比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 狗狗幣 > Info

區塊鏈:專訪蔣旭憲:沒有久攻不破的公鏈 只有尚未發現的漏洞

Author:

Time:1900/1/1 0:00:00

文︱艾特

核財經APP1月7日報道區塊鏈向我們許諾,以分布式和防篡改的方式存儲和交換有價值的信息。

而歷史提醒我們,新生事物初期的野蠻生長,總是伴隨著重大安全教訓。縱觀整個2018年,出現了BTG遭雙花攻擊、BEC智能合約漏洞、EOS“史詩級”漏洞、以太坊“致命報文”、BTC超發漏洞等重大安全事件。事實證明,那一行行的代碼,尚不足以保護人類社會已岌岌可危的信任。

“而面對黑客肆虐,資產被盜,公鏈與DApp應用在被攻破之前,似乎永遠不知道它是否安全。”前360首席科學家、PeckShield創始人兼CEO蔣旭憲博士表示,區塊鏈1.0時代大家對技術本身認知還欠缺成熟,存在雙花攻擊風險以及私鑰被盜的問題;2.0時代隨著以太坊平臺和大量智能合約的涌現,出現了溢出和阻塞等安全問題;3.0時代隨著EOS和TRON等公鏈的興起,一些追求高并發TPS的平臺開始出現,在落地一些實時性互動的競猜類應用時,出現了隨機數和交易回滾問題等等。

蔣旭憲認為,公鏈冒出的安全問題,與區塊鏈獨特屬性相關,特別是在幣的承載和幣的轉移方法上面,成了黑客的天堂。而且,沒有久攻不破的公鏈,只有尚未發現的漏洞。

他強調,區塊鏈領域的安全由來已久,從區塊鏈技術的發展來看,每一個系統以及相關的生態都是非常龐大的,其技術層面也是非常復雜的,把多個技術融合在一起,本身就是很困難的事。安全領域有一個所謂的木桶理論,最短的木板決定了你的安全高度。另外,在用戶環節體驗設計上,目前來看還有相當高的門檻。用戶使用上如果不習慣,就容易犯各種錯誤。

Tanssi開發商Moondance Labs完成300萬美元種子輪融資,Arrington Capital領投:5月23日消息,Tanssi 應用鏈基礎設施協議的開發公司 Moondance Labs 宣布完成 300 萬美元的種子輪融資。該輪融資由專注于基于區塊鏈的數字資產管理公司Arrington Capital領投,Borderless Capital、HashKey Capital、D1 Ventures、Hypersphere、C2 Ventures和Jsquare參投。

Tanssi 網絡是一種應用鏈基礎設施協議,提供無需許可的基礎設施工具和服務,使應用鏈部署安全、高效且對開發人員友好。此外,Tanssi 協議受益于 Polkadot 中繼鏈的共享安全性和本機互操作性的額外優勢。Tanssi 測試網絡預計將于今年晚些時候啟動,主網將于 2024 年上線。[2023/5/24 15:21:41]

區塊鏈生態安全亟待加強

核財經:從傳統互聯網安全換道區塊鏈安全領域,您發現了什么?為什么要做一家區塊鏈安全公司?

蔣旭憲:這反映了我個人的創業思考歷程。關于創業的思考由來已久,但很遺憾在國外高校期間,完美的錯過了國內的PC互聯網階段。在360期間我主要負責移動端的核心安全能力,算是參與和親身體會了移動互聯網的浪潮。

2017年下半年的時候,區塊鏈行業開始熱起來,那時候也是看了很多白皮書,不過市場上更多的是炒幣,感覺這個做法根本不符合我的性格,也沒有太大的興趣。相反,當我更多的分析幾大公鏈的底層代碼,再結合自己個人的安全背景以及攻防的思維邏輯上去研究,這個層面一下子就吸引了我。

