谨慎对待安全问题
整理言一
7月24日,《耳朵财经》在区块链长征华东社群完成了第九期区块链长征线上版活动,本次线上活动邀请到了零时科技CEO邓永凯、灯火资本董事长张宏彬、KcashCEO祝雪娇三位嘉宾与耳朵财经记者小玲儿共同进行了《黑客频繁发动攻击有恃无恐,区块链安全防控如何乘风破浪?》的圆桌对话。 以下是对话内容: 问题一:最近刚刚过去的黑客劫持众多Twitter上的名人和知名公司账号,发起比特币骗局,影响挺大。在此之前,圈内较为知名的有Balancer和dForce项目等都被黑客攻击,为什么黑客会如此频繁发动攻击,他们有恃无恐的原因有哪些? 提到黑客攻击,大家比较亢奋。我们跟黑客对抗了十年之久,目前也还在继续。不知道大家对Twitter大V账号被盗事件有没有继续跟踪,这个事情其实比较严重。 内部调查显示是因为一个黑客跟Twitter内部的员工进行了社会工程学攻击,社会工程学攻击不会通过PC、手机等设备网络去发动攻击,而是直接买通内部的工作人员,导致黑客控制了推特内部平台的一些权限,再通过内部系统,劫持了相关的单位账号。 黑客的攻击,在网络实践中从未停止过,平常人无法感知。但我们的威胁情报平台每周都能监控到几十件区块链安全事故,这在区块链行业中也只是冰山一角,还有大量的安全攻击事件都隐藏在一个黑暗的世界里。 黑客发动攻击的方法和途径有很多,攻击目的为获取利益,例如黑客控制系统权限、获取敏感数据、盗走资产。之所以他们有恃无恐,首先在于高收益,再就是区块链的开放性、匿名性以及无监管等因素,导致黑客可以为所欲为。 在传统互联网中,中国有网络安全法,监管较严。一些企业发动攻击需要受到相应处罚,或者一些黑客被追溯到,也要受法律制裁。 虽然如此,但黑客攻击仍然未停止,而且还越发猖狂。在区块链行业中,黑客发动攻击的较低,比如说VETH攻击事件,整个过程黑客只花了0.9ETH,约200美元。黑客用200美元获利90万美元,而且在整个过程中黑客都是使用加密货币。专业的黑客很少留下痕迹,难以追溯。 数字货币行业能够获得今天的地位,有很大一部分原因在于能规避很多监管。 行业有规避监管的基因,但同时也会付出一些代价。项目难免会出现漏洞问题。有时候可能不是智能合约本身的漏洞,更多的是一些机制上的漏洞,由于项目经济模型模糊不清而导致被薅羊毛。 大家也不要觉得黑客真的是有恃无恐,很多黑客发动攻击完成转账之后不会随便动这些资产。因为黑客最终变现肯定要通过交易所或者场外交易,但区块链本身是透明的,相关方在透明化的世界中多多少少能寻到一些蛛丝马迹。 现在各个国家已经有很多方法可以监控区块链系统了,这也进一步威慑了黑客行为。 现在黑客已经总结了一套完整的洗钱路径,但是也不能说这个过程当中不会留下一点痕迹。比如黑客采取了VPN、匿名币类似做法的时候,整个路径基本上是追寻不到的,因为整个环节会涉及到全球各地区块链企业。 黑客通过专业匿名币(门罗币、达世币)的方式才是其有恃无恐的很大原因,钱最终可以洗干净。这几年各种链开发的新功能还没有做到完整的抗攻击性。这一点才是整个行业需要进一步发展的一个原因。 现在整个行业还处在非常早期的阶段,每写一行代码,其实都存在极大的安全性问题。但是我们始终是认为技术在区块链世界里面是一定有大展宏图的机会的,安全性一定得做好,不能一味的讲究模式,我们在做完全去中心化的东西的时候都会特别的谨慎,因为我们毕竟做钱包的底层的所有代码都涉及到用户资金安全,这也是我们这些年来保持安全零事故的一个很大原因。问题二:目前看来,黑客攻击多是为了钱,那么如果没有币,例如无币联盟链,黑客无利可图,是不是就有少一些攻击?