7月30日,Facebook在最新季度报告中提醒投资人,由于很多因素导致他们可能无法在2020年如期推出Libra数字货币,面临的最大阻力就是监管。
而最让监管机构担忧的便是Facebook面临的一系列安全问题,如何保障用户的隐私安全,如何防止不法分子入侵…
安全是各行业发展面临的首要问题,但绝对的安全是不存在的,只能通过技术让它更安全而已。
浪潮涌起,泥沙俱下。近年来,交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗、私钥丢失等安全事件层出不穷。
白帽汇2018年发布区块链安全报告称,每年因区块链安全漏洞造成的损失高达数十亿美元。目前,近80%的攻击损失都是基于业务层面的攻击所造成的,其损失额度从2017年开始呈现出指数上升的趋势,截止到2018年第一季度,所暴露的安全事件就已经造成了8.1亿美元的损失。
攻击事件大致可分为四类安全事件:共识机制、智能合约、交易平台和用户自身。攻击者主要选择保护相对薄弱的数据层、网络层、共识层、扩展层和业务层进行攻击。
区块链安全与传统互联网安全,既有共性,又有个性,既有交集,也有差异。
墨子区块链安全实验室CEO苗知秋告诉锌链接,区块链安全并不是一个全新的安全范畴,它运用了大量的传统技术。
海南:鼓励信用服务机构利用区块链开发自主知识产权信用产品:金色财经报道,《海南自由贸易港社会信用条例》日前已由海南省第六届人民代表大会常务委员会审议通过并予以公布,自2022年1月1日起施行。《条例》指出,鼓励信用服务机构利用区块链等现代技术开发具有自主知识产权的信用产品,拓展信用应用服务领域。(海南发布官方公众号)[2021/10/9 20:15:52]
所以,区块链安全与传统安全之间,大部分是重叠的,小部分是区块链技术独有的特点。
从底层代码来说,传统安全与区块链安全大同小异。但是上面的应用层安全,区块链安全带有自身的特性,比如共识机制,使互联网的中心化单点攻击,转变为区块链的大面积攻击。
假设有人要攻击一个网上银行,互联网的方式是入侵某台电脑的服务器、网银地址,修改数据库。
在区块链里,共识机制是至少要篡改超过51%的节点。因为所有节点都依托于一段代码程序,如果程序本身有漏洞,就可以篡改大面积节点。
一个很典型的事件是美图发布的BEC,出现了溢出漏洞,大量超发,导致BEC瞬间归零。相当于一只蚂蚁绊倒了一头大象。
快速入场,火速退场
区块链安全公司的数量多少与区块链行业的发展成正相关。2017年到2018年初,区块链行业处于火热期,很多人挤进来做项目,对安全的需求增多,于是很多区块链安全公司顺势而生,主要有三类:
北京首张区块链电子普通发票在汉威国际广场停车场开出:3月3日,北京首张区块链电子普通发票在汉威国际广场停车场开出,意味着北京税收服务和管理踏入区块链时代。即日起,停车场可以实现收费、开票自动一体化,消费者扫码缴费后,无需等候索要发票,可以在线开具、保存区块链电子普通发票,无需保存纸质发票,用票体验更优。纳税人也无需再为收费开票而耗费人力,无需为购票而往返税务局。
停车收费通过接入市税务局区块链电子发票系统实现开票与支付的对接,是北京区块链电子普通发票向公共服务迈出的第一步,未来将拓展更多应用场景,覆盖更多行业和票种,让市民生活办税更加便捷。(千龙网)[2020/3/4]
一个就是传统安全行业转型过来的安全服务商,比如知道创宇、白帽汇;
另一个是安全圈的新力量,因为有了区块链新的场景引发了新的需求也加入进来,比如成都链安;
还有就是互联网安全巨头,比如360。
他们早期以安全研究打开局面,用安全服务、安全开发切入市场,服务主要集中在合约审计、交易所安全、钱包安全、链安全、黑产对抗、威胁预警等领域。
与互联网安全发展相似,区块链安全早期报的漏洞也相对比较少,但随着技术的成熟、业务场景的增长,安全事件也会逐渐增多。
声音 | Hyperledger执行董事:Hyperledger致力于吸引企业开发人员推动区块链发展:ITPro Today消息,Hyperledger执行董事Brian Behlendorf及其团队正致力于通过吸引企业开发人员来推动跨行业区块链技术的发展。在上周多伦多SaaS Monster的对话中,Behlendorf表示,他的工作人员着重于项目成员如何能够在Hyperledger 的开源项目上构建商业服务。开源项目包括Hyperledger Fabric和Hyperledger Sawtooth框架。[2019/6/1]