數據:越南加密貨幣持有者超過1660萬,在東盟中僅次于泰國:3月16日消息,據Coin98 Insights近期發布的《2022年越南加密貨幣市場報告》,目前越南約有200個區塊鏈項目在運營,其中游戲和元宇宙項目占比28.8%、DeFi占比26.0%、NFT占比12.4%、基礎設施占比11.3%、Web3占比5.1%。越南擁有超過1660萬加密貨幣持有者,在東盟中僅次于泰國,其中31%的人持有BTC;世界排名前200的區塊鏈公司中有七家由越南人創立。(viet-jo.com)[2023/3/16 13:08:39]

看進去之后,覺得區塊鏈技術確實是一大技術變革,可能會是下一代的互聯網核心技術,預計會重構目前的很多行業。同時覺得區塊鏈根本上解決的是信任問題,安全又成了里面最核心的基石。如果安全沒做好,信任問題根本無從談起。所以,我決定Allin。

核財經:您認為區塊鏈領域面臨的安全問題都有哪些?目前,在區塊鏈行業做安全服務的難點和挑戰有哪些?

蔣旭憲:從整個區塊鏈行業的生態來說,我認為,里面的各個環節都碰到了區塊鏈自身獨特的安全問題。

我們可以分為橫向和縱向來看。橫向來說,有交易所、錢包、礦池、合約、DAPP等安全問題;縱向來看,有基礎設施、數據層、網絡層、共識層、激勵層、合約層、業務層等方面的安全問題。

在各個維度上,區塊鏈領域面臨的安全服務與挑戰也是前所未有的。這里我就不展開說了,但需要特別指出的是,目前區塊鏈上攻擊的犯罪成本極低,這會間接放縱安全事件的頻發,而安全事件往往是突發的、在區塊鏈上造成的資產損失和影響也是不可逆的。另外,黑客玩的是實打實的數字資產,回報率比傳統互聯網高很多,而懲罰的技術門檻頗高,力度也是明顯不足。從另外一個角度看,比較遺憾的是,目前區塊鏈開發者的安全意識和基礎技能還是相對薄弱,不少底層合約代碼存在較大的同質性,一旦出現問題就會有連帶威脅。

美SEC專員:建議為包括加密資產的所有資產類別建立連貫一致的法律框架:金色財經報道,美國證券交易委員會 (SEC) 專員Hester Peirce呼吁建立“適用于所有資產類別的連貫一致的法律框架”,包括加密資產。她警告說,美國證券交易委員會目前以執法為中心的方法將需要400年的時間來檢查所有據稱是證券的加密代幣。

Peirce表示:“我們必須制定適用于所有資產類別的連貫一致的法律框架。我們對法律的不精確適用為加密項目和購買者造成了任意和破壞性的結果。當我們堅持以這種方式適用證券法時,代幣的二級購買者往往會持有一袋他們無法交易或使用的代幣,因為SEC需要符合證券法的特殊處理。這些要求中的許多都是在嚴格的責任標準下執行的,因此透明度至關重要。”[2023/1/28 11:33:48]

核財經:今年新生了不少做區塊鏈安全服務的公司,這個賽道的整體生態如何?行業寒冬里,您是如何思考在這一領域一展所長的?

蔣旭憲:區塊鏈行業目前還處在早期,區塊鏈安全亦是如此。為此,現在說整體生態還為時尚早,不過可以看出不同安全公司的切入點,大概有以下幾種:一是鏈上數據分析和安全預警;二是形式化驗證和機器證明;三是安全眾測和威脅情報共享;四是傳統互聯網的安全業務轉型。當然,未來還會有新的安全方向和公司不停的冒出來,包括數字資產的反洗錢。

隨著區塊鏈行業寒冬的到來,也會有不少安全公司被淘汰或者選擇轉型。我認為要想在安全服務這個賽道掌握核心競爭優勢,關鍵要看:一是能否實時感知行業生態各個環節的運轉動態,敏銳洞察可能出現的安全風險狀況,并能準確的提供必要的預警和防范;二是能否切實解決生態中存在的安全問題,對行業生態的合作伙伴提供有感知的,且愿意付費的產品和服務。

