(shí)囊括了互聯(lián)網(wǎng)安全的方方面面。
去中心化交易所構(gòu)建在智能合約之上,所以去中心化交易所面臨的主要是智能合約的安全問題,包括權(quán)限管理、數(shù)據(jù)校驗(yàn)、余額檢查、撮合交易等業(yè)務(wù)邏輯。
無論是以太坊、EOS或者其他,它們都是通過插件或者錢包來進(jìn)行操作,都包含Web的程序,以及錢包的DApp。
在慢霧科技統(tǒng)計(jì)整理的交易所安全審計(jì)項(xiàng)中,將審計(jì)內(nèi)容分為十二大類,開源情報(bào)采集、App安全審計(jì)、服務(wù)端安全配置審計(jì)、節(jié)點(diǎn)安全審計(jì)、身份鑒別管理審計(jì)、認(rèn)證與授權(quán)審計(jì)、會(huì)話管理審計(jì)、輸入安全審計(jì)、業(yè)務(wù)邏輯審計(jì)、密碼學(xué)安全審計(jì)、熱錢包架構(gòu)安全審計(jì)、私鑰管理系統(tǒng)安全設(shè)計(jì)。
2. 智能合約安全
區(qū)塊鏈頻繁爆出智能合約的安全問題,由智能合約安全事件導(dǎo)致的經(jīng)濟(jì)損失甚至超越交易所,智能合約成為區(qū)塊鏈項(xiàng)目的重中之重。
2018年3月20日,慢霧科技披露以太坊黑色情人節(jié)盜幣事件,曝光長達(dá)兩年之久的自動(dòng)化盜幣行為,其造成的損失達(dá)近5萬多枚以太幣及數(shù)量巨大的各類代幣。
早期BEC等token類的智能合約,因?yàn)槌霈F(xiàn)了溢出或者邏輯漏洞,攻擊者無中生有地創(chuàng)建了非常大量的token,最后將token拿去交易所交易來獲得收入,這會(huì)對(duì)整個(gè)token市場和交易所的交易造成很大的影響。比如,the DAO事件損失很大。
除了BEC通過智能合約溢出的問題,另外還有條件競爭,比如合約初始化,攻擊者可以影響token的相關(guān)信息。
智能合約的開發(fā)人員需要有足夠的安全意識(shí),盡可能避免一些常見的安全問題,例如智能合約溢出、權(quán)限控制或者構(gòu)造函數(shù)的大小寫等。
3. 錢包安全
在區(qū)塊鏈的圈子里,錢包有著舉足輕重的地位,無論是用戶還是企業(yè),無論是to C還是to B都有需求的場景,錢包也分為去中心化的錢包和中心化的錢包。在安全審計(jì)方面,不同類別的錢包,安全各有側(cè)重。
但它們的共同點(diǎn)是,加密數(shù)字貨幣資產(chǎn)的安全性完全建立在加密數(shù)字錢包私鑰本身的安全性上,私鑰是唯一的數(shù)字資產(chǎn)憑證。私鑰一旦創(chuàng)建就不能修改,沒法重置,只要私鑰不丟失,資產(chǎn)就不會(huì)丟失。
因此整個(gè)加密數(shù)字資產(chǎn)的安全性話題都是圍繞私鑰的存儲(chǔ)和使用來進(jìn)行的。而數(shù)字錢包卻又不盡安全。目前數(shù)字錢包主要存在三方面的安全隱患:第一,設(shè)計(jì)缺陷。第二,數(shù)字錢包中包含惡意代碼。第三,電腦、手機(jī)丟失或損壞導(dǎo)致的丟失資產(chǎn)。
慢霧結(jié)合慢霧區(qū)伙伴的力量輸出了惡意錢包地址庫,包含釣魚、勒索、盜竊三大類型的惡意錢包地址,覆蓋比特幣、以太幣、達(dá)世幣、門羅幣等數(shù)字貨幣,同時(shí)提供 Python、NodeJS、Go、Java 等主流語言的 SDK,可靈活接入產(chǎn)品風(fēng)控體系。
