文章來源:區塊鏈大本營作者:吳家志編輯:韓依依
存在安全隱患的區塊鏈生態自然成為黑客眼中的香餑餑,近年來,一系列安全事件層出不窮,波及范圍和資產損失數額也不斷增加。區塊鏈行業的安全問題也愈發引人注目。
DVP,全稱DecentralizedVulnerabilityPlatform(去中心化漏洞平臺),作為全球第一家去中心化匿名眾測平臺,連結區塊鏈廠商、安全公司和白帽子等社區參與者,共筑區塊鏈生態安全。
8月9日晚,PeckShield研發副總吳家志在區塊鏈大本營安全分會群中,為大家分享了一些DVP相關技術知識。
吳家志,美國北卡州立大學計算機博士;PeckShield研發副總;原360C0RETeam創始成員,并擔任團隊負責人;原360超級ROOT產品負責人;內核安全專家。曾發現多個有重大影響的安全漏洞,多次榮獲谷歌、高通、華為等廠商致謝;目前專注于區塊鏈智能合約安全以及數據分析。
以下內容為吳家志在安全分會群中的語音分享實錄,由區塊鏈大本營整理發布,有刪改。希望對你有所啟發。
我從2013年開始研究安全相關的問題,主要面向安卓手機系統,至今已經給廠商曝過上百個跟安卓相關的漏洞。這其中我們碰到過不少問題,比如說,有一些手機廠商可能根本聯系不上,也可能廠商并不覺得這是一個安全問題,或者他不了解你描述的問題、不知道怎么去修,也可能沒有多余的安全人員。
這些問題恰恰體現了漏洞平臺的必要性。一方面,漏洞平臺能夠理解白帽子,包括對問題的描述,和它的危害程度;另一方面,它也可以協助廠商定位問題,配合修復bug,來保證整個系統的安全。
區塊鏈下的安全需求
區塊鏈方向的安全問題,與其他系統安全問題有很大不同。
平常我們經常見到的漏洞,像手機提權或者信息泄漏等,可能會造成你的隱私、照片被泄露。再嚴重一點,比如說手機里的支付寶、微信錢包的密碼被泄露,就會造成金錢上的損失。不過,像支付寶和微信這種中心化的權威機構,還是有辦法可以把你的錢找回來的。
但是在區塊鏈中就是另外一種場景了。比如說你在交易所里面的密碼被人改了,或是偷渡漏洞,你運行的一個全節點意外把控制接口綁定在0.0.0.0而不是localhost,那么別人只要掃到你這個host,而你剛好解鎖了一個賬戶,他就可以把你賬號的錢直接轉走,這就跟錢直接丟了沒什么兩樣。
美聯儲理事夸爾斯:不明白美聯儲為什么要發行央行數字貨幣:美聯儲理事夸爾斯稱:“我不明白美聯儲為什么要發行央行數字貨幣。”(金十)[2021/10/21 20:44:37]
而這種情況下,并沒有中心化的機構可以提出申訴,也沒有辦法把你的錢找回來。所以說,區塊鏈的這種場景中,由安全問題造成的危害極大,因此我們對安全也有著更高的需求。
據我們統計,截至18年6月止,針對數字資產的攻擊,累計已超過一百次,直接造成經濟損失高達三十三億五千萬美元。上千家交易所,流通數字貨幣超過一千六百種,其總值在三千五百億左右。
我們分析,2017年安全事件的迅速增長,可能跟各種代幣的價值提升,對應的交易所大量出現有關。進入2018年后,數字資產相關的安全事件也在以更夸張的速度增加。
而這種針對數字資產的安全事件,比如密碼丟失、偷渡漏洞等,除了直接損失某些代幣或是財產之外,還可能因此影響到市場的行情。比如說之前360找到EOS的史詩級漏洞并公開后,EOS代幣價格隨之瞬間暴跌。更經典的是四月份的美鏈事件,瞬間蒸發幾個億。這些都是這種安全事件的影響。
安全服務現狀
區塊鏈下到底有哪些安全需求呢?這里我們可以總結為以下四個方面:
智能合約審計方面的安全需求公鏈項目代碼安全審計的需求運行公鏈軟件「節點」的加固需求節點滲透測試的需求安全圈子就有一句話:攻擊只需要一個點,防守你要做一個面。現在全球有超過一萬個區塊鏈項目,但是能夠提供安全服務的公司還不到五十家。所以說,要想找到一個公司可以覆蓋所有的攻擊面,把整個防守做起來,其難度可想而知。
