7月30日,Facebook在最新季度报告中提醒投资人,由于很多因素导致他们可能无法在2020年如期推出Libra数字货币,面临的最大阻力就是监管。
而最让监管机构担忧的便是Facebook面临的一系列安全问题,如何保障用户的隐私安全,如何防止不法分子入侵…
安全是各行业发展面临的首要问题,但绝对的安全是不存在的,只能通过技术让它更安全而已。
浪潮涌起,泥沙俱下。近年来,交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗、私钥丢失等安全事件层出不穷。
白帽汇2018年发布区块链安全报告称,每年因区块链安全漏洞造成的损失高达数十亿美元。目前,近80%的攻击损失都是基于业务层面的攻击所造成的,其损失额度从2017年开始呈现出指数上升的趋势,截止到2018年第一季度,所暴露的安全事件就已经造成了8.1亿美元的损失。
攻击事件大致可分为四类安全事件:共识机制、智能合约、交易平台和用户自身。攻击者主要选择保护相对薄弱的数据层、网络层、共识层、扩展层和业务层进行攻击。
区块链安全与传统互联网安全,既有共性,又有个性,既有交集,也有差异。
墨子区块链安全实验室CEO苗知秋告诉锌链接,区块链安全并不是一个全新的安全范畴,它运用了大量的传统技术。
TZ APAC CEO:区块链和Web 3.0课程数年内将成为中高等教育重要组成部分:5月13日消息,TZ APAC新任首席执行官Colin Miles预计,在未来三到五年内,区块链和Web 3.0课程将开始成为中高等教育中不可或缺的一部分。
近期,TZ APAC与新加坡国立大学(NUS)计算学院达成合作协议。根据协议,该Tezos机构将支持新加坡国立大学新中心Nurturing Computing Excellence的发展。
据悉,新加坡国立大学目前提供深度区块链课程,针对从初学者到首席执行官和中层管理人员的不同层次。其他开设区块链课程的知名大学包括麻省理工学院(MIT)、哈佛大学、牛津大学、康奈尔大学和加州大学伯克利分校。(Cointelegraph)[2022/5/13 3:13:41]
所以,区块链安全与传统安全之间,大部分是重叠的,小部分是区块链技术独有的特点。
从底层代码来说,传统安全与区块链安全大同小异。但是上面的应用层安全,区块链安全带有自身的特性,比如共识机制,使互联网的中心化单点攻击,转变为区块链的大面积攻击。
假设有人要攻击一个网上银行,互联网的方式是入侵某台电脑的服务器、网银地址,修改数据库。
在区块链里,共识机制是至少要篡改超过51%的节点。因为所有节点都依托于一段代码程序,如果程序本身有漏洞,就可以篡改大面积节点。
A股开盘:深证区块链50指数上涨0.68%:金色财经消息,A股开盘,上证指数报3407.59点,开盘上涨0.39%,深证成指报13515.47点,开盘上涨0.87%,深证区块链50指数报3517.28点,开盘上涨0.68%。区块链板块开盘上涨0.18%,数字货币板块开盘上涨0.06%。[2022/1/28 9:19:14]
一个很典型的事件是美图发布的BEC,出现了溢出漏洞,大量超发,导致BEC瞬间归零。相当于一只蚂蚁绊倒了一头大象。
快速入场,火速退场
区块链安全公司的数量多少与区块链行业的发展成正相关。2017年到2018年初,区块链行业处于火热期,很多人挤进来做项目,对安全的需求增多,于是很多区块链安全公司顺势而生,主要有三类:
一个就是传统安全行业转型过来的安全服务商,比如知道创宇、白帽汇;
另一个是安全圈的新力量,因为有了区块链新的场景引发了新的需求也加入进来,比如成都链安;
还有就是互联网安全巨头,比如360。
他们早期以安全研究打开局面,用安全服务、安全开发切入市场,服务主要集中在合约审计、交易所安全、钱包安全、链安全、黑产对抗、威胁预警等领域。
与互联网安全发展相似,区块链安全早期报的漏洞也相对比较少,但随着技术的成熟、业务场景的增长,安全事件也会逐渐增多。
党建+区块链:技术赋能走在时代前列:南方日报今日发表华南农业大学马克思主义学院副教授 黄威威署名文章《“党建+区块链”:技术赋能走在时代前列》,文章指出,去年10月,中国新闻网·人民党建云首次推出《“链”上初心》,让广大党员亲切触链,以新颖的方式体验“党建+区块链”的过程,留下初心、验证初心、不忘初心。“党建+区块链”将是未来区块链应用的一个重要场景,从上网到上链,不断提高党建信息化、数字化、智能化水平,确保我们党始终走在时代前列。“党建+区块链”包括:1、党员信息上链,分布式数据存储实现协同共享;2、党务工作上链,智能合约有效降低成本;3、党费管理上链,分布式记账实现自治性协同;4、党员身份上链,时间戳实现生命链化。[2020/7/6]
