月亮链 月亮链
Ctrl+D收藏月亮链
首页 > DAI > 正文

区块链:专访蒋旭宪:没有久攻不破的公链 只有尚未发现的漏洞_区块链存证怎么弄

作者:

时间:1900/1/1 0:00:00

文︱艾特

核财经APP1月7日报道区块链向我们许诺,以分布式和防篡改的方式存储和交换有价值的信息。

而历史提醒我们,新生事物初期的野蛮生长,总是伴随着重大安全教训。纵观整个2018年,出现了BTG遭双花攻击、BEC智能合约漏洞、EOS“史诗级”漏洞、以太坊“致命报文”、BTC超发漏洞等重大安全事件。事实证明,那一行行的代码,尚不足以保护人类社会已岌岌可危的信任。

“而面对黑客肆虐,资产被盗,公链与DApp应用在被攻破之前,似乎永远不知道它是否安全。”前360首席科学家、PeckShield创始人兼CEO蒋旭宪博士表示,区块链1.0时代大家对技术本身认知还欠缺成熟,存在双花攻击风险以及私钥被盗的问题;2.0时代随着以太坊平台和大量智能合约的涌现,出现了溢出和阻塞等安全问题;3.0时代随着EOS和TRON等公链的兴起,一些追求高并发TPS的平台开始出现,在落地一些实时性互动的竞猜类应用时,出现了随机数和交易回滚问题等等。

蒋旭宪认为,公链冒出的安全问题,与区块链独特属性相关,特别是在币的承载和币的转移方法上面,成了黑客的天堂。而且,没有久攻不破的公链,只有尚未发现的漏洞。

他强调,区块链领域的安全由来已久,从区块链技术的发展来看,每一个系统以及相关的生态都是非常庞大的,其技术层面也是非常复杂的,把多个技术融合在一起,本身就是很困难的事。安全领域有一个所谓的木桶理论,最短的木板决定了你的安全高度。另外,在用户环节体验设计上,目前来看还有相当高的门槛。用户使用上如果不习惯,就容易犯各种错误。

至少三个美联储机构正在积极寻找CBDC相关人才:金色财经报道,与央行数字货币(CBDC)相关的工作正在全球范围内涌现。最近的一项调查显示,93%的央行表示有兴趣探索CBDC,其中一些央行考虑在未来三年内发行。此外,至少三个美联储前哨机构正在积极寻找候选人加入他们的团队,进行CBDC研究并改进当前系统,例如旧金山联邦储备银行(高级加密架构师— CBDC)、波士顿联邦储备银行(首席应用架构师- 数字货币)、克利夫兰联邦储备银行(高级应用架构师- CBDC)。[2023/7/25 15:56:09]

区块链生态安全亟待加强

核财经:从传统互联网安全换道区块链安全领域,您发现了什么?为什么要做一家区块链安全公司?

蒋旭宪:这反映了我个人的创业思考历程。关于创业的思考由来已久,但很遗憾在国外高校期间,完美的错过了国内的PC互联网阶段。在360期间我主要负责移动端的核心安全能力,算是参与和亲身体会了移动互联网的浪潮。

2017年下半年的时候,区块链行业开始热起来,那时候也是看了很多白皮书,不过市场上更多的是炒币,感觉这个做法根本不符合我的性格,也没有太大的兴趣。相反,当我更多的分析几大公链的底层代码,再结合自己个人的安全背景以及攻防的思维逻辑上去研究,这个层面一下子就吸引了我。

看进去之后,觉得区块链技术确实是一大技术变革,可能会是下一代的互联网核心技术,预计会重构目前的很多行业。同时觉得区块链根本上解决的是信任问题,安全又成了里面最核心的基石。如果安全没做好,信任问题根本无从谈起。所以,我决定Allin。

Messari:XRP市值降至248亿美元,日均NFT交易量环比增长12.7%:7月9日消息,Messari发布XRP Ledger 2023年Q2报告,其中XRP第二季度市值降至248亿美元,环比下降10.7%;日均NFT交易量环比增长12.7%,从13,800笔增至15,500笔。日均交易量和日均活跃地址量环比分别下降11.9%与17.6%。[2023/7/9 22:26:57]

核财经:您认为区块链领域面临的安全问题都有哪些?目前,在区块链行业做安全服务的难点和挑战有哪些?