供需不平衡:一萬多個區塊鏈項目,卻只有不到五十家公司能夠提供安全服務;且每家公司擅長的點不同。
防守難度大:攻擊可能涉及到的面非常廣,所以防守時務必要做到非常全面的檢測。攻擊只需要一個點,防守你要做一個面。單一的公司來做這件事其實也是非常困難的。
服務單次性:這也是持續性的問題。安全公司給你提供的服務,或者說你購買的安全服務,往往都是單次性的,也就是說,它只幫你檢測一次。比如說廠商要發布某一個版本代碼,安全公司可以針對這版本做一次審計,做一次滲透測試,但并不能預測新的問題會出現在哪里,它可能是一個0day,沒有人知道,但可能在一個月之后出現。等你知道的時候,已經被攻破了。所以這個持續性的問題,我們也希望能夠通過漏洞平臺來解決。
《參考消息》援引外媒文章:為什么比特幣屢創歷史新高:《參考消息》12月28日援引德新社12月26日報道比特幣屢創歷史新高觀點稱,受美國支付公司PayPal推動,數字貨幣重新成為投資者關注焦點,越來越多專業投資者對加密貨幣感興趣,疫情以及相關的政府債務激增也是人們對數字貨幣產生更大興趣的一個原因。此外,該報另外援引阿根廷經濟新聞網觀點稱;1.比特幣有可能成為傳統貨幣的對沖和支撐;2.大量黃金投資者參與;3.比特幣可能一直是泡沫,直到所有人理解它的意義,如果不理解就只會看到泡沫一遍遍重復,4.未來貨幣將是加密貨幣。[2020/12/28 15:54:09]
安全眾測模式
剛剛我們鋪墊了一下整個區塊鏈中各種項目的安全需求,和對應安全服務提供方的情況。在目前整個生態里面正處于一個比較不平衡的狀態。所以我們認為,其實區塊鏈的項目非常適合一種模式,叫做安全眾測模式。
簡單來說,這個模式其實就是把你的項目提交到一個平臺上面懸賞漏洞,讓全球的白帽子或者說是安全工程師、安全專家去找到問題,來獲得對應的獎勵。
首先它具有人數優勢。在平臺上會有很多人同時幫你測產品,相比單一公司的某個團隊在人數上肯定具有優勢。并且,因為他是一個并發的狀態,全球的白帽可能都在這平臺上,通過平臺可以二十四小時多人同時幫你檢查這些問題。不同的人擅長的點也不一樣,平臺上作出的漏洞報告覆蓋的面就會很廣。
那對于廠商項目方來說它的好處是什么呢?
一是節省費用。在這種漏洞平臺上基本不用花錢請人幫忙測試。因為測試本身是不用付錢的。而是要找到問題之后,才可能需要給予對應的獎勵。
二是持續性。因為你可以長期懸賞你的某些產品,比如在某個網站,如果找到某個等級的漏洞,能夠有多少的獎勵,平臺上的白帽將會長期監控這個網站。
這樣的平臺其實不是DVP發明的。像這種第三方眾測平臺,其實以前就有。國外比較有名的是HackerOne。國內也有補天,烏云這樣的平臺。
前面提到廠商可以通過這種懸賞,漏洞獎勵計劃,讓自己的產品更加安全,這個也不是新的發明的。之前像facebook,microsoft,google,還有像以太坊,EOS這樣的區塊鏈項目其實也都使用這種懸賞的方式,讓大家找到問題,然后給予獎勵。
到這里我們就講完了「眾測平臺」大體的一個概念,以及為什么我們說,尤其是區塊鏈項目,特別需要這樣的平臺。
聲音 | Weiss Ratings:比特幣的使用與傳統金融相比“微不足道”并不能代表什么:加密貨幣評級機構Weiss Ratings發推表示:國會報告稱,比特幣的使用與傳統金融相比“微不足道”。與20世紀90年代初的紙質報紙相比,互聯網的普及程度微乎其微。這并不意味著任何事情,加密正向你而來。 此前報道,國會研究處(CRS)5月發布報告稱,與傳統金融系統相比,其交易數量“微不足道”。[2019/5/30]
DVP平臺
接下來我們介紹一下,DVP到底是一個什么樣的東西。我們的DVP平臺,到底跟以前的這種漏洞平臺或者眾測平臺有什么不同呢?
