She Knows 訪談 | 2019年白帽、黑客區塊鏈鬥法,誰能掌控網路安全?
She Knows第五期對話嘉賓:蔣旭憲,PeckShield(派盾)創始人,曾任奇虎360公司首席科學家及北卡州立大學計算機系終身教授。Blue,imToken首席安全官,防護雲(安全雲解決方案)創始人兼CTO,前烏雲漏洞平臺CTO。
對話發起人:胡夢迪,巴位元加速器聯合創始人,曾任職於復星和英諾天使。一位美貌與智慧並存的創投小能手,區塊鏈技術產業落地的實踐者。
2018年區塊鏈安全問題頻發,恰恰,區塊鏈與金融密切相關,安全問題一旦爆發意味著使用者資產受到嚴重威脅。2019年,區塊鏈安全有何新趨勢?安全公司的價值體現在哪裡?使用者將如何保護個人資產?2月20日,在She knows微信社群,蔣旭憲和Blue接受了巴位元加速器聯合創始人胡夢迪的犀利提問,全程180分鐘,詳細呈現了區塊鏈行業的安全攻防戰。現將精華內容摘錄如下。
重點1,區塊鏈自帶金融屬性,一旦發生安全問題後果相當嚴重。2018年美鏈BEC智慧合約漏洞爆發,近70億市值一夜蒸發。
重點2,區塊鏈黑客攻擊成常態,一是發展早期從業者安全意識和基礎技能相對薄弱,底層合約程式碼存在較大同質性,出現問題會有連帶威脅;二是區塊鏈的火熱和幣價吸引了黑客注意力,攻擊回報率遠高於網際網路;三是區塊鏈攻擊犯罪成本極低,難以溯源追回。
重點3,極客精神是對技術的極度專研和精通,研究透徹並做到最好。為什麼DApp總是被黑客攻擊?因為黑客比DApp方更懂區塊鏈,更懂底層技術,更願意花費時間去研究和利用。
重點4,開源會使系統更加安全,有更多人關注並參與開發,它必然會使系統更加完善和良性發展。黑客為什麼能發現更多的漏洞並提前利用,這是一個對抗話題。
以下為訪談全文,巴位元資訊編輯:
派盾創始人蔣旭憲:區塊鏈自帶金融屬性,安全防護刻不容緩
She Knows:從傳統網際網路換道區塊鏈安全領域,您為何做出這個選擇?網際網路和區塊鏈的安全風險有哪些差別?區塊鏈安全攻防有哪些新挑戰?
蔣旭憲:平均,每10年左右會發生一次重大的技術變革。1998年的PC網際網路,2008年的移動網際網路,2018的區塊鏈。每一次技術變革都可以說是破壞性創新(disruptive innovation),要麼徹底破壞舊的產業生態,要麼重塑一個新的產業生態,破壞或重塑的過程自然會造成相關標杆企業的興衰。
我在國外高校期間錯過了PC網際網路階段,在360工作期間近距離觀察了移動網際網路,這次創業則完全參與了區塊鏈,這是由來已久的思考。
關於網際網路和區塊鏈在安全上的差別:PC網際網路時代,人們更多關注PC主機和網站伺服器的安全。移動網際網路時代,在上述基礎上又多了移動終端和APP安全及資料隱私要求。歐盟出臺GDPR法案,目的就是針對移動網際網路個人資料的隱私保護。
區塊鏈和網際網路不一樣,在安全和隱私保護上區塊鏈要求更高。首先其自帶金融屬性,一旦發生安全問題後果相當嚴重。去年美鏈BEC智慧合約漏洞造成其近70億市值一夜蒸發。其次,區塊鏈也可能帶來全新的安全問題。2017年WannaCry勒索病毒大行其道,它利用數字資產的匿名性,通過傳播勒索軟體,直接索要比特幣,這在以前不太可能實現。
She Knows:派盾各業務的範疇是什麼,整體佈局和業務重點是怎樣的?蔣旭憲:我們的定位是區塊鏈資料與安全服務商。我們認為安全必須是基於大資料的安排。我們會對各大公鏈資料進行分析整理和彙總,並結合我們多年的安全能力第一時間去感知公鏈上可能存在的安全風險,並且把安全發現和處理能力輸出給各個生態合作伙伴。
去年10月以來,DApp生態得到發展,而阻撓開發者的最大因素就是黑客攻擊,因此我們推出了DAppShield安全盾風控平臺。它可幫助DApp開發者做上線前安全測試,排除已知風險,預警可能的安全攻擊。另外,它支援攻擊發生後的一鍵暫停,儘可能減少資產損失。也能聯合交易所進行資金追蹤,為DApp開發者提供完整的風控、應急響應等服務。
而我們掌握和整理了全網大量的地址標籤,並實時監控鏈上發生的大額異動情況,隨著資料探勘的持續深入,我們也會考慮適時推出AML(反洗錢)服務。