如果黑客还是恶意发动攻击,联盟链又存在什么值得关注的安全问题呢? 首先,安全不是一个单点的问题,而是一个面上的问题,就像木桶原理一样。虽然联盟链没有代币,但也不能说没有安全问题。联盟链确实可能被攻击的概率小,但只要是暴露在网络中的平台、系统和目标,基本上都会成为黑客攻击的对象。 黑客在发动攻击时,多是有针对性的,但大部分都是进行工程化和广撒网,他先通过工程化做批量攻击,在确定目标之后,会对其采取针对性的措施,比如长期对其做信息收集、踩点和潜伏,摸清问题和整个套路之后,他要保证一击必中。 我们看到的这些公开的安全事件都是黑客经过了充分的准备,而后攻击成功的事件。我们有时经常会说黑客是比你更了解你自己的人。 联盟链中的节点业务系统和服务器等都会成为被攻击的对象,比如联盟链中的节点服务器、应用系统。虽然联盟链没有代币,但它可以获取服务器,利用你的服务器进行挖矿、钓鱼和盗取数据,并对数据进行非法交易。我们在上一次分享中也给大家提到联盟链的安全,我们总结出来大概通过两个方面去做防控,一个是联盟链的业务安全层面,另一个就是联盟链本身的层面。 联盟链相对来讲,攻击会少一些。联盟链攻击很多时候会来自一些友商,举个例子,中国有两个非常厉害的互联网巨头,他们同时开发联盟链,相互之间在台底下,如果动手的话,我个人认为这是个非常正常的商业竞争手段。那你说这个动作算不算黑客行为呢?这其实很难说。在互联网世界里,在明面世界中相互攻击也都存在。 对联盟链的一些攻击,其实不会像对公链攻击那样会导致一些资产的损失,但更多的可能是会对整个联盟链的反应速度,包括本身带有一定存储性质的联盟链内部的一些内容的盗取,这是黑客关注的一些东西。 联盟链无币的形态其实本质上失去了一些区块链的灵魂,但是联盟链还是有存在的的价值的,既然是存在有价值东西,它上面的资产就不能以币的价值来衡量,而是以敏感数据和一些相关协调性的一些东西来衡量。 所以说不存在链上面有币或者没有币黑客攻击性会区别对待之说,只是因为币的形态黑客洗白更加容易,而黑色的数据则需要卖掉变成资产,当然这里面也不排除是竞争对手在干这个事情。 所以说,无论是联盟链还是公链面临问题都是一样的,多多关注底层共识机制和数据安全,包括智能合约安全,目前看现在发生最多的还是在智能合约这个方向,因为智能合约是一个极其复杂的技术系统,现实世界中的系统也会受到很多攻击。 现实当中的很多中心化企业,包括微软、阿里这些企业系统,其实都存在bug,只说它的系统漏洞没有暴露在外面,所以黑客要攻击变得比较困难。区块链项目由于开源和开发人数限制则会出现各种问题。 我在这里也呼吁区块链的项目们上线以后尽可能的开源。这样的话,整个我们行业会在互相的学习当中成长。因为靠自己的力量,无论是资金实力还是人才梯队肯定是跟不上的,这样有碍于整个区块链的发展。 问题三:目前,在区块链行业发展的过程中,每隔一段时间就会发生一起关于安全方面的大事件,那么请问各位嘉宾,在行业安全的建设当中,最值得期待的地方在哪里?而区块链安全防控如果想要乘风破浪,各位嘉宾有什么建议吗? 在整个行业的安全建设当中,我觉得最值得期待的地方,也是我们安全行业最愿意看到的就是希望我们所有人提高网络安全意识。 借用我们安全界大佬的一句话就是——无意识不安全。那么,在行业的网络安全建设的网络安全防线的建设上,人才是最大的漏洞。所有的漏洞和问题你都可以追溯,且最后都可以追究到具体的人身上,不管是代码、运维,还是配置等管理的一些问题,最终都会落到人的身上,所以人才是这个网络世界里面最大的漏洞。 