目的
我們的DVP平臺想要解決兩個問題,一是匿名化的問題,二是獎勵發放的問題。
因為很多白帽子其實并不愿意透露自己的個人信息。但是在傳統的平臺上,你可能會面臨這樣一個情況,比如說某個廠商要給你獎勵,很有可能是法幣。然后你總要提供某一個銀行的賬號,由此也可以追溯到你的個人信息。
但在區塊鏈場景下,這個事情就很容易解決了。比如說,在我們DVP平臺上,每一個白帽子就是一個地址。廠商給的獎勵也可以用數字資產的方式直接發放。也就是說,白帽子可以做到匿名提交,并且這個獎勵的授予也是以匿名方式進行的。
運作流程
這個平臺的運作流程,大致可以分成五個階段。
廠商發布某個項目的懸賞標準和它對應的公鑰。比如說找到什么等級的問題給多少獎金,這些需要先公告出來。
白帽找到問題之后,提交漏洞信息,并使用廠商的公鑰做加密。所以包括漏洞細節,以及白帽子認定的漏洞級別等,都會以加密的方式提交給廠商。
廠商再通過只有他擁有的私鑰獲得詳情,進行漏洞判定。我們希望廠商能夠自行判定,就可以直接以token的方式獎勵白帽。
這些獎勵信息,也就是所有的轉賬記錄我們都會直接公示在網上。可以直接用類似etherscan這樣的瀏覽器看到所有信息。我們現在這個階段,發放獎勵的記錄也是這樣公示的。
存在爭議時,仲裁節點通過投票的方式做出裁定。
平臺組成
整個平臺里面有一個很特別的點,也就是所謂的仲裁節點。我們現在的計劃是,先由一些比較知名的安全公司來擔任仲裁節點。比如這里面會有PeckShield,會有白帽匯,慢霧,知道創宇,360這些公司,來幫我們更有效的做出仲裁。
動態 | FCA調查:73%的英國人不知道加密貨幣是什么:英國金融市場行為監管局(FCA)今日發布了一項針對數字貨幣投資者的調查,73%接受調查的英國人不知道“加密貨幣”是什么,在購買了數字貨幣的人中有一半投資了200英鎊(約1766元)以下的資金。另外超過50%的投資者曾投資了BTC,34%的人投資了ETH。[2019/3/7]
所以你可以理解為,整個DVP平臺上有四個角色,一個是發現問題的白帽子,一個是懸賞項目的廠商,還有仲裁節點和普通節點。
我們要做到整個信息在鏈上是不可篡改的,就必然需要一些節點來幫我們完成這件事情,也就是打包這些信息上鏈。
打個比方,這些普通節點就好像以太坊里面的全節點。它可以接收附近的廣播,然后寫入并打包成塊,假設他最終能夠出塊,也就能夠上到以太坊的公鏈上。
產品規劃
我們剛剛講了一下DVP的概念,接下來會講一下目前DVP平臺的產品規劃。
第一階段
現在是在第一個階段,也就是從18年7月到明年的七月這段期間。這個階段里面我們希望做出一個類似傳統模式的中心化的平臺,但是因為我們最終要以區塊鏈的模式運行,所以我們現在只接收跟區塊鏈相關的各種項目。
這個階段的懸賞都是通過以太幣ETH的形式。注冊的白帽,就需要提供一個ETH的錢包地址來接收可能的獎賞,轉賬的記錄都會在平臺的網站上公示出來,也就是說,都是可以查的。
第二階段
到明年7月的時候,我們會發布自己的主鏈。DVP平臺會開始以去中心化的方式運營。首先是以非對稱加密的模式,確保信息不會泄露。甚至我們平臺方在很大的概率下可能都不知道這些漏洞的信息。
第三階段
主鏈上線約半年之后,按計劃是在2020年年初,我們希望整個漏洞平臺可以接收所有的漏洞。希望DVP平臺可以取代,比如說,HackerOne,成為一個更好的安全眾測平臺模式。這不管是對白帽也好,廠商也好,甚至對用戶其實都會有很大的幫助。
我們希望任何項目都能夠在這個平臺上懸賞他們的產品,而且平臺是以區塊鏈的模式運營。
截至到前天晚上為止,我們總共收到588個漏洞,其中有207個是高危漏洞,115個中危漏洞,266個低危漏洞。里面涉及的項目包括智能合約,知名的公鏈,還有很大一部分都是來自交易所,共計307家廠商。
聲音 | Joseph Young:價格大跌或大漲不意味著什么 不應感到意外:加密貨幣分析師Joseph Young發推稱,在過去的幾個月里,加密市場的趨勢沒有任何改變。自去年11月以來,加密貨幣一直表現出較低的價格波動幅度。因此出現大幅下跌或上漲也不應感到意外,這并不意味著什么。[2019/1/10]
我們目前已經發了188個ETH作為獎金,這些漏洞的分布,有44%——將近一半都是設計上的缺陷,邏輯錯誤等。
獎勵機制
我們會以代幣的方式,來實現廠商對白帽的獎勵。
目前我們使用的是DVP平臺幣。廠商在入駐平臺前,要先存入五萬美金等值的平臺幣作為保證金。通過這個平臺幣來實現給白帽的獎勵。
值得說明的是,對于每一筆支付給白帽的DVP,我們將從中收回10%形成基金,然后在每個自然月的最后一天零點進行結算。其中,該基金的80%將回饋給所有DVP的注冊用戶,也就是白帽。另外的20%會再次獎勵當月的Top100白帽用戶。我們目的其實很簡單,就是希望更多的白帽來參與這個平臺。
這樣我們就保證了整個基金的透明化。其實現在在DVP平臺的網站上也能看到我們的獎勵各自對應到的漏洞,對應的白帽ID。這些錢包地址都是公開的。
Q&A環節:
郭文生|成都鏈安科技:報的第三方的漏洞,如何聯系對方并保證漏洞在聯系過程中對網站保密?