蒋旭宪:从整个区块链行业的生态来说,我认为,里面的各个环节都碰到了区块链自身独特的安全问题。

我们可以分为横向和纵向来看。横向来说,有交易所、钱包、矿池、合约、DAPP等安全问题;纵向来看,有基础设施、数据层、网络层、共识层、激励层、合约层、业务层等方面的安全问题。

在各个维度上,区块链领域面临的安全服务与挑战也是前所未有的。这里我就不展开说了,但需要特别指出的是,目前区块链上攻击的犯罪成本极低,这会间接放纵安全事件的频发,而安全事件往往是突发的、在区块链上造成的资产损失和影响也是不可逆的。另外,黑客玩的是实打实的数字资产,回报率比传统互联网高很多,而惩罚的技术门槛颇高,力度也是明显不足。从另外一个角度看,比较遗憾的是,目前区块链开发者的安全意识和基础技能还是相对薄弱,不少底层合约代码存在较大的同质性,一旦出现问题就会有连带威胁。

核财经:今年新生了不少做区块链安全服务的公司,这个赛道的整体生态如何?行业寒冬里,您是如何思考在这一领域一展所长的?

BIS:货币和资产的代币化具有巨大潜力:6月20日消息,国际清算银行(BIS)在发布2023年度经济报告特殊章节中指出,货币和资产的代币化具有巨大的潜力,但迄今为止,这些举措都是在孤岛中进行的,无法获得中央银行的资金及其提供的信任基础。一种新型的金融市场基础设施统一分类账可以通过在一个可编程平台上结合中央银行货币、代币化存款和代币化资产来获得代币化的全部好处。多个分类账可能共存,通过应用程序编程接口相互连接,以确保互操作性并促进金融包容性和公平竞争环境。[2023/6/20 21:49:53]

蒋旭宪:区块链行业目前还处在早期,区块链安全亦是如此。为此,现在说整体生态还为时尚早,不过可以看出不同安全公司的切入点,大概有以下几种:一是链上数据分析和安全预警;二是形式化验证和机器证明;三是安全众测和威胁情报共享;四是传统互联网的安全业务转型。当然,未来还会有新的安全方向和公司不停的冒出来,包括数字资产的反。

随着区块链行业寒冬的到来,也会有不少安全公司被淘汰或者选择转型。我认为要想在安全服务这个赛道掌握核心竞争优势,关键要看:一是能否实时感知行业生态各个环节的运转动态,敏锐洞察可能出现的安全风险状况,并能准确的提供必要的预警和防范;二是能否切实解决生态中存在的安全问题,对行业生态的合作伙伴提供有感知的,且愿意付费的产品和服务。

正视公链安全漏洞问题

核财经:从1.0的比特币,到2.0的以太坊,再到3.0的百链竞发时代,公链成了黑客攻击的所谓天堂。那么,在您看来公链的安全问题主要有哪些?

市场预计英国央行11月加息幅度将不到100个基点:10月13日,市场消息:市场预计英国央行11月加息幅度将不到100个基点。[2022/10/13 14:26:43]

蒋旭宪:区块链1.0时代大家对技术本身认知还欠缺成熟,存在双花攻击风险以及私钥被盗的问题;2.0时代随着以太坊平台和大量智能合约的涌现,出现了溢出和阻塞等安全问题;3.0时代随着EOS和TRON等公链的兴起,一些追求高并发TPS的平台开始出现,在落地一些实时性互动的竞猜类应用时,出现了随机数和交易回滚问题等问题。

总之,随着区块链生态的持续发展和逐渐繁荣,一些安全问题也会随之升级,并和业务场景息息相关,黑客实施攻击的手段和形式也趋于多样化。但根本上来说,对公链的核心要求还是需要提供高可靠性、低延迟、和高吞吐量的保障,可以支撑成千上万的各类区块链DApp应用。

核财经:2018年里,我印象中有两起重大安全事件,即5月29日360爆出EOS“史诗级”漏洞和6月15日PeckShield宣布发现以太坊上一个高危安全漏洞,可导致当前60%的以太坊节点瞬间崩溃。您如何看待这些被披露的安全问题的?