She Knows:2018年開始黑客攻擊成為業內“常態”,您怎麼看這個變化?蔣旭憲:據我們統計,2018年全年以太坊公鏈一共發生了54起安全事故,大部分集中在上半年,安全型別多為交易所安全、智慧合約以及公鏈設計缺陷問題等。EOS公鏈從年中主網上線到2018年年底發生了49起安全事件。絕大多數發生在 DApp。
有幾個原因:
一,區塊鏈發展處於早期,安全意識和基礎技能相對薄弱,底層合約程式碼存在較大同質性,一旦出現問題就會有連帶威脅;
二,2017年下半年和2018年年初的區塊鏈火熱和幣價高漲極大吸引了黑客注意力,攻擊回報率遠超網際網路;
三,區塊鏈攻擊犯罪成本極低,難以溯源追回。
派盾創始人蔣旭憲:DApp問題頻發,區塊鏈發展帶來新的安全挑戰
She Knows:從區塊鏈1.0到以太坊2.0,再到3.0,區塊鏈的安全問題有什麼變化?給攻防帶來了什麼新的挑戰?
蔣旭憲:區塊鏈1.0時代,大家對區塊鏈技術的認知及可能面臨的安全問題欠缺深入理解,存在私鑰丟失或被盜,公鏈安全所需算力不足等問題;
2.0時代,隨著以太坊和大量智慧合約的湧現,合約安全和公鏈效能或可靠性不足成為安全隱患;
3.0時代,EOS和TRON等公鏈興起,追求高併發TPS的平臺開始出現,落地一些實時性互動競猜類應用時,隨機數破解、交易回滾或阻塞等問題出現了。
隨著區塊鏈生態的持續發展和逐漸繁榮,安全問題也會相應變化和隨之升級,並且會和業務場景息息相關。黑客實施攻擊的手段和形式也趨於多樣化和複雜。
但根本上說,對公鏈的核心要求還是需要提供高可靠性、低延遲、和高吞吐量的保障,可以支撐成千上萬的各類區塊鏈DApp應用。DApp開發者要持續提高安全意識,適應攻防的快速迭代。
She Knows:從一開始的以太坊生態安全事件頻發到EOS生態“遭殃”,轉變發生的原因是什麼?在EOS生態中DAPP成為黑客集中攻擊物件,開發者有辦法避免嗎?蔣旭憲:這種安全攻防的轉變和區塊鏈行業的本身發展息息相關。另外,EOS公鏈在某些方面的設計使得DApp開發門檻相對較低,但它確實是一種新鮮的程式設計和執行環境,開發者對其認知程度,包括相關的安全考量和影響,還需要一段時間的沉澱。
目前的現狀是,在某些開發者和DApp開發環節上難免會出現疏漏,單點上容易被攻擊者利用和攻破。很多開發者在開發相關DApp時或許因為沿襲了以前在傳統網際網路或移動網際網路的開發模式,為儘快推動業務上線沒有第一時間重視安全問題。
我們的觀察是,相當一部分攻擊是可以有效避免的。開發者在設計DApp時可以先問自己一個問題:出現了安全有怎樣的應急響應流程?很多團隊缺少這種自問自答。
另外,DApp開發者術業有專攻,建議DApp專案方和專業的安全團隊建立有效的互動,包括合約上線之前的審計、上線後的實時異常檢測,以及攻擊發生後的應急響應等等。
最後,儘量利用社群的經驗避免自己去重複同行以前踩過的坑。
She Knows:底層公鏈在技術設計上的不足和安全漏洞會影響到上面應用的數字資產安全,您有什麼解決方案和建議?蔣旭憲:底層公鏈和鏈上應用DApp是相輔相成和互相成就的關係。
在以太坊上,Fomo3D類遊戲是黑客利用以太坊底層技術存在的不足實施了阻塞攻擊,獲得了大獎,把獎金池裡的錢都取走了。這個問題在以太坊上還沒有太好的解決方案,期待以太坊2.0會有改善。
在EOS上,為了有效支援DApp應用,有一個稱之為“延遲交易”的設計,它是目前各種EOS競猜類DApp遊戲普遍採用的隨機數開獎方式。但由於EOS公鏈設計上的考慮,黑客可以通過交易阻塞的方式來隨意控制開獎交易。這類問題需要排除鏈上可控變數(比如時間因素)參與隨機數生成。目前有不少DApp乾脆採取伺服器開獎方式,但這對遊戲的公平性帶來質疑。
在TRON上,類似的安全問題目前還未披露。但隨著DApp越來越多,使用者量和資金越來越多,預計類似的問題遲早會出現。
imToken首席安全官Blue:區塊鏈安全相當於裸奔,開源使系統更安全
She Knows:與網路安全防護相比,錢包安全防護有什麼異同?