随着业务热点的转移,哪个技术用得越多,安全公司研究的方向也会相应变化。
2018年,以太坊为首的智能合约是关注的重点,很多人去研究智能合约。
白帽汇联合创始人、安全负责人邓焕告诉锌链接,“智能合约很简单,像以太坊,几百行代码就能写出一个应用,发行一个代币。有的项目发行代币,基于某个模板改几个参数。只要模板有问题,好几种代币就都存在问题。”
随着切入点越来越深,被爆出来很多链上的设计理念、业务逻辑存在问题。首先在合约或者经济模型设计会存在漏洞,被人利用。此外,底层的安全问题也会逐渐增多。
玩家多了,自然会产生泡沫。知道创宇CTO兼COO杨冀龙告诉锌链接,在市场行情好的时候,存在大量的恶意竞争。比如,合约审计服务甚至出现了打价格战,导致安全产品和服务的价值非常廉价。另外,割韭菜的项目非常多,“一些所谓的安全需求方可能根本不关心他们的安全问题,而只是想发钱买个安全背书”。
行情 | 美股区块链概念股普遍收涨:今日美股收盘,美股区块链概念股普遍收涨。柯达收平,埃森哲收涨0.74%,Overstock.com收涨0.61%,Riot Blockchain收涨1.74%,Marathon Patent收涨1.33%,Square收涨0.14%。[2019/5/1]
泡沫一年之内就被戳破了。2018年,数字货币市场总市值从年初的4889亿美元,下跌至12月13日的1081亿美元,减少了77.89%。
区块链行业开始萎缩,买单的人越来越少,市场上只剩下5、6个头部玩家。一些新型安全创业团队已经销声匿迹,大部分安全公司也减少了对应的投入或者考虑转型。
慢慢地,进来的人发现区块链整个生态和实际应用要发展起来,还有很长的路要走。不做实事的团队,没法在短期内获得收益。如果做实际项目,比如金融、溯源等,可能短期内无法快速落地,需要投入比较长的时间,有些人就打了退堂鼓。
邓焕告诉锌链接,当时的现象是,很多区块链公司快速入场,又快速退场。整个行业一定是业务先行,市值撑起来才会有安全需求。否则,项目方自己都养活不了,安全公司更没办法生存。
重视不足,区块链安全发展缓慢
前段时间,币安被盗7000个BTC事件。邓焕认为,现阶段存在比较大的问题,是行业内对安全的重视不足,连头部企业也不例外,更别说中小型企业,问题就更多了。在这样一个环境下,区块链安全公司的发展是很缓慢的。
A股区块链概念股小幅震荡:A股收盘,区块链板块全天小幅震荡,收盘上涨0.13%。72只概念股中,46只上涨,26只下跌。涨幅前三为:恒宝股份(+4.66%),奥马电器(+4.00%),苏宁易购(+2.93%);跌幅前三为:思特奇(-5.65%),信息发展(-4.83%),新晨科技(-4.64%)。[2018/3/29]
在业务落地过程中,杨冀龙也遇到这些难点。
首先,市场监管不明朗,公司之前做了很多事情都是摸着石头过河。随着今年年初《区块链信息服务备案管理办法》的出台,在监管方面还是需要与监管机构进行积极沟通。
其次,市场波动太大。从2018年初币价创下新高,到2018年底集体抱团过冬,大部分区块链从业者都经历了冰火两重天,导致有部分项目做到一半就停了。
第三,没有统一的标准,无法像成熟的技术领域一样,有完备的规范参考。各个区块链安全团队都是从自己的角度提出对安全的理解,帮助客户做服务,难以保证服务质量。
为了解决这个问题,知道创宇联了区块链产业链上下游以及相关监管部门,结合各自的经验和积累,提出了一些安全评估标准,例如《智能合约审计Checklist》以及硬件钱包评级标准等,同时也参与到相关行业标准的制定中。但区块链安全毕竟起步时间较短,还需要在实践中不断完善。
慢雾科技合伙人兼产品负责人启富告诉锌链接,在区块链圈子里,用户群数量比较少。当你推出一些产品和应用时,真正接触到的用户不多,再加上有些用户门槛比较高,需要一些背景知识,导致得不到很多的用户反馈,得到可行性验证的有效数据就比较少,产品没有办法获得快速认可。
成都链安创始人杨霞告诉锌链接,当前区块链生态比较少,用户的关注点还在业务逻辑上,对安全的关注不够。应该吸取传统信息系统建设的教训,加强全行业的安全教育,采用最新安全理念,即业务系统和安全系统同步建设、同步上线、同步运营。
杨霞认为,安全产品目前侧重于解决某个点上的问题,需要随着区块链技术的落地和规模应用同步发展,逐步形成区块链行业全生态的安全解决方案。