Binance發布LUNC網絡上LUNC及LUNA稅費燃燒機制更新說明:9月16日消息,Binance發布LUNC網絡上LUNC及LUNA稅費燃燒機制更新說明。

根據Binance之前公告,LUNC和USTC1.2%的稅費燃燒預計將于Terra Classic區塊高度9,475,200或大約2022年09月22日06:00(東八區時間)上線。

需闡明,一旦燃燒稅生效,從用戶充值地址到幣安熱錢包的LUNC和USTC充值將被歸集,并由Terra Classic網絡收取1.2%的燃燒稅費。Binance會將1.2%的燃燒稅費納入LUNC和USTC的提現手續費中。不進行提現的用戶不會被收取此費用。Binance將相應調整LUNC和USTC的最低提現金額、最高提現金額和提現手續費。[2022/9/16 7:01:08]

正視公鏈安全漏洞問題

核財經:從1.0的比特幣,到2.0的以太坊,再到3.0的百鏈競發時代,公鏈成了黑客攻擊的所謂天堂。那么,在您看來公鏈的安全問題主要有哪些?

蔣旭憲:區塊鏈1.0時代大家對技術本身認知還欠缺成熟,存在雙花攻擊風險以及私鑰被盜的問題;2.0時代隨著以太坊平臺和大量智能合約的涌現,出現了溢出和阻塞等安全問題;3.0時代隨著EOS和TRON等公鏈的興起,一些追求高并發TPS的平臺開始出現,在落地一些實時性互動的競猜類應用時,出現了隨機數和交易回滾問題等問題。

總之,隨著區塊鏈生態的持續發展和逐漸繁榮,一些安全問題也會隨之升級,并和業務場景息息相關,黑客實施攻擊的手段和形式也趨于多樣化。但根本上來說,對公鏈的核心要求還是需要提供高可靠性、低延遲、和高吞吐量的保障,可以支撐成千上萬的各類區塊鏈DApp應用。

7月新注冊ENS域名數超37萬,創歷史新高:8月1日消息,據DuneAnalytics的數據顯示,7月新注冊ENS域名數為378,442個,超過此前5月創下的最高記錄,365,652個,創歷史新高。[2022/8/1 2:51:05]

核財經:2018年里,我印象中有兩起重大安全事件,即5月29日360爆出EOS“史詩級”漏洞和6月15日PeckShield宣布發現以太坊上一個高危安全漏洞,可導致當前60%的以太坊節點瞬間崩潰。您如何看待這些被披露的安全問題的?

蔣旭憲:360披露的“史詩級”漏洞問題,從嚴謹安全的層面可能會有一定程度的爭議,尤其是“史詩級”的媒體渲染,讓不明真相的人感到了恐慌。當時的爭議在于,安全公司披露和項目方出現了一些摩擦,造成了廣泛的行業影響。不過從另一個角度看,當時360選擇在EOS主網上線前披露漏洞,確實讓大家認識到區塊鏈底層公鏈存在的嚴重安全問題。

PeckShield發現以太坊上的一個高危安全漏洞,也就是“致命報文”(EthereumPacketofDeath—EPoD)。EPoD可導致60%以上節點瞬間崩潰的問題,其實在6月初就已經發現并和以太坊基金會取得聯系,協助其展開修復,真正披露是在6月底,確認該漏洞已經徹底修復后才對外披露的。

我認為,對于一個并未產生危害的嚴重漏洞,媒體披露的角度會過于夸大其危害性,從而警醒媒體受眾加強安全認識,這無可厚非。但作為安全公司,我們可以盡量確保安全問題已經修復完之后再在合適時機進行披露,避免造成不必要的負面影響。

核財經:2018年稱之為公鏈元年,您如何評價過去一年公鏈項目的安全問題的?