4. 游戲安全
隨著區(qū)塊鏈游戲的井噴,慢霧也披露了多個(gè)區(qū)塊鏈游戲的安全問題,比如EOS Fomo3D、God Game等。
在游戲的安全和審計(jì)方面,慢霧科技也做了很多的安全研究,無論是針對(duì)游戲攻擊方式的預(yù)警,還是攻擊源碼的復(fù)現(xiàn),以及對(duì)新出現(xiàn)的智能合約進(jìn)行威脅監(jiān)測。
以太坊天然具有上傳源碼進(jìn)行驗(yàn)證的功能,以太坊上的游戲一般都會(huì)公開源碼。
相較而言,EOS的各種設(shè)施還不完善,因此慢霧科技在EOS上推出了合約源碼一致性驗(yàn)證工具,此平臺(tái)可以查詢EOS合約是否開源,后續(xù)也會(huì)為源碼的升級(jí)提供監(jiān)控。
安全策略要點(diǎn)
策略一:人工驗(yàn)證+形式化驗(yàn)證
現(xiàn)在整個(gè)行業(yè)都非常關(guān)注人工智能,通過人寫出來的智能程序會(huì)淘汰人本身嗎?比如Alpha Go也涉及相關(guān)的問題。
形式化驗(yàn)證應(yīng)用非常久了,區(qū)塊鏈具有不可篡改性,也讓形式化驗(yàn)證得到非常多的關(guān)注。但是從合約安全的角度看,用形式化驗(yàn)證或者自動(dòng)化方式?jīng)]有辦法完美地解決所有的安全問題。
首先,在解決安全漏洞方面,形式化驗(yàn)證需要人工進(jìn)行數(shù)據(jù)的規(guī)則書寫。其次,如果出現(xiàn)一些未知的問題,程序里沒有輸入相應(yīng)的判斷或者測試規(guī)則,形式化驗(yàn)證的缺陷性就會(huì)暴露。
因此,慢霧通過自動(dòng)化程序+人工驗(yàn)證/人工把關(guān)的方式進(jìn)行智能合約的審計(jì)操作。一是,通過自動(dòng)化的過程把一些常規(guī)的問題掃描出來。二是,在智能合約、DApp業(yè)務(wù)邏輯、整體鎖倉時(shí)間等方面,人工把關(guān)會(huì)結(jié)合功能設(shè)計(jì)的文檔進(jìn)行詳細(xì)的驗(yàn)證。
當(dāng)前,形式化驗(yàn)證存在一定的局限性。人工驗(yàn)證是否會(huì)被工具完全給取代?這其實(shí)是人工智能威脅論。目前來看,答案是否定的,因?yàn)槿斯せ蛘呷四X的經(jīng)驗(yàn)優(yōu)勢(shì)是顯而易見的。
策略二:獨(dú)有的技術(shù)+豐富的經(jīng)驗(yàn)
慢霧的威脅情報(bào)業(yè)務(wù)中采用了獨(dú)有的地下黑客風(fēng)向標(biāo)追蹤引擎,這是基于慢霧科技全網(wǎng)掃描技術(shù),通過全網(wǎng)掃描、蜜罐、探針來獲取區(qū)塊鏈或者傳統(tǒng)互聯(lián)網(wǎng)的安全漏洞。因此,慢霧科技捕獲了以太幣假充值、USDT假充值,以及一些關(guān)注度比較高的第三方組件。
慢霧科技的團(tuán)隊(duì)成員從傳統(tǒng)互聯(lián)網(wǎng)走來,他們?cè)诮鹑诎踩驼蟀踩确矫妫家呀?jīng)積累了數(shù)十年的一線網(wǎng)絡(luò)安全攻防經(jīng)驗(yàn)。同時(shí),他們很早就開始從事區(qū)塊鏈安全的研究。