随着业务热点的转移,哪个技术用得越多,安全公司研究的方向也会相应变化。
2018年,以太坊为首的智能合约是关注的重点,很多人去研究智能合约。
白帽汇联合创始人、安全负责人邓焕告诉锌链接,“智能合约很简单,像以太坊,几百行代码就能写出一个应用,发行一个代币。有的项目发行代币,基于某个模板改几个参数。只要模板有问题,好几种代币就都存在问题。”
随着切入点越来越深,被爆出来很多链上的设计理念、业务逻辑存在问题。首先在合约或者经济模型设计会存在漏洞,被人利用。此外,底层的安全问题也会逐渐增多。
动态 | 福布斯推出《加密资产与区块链》简报:据talkingbiznews报道,福布斯推出了名为《加密资产与区块链》的简报,将由比特币投资者Jack Tatar负责编辑。该简报订阅费为每年595美元或每季度195美元,不受广告支持。福布斯货币与市场副总裁兼执行编辑Matt Schifrin称,这份简报旨在教育区块链和加密货币的潜在投资者,并提供可操作且有利可图的建议。[2019/2/15]
玩家多了,自然会产生泡沫。知道创宇CTO兼COO杨冀龙告诉锌链接,在市场行情好的时候,存在大量的恶意竞争。比如,合约审计服务甚至出现了打价格战,导致安全产品和服务的价值非常廉价。另外,割韭菜的项目非常多,“一些所谓的安全需求方可能根本不关心他们的安全问题,而只是想发钱买个安全背书”。
泡沫一年之内就被戳破了。2018年,数字货币市场总市值从年初的4889亿美元,下跌至12月13日的1081亿美元,减少了77.89%。
区块链行业开始萎缩,买单的人越来越少,市场上只剩下5、6个头部玩家。一些新型安全创业团队已经销声匿迹,大部分安全公司也减少了对应的投入或者考虑转型。
慢慢地,进来的人发现区块链整个生态和实际应用要发展起来,还有很长的路要走。不做实事的团队,没法在短期内获得收益。如果做实际项目,比如金融、溯源等,可能短期内无法快速落地,需要投入比较长的时间,有些人就打了退堂鼓。
动态 | 11家网络募捐平台尝试区块链等技术和管理创新:8月8日消息,据中青在线报道,腾讯公益、淘宝公益、蚂蚁金服公益、京东公益等11家网络募捐平台上半年筹款超9.8亿元,各平台尝试了区块链、“冷静器”、财务披露组件等一系列技术和管理创新。[2018/8/8]
邓焕告诉锌链接,当时的现象是,很多区块链公司快速入场,又快速退场。整个行业一定是业务先行,市值撑起来才会有安全需求。否则,项目方自己都养活不了,安全公司更没办法生存。
重视不足,区块链安全发展缓慢
前段时间,币安被盗7000个BTC事件。邓焕认为,现阶段存在比较大的问题,是行业内对安全的重视不足,连头部企业也不例外,更别说中小型企业,问题就更多了。在这样一个环境下,区块链安全公司的发展是很缓慢的。
在业务落地过程中,杨冀龙也遇到这些难点。
首先,市场监管不明朗,公司之前做了很多事情都是摸着石头过河。随着今年年初《区块链信息服务备案管理办法》的出台,在监管方面还是需要与监管机构进行积极沟通。
其次,市场波动太大。从2018年初币价创下新高,到2018年底集体抱团过冬,大部分区块链从业者都经历了冰火两重天,导致有部分项目做到一半就停了。
第三,没有统一的标准,无法像成熟的技术领域一样,有完备的规范参考。各个区块链安全团队都是从自己的角度提出对安全的理解,帮助客户做服务,难以保证服务质量。
为了解决这个问题,知道创宇联了区块链产业链上下游以及相关监管部门,结合各自的经验和积累,提出了一些安全评估标准,例如《智能合约审计Checklist》以及硬件钱包评级标准等,同时也参与到相关行业标准的制定中。但区块链安全毕竟起步时间较短,还需要在实践中不断完善。
慢雾科技合伙人兼产品负责人启富告诉锌链接,在区块链圈子里,用户群数量比较少。当你推出一些产品和应用时,真正接触到的用户不多,再加上有些用户门槛比较高,需要一些背景知识,导致得不到很多的用户反馈,得到可行性验证的有效数据就比较少,产品没有办法获得快速认可。
成都链安创始人杨霞告诉锌链接,当前区块链生态比较少,用户的关注点还在业务逻辑上,对安全的关注不够。应该吸取传统信息系统建设的教训,加强全行业的安全教育,采用最新安全理念,即业务系统和安全系统同步建设、同步上线、同步运营。