蔣旭憲:其實,回顧整個2018年公鏈安全問題來看,在生態的各個環節都出現了比較重大的安全事件,包括BTC、ETH、EOS、BCH等。這些公鏈上的安全問題從某種程度上可以完全摧毀整個公鏈。我認為,這里面影響最大的還是BTC的超發漏洞。雖然大部分媒體可能并不知曉這個漏洞的細節,該漏洞也沒引起廣泛的媒體傳播,這是因為在這個BTC超發漏洞的處理上,包括研究人員的負責任披露、BTC核心團隊的應急響應、最后相關的媒體報道,都是非常專業和值得稱道的。但我們知曉這個漏洞的時候還是嚇了一跳,也在內部認為這是2018年影響最大的漏洞,即使沒有廣泛的媒體報道。

每個公鏈漏洞都有它的特殊性,比如說以太坊的“致命報文”、EOS節點的“遠程代碼執行”等等這些安全問題,我認為都在各自公鏈上有它的獨特性,但也有某種共通性。另外任一公鏈層面的安全漏洞,因為會影響到上面運行的所有DApp應用,所以他們的重要性必須給予足夠的重視和關注。

DApp被薅公鏈亦成殤

核財經:公鏈的核心價值是應用,如您所說,公鏈層面的安全能影響上面所有的應用。為此,其自身應該采取哪些措施,以保護DApp應用的安全性?

蔣旭憲:這個問題我們內部有不少討論。2018年暑假的時候,Fomo3D游戲火爆,當時攻擊者做了一個阻塞攻擊之后,把獎金池里面的錢全取走了。類似的攻擊也出現在了其它Fomo3D類游戲,比如LastWin。這種阻塞攻擊利用的就是公鏈本身設計的某一個特定環節。而且修復這些漏洞的成本也是很高。本質上說,2017年底的以太貓和2018年中的Fomo3D游戲,暴露了底層以太坊公鏈技術存在的不足,也就是TPS和響應時間等方面都不夠理想。從保護DApp的角度看,期待以太坊公鏈2.0以及其它競爭公鏈在自身設計上,應該有一種機制能夠防止這些所謂的阻塞攻擊。

在EOS的公鏈,為了有效支持DApp應用,有一個有趣的設計,那就是延遲交易。這一點上,我覺得EOS還是值得贊賞的。通過延遲交易,DApp可以用一個未來的數據來充當隨機數,這樣就能夠形成一個比較可靠的隨機數生成,保證了誰也沒法預測。這個也是目前各種EOS競猜類DApp游戲當中,大部分都采用的隨機數機制。

核財經:上個月,BetDice因交易漏洞損失近20萬EOS。在EOS上,盜幣事件屢被詬病,您對此有過哪些關注?為何EOS公鏈上的盜幣事件如此頻發?

蔣旭憲:這確實是個很嚴重的問題。我們內部梳理過EOS上線以來發生的所有安全事件,包括背后的漏洞原理分析、攻擊流程的還原、攻擊者的定位、獲利情況、和最后不正當獲利的資金流向等。分析其過程:一是有助于我們更好理解當前行業的現狀;二是理解攻擊者的能力,有助于我們更好去檢測、阻截這些攻擊者。也只有這樣,我們才能更好的保護DApp開發者和用戶。

但為什么現在EOS盜幣事件這么頻繁?我認為,一是EOS在某些方面的設計,雖然使得這些DApp的開發門檻相對較低,能吸引更多的開發者進來,但由于,它確實是一種新鮮的編程和運行環境,開發者對其認知程度,包括相關的安全考量和影響,我認為還需要時間沉淀。目前的現狀是,在某些開發者和開發環節上確實難免會出現疏漏,在單點上也是容易被攻擊者利用和攻破。

現在EOS公鏈上,更多的是競猜類游戲,而競猜類游戲又特別容易匯聚資產。有資產之后,資產會對黑客有更大的吸引力。攻擊者一進來,就造成目前看到盜幣新聞比較頻發的問題。必須承認,目前的攻防現狀上,攻擊者是走在安全防守者的前面,他們甚至比防守者更快定位到哪些有安全漏洞或者安全問題的DApp。

