漏洞不休,黑客不眠 | 区块链江湖的攻防战

杭链财经
媒体专栏
热度: 24411
「没有一个绝对的安全系统」这是网络安全领域的一句警语,也是黑客对安全防护的戏谑。

慢雾科技


作者|视界

编辑|Steven lin


「没有一个绝对的安全系统」

这是网络安全领域的一句警语,也是黑客对安全防护的戏谑。

据国家信息安全共享平台(CNVD)数据显示,2019年平台所收录的安全漏洞数量达到16,193个,同比增长14.0%,创下了历史新高。    

慢雾科技CNVD 收录的安全漏洞数量对比(来源:CNCERTCC)

每一个暴露的漏洞,都可能成为黑客眼中的猎物,相比传统互联网的安全防护,在区块链加密货币领域,黑客成为了这里的蛮荒收割者。

2011年6月,Allinvain被盗走了25000个比特币,成为了比特币历史上第一个因为黑客攻击而遭受重大损失的玩家。

2014年2月7日,当时世界上最大的比特币交易所MtGOX(占据全球70%的比特币交易量),因为安全软件漏洞被黑客入侵,损失了85万个比特币,价值达到4.7亿美金,两周后,交易所申请破产,网站关停,众多投资者血本无归。

2016年6月15日,如日中天的The DAO 在半个月的时间里便筹得了价值1亿美金的以太币,仅仅3天后,一名黑客利用合约漏洞盗走了360万个ETH。

为了弥补损失,太坊基金会提出了硬分叉升级,这也造成了社区的分裂,催生出了现在的ETC与ETH。

9月10日凌晨,EOS生态下的DeFi流动性挖矿项目“珊瑚”(wRAM)遭到黑客攻击,损失逾12万的EOS。

根据慢雾科技统计,截至目前,在区块链领域,因为安全事件造成的损失超过了133亿美元,其中DAPP和交易所领域属于重灾区。    

慢雾科技来源:慢雾科技 hacked.slowmist

频发的安全事故不仅仅影响着投资者的数字资产安全,也影响着行业里各项基础设施的推进,而行业的良性发展也一定是建立在安全与信心的基础上。

从2018年开始,区块链安全服务企业开始涌现,其中既有老牌互联网大厂,也有新生代的佼佼者,他们开始构建起第一道防线,并在行业生态中扮演起越来越重要的角色。    

慢雾科技   区块链行业网络安全企业(部分) 来源:赛迪区块链研究院


01 威胁


区块链作为一种多技术交叉的复合产物,在各种层面上都面临着理论和实践上的安全威胁。

与早期的互联网发展类似,区块链安全早期出现的安全事件并不多,后来伴随技术的发展催生了更多的业务场景,也引发了更多的安全事件。

慢雾科技   区块链行业重大安全事故数量 来源:dvpnet.on

自从以太坊开启了区块链2.0时代以来,智能合约就成为区块链行业中的关键核心,同时它也成为了最易被黑客盯上的目标。

从2016年The DAO事件中360万以太币被盗,到2017年Parity钱包因多重签名钱包合约漏洞导致上亿美元资金被冻结、2018年美链BEC因为合约问题导致百亿美金瞬时归零,再到前不久的YAM因为合约漏洞致使币价24小时暴跌99%,智能合约始终面临黑客威胁的重灾区。

从区块链体系架构来看,目前,区块链面临的安全问题可以概括为六个层面:数据层,网络层,共识层,应用层(业务层),合约层和激励层。其中最基础的是数据层,而安全问题最多的地方则来自来自合约层。    

慢雾科技   区块链安全问题概览 来源:自动化学报

根据老牌代码安全审计机构NCC Group总结,智能合约中出现频率最高的10类安全问题分别是:代码重入(The DAO事件主因)、访问控制、整数溢出(美链BEC事件主因)、不安全函数调用返回值(Parity钱包事件主因)、拒绝服务、可预测的随机处理、竞争条件/非法预先交易、时间戳攻击、短地址攻击以及其他未知漏洞类型。

另一方面,我们从区块链的行业生态划分来看,目前,安全问题主要集中在五个细分行业:交易所、矿池、钱包和区块链底层技术。其中,交易所作为加密货币的主要流通场所,是最容易被黑客觊觎的对象。