而且人的漏洞也最难以修补,比如黑客搞定了一个操作计算机的人,从技术手段上搞定了这台计算机本身,最后他达到了效果。所以最终提高网络安全意识,才是建设网络安全一个重中之重的环节。 如果没有网络安全意识,写代码时不注重安全开发,会写出有问题的漏洞。即便你的防护做得好,代码写得再好,但你的工作人员没有安全意识,那你的办公环境依然不安全,依然会受到钓鱼、社攻等一些常见的网络攻击。 提高网络安全意识,就跟我们要提高防火意识一样,让行业的所有人提高网络安全意识,共同筑起网络安全的人防工事,这时你才能形成一个比较好的网络安全闭环。 安全的本质其实是一个对抗的过程,对抗的核心在于信息不对称。所以说,安全对抗是一个持续对抗的过程,他永远都不会停歇。如果想让区块链安全防控能做到乘风破浪的趋势,需要我们各行各业来共同努力。 区块链的框架其实很安全,就我个人认为它本身去中心化的机制决定了它具有一定的安全性。但很多区块链项目不安全的原因是他们违背了去中心化的原则。比如50%以上的算力,或者节点其实是控制在项目方自己手里。 从这个角度来讲,这时会产生很多道德风险,所以我觉得在区块链行业,我们把很多风险归在黑客身上,其实存在一些问题。这块除了一些智能合约审计之外,还应该引入一些对于节点的审核,包括整个区块链项目节点之间的关联度,他们是否会在一起做一些不好的事情。 这有点像证监会的做法,像一些利益相关方,需要被审计。如果从安全防护这角度来看,这会是一个很好的新的切入点。 这也是我个人比较期望的,希望有资质的一些组织去审计一些利益相关的东西。 关于安全问题,可以分两方面来讲,一个是人,另一个是企业。我们看到行业里大的安全事件跟大部分人都没有什么关系,但也有很多安全事件是跟每个人都息息相关。 对于个人来讲,主要是注意自己资产安全,如果说你的资产很多的情况下,最好采取分布式储存,不要把鸡蛋放到一个篮子里。 对于大部分人来讲,如果发生了安全性事件,大概率不是什么黑客干的,就是你身边的人干的,处理这个东西,纯粹靠线上其实是比较难,还得结合一些其他的信息,能掌握这些信息基本上都是身边的人。所以自我在安排这些资产的时候要注意安全。 从第二个维度说,就是项目方或者企业来讲,它的安全措施是什么?首先呢,这是人的问题,我们自己的技术的风格,还有人员管理的方式,包括密码的管理,安全线的管理等,这些方式需要做深刻的思考和管理的。 所以,在人员的管理、架构和管理方市场管理这个方面,要做深入的一些思考和动作。同时,在每一个板块,涉及到安全需找外部的审计机构去审计这些代码。 最好和行业的人多多交流,互相去深刻地去思考这个问题。整个行业发展依赖于每一个项目方,大家齐力才能更好的推动行业的发展。 比如像我们,除了做我们自己的钱包业务以外,我们还投资孵化了其它的金融相关的技术类的项目,我们也会引进很多第三方的审计机构,和其他的一些技术团队一起去做这个事情。资产的这一点,技术安全性要从早期做好,否则的话,越大越危险。 问题四:作为白帽子黑客,能给我们分享一下,黑客攻击前会有些什么准备,以及解析下攻击的全过程吗?可以用案例说明或者给我们模拟一下吗? 有一个实际的攻击过程,应该就发生在两周前,我给大家看一张图。 这发生在7月中旬,有一个帖子上面说三行代码赚走了四千万人民币。这个帖子当然很火,大概就是一个项目方被黑客攻击了,时间长达半年。他的过程是什么样的?我可以给大家简单的说一下。 2020年1月15日,攻击者在Gitup上创建了一个账号,并且给他伪造一个叫WindowsCryptoDev的名字,并且同天建了个叫Windows的代码仓库。 