吳家志:我們講到我們的這個DVP平臺其實是分成三個發展的階段。
第一個階段是做一個中心化的平臺。在這個階段之內,其實是類似于以前的補天平臺。也就是說,還是通過中心化的一群運營人員去審核這些問題,然后再通知廠商。
到了第二個階段,也就是明年的這時候,我們會以區塊鏈的方式來運營這個平臺。簡單來說,廠商在入駐平臺的時候,我們會審核他的真實性,再給他一對加密的公鑰跟私鑰,也就是使用非對稱加密的方式。
然后白帽子會用使用廠商的公鑰把漏洞信息做加密。加密完之后,這些信息就會上到公鏈上去。
所以上到公鏈的信息,第一要保證他是不可篡改的。并且由于這種非對稱加密,只有廠商可以用它的私鑰去把這個信息解開。也就是說,廠商是唯一能夠得到這個信息的人。我們就是通過這種機制來保證漏洞在聯系的過程中對網站、對DVP平臺是保密的。
郭文生|成都鏈安科技:誰來判斷是否是真的漏洞或者是高危的級別?
吳家志:在第一個階段,我們平臺方當然還是會加入去判斷。到了第二個階段的話,我們希望廠商跟白帽之間可以直接達成一個協議,讓他們自己評定是什么樣的級別,只要雙方同意就OK了。
而出現爭議的時候,我們會引入一個仲裁機制。也就是說,在我們DVP最終公鏈上面,會有多個仲裁節點,例如是一百個仲裁節點,然后在出現爭議的時候會由廠商提交仲裁的需求,然后仲裁節點以投票的方式來決定仲裁的結果。
我們覺得這是一個區塊鏈應有的一種運作方式。所以我們不會說某一個仲裁節點或者廠商能夠判定這個漏洞的真偽。這種比較有爭議的事,實際上會以投票機制來做。
郭文生|成都鏈安科技:系統全面安全審計如何保證?
吳家志:這個事情我覺得是很難保證的。因為你只能長期懸賞某一個項目,在這個平臺上,如果你能持續提供獎金的話,那也持續會有人來幫你檢測問題、提交漏洞報告,但要說“保證”,其實我覺得是很困難的。
王啟澤|啟明星辰|秘書:DVP如何做到漏洞不被泄漏?
吳家志:這個問題剛剛我們講過。以現在這個階段,其實我們是做不到的,因為我們現在還是一個中心化的平臺。所以必然會有一群人在平臺運營方要審核這些漏洞——既然是人,所以還是有泄露的可能性。
到了第二個階段,也就是非對稱加密后上鏈的這種機制,我們才可以確保這些漏洞不會泄露。
這個快訊是我們剛才弄好的,是我們最近收到的一些比較通用型的漏洞,會涉及到好多的交易所。我們知道很多交易所代碼是來自同樣的廠商,所以會變成一個通殺的漏洞。
王啟澤|啟明星辰|秘書:白帽子的獎金會不會隨著幣值波動而波動?
吳家志:對。白帽的獎金確實會隨著幣值波動而波動。畢竟這個DVP的平臺幣是會上交易所的,所以它會根據市場的行情有所波動。
郭文生|成都鏈安科技:為什么不直接使用以太坊做個DAPP解決這個問題呢?
吳家志:這個問題問的很好。我們其實現在還在這個DVP公鏈的設計階段。確實也有可能直接復用現有的公鏈機制來做。
郭文生|成都鏈安科技:直接用ETH付費?吳家志:對,但是ETH其實也存在市場波動的問題,所以應該這個問題是解決不了。
Heige|knownsec:漏洞評估怎么去中心化?