据区块链安全公司成都链安数据显示,在 2019 年内,就有共计27起交易所安全事件,其中超过7成属于交易所被盗事件,其余则包括交易所跑路、员工贪污、“内鬼”洗劫、创始人突然去世等花式“漏洞”,造成的损失高达8亿美元。

前不久,EOS下的DeFi项目EMD跑路,共转移78万USDT、49万EOS及5.6万DFS,其中有12.1万EOS已经转移到changenow 洗币平台。

技术BUG易除,人性BUG难平,是对花式“漏洞”最好的诠释。    

慢雾科技2019交易所安全事件 来源:成都链安

因为共识安全薄弱、隐私泄露、系统漏洞等问题,使得区块链行业生态的始终在泥潭中前进。加之加密货币处于监管的灰色地带,使得黑客几乎可以为所欲为,行业俨然成为了黑客的狩猎场。

对于区块链安全的启蒙,不是对行业光明未来的想象而是对黑暗的知觉。


02 安全服务


从2018年以来,国内的区块链企业开始不断涌现。

按照业务专注程度划分,我们可以分为区块链安全实验室和区块链安全企业。

前者更多的是致力于漏洞信息的收集、安全监测和技术研究等方向,目前行业内知名的有360区块链安全实验室、苗知秋博士创立的墨子安全实验室、前中科大副教授郭宇创立的安比(SECBIT)实验室等。

后者,通过提供区块链基础安全建设服务、安全测试服务、上币安全审计服务、安全监测服务、应急响应等,直接嵌入到了区块链行业生态之中。主要的企业有慢雾科技、派盾科技、Certik、零时科技、成都链安、北京链安、降维安全等新生力量 ,也有传统安全服务企业奇信安、360、知道创宇、白帽汇等。

    

慢雾科技360区块链安全平台

在上币审计方面,慢雾科技、派盾科技、Certik、零时科技、成都链安等头部玩家都与几大头部交易所都达成了深度合作,进行上币的项目往往需要通过这几家机构的安全审计报告。

区块链安全审计一般来说,包含有代码漏洞排查、语义一致性排查、攻防测试、可组合性业务逻辑性风险排查、通证模型及账户体系安全排查等审计流程。

    

慢雾科技交易所钱包安全审计项目 来源:可信区块链推进计划

区块链安全服务与传统互联网安全服务相比,彼此既有共性也有差异。交易平台主要采用网站和App的形式,所以针对交易平台的安全防护更加偏传统模式。而涉及到智能合约、共识机制等区块链技术问题,则与传统安全就有很大不同。

墨子安全实验室苗知秋在接受杭链财经采访表示,这两者直接主要区别在于运行环境不同,“区块链是无中心或弱中心的分布式环境,传统互联网安全一般是面向中心化运行环境”。

过去PC互联网安全问题主要存在于主机和网站服务器层面,移动互联网安全则体现在手机和隐私数据层面,到了区块链时代,不仅代码是完全开源的,数字货币的上链催生了新的安全问题。

“这种安全不仅反映在代码层面,还反应在产品自身经济模型设计的业务逻辑方面的问题”派盾科技品牌负责人郝天告诉杭链财经。

慢雾科技    

由于区块链和数字货币的紧密联系,使得安全审计成为了区块链生态发展必不可少一环。

慢雾科技合伙人启富在接受杭链财经采访时表示“区块链自带金融属性,没有国家监管背书,被盗币后溯源找回资金很难。对于项目方来说,安全审计就是对于自身漏洞的排查,可以在产品上线前将安全风险降到最低”。    

慢雾科技   但安全防护始终是一个动态的过程,要做的是防微杜渐。

安全既是动态的,也是相对的绝对的安全是不存在的,因此在现实中,安全是一项没有尽头的工作。我们所能做的是尽可能降低系统的安全风险,实现在一定时空范围内的安全”苗知秋博士这样认为。

而这个空间范围的安全性,总会跟着市场的热度随时走,同时跟着市场热度走的还有黑客,从早期的交易所到公链再到DAPP,再到现在的DeFi。


03 DeFi的安全威胁


与DeFi的热度一同持续的,还有黑客的热情。

今年4月18日,去中心化交易所Uniswap 被黑客攻击,损失 1278 枚 ETH(价值约 22 万美元)。一天后,国产 DeFi 借贷协议 Lendf.Me被曝遭受黑客攻击,24小时内,锁仓资产价值从近2500万美元下跌至6美元。

