文|Aesop,郝方舟编辑|郝方舟新一年的钟声刚刚敲响,属于2019的喧嚣、疯狂、奇迹、感动正在开启。2018,作为区块链行业媒体,Odaily星球日报既陪伴了区块链行业疯狂的从零到一,也见证了非理性繁荣的泡沫破裂。有人感叹,这短暂却精彩的时代片段,再也无法被复制了。因此,我们希望记录下那些行业亲历者、开拓者的真实声音,为行业的探索者、守望者指引前路。《2019大佬说》是Odaily星球日报推出的区块链访谈栏目,我们采访了50余位区块链行业引领者,将访谈精华整理沉淀为系列文章。稳固的基础设施和完善的生态服务是判断区块链是否晋升成为“产业”的一项标准。对于满载价值而不只是信息的区块链网络,既从属于基建又可归为服务的“安全”就像站在一串“0”前面的“1”。今年年初,日本大型数字货币交易所Coincheck遭攻击,超过5.2亿美元的新经币被黑客洗劫。4月,黑客借道智能合约中的整数溢出漏洞转出大量美蜜,引发市场抛售,BEC价值几乎归零。5月,因超级节点竞选而备受关注的EOS被曝出“史诗级漏洞”……交易所、公链与智能合约的接连失守,不禁让人回问,区块链安全吗?Odaily星球日报今年接触了库神、慢雾、派盾PeckShield、360、CertiK、曲速未来、知道创宇、成都链安、长亭科技、安全链SECC等向区块链世界提供安全服务的企业。我们发现:和区块链技术一样,区块链安全服务行业还处于早期阶段。风险是小概率事件,短视与侥幸减弱了付费意愿,熊市又降低了客户的付费能力。仅靠用户教育,很难快速拉升安全服务需求。相关法规与标准或成为强推力。攻防双方的战场是汇集财富的“法外之地”。黑客擅长在“防护木桶的短板”游击、“名利双收”后还无处追责;安全服务商需要全线布防、“替人消灾”却常被怀疑,双方显然不是同一心态。近日,Odaily星球日报再次邀请到库神COO张玉、派盾科技PeckShield创始人蒋旭宪、知道创宇创始人赵伟、慢雾安全团队、CertiK联合创始人顾荣辉,用五问五答盘点区块链安全过去这一年、展望未来的风貌。以下为整理编辑后的问答精华,enjoy~
数据:比特币内存池7天平均值达到2018年1月以来最高水平:最近几周比特币未确认交易积压大大增加,同时需要花费更长的时间来挖掘区块,因此比特币内存池积压程度大幅提升。数据显示,目前比特币内存池7天平均值现在为67.87兆字节,是自2018年1月以来的最高值。(Decrypt)[2020/5/21]
Q1.今年在区块链安全领域,让您印象最深刻的一件事是什么?这件事在哪些方面影响了人们对区块链的认知?张玉:今年1月份的NEM被盗事件,当时大概价值五亿多美金,确实是整个区块链行业里金额最大的一次。对这个事情印象比较深刻,等于这开启了一连串的交易所被盗的序幕,某种程度上也影响了大家对这个行业的信心,间接影响了今年的市场走向。大家对安全重新进行了思考,因为之前大家可能感觉区块链技术上比较完美,但其实也存在安全隐患,因为资产毕竟是保存在客户自己手里。这跟传统世界资产由中心化机构来保证是不一样的。蒋旭宪:4月下半旬,美链BEC的智能合约漏洞。资产缩水,币价归零,我非常震撼。我从来没想到数字资产一旦出现事故,影响会这么大。区块链自带金融属性,和传统的互联网安全玩法完全不一样。之前,更多是设备被黑可能影响到业务数据方面。但是在区块链里,交易所、token、智能合约……全是安全问题。赵伟:过去一年就很乱!我印象最深的是新经币事件,攻击者把新经币卖了狂砸盘,导致新经币差点清零,这是到现在为止最大的一起盗窃。这件事让人们认识到安全的重要性。安全是“1”,没有安全,后面数字再多也是“0”。人们还发现,区块链以前号称的安全,只是某种意义上的安全。交易所和钱包还是集中式的,不是链上分布式的。但安全遵从着木桶效应,你的最短板就是黑客最容易攻击的地方。慢雾安全团队:3月20日的以太坊黑人节。我们团队3月1日开张,在跟进这个问题时发现,地下黑客在这方面的攻防形势是非常严峻的,黑客不需要知道任何钱包相关信息就可以把用户的钱都偷走。这是之前从未出现过的远程攻击。这次事件造成的损失也非常严重,5万多个以太坊被盗了。