最后,我們發現,在梳理攻擊者最終所得的贓款流向的時候,特別是努力幫助開發者追回資金的時候,我們發現黑客的犯罪成本很低,因為目前適用的法律法規還不完善。在EOS上,雖然有ECAF的社區治理機制,但在時間的響應、流程上,我認為還有很大的空間可以改善。

核財經:現在,許多基于公鏈開發的DApp項目方都會擔心會安全問題。從安全角度來講,你認為DApp項目方應該如何提高自身的安全系數?

蔣旭憲:很多開發者在開發相關DApp的時候,或許因為沿襲了以前在傳統互聯網或移動互聯網的開發模式,為了盡快推動業務上線,在安全方面沒有第一時間重視,在安全應急響應流程上也是缺失。

我一直強調在區塊鏈行業,安全一定要先行,而且需要在業務里面第一時間考慮進去。開發者在設計DApp的時候,在整體架構上就需要有安全意識和相應的安全模塊。比如在開始設計合約的時候,如果出現了安全問題,應該會有怎樣的應急流程和具體的響應機制。我認為好多DApp開發者根本就沒思考過這個問題。一旦出了問題,他們可能就懵了。另外,DApp開發者術業有專攻,建議項目方和專業的安全團隊建立有效地互動,包括合約上線之前的審計、遭遇攻擊事件時的應急響應等等。最后盡量利用社區的力量,用社區的經驗避免自己去踩同行以前踩過的坑。同時,也希望把發現的安全問題盡量回饋給社區,讓社區都知道有類似的問題。我接觸過很多類似的安全事件,別人踩的坑下一個項目方又去踩了一次,這讓DApp開發者更加傷痕累累,我認為這個成本是有點高的,也沒有必要。

Tags:區塊鏈EOS以太坊區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢EOS幣是什么幣以太坊幣是什么幣

狗狗幣
比特幣:什么是比特幣二元期權?| 核財經百科

比特幣二元期權,如同比特幣期貨一樣,是一種以比特幣為基礎的金融工具。比特幣二元期權是一個復合詞語,只要理解二元期權是什么,那么比特幣二元期權自然也就懂了.

1900/1/1 0:00:00
以太坊:Starknet V0.12.0 預計將于 7 月 12 日在主網上線

關鍵點: 以太坊第2層網絡Starknet于7月4日在Georli測試網絡上啟動,對Starknetv0.12.0進行投票。經過7月11日的凍結期后,預計將于7月12日部署到主網.

1900/1/1 0:00:00
加密貨幣:印度即將推出比特幣監管新政策 阻止非法融資等行為

在急劇上升至接近20000美元之后,比特幣蜜月期似乎戛然而止。仿佛如黑暗騎士般,比特幣價格又回到了9000美元.

1900/1/1 0:00:00
區塊鏈:華爾街巨頭即將進入加密貨幣:2019年區塊鏈將回歸常態

《核財經》App編譯麻省理工學院技術評論今天(1月2日)發表了一篇文章,認為2019年是區塊鏈變得正常化的一年。《技術評論》是一份獨立的,由美國麻省理工學院(MIT)全資擁有的雜志.

1900/1/1 0:00:00
比特幣:解決了雙花問題 比特幣為我們帶來了什么?

我還記得第一次讀到比特幣白皮書時候的情景,當時中本聰發布白皮書也只過了幾個星期。真正引起我注意的是這句話:“我們在此提出一種解決方案,使現金系統在點對點的環境下運行,并防止雙重支付問題.

1900/1/1 0:00:00
數字資產:核財經獨家|于魯平:數字資產的風險邏輯與監管趨勢的界限厘清

核財經App6月5日報道日前舉行的以太坊技術及應用大會上,中國人民大學法學博士、中央財經大學博士后于魯平認為.

1900/1/1 0:00:00
ads