挖漏洞=挖矿?他们搞了个针对区块链安全的众测社区
在知乎中,有个很有意思问答-----“人在哪些情形下最容易/最难成为小偷的目标?”
这个问题本是来想邀请“相关从业者”(其实就是小偷)来回答的,但干这行的都比较低调,最后反而炸出了不少受害者的被偷经历,虽然故事五花八门,但雷锋网 (公众号:雷锋网) 编辑试着总结了一下这些答案,被偷目标一般都符合以下几个条件:
1.露财了。你的钞票或者手机早就被小偷盯上了。
2.防护能力不强。你将财物直接放在了衣服最外面的兜里,或者背包的拉锁没拉,漏出了破绽。
3.反抗能力有限。小偷偷东西的时候也会考虑万一被抓的后果,在一个柔弱的姑娘和一个彪形大汉之间,小偷当然会选择前者。
如果把这个问题放在安全行业,把小偷的角色改为黑客,答案应该也有相似之处。
首先你得有钱才会被黑客盯上;再者漏洞比较多,黑客得手的“成功率”比较高;最后黑客还会考虑攻击行为被发现后,是否容易脱身。
在2017-2018年间,有一个行业几近“完美”的满足了有钱、漏洞多、追溯难的三大条件,如果你是我宅的资深读者,应该已经猜到了。
没错,就是集中涌现“暴发户”的区块链行业了,在过去一年来,我们报道了关于币安、SMT、EOS 等众多区块链行业的安全漏洞。
目前这个阶段,黑客可以将入侵肆意变现
据区块链安全公司 BCSEC 的统计,目前全球总共有 500 家主流数字货币交易所,涵盖 1644 种数字货币,市值总额达到了 3448 亿元。截至 2018 年 6 月,针对数字货币的攻击累计达到 100 次,造成的直接经济损失达 33 亿 5000 万美元。
这从也从一个侧面表明,在区块链行业中,与火热的资本相对应的是脆弱的安全防护能力。据其统计,在前全球有10000+的区块链项目,而区块链安全服务公司却只有不到50家,对于安全防护非常渴求。
8 月 1 日下午, BCSEC 宣布联手区块链安全团队 PeckShield(派盾),召开了一个名为“安全链接计划”的发布会,决定发起一个去中心化的漏洞平台 DVP(Decentralized Vulnerability Platform),他们想利用区块链技术,建立匿名化的安全众测社区场景。
关于 BCSEC 的背景,雷锋网此前曾在《 白帽汇的赵武摘掉了他的“帽子” 》这篇文章中有过介绍:创办白帽汇的赵武注册了一家名为“华顺信安”的公司,接受了丹华资本几千万的投资(后者投资了不少区块链公司),不过“白帽汇”并没有消失,而是成了华顺信安旗下的技术研究院,区块链安全是他们的研究方向之一,而BCSEC 的创始团队正是来自于白帽汇安全研究院。
此次他们搞发布会,是想号召全世界的白帽子一起来挖区块链行业的漏洞,不过跟其他众测平台所不同的是, 他们会让白帽子以“匿名”的形式来提交漏洞。(至于为什么强调匿名,大家可自行搜索白帽子和世纪佳缘事件。)
合作的另一方是“PeckShield”,据官方资料的介绍,PeckShield 是面向全球的区块链安全团队,由前360首席科学家、美国北卡州立大学终身教授蒋旭宪创办,曾在 2012 年率先进行了全球第一个智能手机上的恶意软件基因组研究,此后又于2014年首次发现了特斯拉汽车的应用程序安全漏洞。提交过大量高质量的漏洞报告,并多次获得谷歌,高通,三星,华为等厂商致谢及奖金。
团队的吴家志是DVP平台的CEO,由于目前区块链技术在金融领域应用较多,他以传统金融为例,对比区块链金融目前所面临的安全挑战。
▲吴家志
与传统金融相比,区块链金融在很多国家是不受国家法律保护的,只能由区块链相关企业自己保护自己,在这种法律空白的情况下,资金盘越大,就越容易遭受黑客攻击,目前这种过渡阶段对于黑客来说,是一个可以将入侵肆意变现的时代。
目前,安全漏洞分布于区块链的各个环节,包括:交易所、矿池、钱包、智能合约等,但与整个区块链生态环节众多相比,相关的安全从业人员力量却比较分散,难以形成合力解决问题,这也是他们为什么要做众测平台的原因。
为什么是这两家联手搞众测?