Blue:錢包安全防護算是網路安全防護的一部分。錢包安全主要是盡最大可能保護錢包對應的資產,即保護錢包金鑰、助記詞等不被洩漏。我認為錢包堅持去中心化(由使用者完全掌握資產)是錢包安全的一個比較不錯的出發點,再者就是傳統安全領域的防護,如本地資料儲存安全、網路傳輸安全、節點伺服器安全等。
She Knows:區塊鏈技術以其完全開源的特性,使得黑客可以輕鬆的去探究其漏洞。怎麼看開源和閉源的安全?我個人認為長期來看開源會使得系統更加安全,有更多的人來關注及參與開發,必然會使系統更加完善和良性發展。至於黑客為什麼能發現更多的漏洞並且提前利用,這就是一個對抗的話題了。
She Knows:您曾經說區塊鏈在安全方面相當於在裸奔,如何理解?如何改善區塊鏈安全問題?Blue:對使用者來說,安全掌握自己的資產最為重要。安全意識不足是比較大的問題,經常發生的丟幣事件大多是因為使用者自身沒有安全的儲存私鑰、助記詞造成的。當然還有層出不窮的詐騙事件。
對專案方來講,更多面臨的是黑客攻擊,主要是由於自身開發能力及安全防範不足導致的安全漏洞。
解決方案是使用者做好安全知識學習,對專案方則要使用成熟的區塊鏈開發架構,將安全做為架構的一部分,嚴格遵循。
She Knows:安全專場熱心聽眾提問,在區塊鏈生態裡程式設計使用的程式語言各不相同,程式語言對於安全性的比重有多大?蔣旭憲:目前不少區塊鏈裡的安全問題,是由底層公鏈的設計和實現引入的。比如Fomo3d的阻塞漏洞和EOS上的交易阻塞漏洞,這不是程式語言帶來的。
She Knows:安全專場客座主持人海倫提問,勒索病毒是危害網際網路最嚴重的病毒之一,如何減少勒索病毒侵害?Blue:問題還是出在漏洞。個人及時升級電腦系統,不隨意安裝第三方不可信APP,不瀏覽一些不知名網站,而做好資料備份更重要。我建議不要去付勒索款,資料大概率拿不回來,只會不停加錢。
She Knows:安全專場客座主持人海倫提問,安全公司在發現區塊鏈專案機制漏洞後,釋出的時間一般都有聯合做空之嫌,如何看待這個猜測?
Blue:漏洞報告平臺是一個解決方案,白帽子和廠商在同一個平臺上對話,更安全和流程化;但現階段對漏洞的獎勵還是遠小於漏洞本身的價值。
“黑客”“白帽”鬥法區塊鏈,安全行業確實需要極客精神
She Knows:做安全防護是賺賣白菜的錢,操賣白粉的心,你怎麼看待黑客和白帽?