以前大家都在关注智能合约,没有人关注节点层面的安全问题。节点操作不当的话也会出现非常大的损失,并且这种攻击方式不需要知道你的任何信息,仅仅通过一行命令就可以把你的钱全转走。顾荣辉:4月以太坊智能合约ERC-20中BatchOverFlow漏洞被黑客利用,对BEC和SmartMash两个智能合约进行攻击。前者导致市场恐慌,大量抛售BEC,64亿市值短时间内蒸发;后者使得SMT在各大交易所平台的交易暂停。人们逐渐意识到区块链安全问题的重要性,少数公司能够自己检测到安全漏洞。但公链的安全性应该怎么保障,由谁来保障?现有的技术还不够成熟,而目前区块链安全领域的公司较少。Q2.能否简单总结下区块链安全服务行业的生存现状。行业目前遇到最大的困难是什么?2019该如何突破困境?张玉:区块安全服务行业还处于比较初期的阶段,因为大家都还在探索商业模式。遇到最大的困难是用户对安全的认知不清晰,安全教育工作也比较初步。安全是贯穿于资产的生产、存储、交易全过程的。我们一直通过公众号上知识问答、漫画等内容来向大众普及安全。蒋旭宪:首先,现在的区块链安全行业,攻击者是强于安全保护者的,甚至强于生态建设者。第二,整个行业还处在野蛮生长阶段,空气币、甚至跑路,都给真正做事的那一方增加了舆论压力。第三,区块链行业本身门槛比较高,为了发展又需要接纳新用户和开发者,所以有产品落地的问题。行业最大的问题是安全事故节奏太快,我们有点应接不暇。从生态来说,我们对区块链合约的理解可以再提高,开发者安全意识和技能还可以改善,安全公司任重道远。黑客攻击也有助于安全服务生态的建设。赵伟:区块链行业泡沫太多,所以准定要经历泡沫的再压缩。压缩也会影响到安全服务行业,我们能服务的客户减少了,但也留下了更优质的客户。相对而言,安全服务业算是受熊市影响较少的。区块链安全服务目前遇到的困难是要保护的环节太多,从币的产生、发放到流通、持有等等,每个都要做到位,生态才安全。行业所服务的对象也有些变化,今年全年主要围绕公链,年初和年中的智能合约审计多些。慢雾安全团队:2018年之前,无论在国内还是在国际上做这一块的比较少,今年很多之前做传统安全的转型到区块链安全,但是这个行业还没有达到饱和,依然在发展。但是蓬勃发展后,都会进入类似红海的阶段,需要大家进行差异化竞争。比如现在经常有客户问我们:你们和别人有什么不一样?所以后续大家需要进行差异化竞争,不断提升自己的硬实力。顾荣辉:人们对区块链安全的了解过少。本身这个领域要求很前沿的技术,进入门槛高。市场上有太多打着“形式化验证”旗号的公司,真正能做到“深度规范”的几乎为零。目前比较主流的解决方案是使用众包平台对智能合约进行筛选。这种基于人力的验证和审计往往成本巨大。对于每份智能合约而言,这种定制型解决方案也许很奏效,但显然,巨大的市场需求无法就此满足。由于信息不对称,消费者缺少安全领域方面的必要知识,不能很好区分真正具备技术的公司。我们十分希望能够有更多的业内人士通过与我们的合作真正了解形式化验证。Q3.外人看来,攻方似乎更容易“收获名利”,那么守方的信仰是什么?是否曾有动摇的瞬间,或被黑客“诱惑”过?蒋旭宪:我从没想过这个问题,我觉得也不要想,因为我们工作在安全第一线。我们也从没联系过黑客,只是从黑客思维去理解他们为什么这么想。赵伟:我们年轻时就入行了,做安全行业不是为了发财有名啊什么的,而是保护别人比较有成就感。我们看好的是创造一份持久的事业,而不是这点钱。比特币第一代参与者很多都是安全人员,我的几个朋友每人都持有40万枚,没必要去偷去抢。如果是真正的安全行业高手,是有能力靠自己的技术挣钱,不需要做黑客偷别人的。我们都是从10年、11年开始玩,那时候比特币才五美分。慢雾安全团队:其实我们做安全本身就是出于自己的爱好。在我们安全圈内有句话叫“未知攻焉知守”,指的是做安全肯定要知道怎么去攻击。我们的成就感在于给客户发现更多的漏洞。其实黑客做了坏事都能被抓到的,只是说抓你的成本有多大,值不值得。我们在筛选团队时就会看对方价值观能不能被我们接受和认可,如果是那种动摇的人,我们就不会让他进来。Q4.