既然是两家联手合作搞针对区块链安全的众测平台,那双方应该都在这方面有各自的强项。
我们先来了解一下 BCSEC,在其官网的 logo下面,有这样一行字:“区块链安全信息平台”。
在发布会当天,雷锋网发现赵武也作为 DVP 漏洞平台的顾问来站台,而具体负责DVP平台的,则是白帽汇的联合创始人邓焕。
赵武之前一手创办了业内最大的漏洞响应平台“补天”,而邓焕也曾是补天漏洞响应平台的技术负责人。也就是说, 他们曾拥有国内最大的漏洞响应平台的创办和运营经验,如何最大限度的发挥厂商、安全公司和白帽子的作用以减少漏洞暴露风险,是他们所擅长的。
而另外一方“PeckShield”(派盾),则已经在区块链安全研究方面受到业内关注。除了在移动安全方面的研究, 2018年来,他们还因连续发现并命名了BEC、SMT、EDU 等智能合约的重大安全漏洞。
换句话说,“PeckShield”很擅长“挖漏洞”,尤其是区块链领域的安全漏洞。
在随后对邓焕的采访中,他也表示,在区块链漏洞的挖掘和研究方面,“PeckShield”确实比他们厉害。
一个擅长漏洞平台的运营,一个擅长区块链行业的安全研究,加上市场的强烈需求,这就促成了双方的合作。
怎样确保漏洞的质量和白帽子应得的回报
既然是众测平台,就面临着两个问题,一是如何让白帽子更加顺畅的提交漏洞,并获得应有的报酬;二是如何让厂商意识到漏洞的严重性,并愿意给提交漏洞的白帽子付相应的报酬。
作为DVP平台的CSO,邓焕介绍,之所以提出提出“漏洞即挖矿”,就是为了促使白帽子和厂商形成利益共同体。 白帽子在DVP平台可以提交区块链相关漏洞及威胁情报,并随时查看漏洞审核及认领进度,获得相应的奖励。同时,为确保整个流程的公正性,DVP平台会将漏洞信息进行公钥加密,区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。
正因为此,通过社区将重构白帽子与厂商之间的关系, DVP平台一方面将利用区块链的天然的匿名性等特点有效保护“白帽子”,促使全球的白帽子和安全工程师都可以参与进来发掘漏洞,另一方面则是有效扩充企业有限的沟通渠道,降低沟通成本。
为了确保平台顺畅运行,他们主要有以下机制
• 每笔悬赏项目,需要存入50,000$等值的DVP平台保障金
• 每笔漏洞支付将回收10%形成DVP基金
• 每个自然月的最后一天00:00进行结算,其中:DVP基金中当月80%用于奖励回馈社区所有持DVP用户;20%用于再次奖励平台当月按照漏洞提交数量排名TOP100的白帽子用户。
上线一周后的情况
邓焕告诉雷锋网,截止7月31日,DVP上线一周以来,“白帽子”所提交的漏洞有312个,涉及175个项目方,包括目前的一些智能合约,知名公链,交易所等一系列的项目。
具体来看,经审核后,所提交的漏洞中,高危漏洞达122个占所有漏洞的39.1%,中危漏洞53个,约占17%。其中,包括某智能合约厂商存在重入漏洞,黑客可通过该漏洞从合约中无限提取资金。某大型公链存在设计缺陷,可导致此项目大量的公链节点崩溃,甚至可能导致项目方硬分叉。
目前给白帽子的报酬折合人民币约有30多万,其中一个白帽子所提交的高危漏洞价值 6 万元。
未来,DVP准备制定一套虚拟的积分体系(类似于通证),白帽子群体将不用针对每一个发起测试邀请的厂商开通不同的钱包地址,同时,厂商也不用每次自己进行不同货币。
。