吳家志:在DVP的公鏈上,白帽跟廠商之間的協調存在爭議時,會提交仲裁。仲裁節點可能是幾十甚至上百家這種安全公司,可以提交他們的仲裁結果,最終會形成一個共識,來完成這個評估。
Heige|knownsec:廠商很多時候沒有能力。
郭文生|成都鏈安科技:相當于DVP建立了一個白帽和廠家之間的VPN:)
吳家志:對,所以這些仲裁節點,我們可能會請安全公司來擔任,來協助這些廠商。如果他沒有能力的話,也直接可以提出仲裁。
Heige|knownsec:仲裁,也是中心化。
郭文生|成都鏈安科技:可以把所有安全公司加入到這個平臺,但主要是激勵問題:)
吳家志:對。其實我們有在設計這種經濟模型。因為仲裁節點也要付出他的心血去做,去看這些報告,然后才能做出仲裁,所以我們會有一個經濟模型去獎勵這些仲裁節點。
郭文生|成都鏈安科技:激勵少了,仲裁節點收益少是個問題:)
Heige|knownsec:不是獎勵,而是要考慮風險。這個還是中心化,跟去中心化還是背離的。
王啟澤|啟明星辰|秘書:仲裁節點看報告也可能會泄漏問題。
郭文生|成都鏈安科技:大量的假漏洞報告,浪費廠家或仲裁節點的精力,是否給激勵?
吳家志:確實是個問題,我們后面會把這些問題考慮進去。
Heige|knownsec:原則上,你的仲裁節點越多,風險越大。
吳家志:是的,從信息泄漏的角度可以這樣理解。
Heige|knownsec:節點越多、風險越大,這個跟去中心化是一個悖論。
吳家志:我相信廠商的能力也能慢慢起來的,仲裁的情況能夠少一點。或許廠商擔心信息泄露,那也可能就不入駐平臺了。用腳選擇,也是有可能的。
郭文生|成都鏈安科技:先找公司做全面審計,然后利用DVP做補充和持續漏洞發現,還是可以考慮的,然后廠家發現漏洞后找審計公司進行評估。
Heige|knownsec:廠商能力ok,評估的標準是不一樣的,怎么實現大家對“礦”的價值認定?
吳家志:是的。成熟的項目方肯定會先做一輪審計的。
郭文生|成都鏈安科技:個人覺得單純靠一種方案解決所有問題肯定是不現實的。
吳家志:那是廠商跟白帽之間的協議。
Heige|knownsec:漏洞及礦,這個概念最大的問題,是怎么確認你的礦,及你礦的價值?
吳家志:我們當然也會提供一些參考價格。
Heige|knownsec:各家評判,沒有唯一的共識標準。
吳家志:確實是,我們只提供通道,讓他們協調。這方面我想做一個反饋機制進去,例如存在某個廠商對于漏洞的評價偏離平均值太多,直接提交仲裁。
郭文生|成都鏈安科技:完全去中心和中心化現在大家實際上都沒有想好,很多都是需要根據實際情況進行折中的:)
吳家志:這方面確實還沒設計好。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
鏈聞看天下
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626996.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
日本國家警局采用新軟件跟蹤加密貨幣交易
火星財經APP一線報道,加密交易所Bitfinex與旗下去中心化交易所Ethfinex推出IEO平臺Tokinex,并將于5月23日公布首期IEO項目,6月13日開啟項目代幣眾籌.
1900/1/1 0:00:00昨天的區塊生產者投票結果顯示,EOS主網依然無法正式上線。BP將會在24小時之后再次組織一場投票。昨天的這場BP投票過后,期待已久的EOS主網依然無法上線.
1900/1/1 0:00:00尊敬的BITKER用戶:BITKER將于2019年5月20日15點正式開放VOOM/USDT和VOOM/BTC交易對。充幣已經開啟,提幣將在5月21日開啟.
1900/1/1 0:00:00譯者:玩幣族Sally 黑客們已經通過一個Drupal內容管理系統高危漏洞向數百個運行的網站植入了惡意軟件,被用于挖掘_數字貨幣_門羅幣(monero).
1900/1/1 0:00:00據《華爾街日報》周五報道,根據調查,在46家加密貨幣交易所中,涉及犯罪活動的資金規模可能達到近9000萬美元.
1900/1/1 0:00:00火星財經APP一線報道,OKEx平臺BSV季度合約價格最高達138.48美元,在2小時內出現大量爆倉單.
1900/1/1 0:00:00