9月5日,由Odaily星球日报主办、36Kr集团战略协办的P.O.D大会在北京举行。在大会安全分论坛上,星球日报资深分析师郝方舟正式发布了《2018年区块链技术安全服务行业报告》,并做了专题演讲。《2018年区块链技术安全服务行业报告》按照“事件回顾-攻击方式-防御策略”的逻辑顺序,分析交易所、智能合约、钱包、矿池这些业务场景对应的安全问题,并探讨区块链安全服务行业的概况与企业案例。在分享中,郝方舟介绍了星球日报研究院的一些发现,比如黑客攻击去中心化的平台所用的方式,和传统的中心化平台很不一样,有的时候还要靠一些创新的思维,他举了黑客今年攻击币安和Fomo3D的例子,黑客甚至用到了金融知识,以及抓住底层设计机制的漏洞。根据他的研究,区块链安全事件的高发地集中在业务层和合约层,从业务线来说则是交易平台还有智能合约。郝方舟还提出,“中心化交易平台可能的演变路径是拥抱监管,同时也要向银行等传统金融机构靠近,包括做好实名、托管、建立自己的物理防御机制”。以下是演讲全文,enjoy:各位嘉宾下午好,欢迎大家来到安全分会场。我们星球研究院一直希望用更直观方式向大家呈现更真实的区块链世界。我们制作的一个系列叫《星球图说》,就是用图谱展示了行业结构、大公司布局、代码抄袭等等问题,有些人在朋友圈见过这些图。今天我在这里代表研究院发布2018年区块链技术安全服务行业报告。安全是一个相对的概念,在他对立面是风险,但是这两个词比较抽象,于是我们在脑海中希望化成一个更具像概念,所以安全和风险长什么模样?攻防双方角色切换是足球运动中的一个核心,这个核心也就是对球的控制权。我们现在把这套逻辑平移到区块链安全里来,会发现核心是对信息和资产的控制权,在中间一圈保卫安全的是矿和链,更外层一圈就是各类风险,这其中包括技术风险,政策风险,道德风险,投机风险,操作风险等等。风险具有一定的特点,往往是多点复合,意想不到又层出不穷的,这就需要安全要是全方位多流程多环节的。可是很重要的安全问题,往往却没有得到重视。我们会发现,权责往往是发生不清的,标准很难量化,所以我们在写文章的时候经常问到一个问题,说安全问题有点像是薛定谔的安全,这什么意思?就是只有在出事的时候我们才会意识到这个问题有多么严重,但是在出事之前,我们不知道一个公司一个产品,或者一项服务他们安全其实是很难判定的中间态。说到这里,我们还要先明确一下,当我们谈到网络安全的时候,攻防角色谁来扮演,攻比较好理解,一般就是黑客,防守有政府,有企业,有第三方安全公司,也有用户自己。在这里我想问一下在座各位,有人曾经遭遇过数字资产被盗的事情吗。忘记私钥的不算,没有是吧,那有人的法币资产在网上被盗过吗,不管是网银、P2P或者是支付宝?大家从来没有遭遇过这件事情。其实我们从数据面上来看,现在数字资产总市值已经超过了2300亿美金。根据腾讯安全还有知道创宇上半年的报告,在7月份之前,数字资产被盗的金额差不多是在11亿美金,这就是说上半年丢币的差不多是在千分之五。库神的数据好像在这个之上,如果是比较中心化的体系,其实中心化的攻防是经过更严谨的攻防测试而来的,一般是有法律保障和金融机构的赔偿,线上资产往往跟线下实物进行绑定。所以黑客要是从直接进攻互联网其实是很难的事情,反而走线下比较简单一点。区块链在防守上也有优势,具体体现在“经济机制加防”,举个51%攻击的例子,当你有能力进攻网络时,要付出的成本已经高于能获得的收益。“去中心化”就说,黑客毁掉一个节点,数据还在其他地方有备份。同时,匿名和分散也让攻击者更难找到理想的目标。所以,想进攻区块链,有时要靠一些创新手段。