杨霞认为,安全产品目前侧重于解决某个点上的问题,需要随着区块链技术的落地和规模应用同步发展,逐步形成区块链行业全生态的安全解决方案。
搭建漏洞社区,共建安全生态
当欺诈性泡沫、共识被清理后,区块链技术会更加符合人性,也会有更多创新型的企业和优秀的人加入进来,共同建造出更健康的区块链生态。
目前,区块链安全领域的5个头部玩家分别是派盾、白帽汇、知道创宇、慢雾科技、成都链安。
面对区块链安全的重重困难,他们也选择了不同的发展方向。
派盾、知道创宇、慢雾与成都链安则想要打造区块链安全生态。
派盾的漏洞挖掘能力处于一线水平。其硅谷研发中心负责人Jeff称,漏洞监测覆盖底层公链、交易所、数字钱包、智能合约等区块链生态的各个环节,连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞。
杨冀龙向锌链接介绍,知道创宇主要以云防护专业的区块链安全服务为核心,解决底层基础设施到应用层智能合约和DApp中所面临的安全问题。
知道创宇的优势在于,覆盖面比较广,从节点、链、智能合约、DApp应用、到区块链钱包的安全基本全覆盖。
作为中国最早专注于区块链生态安全的公司,慢雾科技的特长是实战能力强,拥有一支十多年一线网络安全攻防实战的团队。
其安全解决方案包括:安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品。
除了研究全球知名公链如比特币、以太坊等,慢雾还特别深耕以太坊和EOS生态,围绕DApp安全攻防对抗,安全审计与防御的知名智能合约数百份。
成都链安的目标是建立区块链行业全生态的安全解决方案,覆盖了链平台、交易所、钱包、用户等区块链行业的各参与方。
公司建立了全面的面向区块链安全的数据中台,为上层安全产品提供丰富、准确的数据支撑,以与国家区块链漏洞共享平台合作和社区共建的方式建立了自有威胁情报库,为其他安全产品提供情报支撑。
白帽汇的思路是切入漏洞社区。在传统安全领域,白帽汇支撑很多政府监管部门的安全项目;在区块链安全领域,白帽汇成立了DVP去中心化漏洞平台,把在传统安全做漏洞社区的思路放到区块链安全行业,提供合法的渠道,对接安全人员与项目方——安全人员提交漏洞,项目方根据漏洞的等级给其奖励。
至今,平台已经发现了4000漏洞,涉及到交易所、公链、智能合约各方面,比较知名的D网交易所、以太坊公链等也曾由DVP的白帽子发现过严重问题。最近,白帽汇也在与监管机构沟通,制定区块链安全行业标准。
启富告诉锌链接,未来区块链安全领域的攻防对抗会愈演愈烈。随着更多大规模的用户入场,就会有更多资产在区块链上,攻击者会不断盯着交易所等平台,将会有更多类似硬件钱包、金库的手段来保证巨额资产的安全。
另外,随着公链的底层设计越来越完善,底层基础的问题会越来越少,在上面运行的智能合约会越来越安全,可以规避溢出之类的基础问题,常规的漏洞会越来越少。漏洞将会集中在业务逻辑、应用场景方面。
技术往往是第二位的,很多问题是出在管理、制度、流程方面。苗知秋谈道,安全圈早就有一个说法,三分技术七分管理,过于依赖技术,不把人管好,只是把机器管好,最终不能真正解决问题。
归根结底,踏实让区块链技术实现落地应用,解决实际问题,才是最重要的。
尊敬的用户:CEO全球站将于2019年8月1日10:00起对QC主流区交易手续费全部调整为0.1%.
1900/1/1 0:00:00尊敬的GJGlobal用户:GJ.COM是什么?GJ是一家以社交驱动的精品会员交易所,独创社交交易新模式.
1900/1/1 0:00:00在市场争论了数月之久后,随着美联储今年的第五次议息会议正式进入最后24小时倒计时阶段,市场的争吵声音逐渐平息,越来越多的人开始相信,美联储近10年来首度降息真的要来了.
1900/1/1 0:00:00但另一家矿机厂商嘉楠耘智已秘密向美国证券交易委员会递交了上市申请。不过,C叔最近从相关人士处拿到了比特大陆最新的财务资料,不妨和大家分享一下其中一些核心数据.
1900/1/1 0:00:00尊敬的用户:BDW将于2019年7月15日上线TDE/BC。时间安排:TDE开放充值:香港时间2019年7月15日10:00TDE开启交易:香港时间2019年7月15日14:00TDE开启提币:.
1900/1/1 0:00:00亲爱的用户:Binance将从2019年08月01日起支持Qtum的月度持仓返利计划,持仓QTUM将获得QTUM奖励.
1900/1/1 0:00:00