虽然后续资金被追回,但足以说明DeFi市场安全防护的空缺。

月29日凌晨,Balancer(DEX)项目的两个资金池遭受攻击。攻击者在此次事件中获利约46万美元,资金池市商损失约50万美元。

有人不禁感叹“DeFi 平台不作恶,奈何扛不住黑客太多”。

DeFi作为一个快速迭代的领域,各方DeFi团队都在开发自己的合约产品,但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格的安全审计,这就导致了各种合约漏洞与相关安全问题层出不穷。

“DeFi智能合约的安全问题如深海暗礁”派盾科技郝天这样评价DeFi所面临的问题。

此外,由于由于DeFi平台上的资金可以跨平台流动,市场内也就出现了很多乐高积木式的组合型平台,单个平台的模式创新很可能在其他平台内产生漏洞风险。    

慢雾科技    据咨询公司 Prysm Group 合伙人Johnny Antos介绍,目前DeFi 项目安全威胁主要有四种:

  • 一是预言机在DeFi中的激励兼容性问题。DeFi 通常依赖于某种形式的预言机,预言机的模型与数据安全会直接影响DeFi项目安全性。
  • 二是DeFi的定价和拍卖机制问题。DeFi 系统通常需要各种金融工具的定价和拍卖机制。劣质的拍卖设计不仅会导致低效率,也会伤及整个系统的安全。
  • 三是代币价值的相关性问题。DeFi的金融服务往往和其他数字货币的价格有着直接的联系。这样一来,黑客就可以操作相关代币价格来获利。
  • 四是DeFi的危机治理问题。在DeFi领域,大多数项目往往只注重业务端,缺少故障保护、危机治理等后备方案,让黑客很容易入侵。


慢雾科技创始人余弦也谈过“区块链业务发展初期的的公司,往往会把用户量和业务发展放在第一位,这是各种安全问题频发的原因”。

据DeBank数据显示,从今年一月以来,DeFi锁仓总价值增长了12倍,总价值达到了104.7亿美元。不出所料的话,伴随DeFi价值的增加,所面临的黑客攻击也将会大幅增加。    

慢雾科技近一年DeFi锁仓总价值情况 来源:DeBank

面对DeFi领域日益增加的安全威胁,有业内人士认为,想要维护项目的安全,除了需要选择靠谱的安全公司进行审计外,还需要在代码和业务逻辑上下足功夫,最重要的是要快速更新迭代,尽早发现问题,尽早优化升级。

DeFi 赛道因其可组合、可扩展、可落地的一系列金融特性,成为了传统金融接轨区块链技术的焦点领域。但它在打开未来波澜壮阔般应用前景的同时,也在埋下了危机的种子。

这个种子有智能合约潜在安全漏洞造成的黑客攻击问题,有因币价波动导致的平台清算问题,有链下信息黑洞问题,也有因中心化资产托管潜在的跑路问题等等。

换一个角度来看,这也是 DeFi 市场从小众走向主流,从草莽走向成熟要必须经历的一个过程。

而对于整个区块链行业来说,目前围绕安全所做的攻防,依旧处于“兵来将挡水来土掩”的1.0阶段,能否建立起一套严格安全审计标准与流程,实现“安全前置”,决定了区块链行业发展能达到怎样的深度。

安全不仅仅是区块链行业发展的补充,而是所有0前面的1。

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。
转载请联系网页底部:内容合作栏目,邮件进行授权。授权后转载时请注明出处、作者和本文链接。 未经许可擅自转载本站文章,将追究相关法律责任,侵权必究。
提示:投资有风险,入市须谨慎,本资讯不作为投资理财建议。
免责声明:作为区块链信息平台,本站所提供的资讯信息不代表任何投资暗示,本站所发布文章仅代表个人观点,与火星财经官方立场无关。鉴于中国尚未出台数字资产相关政策及法规,请中国大陆用户谨慎进行数字货币投资。
语音技术由科大讯飞提供