久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

今年年初，一家日本數(shù)字貨幣交易所 CoinCheck 宣布遭遇黑客攻擊，約 4 億美元的新經(jīng)幣(NEM)被竊;

今年6月，韓國最大比特幣交易平臺、世界五大比特幣交易所之一 Bithumb 被盜市值 3000 萬美元的 token;

……

根據(jù)騰訊安全發(fā)布的《2018上半年區(qū)塊鏈安全報告》顯示，從 2013 年到 2018 年上半年，加密數(shù)字貨幣市場共發(fā)生過 54 起安全事件，其中 10 件重大安全事故由黑客攻擊引起。僅今年上半年，黑客攻擊導(dǎo)致 20 億美元損失，區(qū)塊鏈領(lǐng)域因安全問題損失超 27 億美元。

為什么交易所被黑客頻頻得手?你的數(shù)字貨幣，是否安全?區(qū)塊鏈生態(tài)系統(tǒng)中哪一環(huán)節(jié)更容易出問題?硅谷洞察研究院今日就試圖分析、還原出一份屬于區(qū)塊鏈生態(tài)的安全圖譜。

方式：傳統(tǒng)攻擊遠(yuǎn)多于新型攻擊

在討論生態(tài)安全之前，不妨先對區(qū)塊鏈現(xiàn)有技術(shù)架構(gòu)進(jìn)行切割。硅谷洞察研究院參考業(yè)內(nèi)現(xiàn)有的安全報告，對標(biāo)準(zhǔn)區(qū)塊鏈架構(gòu)進(jìn)行簡化、調(diào)整，大致可分為：底層硬件、基礎(chǔ)層、中間層、應(yīng)用層四個層次。

(區(qū)塊鏈技術(shù)架構(gòu)圖，版權(quán)屬于：硅谷洞察)

可以說，這眾多環(huán)節(jié)里，只要稍有不慎，區(qū)塊鏈就會受到安全的威脅、攻擊。硅谷洞察研究院發(fā)現(xiàn)，盡管區(qū)塊鏈屬于新興技術(shù)行業(yè)，但在遭到各類安全攻擊當(dāng)中，傳統(tǒng)攻擊仍居多。

荷蘭應(yīng)用科學(xué)研究組織與新加坡科技設(shè)計大學(xué)的研究人員曾建立了一個區(qū)塊鏈安全事件數(shù)據(jù)庫(Blckchain Insident Database)，把導(dǎo)致資產(chǎn)損失的攻擊事件定義為“安全事件”。那么，安全事件一共有多少起呢?從 2011 年到 2018 年，共有 86 起。造成的損失有多少呢?至少高達(dá) 35.5 億美元。

硅谷洞察研究這 86 起攻擊發(fā)現(xiàn)，主要是傳統(tǒng)攻擊、智能合約攻擊和共識協(xié)議的攻擊，三種攻擊所占的比例大約為：66%、22%、12%。

這些傳統(tǒng)攻擊包括什么呢?最典型的就是黑客攻擊，常見還有用戶電腦感染木馬。

專注區(qū)塊鏈生態(tài)安全的慢霧安全團隊告訴密探，這是因為區(qū)塊鏈技術(shù)并不是基于完全新的、以往沒有出現(xiàn)過的技術(shù)打造的，而是組合了各種現(xiàn)有的基礎(chǔ)設(shè)施，加入新的經(jīng)濟、治理模型，所以傳統(tǒng)安全攻擊會存在。比如像中心化的交易所、錢包，但背后承載形式其實是 Web 系統(tǒng)、移動 App。所以遭到傳統(tǒng)攻擊，是不可避免的。