区块链安全和互联网安全最大的不同是什么?张玉:互联网资产基本是在中心化机构手中,中心化机构承担安全的责任。中心化交易所在面临安全问题时,还达不到互联网的安全级别,区块链资产在用户手里面,所以用户要承担安全责任。蒋旭宪:数字货币天然有金融属性,用户影响和用户感知会更强一点;互联网安全偏重用户隐私,但没有这么明显的密集损失效应。区块链的安全攻防会更激烈、节奏更快。赵伟:首先,区块链的运行本身就有现金流,所以安全的重要性高于其他行业。但问题在于需要用到热钱包、交易所等中心化的东西,这些短板在放大安全的缺陷。然后,要说到黑客,俗话“不怕贼偷,就怕贼惦记”。有一些犯罪分子把这个行业当成提款机。再有呢,一旦在区块链上丢了东西,就真的完了,因为是去中心化和匿名的。不像你丢了卡,还可以在银行补办。慢雾安全团队:区块链安全和互联网安全都会有APP、网站、系统后台等,差异在于区块链有自己的属性,也就是共识算力、智能合约、底层虚拟机等。传统互联网,比如说开发一个APP,特别注重的是用户的隐私和身份信息。但是在区块链领域,无论做钱包还是交易所都是和资产相关的,所以区块链公司特别重视平台的安全、币存储的安全。顾荣辉:智能合约是目前最容易出现安全问题的地方。和传统程序不同,智能合约具有自治,自足和去中心化等特征。智能合约的安全隐患既有传统的互联网世界中所存在的漏洞,也有自身独有的风险点。对于黑客来讲,攻击传统程序就像闭卷考试,比如攻击阿里的系统,完全是黑盒攻击,根本无法走近它的代码。而攻击智能合约就好比是开卷考试,黑客可以针对源代码进行攻击,极大降低了攻击难度。在银行、军事等高安全级别的系统中,除了线上防护体系,还受系统性安全网络保障,再加上严格的法律监管条文和国家级的追查体系,都抬升了黑客的攻击成本。而中心化数字货币交易所集成了多个角色功能,却只有一层线上防护体系,一旦被黑客突破,几乎毫无还手之力。Q5.对于区块链安全,法规和标准意味着什么?蒋旭宪:现在整个区块链监管法律法规还不完善,因为这个原因,黑客攻击犯罪成本较低。赵伟:很多人觉得法律法规在限制,但你看国内能不限制吗?净是一些坑蒙拐偷的人搞ICO,最能忽悠的都跑路了,劣币淘汰良币。这影响了人们的心态,一旦你觉得挣钱难、钱容易,想着一夜暴富,心理弱点就容易被人利用。所以必须要有合适的法规来约束,因为子太多了,傻子不够用。也有人反对约束,认为区块链本身是去中心化的,自身数学就是法规,规则标准由矿机执行。我也觉得这挺完美的,但我发现技术人员多少有些对现实社会的“天真”。总体,法规对安全服务业来说有利有弊。利是如果要求有安全检测,那客户对安全都是放在第一位的,必须有安全检测来加固保护。弊是设置了准入门槛,控制了市场总体量。慢雾安全团队:法律和标准是为了规范从业者,能给这个行业带来更多安全。如果不符合这样一个标准,项目价值会降低,无论项目参与者还是项目方自身都不希望在安全标准之下,这样就能不断提高整个行业的安全水平。顾荣辉:用代码替代法律还需要迭代,安全性最后由人来保障。代码本身存在漏洞或者逻辑模棱两可,这个是无法被标准化的,判断设计者的意图对错没有任何参考标准。
声音 | 波兰税务局:2018年夏天之前的加密交易需要征收加密税:波兰税务当局近日澄清,《民法交易税》(PCC)适用于2018年暂停征收前的数字资产交易,故2018年夏天之前的加密交易需要征收加密税。根据2018年4月发布的税法解释,在数字货币被认定为产权之后,1%的PCC税原则上应适用于加密货币交易。然而,在波兰加密社区进行抗议和发起网络请愿书之后,波兰财政部于2018年夏天暂停了征收加密税的工作,并将暂停截止时间从今年7月延长至2020年6月30日。据悉,PCC税适用于该种情况:当卖方不是一个商业实体或出售的是动产、不动产或各种权利时,通常应缴纳民法交易的转让税。税款由买方支付,并按购买资产的价值计算。(Bitcoin.com)[2019/12/17]