目前,慢霧科技已經(jīng)服務(wù)了國內(nèi)外多家知名的交易所、錢包、鏈以及智能合約,他們所掌握的情報(bào)也非常多。
策略三:側(cè)重聯(lián)防+獎(jiǎng)金激勵(lì)
無論是區(qū)塊鏈安全,還是傳統(tǒng)互聯(lián)網(wǎng)安全,沒有一家安全公司敢說,我是全世界最厲害的,僅憑我一家公司就可以防護(hù)所有的安全問題。每家安全公司和安全團(tuán)隊(duì)都有自己擅長的方面,安全細(xì)分的領(lǐng)域非常多,無論是外部還是二進(jìn)制、移動(dòng)端等等。
因此,面對(duì)安全領(lǐng)域的問題,慢霧科技一直采取開放和共贏的心態(tài)。今年4月22日,慢霧科技成立慢霧區(qū),一個(gè)月的時(shí)間人數(shù)破萬。他們希望更多的人可以加入?yún)^(qū)塊鏈的安全領(lǐng)域,以聯(lián)防的方式保衛(wèi)整個(gè)區(qū)塊鏈的生態(tài)安全。
慢霧區(qū)發(fā)布了漏洞賞金計(jì)劃,當(dāng)前總共入駐了十個(gè)項(xiàng)目,包括錢包、公鏈以及交易所。
漏洞賞金入駐企業(yè)
從以上圖片可以看出,廠商對(duì)安全問題非常重視,獎(jiǎng)勵(lì)的金額都高達(dá)一萬美金或者一萬人民幣。當(dāng)前由廠商發(fā)出的賞金已累計(jì)高達(dá)十幾萬人民幣。
據(jù)慢霧區(qū)漏洞賞金后臺(tái)統(tǒng)計(jì)數(shù)據(jù),每個(gè)入駐的廠商都收集到了一個(gè)或者多個(gè)安全漏洞,包括一些邊緣的、底層的或者核心的安全問題。廠商對(duì)漏洞都非常重視,他們會(huì)及時(shí)進(jìn)行修復(fù),并發(fā)放賞金。
策略四:區(qū)塊鏈底層將是未來安全的重點(diǎn)
未來,區(qū)塊鏈的安全更多的是在底層方面做鞏固。慢霧科技也會(huì)持續(xù)加強(qiáng)智能合約語言,以及底層虛擬機(jī)的安全。
隨著新技術(shù)的產(chǎn)生,區(qū)塊鏈必然會(huì)產(chǎn)生新的安全問題。當(dāng)越來越多的人加入?yún)^(qū)塊鏈安全行業(yè),整個(gè)行業(yè)會(huì)變得飽滿和豐富起來,行業(yè)內(nèi)部也會(huì)形成差異化競爭,良性的競爭會(huì)讓區(qū)塊鏈行業(yè)變得越來越安全。
安全是所有技術(shù)發(fā)展的根基,只有在安全的問題上防微杜漸慎之又慎,被寄予厚望的區(qū)塊鏈技術(shù)才能越走越遠(yuǎn)。
雖然從數(shù)學(xué)的角度上看,區(qū)塊鏈系統(tǒng)近乎完美,其具有公開透明、無法篡改、可靠加密、標(biāo)識(shí)唯一、防DDoS攻擊等特點(diǎn),讓它本身自帶“安全性”的高帽。
但是處于發(fā)展初期的區(qū)塊鏈生態(tài),仍然受到基礎(chǔ)設(shè)施、系統(tǒng)設(shè)計(jì)、操作管理,以及隱私保護(hù)等諸多挑戰(zhàn)。
隨著技術(shù)的更新與迭代,區(qū)塊鏈項(xiàng)目安全從業(yè)者不僅要從技術(shù)角度做改善,同時(shí)也要考慮管理層面的影響,從全局的角度加強(qiáng)基礎(chǔ)研究,補(bǔ)強(qiáng)技術(shù)短板。