攻擊對象：交易所與智能合約是重點

從當(dāng)前多起區(qū)塊鏈安全事件的結(jié)果導(dǎo)向來看，這恰好符合業(yè)界人士對區(qū)塊鏈?zhǔn)澜?a href=http://www.yizongshi.cn/index.php?m=content&c=index&a=infolist&typeid=1&siteid=1&type=keyword&serachType=2&key=%E5%AE%89%E5%85%A8 style='color:#57A306' target='_blank'>安全問題的共識：“區(qū)塊鏈 1.0 時代，重心是在密鑰和交易所上，而區(qū)塊鏈 2.0 時代的重心則是智能合約。”

先來說說交易所。

卡內(nèi)基梅隆大學(xué)研究人員發(fā)現(xiàn)，從 2010 年至 2015 年間建立的 80 家交易所當(dāng)中，有近一半(38家)已經(jīng)關(guān)閉。其中 25 家交易所遭遇安全漏洞，其中 15 個隨后關(guān)閉。對于交易所而言，在遭遇安全漏洞后同一季度關(guān)閉的可能性比沒有遭遇安全漏洞的交易所，概率高出 13 倍。

如今對交易所的攻擊方式有哪些呢?根據(jù)《區(qū)塊鏈安全生存指南》中統(tǒng)計，主要有下面四種方式：服務(wù)器被攻擊、主機安全問題、惡意程序感染、DDoS 攻擊。

比如韓國交易所Youbit(原Yapizon)被盜事件，就是在交易所服務(wù)器上發(fā)現(xiàn)了惡意軟件，這被認(rèn)為是朝 鮮黑客組織 Lazarus 發(fā)起的。

密探此前介紹過“比特幣第一疑案”——門頭溝交易所被盜事件。門頭溝共發(fā)生了兩次被盜，第一次在 2011 年，由于門頭溝審計人員所使用的一臺電腦權(quán)限被攻擊導(dǎo)致;第二次是遭到惡意程序感染，共損失 75 萬個比特幣和門頭溝自己的 10 萬個比特幣，當(dāng)時這批比特幣總價值約 4.5 億美元，按今天幣價來看，將近 50 億美元!第二次攻擊事件也直接導(dǎo)致了門頭溝交易所的破產(chǎn)。

說完錢包和交易所，我們來看看智能合約。

新加坡國立大學(xué)研究人員 Loi Luu和研究團隊曾對以太坊智能合約的潛在安全進(jìn)行長期檢測，他們用開源安全分析程序 Oyente 檢測后發(fā)現(xiàn)，19366 個以太坊智能合約中，有 8833 個是有缺陷的。這意味著接近一半的智能合約是有潛在安全隱患的。

香港理工大學(xué)博士生李曉琦和研究團隊曾就區(qū)塊鏈安全發(fā)表了多篇論文，李曉琦告訴硅谷洞察研究院，“很多代幣被黑客進(jìn)行攻擊，就是利用了合約漏洞，大都是代碼層面的邏輯漏洞”，而智能合約在代碼層面遭到攻擊，人為因素在其中起到了重要作用。比如在寫代碼的過程中，一些智能合約的開發(fā)沒有得到充分優(yōu)化，從而導(dǎo)致浪費以太幣、消耗過多的 Gas，甚至引起對用戶節(jié)點造成 DDoS 攻擊等風(fēng)險。

也就是說，即使是針對智能合約或交易所發(fā)動的攻擊，哪怕在中間層——智能合約代碼層面的問題，也可能影響到底層節(jié)點。對再去中心化的區(qū)塊鏈而言，安全也是“牽一發(fā)而動全身”。

慢霧安全團隊認(rèn)為，確實會頻繁聽到關(guān)于智能合約的攻擊事件，但并不是說只有這些層才有漏洞，而是因為某些層的研究門檻較低，所以才會頻繁聽到關(guān)于這方面的攻擊事件。區(qū)塊鏈技術(shù)的每一層都有獨特的攻擊面，由于設(shè)計邏輯和承載形式不同，針對每一層的攻擊都需要深入分析其底層或者說內(nèi)部原理，挖掘設(shè)計或?qū)崿F(xiàn)上的缺陷。

(圖片來自網(wǎng)絡(luò)，版權(quán)屬于原作者)

硅谷洞察研究院根據(jù)區(qū)塊鏈現(xiàn)有常見的安全漏洞，總結(jié)出了下表：

區(qū)塊鏈不同技術(shù)層常見攻擊

(版權(quán)屬于：硅谷洞察)

現(xiàn)有解決方案：學(xué)界業(yè)界有共性

針對現(xiàn)有的安全問題，學(xué)界和業(yè)界提出了什么解決方案呢?