这里我举两个例子,第一个是今年3月份的“币安事件”,应该是3月7日凌晨,当时黑客是从API攻入,提前在其他交易所埋好空单,根本不需要从币安这块提现,这种是属于技术结合一些金融工具的创新手段。第二个例子大家刚才讲的Fomo3D。当这个结束之后,很多人怀疑黑客把其他玩家挤出去,最终获得大笔的奖金,这种是结合底层设计机制的玩法。因为链上不仅有信息还有价值,再加上代码不太完善,现在很多机构并没有宣传的那么全面,相关政策还是暂时缺席状态,就造成一旦失守,造成巨额经济损失。区块链的不安全有一部分来自主观原因,就是大家的重视程度还不够,基本上入局的投资者都是稍微有一点点闲钱的人,真正卖房进场的人还是少数。那么具体怎么做防护呢?进攻的突破口一般都是防守建立要塞的位置。现在我们看到一张图,分别是2011年到今年,以及今年7月份之前,区块链受攻击的面和点的分析。按技术架构分,业务层&合约层是重灾区。按业务场景,交易平台&智能合约是事故高发地。为方便读者理解,我们在分类时,参考了安全服务公司的视角,也按行业需求和业务场景讨论。所以,报告以“从事件回顾,到攻击方式,再到防御策略”的逻辑顺序,分析了交易所、智能合约、钱包、矿池这些业务场景对应的区块链技术安全问题。报告中这一part的信息量比较大,我只挑两个小点在这里简单分享下:先聊交易所。去中心化交易所入场,就是瞄准了中心化交易所存在的安全痛点。他们下一步的重心应该是把体验做好,获取更大的流量。中心化交易所的演变方向,应该是靠近银行等传统金融机构,做好实名、KYC、托管、冷热隔离解决方案和其他物理防御。再说智能合约。智能合约一旦运行就无法修改,所以代码审计、形式化验证越来越重要。公链们,还要考虑到底层设计、token经济上可能出现的安全问题,最好提前咨询安全团队。安全服务,更早介入到区块链项目中,也将成为一个趋势。报告中还有更多结论,这里就不展开了。在报告的最后一part,我们梳理了区块链技术安全服务行业的概况和典型企业。发现大家各有切入角度和擅长领域,有的侧重形式化验证,发布了自动检测引擎;有的注重生态的安全性和隐私性;很多做冷钱包起家的公司则专于私钥安全存储方案;也有项目用去中心化的思路,吸引极客,建立社群,一起检查和修复漏洞。我们在收录的10家区块链安全服务代表企业中,选取了五个典型案例,做了采访和分析,这个部分也包含了大佬们输出的经验和观点。最后,要感谢接受我们采访,给予智慧支持,并对报告提出指导意见的库神、慢雾、知道创宇、PeckShield、360、CertiK、曲速未来、安全链、Bepel。也感谢我同事,这篇报告的主笔,分析师李雪婷。我也做个小预告,更多的研报、图说、新闻报道、项目介绍和深度文章已经在路上。谢谢大家!相关阅读:星球研报|2018年区块链技术安全服务行业报告
AAC今日上线“加密星球”:据官方消息,AAC今日正式上线AAC PASS“加密星球”,用户通过质押AAC即可获得加密星球上不同种族NFT(AAC PASS),目前包括恒星族、行星族和卫星族。
据悉,用户质押“加密星球”不同种族的NFT,可获得不同的权益奖励。此外,“火力值计划”也同步开启,持有任一种族NFT,即可邀请他人成为加密星球一员,并组建自己的联盟。[2022/10/11 10:31:10]
sLendhub星球创世挖矿即将开启:官方消息,sLendhub星球创世挖矿将在4月20日16:00在SuperNova正式开启; 第一阶段用户可以组建LHB/sHT的LP流动性挖矿获取LHB的预挖收益。sLHB是1:1锚定LHB价值的算法稳定币,初始流通量为2100枚,未来将广泛应用于超新星宇宙中的跨链资产转换、无抵押借贷、游戏应用等诸多场景中。当流动性达成50万美金后可开启第二阶段无损挖矿及LP挖取2500枚SHARE收益。