1月16日,这个攻击者给开源项目Ravencoin提供提交了一段代码,因为这个项目是开源的,所以他给这个项目贴了一段代码,代码的意义很简单,他只改了三行代码,他把其中一行报错信息分成三行报错信息,这时让人感觉这个报错的信息更明显。这让所有人都认为他是对项目代码进行优化。 1月16日当天,这个项目方的开发人员把这个代码给合并到他们的生产环境的代码里面了。过了几个月之后,5月9日开始,攻击者开始持续的通过非法操作来增发那个项目方的代币RVN,再通过多个平台将增发的代币换成其他数字货币套现。 他当时在1月16日提交的代码存在一个问题,当时开发项目方的开发者没有注意,因为他只是改了三行,一个很简单的逻辑判断,而且是一个异常处理的逻辑判断,当时项目方把这个代码合并到他们的仓库里面,其实这相当于一个后门。 Ravencoin项目方在6月29日的时候才发现它的系统有一个bug,最后排查原因是这段代码导致的。项目团队在7月4日的时候对这个整个区块和整个公链进行了新的协议升级,7月5日整个事件才结束,而在整个过程中,攻击者增发了近3亿的RVN代币,当时价值四千万。 所以说,这个事件也是比较典型的一个黑客攻击的过程,就是你在不经意之间黑客给你提交了一段看起来是在优化项目的代码,但其实是黑客提交了一个后门,他过了大概四个月之后才进行恶意操作。等你反应过来时,他已经将代币转换成数字货币,洗币套现了。 黑客的攻击过程有很多种方法,而且有很多你意想不到的途径来攻击你,而且他都是非常专业,有长期的准备和经验的。 问题五:想问问张总,作为投资人,旗下投资的项目有被黑客攻击过吗?如果有,可以分享一下最后是如何处理的吗?以及您怎么看待黑客攻击和行业安全问题? 我们在区块链行业投资的标的还蛮多的,从项目到交易所,甚至有一些链改项目,每个项目都不一样。比如最近我们投的一个项目,我觉得它被攻击的频率远远高于其他项目,因为中心化服务器,所有的东西都非常公开化。 例如app无法访问,但这个概率不大,相比其他,我觉得中心化的一些标的确实更加引人注意。 但他们处理的也挺好,基本上每次被攻击后两三分钟就能够解决,用户也没有太多的感觉,而且这类型攻击往往都是友商在做。 还有交易所也是,像我们投资的一些交易所就经常受到攻击,这太常见了,基本上这些还蛮简单,就是相互之间烧钱。 那项目被攻击的频率相对来讲就会低很多,因为首先一些项目都是公链,而且比较成型。那黑客要攻击它也要思考一下成本的问题,盗币的情况,我还真的没见过。可能是因为这些项目他们比较新,体量不大,盗他们币其实价值也不大,就不去做了。 至于说我怎么看待黑客攻击和行业安全的问题: 首先,黑客攻击是全世界都有的,只要是互联网行业,黑客攻击就永远存在。其实从严格意义上来说,区块链也算是互联网行业的一个分支,所以黑客攻击区块链行业,是常见现象。黑客攻击的东西多了,例如连中心化银行系统他们也可以攻击,甚至还有黑客攻击国防系统。 所以,这东西就很难说怎么看待,这像是互联网上的战争,在我们现实生活中都有战争,更何况是互联网上。 至于说行业问题,我觉得我们行业的安全问题其实比其他行业的安全问题已经要简单很多,因为智能合约本身已经把人的道德风险降到最低了。我们经常会投其他的传统行业标的,其实那些行业的一些安全问题比大家想象的要多很多,所以我觉得区块链行业做的其实还算不错。 问题六:钱包这块相对安全,不过,祝总能站在全行业的角度来看,钱包可以为行业安全做出哪些努力,以及整个行业应该如何提高自身的防范意识以保证其安全性? 