2018年在“熙熙攘攘”的区块链安全攻防战中结束了。黑客出于利益频繁进攻,白帽子守于道义严加防守,双方比拼谁先找到漏洞。“现在的攻击者强于保护者,甚至强于生态建设者,但黑客攻击有助于安全服务生态的建设”,是安全服务人士对目前形势的判断。多位业内人士预测,2019年将是“横盘”的一年。市场的低迷可能“唆使”部分开发者转为黑客。另一方面,以太坊的升级、多条公链的主网上线,又“赠予”黑客更多攻击目标。区块链世界依然充满了未知与变数。但我们可以预见,2019年攻防大战将继续上演,并且更加频繁激烈。相关阅读
星球研报|2018年区块链技术安全服务行业报告你居然还以为区块链更安全,我也是醉了附《2018区块链领域走心盘点》
动态 | 央企电商联盟2019年将在联盟区块链等十个领域重点发力:据人民网报道,4月3日,中央企业电子商务联盟在天津滨海新区召开2019年度工作会,2019年,联盟将打造统一平台,深化合作机制,强化资源共享,在标准制定、招标结果复用、智慧物流体系构建、跨境资源共享、商旅管理应用、支付体系建设、大数据公共服务平台、企业联合信用评价、网络信息安全保障、联盟区块链建设等十个领域重点发力,拓展联盟内部合作,强化内生动力,努力推动央企电商高质量协同发展。[2019/4/3]
声音 | 数字货币经济学家:2019年美国可能不会批准比特币ETF:数字货币经济学家Tuur Demeester于2月13日在推特上转发了Blockforce Capital撤回比特币ETF申请的新闻,同时发表评论:“这个新闻证实了我的观点,那就是监管部门还未做好迎接比特币ETF的准备。我们不用指望2019年能建立比特币ETF了,这一年要做的工作是扩大机构的采用、提高监管标准、建设基础设施,同时为零售业大规模采用比特币铺平道路。”据此前报道,Blockforce Capital的一个部门Reality Shares ETF Trust提请撤回涉及比特币期货的ETF申请。[2019/2/14]
市场研究公司:2018年可能是机构资金进入加密货币市场的一年: 据CNBC消息,市场研究公司Tabb集团于今日表示,由于交易基础设施的发展,今年是机构资金进入加密货币市场的一年。资本市场研究和咨询公司在高级分析师Monica Summerville及其同事的报告中称:“如果2017年是加密货币走向主流的那一年,那么2018年肯定会成为它们走向机构的一年。”报告中指出,目前阻止机构大规模参与加密货币市场主要有三大主要障碍——监管不确定性、缺乏市场基础设施和机构级数据来源。Tabb表示:“进入这一领域的最新技术提供商是由金融市场的人领导的,他们声称自己发现了一个巨大的市场缺口,等待填补。”[2018/5/15]
本文来自:DappReview,作者:DR小伙伴,星球日报经授权转发。导读:被互联网教育过的人,即使是傻子也明白一个道理:谁把握住用户谁就牛逼.
1900/1/1 0:00:00编者按:本文来自橙皮书,作者:orangefans,星球日报经授权发布。在网上观看一部电影时,我能不能随着播放进度条的进度来付费呢?比如每观看一秒钟就付一点点钱,而不是一次性买断电影单次的观看权.
1900/1/1 0:00:00HI,欢迎我一起继续解构智能合约。本文是系列文章的第三部分,如果您还没有阅读之前的文章,请先看一下:前言:基础代码与操作方式;创造与运行时间代码解析;我们正在解构一个简单的Solidity智能合.
1900/1/1 0:00:00整整7个小时,华强北没有等到一个登门的顾客。那天是11月29日,矿业寒冬中,华强北最日常的景象。然而10个月前,位于深圳华强北的赛格广场还是全国最大的矿机销售市场.
1900/1/1 0:00:00本文系国内首篇通证经济学术论文,奠定了通证经济的理论基础与框架,具有重要的理论与现实意义。感谢中国航空工业集团公司原董事长,中共十八届中央委员会中央委员,中国航空学会理事长林左鸣教授对本文提供的.
1900/1/1 0:00:00进入2018年下半年,曾在区块链世界引发巨大争议的ICO,陷入了奄奄一息的状态。比特币、以太坊由年初高点跌去80%以上,交易所新上币种破发率接近99%,中美日法德对ICO监管日益收紧……全世界都.
1900/1/1 0:00:00