據(jù)香港理工大學(xué)博士生李曉琦介紹，計算機學(xué)術(shù)界對區(qū)塊鏈行業(yè)的敏感度很高，因為數(shù)據(jù)存儲、點對點傳輸、區(qū)塊鏈共識機制、加密算法，乃至安全問題，都是計算機技術(shù)的集成應(yīng)用。如今，不少高校研究團隊，已針對現(xiàn)有安全問題，提出了相應(yīng)解決方案：

比如新加坡國立大學(xué)研究人員 Loi Luu，在博士生期間提出兩個開源項目。一個是針對區(qū)塊鏈共識機制的 51% 算力威脅，提出去中心化挖礦協(xié)議——SmartPool ，另一個是前面提到的 Oyente——幫助開發(fā)者在主網(wǎng)部署合約之前檢查智能合約漏洞的軟件。Oyente 創(chuàng)始團隊告訴密探，目前 Oyente 仍在多家區(qū)塊鏈創(chuàng)業(yè)公司中使用。

荷蘭與新加坡的研究人員則認(rèn)為，要想減少智能合約的安全隱患，對智能合約的驗證和測試則很重要，而且必須納入智能合約的設(shè)計環(huán)節(jié)當(dāng)中。因為，智能合約并不像傳統(tǒng)的代碼可以修補、迭代，相反，一旦部署到鏈上，是不可逆轉(zhuǎn)的。當(dāng)檢測到漏洞時，必須部署新的智能合約來修復(fù)它。

該研究人員提出以下四種方式，作為驗證和測試的工具：第一，完善測試文檔，讓安全測試流程標(biāo)準(zhǔn)化;第二，模糊(Fuzzing)智能合約的輸入;第三，為智能合約開發(fā)變異工具;第四，搜索區(qū)塊鏈已經(jīng)部署智能合約的痕跡。

如今，市場上的創(chuàng)業(yè)公司針對智能合約安全問題，主要有三種方式檢驗，第一是測試，第二是審計，第三是形式化驗證。簡單說，測試依靠程序自動跑，審計靠專家的專業(yè)知識去審核，形式化驗證靠的是數(shù)學(xué)方法。

在慢霧安全團隊看來，學(xué)界和業(yè)界具有眾多共性，比如針對智能合約，形式化驗證和自動化模糊測試，是目前業(yè)界不少團隊在做的，而前面學(xué)界提出的解決方式之一，就有模糊測試。

無論是交易所，還是錢包，或者是Dapp，背后都站著廣大的用戶。去中心化通證交易平臺 Kyber Network 則建議，從用戶角度來看，特別是剛剛進(jìn)入行業(yè)的非技術(shù)型用戶，并不都具有閱讀智能合約并判斷 Dapp 真正目的的能力，所以應(yīng)先從保管好自己的密鑰/資產(chǎn)安全做起。

進(jìn)行過數(shù)字貨幣交易的用戶應(yīng)該知道，數(shù)字錢包的密鑰多半是一串沒有任何規(guī)律的字母和數(shù)字組成，用戶為了方便，通常把它保存在一個剪貼簿，當(dāng)需要使用時再復(fù)制粘貼。但是，一旦自己電腦感染木馬，則有可能被黑客追蹤剪貼簿的地址，數(shù)字錢包就有可能被盜了。