蒋旭宪:360披露的“史诗级”漏洞问题,从严谨安全的层面可能会有一定程度的争议,尤其是“史诗级”的媒体渲染,让不明真相的人感到了恐慌。当时的争议在于,安全公司披露和项目方出现了一些摩擦,造成了广泛的行业影响。不过从另一个角度看,当时360选择在EOS主网上线前披露漏洞,确实让大家认识到区块链底层公链存在的严重安全问题。

安全团队:BSC Token Hub跨链交易验证方式存在漏洞:10月7日消息,据Beosin EagleEye平台监测显示,BSC Token Hub10月7日遭遇黑客攻击,Beosin安全团队现将手法解析如下:币安跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。

1)攻击者先选取一个提交成功的区块的哈希值(指定块:110217401)

2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点

3)在IAVL树上添加一个任意的新叶子节点

4)同时,添加一个空白内部节点以满足实现证明

5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希

6)最终构造出该特定区块(110217401)的提款证明

Beosin Trace正在对被盗资金进行实时追踪。[2022/10/7 18:41:51]

PeckShield发现以太坊上的一个高危安全漏洞,也就是“致命报文”(EthereumPacketofDeath—EPoD)。EPoD可导致60%以上节点瞬间崩溃的问题,其实在6月初就已经发现并和以太坊基金会取得联系,协助其展开修复,真正披露是在6月底,确认该漏洞已经彻底修复后才对外披露的。

我认为,对于一个并未产生危害的严重漏洞,媒体披露的角度会过于夸大其危害性,从而警醒媒体受众加强安全认识,这无可厚非。但作为安全公司,我们可以尽量确保安全问题已经修复完之后再在合适时机进行披露,避免造成不必要的负面影响。

核财经:2018年称之为公链元年,您如何评价过去一年公链项目的安全问题的?

蒋旭宪:其实,回顾整个2018年公链安全问题来看,在生态的各个环节都出现了比较重大的安全事件,包括BTC、ETH、EOS、BCH等。这些公链上的安全问题从某种程度上可以完全摧毁整个公链。我认为,这里面影响最大的还是BTC的超发漏洞。虽然大部分媒体可能并不知晓这个漏洞的细节,该漏洞也没引起广泛的媒体传播,这是因为在这个BTC超发漏洞的处理上,包括研究人员的负责任披露、BTC核心团队的应急响应、最后相关的媒体报道,都是非常专业和值得称道的。但我们知晓这个漏洞的时候还是吓了一跳,也在内部认为这是2018年影响最大的漏洞,即使没有广泛的媒体报道。

每个公链漏洞都有它的特殊性,比如说以太坊的“致命报文”、EOS节点的“远程代码执行”等等这些安全问题,我认为都在各自公链上有它的独特性,但也有某种共通性。另外任一公链层面的安全漏洞,因为会影响到上面运行的所有DApp应用,所以他们的重要性必须给予足够的重视和关注。

DApp被薅公链亦成殇

核财经:公链的核心价值是应用,如您所说,公链层面的安全能影响上面所有的应用。为此,其自身应该采取哪些措施,以保护DApp应用的安全性?

蒋旭宪:这个问题我们内部有不少讨论。2018年暑假的时候,Fomo3D游戏火爆,当时攻击者做了一个阻塞攻击之后,把奖金池里面的钱全取走了。类似的攻击也出现在了其它Fomo3D类游戏,比如LastWin。这种阻塞攻击利用的就是公链本身设计的某一个特定环节。而且修复这些漏洞的成本也是很高。本质上说,2017年底的以太猫和2018年中的Fomo3D游戏,暴露了底层以太坊公链技术存在的不足,也就是TPS和响应时间等方面都不够理想。从保护DApp的角度看,期待以太坊公链2.0以及其它竞争公链在自身设计上,应该有一种机制能够防止这些所谓的阻塞攻击。

在EOS的公链,为了有效支持DApp应用,有一个有趣的设计,那就是延迟交易。这一点上,我觉得EOS还是值得赞赏的。通过延迟交易,DApp可以用一个未来的数据来充当随机数,这样就能够形成一个比较可靠的随机数生成,保证了谁也没法预测。这个也是目前各种EOS竞猜类DApp游戏当中,大部分都采用的随机数机制。

核财经:上个月,BetDice因交易漏洞损失近20万EOS。在EOS上,盗币事件屡被诟病,您对此有过哪些关注?为何EOS公链上的盗币事件如此频发?

蒋旭宪:这确实是个很严重的问题。我们内部梳理过EOS上线以来发生的所有安全事件,包括背后的漏洞原理分析、攻击流程的还原、攻击者的定位、获利情况、和最后不正当获利的资金流向等。分析其过程:一是有助于我们更好理解当前行业的现状;二是理解攻击者的能力,有助于我们更好去检测、阻截这些攻击者。也只有这样,我们才能更好的保护DApp开发者和用户。

但为什么现在EOS盗币事件这么频繁?我认为,一是EOS在某些方面的设计,虽然使得这些DApp的开发门槛相对较低,能吸引更多的开发者进来,但由于,它确实是一种新鲜的编程和运行环境,开发者对其认知程度,包括相关的安全考量和影响,我认为还需要时间沉淀。目前的现状是,在某些开发者和开发环节上确实难免会出现疏漏,在单点上也是容易被攻击者利用和攻破。

