7月30日,Facebook在最新季度报告中提醒投资人,由于很多因素导致他们可能无法在2020年如期推出Libra数字货币,面临的最大阻力就是监管。
而最让监管机构担忧的便是Facebook面临的一系列安全问题,如何保障用户的隐私安全,如何防止不法分子入侵…
安全是各行业发展面临的首要问题,但绝对的安全是不存在的,只能通过技术让它更安全而已。
浪潮涌起,泥沙俱下。近年来,交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗、私钥丢失等安全事件层出不穷。
白帽汇2018年发布区块链安全报告称,每年因区块链安全漏洞造成的损失高达数十亿美元。目前,近80%的攻击损失都是基于业务层面的攻击所造成的,其损失额度从2017年开始呈现出指数上升的趋势,截止到2018年第一季度,所暴露的安全事件就已经造成了8.1亿美元的损失。
攻击事件大致可分为四类安全事件:共识机制、智能合约、交易平台和用户自身。攻击者主要选择保护相对薄弱的数据层、网络层、共识层、扩展层和业务层进行攻击。
区块链安全与传统互联网安全,既有共性,又有个性,既有交集,也有差异。
墨子区块链安全实验室CEO苗知秋告诉锌链接,区块链安全并不是一个全新的安全范畴,它运用了大量的传统技术。
欧洲央行报告:CBDC比比特币、稳定币更适合跨境支付:8月3日消息,欧洲央行(ECB)在周一发布的一项研究中表示,央行数字货币(CBDC)可能是跨境支付的“圣杯”,有可能超越市场上的其他任何选择——包括比特币和稳定币。而在稳定币占据中介地位的情况下,比特币是提高跨境支付效率的最糟糕选择。
该研究称,央行数字货币和国内即时支付系统在降低跨境交易成本和即时交易方面潜力最大,并称比特币无法解决跨境支付的挑战,这是由其低效的工作量证明共识机制、高波动性以及被犯罪分子使用等特性导致。
另一方面,根据该研究,就稳定币而言,除了对其非法使用的担忧之外,监管方还担心它会对货币主权和金融稳定构成风险。
研究还指出,开发CBDC的各国央行应在早期阶段讨论互操作性问题,以确保跨境交易的效率。(Forkast)[2022/8/3 2:56:06]
所以,区块链安全与传统安全之间,大部分是重叠的,小部分是区块链技术独有的特点。
从底层代码来说,传统安全与区块链安全大同小异。但是上面的应用层安全,区块链安全带有自身的特性,比如共识机制,使互联网的中心化单点攻击,转变为区块链的大面积攻击。
假设有人要攻击一个网上银行,互联网的方式是入侵某台电脑的服务器、网银地址,修改数据库。
鲍威尔:监管良好的私人发行稳定币可以与CBDC共存:1月22日消息,在上周的参议院听证会之后,鲍威尔在美联储公布其对央行数字货币的初步印象的同一天,回应了银行委员会主要共和党人Pat Toomey的后续问题。
Toomey 询问私人发行的替代品,尤其是现有的稳定币是否可以作为对 CBDC 的检查。虽然鲍威尔对稳定币的态度保守,但他确实坚持认为它们应该能够与尚未探索的CBDC共存,其表示:“一个关键问题是 CBDC 是否会比替代方法更有效地产生收益。这些替代方法可能包括对现有美国支付系统的改进。替代方法还可能包括设计良好且受到适当监管的稳定币。监管良好的私人发行的稳定币可以与 CBDC 共存。未来,CBDC、稳定币和其他形式的货币有可能满足不同的需求或偏好。对所有形式的货币进行精心设计和适当监管非常重要。”[2022/1/22 9:05:46]
在区块链里,共识机制是至少要篡改超过51%的节点。因为所有节点都依托于一段代码程序,如果程序本身有漏洞,就可以篡改大面积节点。
一个很典型的事件是美图发布的BEC,出现了溢出漏洞,大量超发,导致BEC瞬间归零。相当于一只蚂蚁绊倒了一头大象。
快速入场,火速退场
区块链安全公司的数量多少与区块链行业的发展成正相关。2017年到2018年初,区块链行业处于火热期,很多人挤进来做项目,对安全的需求增多,于是很多区块链安全公司顺势而生,主要有三类:
工银国际董事总经理程实:CBDC需注重三个方向进化:10月13日消息,工银国际首席经济学家、董事总经理程实和工银国际金融科技分析师高欣弘在FT中文网撰文《央行数字货币如何从虚拟走向现实?》,文章指出,CBDC除了在优化自身基础性能之外,更需要注重三个方向进化,成为一个可供选择的、有所提升的以及无损害的新型货币解决方案。在主观力量与客观趋势的双重作用之下,CBDC(央行数字货币)从虚拟走向现实已是大势所趋。然而CBDC作为一个外生事物,在融入现有金融生态的过程中必然会产生多重摩擦成本,那么央行应当如何最小化潜在的摩擦成本,实现CBDC软着陆, 为实现这一目标,CBDC需要朝着可供选择(alternative)、有所提升的(better)以及无损害的(harmless)的方向进化。[2021/10/13 20:24:36]
一个就是传统安全行业转型过来的安全服务商,比如知道创宇、白帽汇;
另一个是安全圈的新力量,因为有了区块链新的场景引发了新的需求也加入进来,比如成都链安;
还有就是互联网安全巨头,比如360。
他们早期以安全研究打开局面,用安全服务、安全开发切入市场,服务主要集中在合约审计、交易所安全、钱包安全、链安全、黑产对抗、威胁预警等领域。
动态 | 霍尼韦尔新电子商务平台采用区块链技术:据prnewswire报道,霍尼韦尔(Honeywell)的新电子商务平台GoDirect Trade通过采用区块链技术实现了航空零件在线购买和销售的现代化。该平台将提供透明的定价,将改善航空公司、航空运输和公务航空客户获得新旧飞机零件的方式。[2018/12/18]
与互联网安全发展相似,区块链安全早期报的漏洞也相对比较少,但随着技术的成熟、业务场景的增长,安全事件也会逐渐增多。
随着业务热点的转移,哪个技术用得越多,安全公司研究的方向也会相应变化。
2018年,以太坊为首的智能合约是关注的重点,很多人去研究智能合约。
白帽汇联合创始人、安全负责人邓焕告诉锌链接,“智能合约很简单,像以太坊,几百行代码就能写出一个应用,发行一个代币。有的项目发行代币,基于某个模板改几个参数。只要模板有问题,好几种代币就都存在问题。”
随着切入点越来越深,被爆出来很多链上的设计理念、业务逻辑存在问题。首先在合约或者经济模型设计会存在漏洞,被人利用。此外,底层的安全问题也会逐渐增多。
玩家多了,自然会产生泡沫。知道创宇CTO兼COO杨冀龙告诉锌链接,在市场行情好的时候,存在大量的恶意竞争。比如,合约审计服务甚至出现了打价格战,导致安全产品和服务的价值非常廉价。另外,割韭菜的项目非常多,“一些所谓的安全需求方可能根本不关心他们的安全问题,而只是想发钱买个安全背书”。
现场 | 北邮在线数字经济研究员:区块链技术能够让人快速达成共识:金色财经现场报道,中部区块链大会暨区块链应用促进委员会成立新闻发布会今日在长沙举办,北邮在线数字经济研究院研究员黄若诚在会议中提到,全社会所有人都能参与进来,用区块链技术达成共识——数学算法能够快速让人产生认同。 他认为,区块链经济的本质是:更为清晰的价值记录(行为数据化、数据资产化);更为高效的价值互联(资产货币化、跨时空流转);更为公平的价值互配(货币资本主义-全要素资本主义);更为可信的履约机制(智能合约、机器信任) 和更为柔性的组织协作(分布式协作、社区化协作)。[2018/9/26]
泡沫一年之内就被戳破了。2018年,数字货币市场总市值从年初的4889亿美元,下跌至12月13日的1081亿美元,减少了77.89%。
区块链行业开始萎缩,买单的人越来越少,市场上只剩下5、6个头部玩家。一些新型安全创业团队已经销声匿迹,大部分安全公司也减少了对应的投入或者考虑转型。
慢慢地,进来的人发现区块链整个生态和实际应用要发展起来,还有很长的路要走。不做实事的团队,没法在短期内获得收益。如果做实际项目,比如金融、溯源等,可能短期内无法快速落地,需要投入比较长的时间,有些人就打了退堂鼓。
邓焕告诉锌链接,当时的现象是,很多区块链公司快速入场,又快速退场。整个行业一定是业务先行,市值撑起来才会有安全需求。否则,项目方自己都养活不了,安全公司更没办法生存。
重视不足,区块链安全发展缓慢
前段时间,币安被盗7000个BTC事件。邓焕认为,现阶段存在比较大的问题,是行业内对安全的重视不足,连头部企业也不例外,更别说中小型企业,问题就更多了。在这样一个环境下,区块链安全公司的发展是很缓慢的。
在业务落地过程中,杨冀龙也遇到这些难点。
首先,市场监管不明朗,公司之前做了很多事情都是摸着石头过河。随着今年年初《区块链信息服务备案管理办法》的出台,在监管方面还是需要与监管机构进行积极沟通。
其次,市场波动太大。从2018年初币价创下新高,到2018年底集体抱团过冬,大部分区块链从业者都经历了冰火两重天,导致有部分项目做到一半就停了。