搭建漏洞社区,共建安全生态
当欺诈性泡沫、共识被清理后,区块链技术会更加符合人性,也会有更多创新型的企业和优秀的人加入进来,共同建造出更健康的区块链生态。
目前,区块链安全领域的5个头部玩家分别是派盾、白帽汇、知道创宇、慢雾科技、成都链安。
面对区块链安全的重重困难,他们也选择了不同的发展方向。
派盾、知道创宇、慢雾与成都链安则想要打造区块链安全生态。
派盾的漏洞挖掘能力处于一线水平。其硅谷研发中心负责人Jeff称,漏洞监测覆盖底层公链、交易所、数字钱包、智能合约等区块链生态的各个环节,连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞。
杨冀龙向锌链接介绍,知道创宇主要以云防护专业的区块链安全服务为核心,解决底层基础设施到应用层智能合约和DApp中所面临的安全问题。
知道创宇的优势在于,覆盖面比较广,从节点、链、智能合约、DApp应用、到区块链钱包的安全基本全覆盖。
作为中国最早专注于区块链生态安全的公司,慢雾科技的特长是实战能力强,拥有一支十多年一线网络安全攻防实战的团队。
其安全解决方案包括:安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品。
除了研究全球知名公链如比特币、以太坊等,慢雾还特别深耕以太坊和EOS生态,围绕DApp安全攻防对抗,安全审计与防御的知名智能合约数百份。
成都链安的目标是建立区块链行业全生态的安全解决方案,覆盖了链平台、交易所、钱包、用户等区块链行业的各参与方。
公司建立了全面的面向区块链安全的数据中台,为上层安全产品提供丰富、准确的数据支撑,以与国家区块链漏洞共享平台合作和社区共建的方式建立了自有威胁情报库,为其他安全产品提供情报支撑。
白帽汇的思路是切入漏洞社区。在传统安全领域,白帽汇支撑很多政府监管部门的安全项目;在区块链安全领域,白帽汇成立了DVP去中心化漏洞平台,把在传统安全做漏洞社区的思路放到区块链安全行业,提供合法的渠道,对接安全人员与项目方——安全人员提交漏洞,项目方根据漏洞的等级给其奖励。
至今,平台已经发现了4000漏洞,涉及到交易所、公链、智能合约各方面,比较知名的D网交易所、以太坊公链等也曾由DVP的白帽子发现过严重问题。最近,白帽汇也在与监管机构沟通,制定区块链安全行业标准。
启富告诉锌链接,未来区块链安全领域的攻防对抗会愈演愈烈。随着更多大规模的用户入场,就会有更多资产在区块链上,攻击者会不断盯着交易所等平台,将会有更多类似硬件钱包、金库的手段来保证巨额资产的安全。
另外,随着公链的底层设计越来越完善,底层基础的问题会越来越少,在上面运行的智能合约会越来越安全,可以规避溢出之类的基础问题,常规的漏洞会越来越少。漏洞将会集中在业务逻辑、应用场景方面。
技术往往是第二位的,很多问题是出在管理、制度、流程方面。苗知秋谈道,安全圈早就有一个说法,三分技术七分管理,过于依赖技术,不把人管好,只是把机器管好,最终不能真正解决问题。
归根结底,踏实让区块链技术实现落地应用,解决实际问题,才是最重要的。
尊敬的LOEX用户:BQC“快银链”构架一个全新的区块链实体的新型行业生态系统,在实体企业与区块链技术和区块链用户之间建立信任体系.
1900/1/1 0:00:00尊敬的LOEX用户:LOEX国际站应BBSE项目方要求,于新加坡时间8月2日15:00关闭BBSE/LCNY交易市场,所有BBSE/LCNY交易对的挂单用户,请提前撤单.
1900/1/1 0:00:00尊敬的用户:????为更好地提升我们的服务质量,HotcoinGlobal?已于2019年7月25日23:15完成对OTC市场的优化升级.
1900/1/1 0:00:00亲爱的KKcoin用户:您好!感谢您一直以来对KKcoin的支持与关注,KKcoin团队一直在努力扎实的推进项目进展.
1900/1/1 0:00:002009年4月6日,意大利阿布鲁佐地区发生6.0级地震。地震造成的破坏主要集中在阿布鲁佐的首都拉奎拉,45个城镇受到影响,1500多人受伤,308人死亡,约6.5万人流离失所.
1900/1/1 0:00:00火币行情显示,隔夜BTC价格快速反弹,在不到4个小时时间里自10000美元关口下方快速上冲至10480附近,盘中一度突破了7月23日高点一线,创近11个交易日以来新高.
1900/1/1 0:00:00