在钱包的方向主要是几点,第一点,因为我们接触的链和上面的各种功能共识,基础性的网络接触比较多,所以这一块我们有丰富的处理经验,而且因为我们接触很多链。所以我们很多案例去解决这些问题,同时也可以和更多的项目方去在这些问题上进行沟通和技术协商。 因为我们自己做钱包,所以说在这些技术上都会去深度去和对方进行沟通,在这个问题上我们就会发现很多问题,包括他们自己的问题,也有我们自己的问题。同时对我们来讲,我们也会在计算开发很多新的资产相关安全的问题,这一点上来讲我们也有很多经验。 第二点,我们在整个的过程当中,其实有很多用户参与,相当于我们可以提供一些更加高并发的一些处理条件去帮助,包括像智能合约、DeFi或者是Dapp去发现和验证自己的过程,现在我们也有计划推出白帽子的平台,大家去发现这些项目中的bug并提交给我们,我们去和项目方沟通去解决这些问题。我们也希望去和安全机构一起去成立安全性的实验室,让大家可以在安全这方面获得一些有奖机制。 我们接下来重点是做DeFi这个方向,因为这里面涉及的资金和体量都会比较大,发展也会比较快,安全性就是首当其冲的事情。所以我们已经和几个合作方开始开展有奖机制,大家一起去解决技术的问题,让系统更加安全。这样才敢把DeFi纯粹的去中心化的板块,智能合约的板块推向市场,这是我们之后做的事情。因为我们是做钱包,以后也希望把更多安全性的东西推给更多的用户去使用。 以我们目前的经验来讲,希望更多的人在DeFi的这个方向一起去合作协作,把我们的整个行业推向另外一个高峰。这个前提是我们的技术要信得过,这一点也希望和我们合作的或者是一起愿意合作的互相去探讨技术的问题,一起去解决这些问题,因为技术底层的东西其实没有必要太过于纠结是谁做的,因为最终你都要开源,这个没有太多的意义,而是说在这个过程中如果大家都能探讨出或者是准备好这些基础性的技术,那我们的商业模型,我们基于这个东西DeFi金融或者是Dapp上面的才会发展得更快一些。 所以我的想法是除了自己去努力防范自己企业的技术风险以外,也多多的去交流,提升自己的同时我们也互相去提升和成就,因为只有你基础做的好,行业发展的才会更好,以后才有更多的更专业的技术型人才进入这个行业,那这样的话我们的这个事业才会做得更大一些。 这里最后插一个小广告,我们今年的计划重点就是在做DeFi方向,今天的话题也非常适合我们,我们现在就是在做底层技术安全性的问题,我们的体量已经有大几千万美金,甚至是快将近1亿美金的资产,那这会儿要上链的话其实如果没准备好的话心里会发虚的,也希望大家关注我们投资和孵化的项目,一起去沟通,一起去发展,项目名称我就不讲了,反正媒体上也有,今天就做个软广。 本文来源:耳朵财经 —- 编译者/作者:耳朵财经 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
对话丨黑客频繁发动攻击有恃无恐,区块链安全防控如何乘风破浪?
2020-07-26 耳朵财经 来源:火星财经
LOADING...
相关阅读:
- 佛罗里达少年,Twitter“ Bit-Con”黑客背后的“策划者”被捕2020-08-02
- 史总 几经辗转 终见曙光——FMPAY2020-08-01
- 历史上最大的Twitter黑客背后的人只有一个17岁的男孩。2020-08-01
- 联邦特工在佛罗里达州逮捕了17岁的Twitter黑客’Mastermind�-08-01
- 推特黑客事件破案,策划者年仅17岁2020-08-01