LendHub 是基于火币生态链的去中心化借贷平台。SUPERNOVA.CASH(超新星现金)是实验性算法稳定币多重宇宙的重要组成部分。[2021/4/20 20:39:34]
超级星球代币GDP价格“归零”,被质疑跑路:近日数字货币项目超级星球GDP价格“归零”,行情软件显示其价格为0.009元/枚,一年内跌近90%。超级星球官方微博“超级星球Hyperland”不乏有质疑是否已跑路的声音,该项目维权群也已经建立,成员数百人。
此外,在超级星球APP里,唯一还在售的理财项目为MOF星球,购买该理财项目需勾选阅读并接受《可转换债券协议》,协议显示,债券本金总额限于7000QC,年利率高达100%-250%。一位区块链行业资深律师对对此表示,这种数字货币理财模式有法律风险,发行可转换债券,实际上就是一种变相ICO(首次代币发行)。(每日经济新闻)[2020/3/31]
动态 | 知识星球成员发现疑似盗取交易所USDT代币的攻击?为:慢雾区知识星球成员2345新科技研究院区块链实验室观测到?起疑似盗取交易所USDT代币的攻击?为,攻击者利?交易所对USDT交易转账的判断逻辑缺陷,恶意构造虚假转账盗取交易所代币。该实验室已跟踪?例疑似恶意攻击者的钱包地址:16k5MgZHm2yxiKzrdeaY2vmn13xSSu5xg6,发现该攻击者仍然在持续的构造虚假交易,推测该攻击者很有可能已经从某些交易所?法获利。随着区块扫描的深?更多的疑似恶意钱包地址被发现。
2345新科技研究院区块链实验室就此事对各交易所提出四点建议:一、?查 USDT 处理逻辑,?即安排功能下线修正并且排查历史 USDT 交易记录;二、引?专业代码审计,提升代码的健壮性;三、提升开发?员对于区块链技术的基本认知,避免错误的认知导致错误的结果;四、提升交易所整体?险控制流程,对于疑似?险交易予以拦截。[2018/7/4]
玩家网回应网易星球 愿拿出2000万做赔偿:玩家网回应网易:网易星球打着区块链的旗号,收集用户隐私信息,用户上传个人信息得到的黑钻却不让自由交易,是违法的,玩家网保留追究网易法律责任的权利,建议网易下架星球产品或者开放黑钻提现和交易。网易星球永久下架后,玩家网将第一时间拿出2000万赔偿因网易不诚信导致的客户损失,交易黑钻盈利客户不必归还盈利。[2018/2/10]
本文来自:白话区块链,作者:飞鱼,星球日报经授权转发。在区块链世界中,发起51%算力攻击无疑是对Token最致命的打击.
1900/1/1 0:00:00据Trustnodes报道,受监管的瑞士银行Dukascopy近日宣布,他们将基于以太坊发行200亿个Dukascoins,并推出法定货币的锚定币Dukasnotes.
1900/1/1 0:00:00编者按:本文来自橙皮书,作者:orangefans,星球日报经授权转载。那天听《机核》(一个综合性游戏网站)的一个podcast,讲到「下水道」这个主题,觉得很有意思,而且让我想到了一些跟区块链.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,作者:TatianaKoffman,证券型代币专家,风险投资人,编译:PerryWang,星球日报经授权发布。新一代的代币正在不断涌现.
1900/1/1 0:00:00据CCN8月25日报道,当前,菲律宾、泰国和韩国纷纷在区块链领域加码,都想在其国内打造出一个亚洲版加密谷,以成为亚洲的区块链中心.
1900/1/1 0:00:00编者按:本文来自链塔智库,作者:链塔智库分析师团队、清华大学互联网产业研究院,星球日报经授权发布.
1900/1/1 0:00:00