第三,没有统一的标准,无法像成熟的技术领域一样,有完备的规范参考。各个区块链安全团队都是从自己的角度提出对安全的理解,帮助客户做服务,难以保证服务质量。
为了解决这个问题,知道创宇联了区块链产业链上下游以及相关监管部门,结合各自的经验和积累,提出了一些安全评估标准,例如《智能合约审计Checklist》以及硬件钱包评级标准等,同时也参与到相关行业标准的制定中。但区块链安全毕竟起步时间较短,还需要在实践中不断完善。
慢雾科技合伙人兼产品负责人启富告诉锌链接,在区块链圈子里,用户群数量比较少。当你推出一些产品和应用时,真正接触到的用户不多,再加上有些用户门槛比较高,需要一些背景知识,导致得不到很多的用户反馈,得到可行性验证的有效数据就比较少,产品没有办法获得快速认可。
成都链安创始人杨霞告诉锌链接,当前区块链生态比较少,用户的关注点还在业务逻辑上,对安全的关注不够。应该吸取传统信息系统建设的教训,加强全行业的安全教育,采用最新安全理念,即业务系统和安全系统同步建设、同步上线、同步运营。
杨霞认为,安全产品目前侧重于解决某个点上的问题,需要随着区块链技术的落地和规模应用同步发展,逐步形成区块链行业全生态的安全解决方案。
搭建漏洞社区,共建安全生态
当欺诈性泡沫、共识被清理后,区块链技术会更加符合人性,也会有更多创新型的企业和优秀的人加入进来,共同建造出更健康的区块链生态。
目前,区块链安全领域的5个头部玩家分别是派盾、白帽汇、知道创宇、慢雾科技、成都链安。
面对区块链安全的重重困难,他们也选择了不同的发展方向。
派盾、知道创宇、慢雾与成都链安则想要打造区块链安全生态。
派盾的漏洞挖掘能力处于一线水平。其硅谷研发中心负责人Jeff称,漏洞监测覆盖底层公链、交易所、数字钱包、智能合约等区块链生态的各个环节,连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞。
杨冀龙向锌链接介绍,知道创宇主要以云防护专业的区块链安全服务为核心,解决底层基础设施到应用层智能合约和DApp中所面临的安全问题。
知道创宇的优势在于,覆盖面比较广,从节点、链、智能合约、DApp应用、到区块链钱包的安全基本全覆盖。
作为中国最早专注于区块链生态安全的公司,慢雾科技的特长是实战能力强,拥有一支十多年一线网络安全攻防实战的团队。
其安全解决方案包括:安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品。
除了研究全球知名公链如比特币、以太坊等,慢雾还特别深耕以太坊和EOS生态,围绕DApp安全攻防对抗,安全审计与防御的知名智能合约数百份。
成都链安的目标是建立区块链行业全生态的安全解决方案,覆盖了链平台、交易所、钱包、用户等区块链行业的各参与方。
公司建立了全面的面向区块链安全的数据中台,为上层安全产品提供丰富、准确的数据支撑,以与国家区块链漏洞共享平台合作和社区共建的方式建立了自有威胁情报库,为其他安全产品提供情报支撑。
白帽汇的思路是切入漏洞社区。在传统安全领域,白帽汇支撑很多政府监管部门的安全项目;在区块链安全领域,白帽汇成立了DVP去中心化漏洞平台,把在传统安全做漏洞社区的思路放到区块链安全行业,提供合法的渠道,对接安全人员与项目方——安全人员提交漏洞,项目方根据漏洞的等级给其奖励。
至今,平台已经发现了4000漏洞,涉及到交易所、公链、智能合约各方面,比较知名的D网交易所、以太坊公链等也曾由DVP的白帽子发现过严重问题。最近,白帽汇也在与监管机构沟通,制定区块链安全行业标准。
启富告诉锌链接,未来区块链安全领域的攻防对抗会愈演愈烈。随着更多大规模的用户入场,就会有更多资产在区块链上,攻击者会不断盯着交易所等平台,将会有更多类似硬件钱包、金库的手段来保证巨额资产的安全。
另外,随着公链的底层设计越来越完善,底层基础的问题会越来越少,在上面运行的智能合约会越来越安全,可以规避溢出之类的基础问题,常规的漏洞会越来越少。漏洞将会集中在业务逻辑、应用场景方面。
技术往往是第二位的,很多问题是出在管理、制度、流程方面。苗知秋谈道,安全圈早就有一个说法,三分技术七分管理,过于依赖技术,不把人管好,只是把机器管好,最终不能真正解决问题。
归根结底,踏实让区块链技术实现落地应用,解决实际问题,才是最重要的。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。