慢霧安全團隊還建議，用戶只參與通過專業(yè)安全審計機構(gòu)把關(guān)的 DApp 或游戲，并且要求項目方將代碼開源，杜絕后門或漏洞。

趨勢：市場大，機會多，門檻高

按照騰訊安全發(fā)布的《2018上半年區(qū)塊鏈安全報告》來看，區(qū)塊鏈領(lǐng)域因安全問題損失超27億美元，也就意味著，安全市場存在著巨大需求，因為它貫穿于區(qū)塊鏈技術(shù)的每一個環(huán)節(jié)。

但硅谷洞察研究院發(fā)現(xiàn)，無論是 PitchBook 還是 CB Insight 的數(shù)據(jù)庫，對區(qū)塊鏈創(chuàng)業(yè)公司的類別劃分中，安全并未單獨成為一類，而把其跟身份認(rèn)證、監(jiān)管、數(shù)據(jù)儲存等歸位一類。慢霧安全團隊認(rèn)為，在任何行業(yè)發(fā)展過程中，安全一般是滯后的。在區(qū)塊鏈行業(yè)不斷發(fā)展的過程中，會伴隨著安全事件的發(fā)生，給行業(yè)從業(yè)者帶來警醒作用。

(截圖自PitchBook 2018第三季度融資報告)

研究 PitchBook 2018年第三季度融資區(qū)塊鏈公司發(fā)現(xiàn)，屬于安全類別中的初創(chuàng)公司主要專注于交易安全，比如做比特幣安全錢包的公司 Xapo 和硬件錢包公司 Ledger。Filament 和 Post-Quantum 則分別關(guān)注物聯(lián)網(wǎng)與區(qū)塊鏈的結(jié)合，以及區(qū)塊鏈網(wǎng)絡(luò)通訊安全。可見，對于區(qū)塊鏈安全領(lǐng)域的創(chuàng)業(yè)，參與者并不多，市場很大，機會也很多。

分析 PitchBook 這幾家公司可以發(fā)現(xiàn)，像 Xapo，成立于2012年，為用戶提供在線比特幣錢包、離線冷儲存和基于比特幣的借記卡三種服務(wù)。至今總?cè)谫Y額已高達(dá)4000萬美元。投資人當(dāng)中，就有領(lǐng)英創(chuàng)始人 Reid Hoffman、Max Levchin 等硅谷大佬。

同樣做錢包的 Ledger，成立于2014年，如今總?cè)谫Y額高達(dá) 8500 萬美元，最新一輪融資額高達(dá)7500萬美元。

除了錢包公司屢獲高額融資之外，交易所也瞄準(zhǔn)了錢包。

就在 8 月，按交易量計算，全球最大加密貨幣交易所Binance(幣安)，對外第一筆收購就是移動錢包公司Trust Wallet。Trust Wallet 作為一款去中心化的加密錢包，目前主要專注于為基于以太坊區(qū)塊鏈的數(shù)字代幣提供安全存儲服務(wù)，用戶的私鑰或其他隱私信息并不會保存在該公司的服務(wù)器上。

慢霧安全團隊認(rèn)為，這恰好意味著安全逐漸成為區(qū)塊鏈的剛需，行業(yè)渴望數(shù)字資產(chǎn)的安全感。

但是，參與者少，融資額高，并不意味著參與者可以隨時進(jìn)入?？偟膩碚f，針對區(qū)塊鏈安全生態(tài)的創(chuàng)業(yè)公司并不多，這是由區(qū)塊鏈安全創(chuàng)業(yè)的高門檻決定的。慢霧安全團隊認(rèn)為，第一，是安全攻防實戰(zhàn)經(jīng)驗的門檻，第二是要有區(qū)塊鏈技術(shù)門檻。更重要的是，要守正出奇，需要創(chuàng)業(yè)者站在攻擊者的視角去思考問題。

“你的對手是地下黑客，是亡靈軍團，他們往往在暗處，他們毫不留情地收割。你得快，才能保護(hù)好用戶。安全需要：唯快不破”。慢霧安全團隊負(fù)責(zé)人告訴硅谷洞察研究院。