现在EOS公链上,更多的是竞猜类游戏,而竞猜类游戏又特别容易汇聚资产。有资产之后,资产会对黑客有更大的吸引力。攻击者一进来,就造成目前看到盗币新闻比较频发的问题。必须承认,目前的攻防现状上,攻击者是走在安全防守者的前面,他们甚至比防守者更快定位到哪些有安全漏洞或者安全问题的DApp。

最后,我们发现,在梳理攻击者最终所得的赃款流向的时候,特别是努力帮助开发者追回资金的时候,我们发现黑客的犯罪成本很低,因为目前适用的法律法规还不完善。在EOS上,虽然有ECAF的社区治理机制,但在时间的响应、流程上,我认为还有很大的空间可以改善。

核财经:现在,许多基于公链开发的DApp项目方都会担心会安全问题。从安全角度来讲,你认为DApp项目方应该如何提高自身的安全系数?

蒋旭宪:很多开发者在开发相关DApp的时候,或许因为沿袭了以前在传统互联网或移动互联网的开发模式,为了尽快推动业务上线,在安全方面没有第一时间重视,在安全应急响应流程上也是缺失。

我一直强调在区块链行业,安全一定要先行,而且需要在业务里面第一时间考虑进去。开发者在设计DApp的时候,在整体架构上就需要有安全意识和相应的安全模块。比如在开始设计合约的时候,如果出现了安全问题,应该会有怎样的应急流程和具体的响应机制。我认为好多DApp开发者根本就没思考过这个问题。一旦出了问题,他们可能就懵了。另外,DApp开发者术业有专攻,建议项目方和专业的安全团队建立有效地互动,包括合约上线之前的审计、遭遇攻击事件时的应急响应等等。最后尽量利用社区的力量,用社区的经验避免自己去踩同行以前踩过的坑。同时,也希望把发现的安全问题尽量回馈给社区,让社区都知道有类似的问题。我接触过很多类似的安全事件,别人踩的坑下一个项目方又去踩了一次,这让DApp开发者更加伤痕累累,我认为这个成本是有点高的,也没有必要。

标签:区块链EOS以太坊区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势EOS币是什么币以太坊币是什么币

DAI热门资讯
区块链:福特汽车宣布使用区块链技术打击雇佣童工_区块链技术发展现状和趋势

《核财经》App编译汽车巨头福特宣布与IBM合作,华友钴,LG化学达成一个伙伴计划,建立一个区块链平台监控来自刚果民主共和国钴的供应,试图确保其供应链中没有任何童工参与.

1900/1/1 0:00:00
比特币:动荡的夏季中 比特币投资者和投机者保持头寸_40亿比特币能提现吗

《核财经》App编译 据9月24日Chainalysis公布的一项新研究显示,今年夏天,比特币的投资者和投机者一直持有自己的头寸,市场似乎总体上变得更加稳定.

1900/1/1 0:00:00
区块链:区块链每日头条|3.30 BTC处于C5浪调整之中_btc短线交易局十大数字货币交易所排名

行情数据 《核财经》统计:截止3月30日11:30,近24小时,全球数字货币交易总额为1198.68亿元,同比大幅上升。根据HuobiPro交易平台数据显示:今天早盘,所有概念板块全线下跌.

1900/1/1 0:00:00
区块链:币圈擎天:8401万枚USDT转入交易所 多空双爆的罪魁祸首究竟是?_USDT价格

擎天:币圈最关注基本面的人 擎天说盘 比特币最高价7753美元,最低价7080美元,现价7207美元,昨日晚上9点一根大阳线爆拉500美元,随后又跌至7100美元,完美演绎一波多空双爆.

1900/1/1 0:00:00
区块链:区块链进入艺术品市场的前景及面临的相关挑战_40亿比特币能提现吗

区块链技术与文化艺术品结合,在去中心化思想和区块链、智能合约的基础上,将杜绝传统的文化艺术品金融产业存在的假货、价高、管理困难、无法追溯等一系列问题.

1900/1/1 0:00:00
区块链:核财经独家|徐昕:关于区块链法律风险的几点思考_区块链存证怎么弄

本文为北京理工大学教授徐昕在核财经“太极论链”第二期沙龙上的演讲,未经本人审阅我是来学习的,谢谢《核财经》给我这样一个学习机会,确实对于这个问题只有一个非常初步了解.

1900/1/1 0:00:00