在面臨的重大選擇上,就是人性和利益的對抗了,在白帽子處於一個不受重視的不良環境中,面臨足夠大的利益時也會做出不好的選擇。所以期望行業繼續重視安全,做好事也能獲得足夠的利益是最好的狀態。
She Knows:您認為全球安全領域最酷炫的黑客是哪一個?為什麼?Blue:雖然在研究技術時會碰到一些敬佩的人,但黑客的世界不能說“最”,求的就是技術突破,用更猥瑣的技巧幹掉老師傅是件比較爽的事情,但也要向前輩致敬。
She Knows:經常有人說安全行業是最具極客精神的一個行業,什麼是極客精神?Blue:極客精神就是追求極致的精神,研究透徹並做到最好。安全行業確實需要極客精神,只有研究透徹才能發現漏洞,找到防護方式。為什麼DApp總是被黑客攻擊?因為黑客比DApp方更懂區塊鏈,更懂底層技術,更願意花費時間去研究和利用。
She Knows:您發現過影響資產規模最大的安全漏洞是什麼?蔣旭憲:在區塊鏈領域我們團隊的安全發現躋身於“以太坊賞金獵人”全球排行榜Top3,還發現了多起EOS公鏈的安全漏洞。不過最讓我們自己震撼的還是去年4月底發現的美鏈BEC智慧合約的漏洞。漏洞被爆出後近70億市值一夜蒸發,我們第一次感受到了在區塊鏈領域安全的重要性。
熊市是重新洗牌的過程,創業者應熊市磨刀,牛市亮劍
She Knows:當下的熊市裡您公司在戰略和戰術上有所調整嗎?怎麼看待當下的行情和市場?
蔣旭憲:當下的行情和市場應該是大浪淘沙淘汰掉一大部分專案,不少人也會離開這個行業,一些投機者的積極性會受到打擊,但這並不會影響真正做事人的熱情。牛市亮劍,熊市磨刀,越是行情不景氣,踏實做事的公司和人越能發揮應有價值。
Blue:熊市很多安全公司都退場了。2018年前半年的安全漏洞頻發,下半年聲音寥寥,不是漏洞沒了,是安全上的投入少了。
我看好區塊鏈技術,但感覺現階段還是以炒幣目的居多,可能要有一個清醒期。
She Knows:2018年另一個顯著變化是多了不少區塊鏈安全服務公司,這個賽道上的產業生態如何?派盾的差異點和競爭優勢是什麼?您是怎麼看待寒冬對安全行業的影響?蔣旭憲:不同安全公司有不同的切入點,大概有以下幾種:
一,鏈上資料分析和安全預警;二,形式化驗證和機器證明;三,安全眾測和威脅情報共享;四,傳統網際網路的安全業務轉型。
這些分類也不是很絕對,未來還會有新的安全方向和業務需求不停冒出來,包括數字資產的反洗錢(AML)服務等。
2018年下半年區塊鏈行業進入寒冬,不少安全公司選擇轉型或退出,這是重新洗牌的過程。
我認為要想在安全服務賽道掌握核心競爭優勢,關鍵要看:一是能否實時感知行業生態各個環節的運轉動態,敏銳洞察可能出現的安全風險狀況,並準確提供必要的預警和防範;二是能否切實解決生態中存在的安全問題,對行業生態的合作伙伴(錢包、交易所、DApp等)提供有感知的,且願意付費的產品和服務。
2019年,區塊鏈安全領域的機會和挑戰
She Knows:2019年,區塊鏈領域會有哪些新的期待點?
1、公鏈、側鏈和跨鏈持續完善,包括閃電網路、Plasma、Polkadot和其它layer2的擴容方案;看看隱私保護是否會快速發展,這會對直接推動區塊鏈落地和支援鏈上應用發展。 2、DApp生態發展,尤其看ETH、EOS、TRON幾大主鏈生態是否能穩固發展。 3、ETF是否會獲批,它直接影響新的資金和流量。 Blue:個人感覺應該有兩個極端值得期待,一是國家的監管及支援,二是匿名的區塊鏈實現。She Knows:2019年安全防護行業有哪些新的期待和挑戰?
Blue:安全防護和業務需求掛勾,有新的技術和業務就有新的防護方式。我比較期待對區塊鏈的整體架構級的防護模式的出現,比如類似傳統網際網路的WAF模式,這能解決大部分的安全問題,不要讓開發去過多的考慮安全,技術漏洞交給架構解決最好,開發只需要多點安全意識。潛在的挑戰應該還是在區塊鏈技術研究上是否能領先“駭客”吧。