0
在知乎中,有個很有意思問答-----“人在哪些情形下最容易/最難成為小偷的目標?”
這個問題本是來想邀請“相關(guān)從業(yè)者”(其實就是小偷)來回答的,但干這行的都比較低調(diào),最后反而炸出了不少受害者的被偷經(jīng)歷,雖然故事五花八門,但雷鋒網(wǎng)編輯試著總結(jié)了一下這些答案,被偷目標一般都符合以下幾個條件:
1.露財了。你的鈔票或者手機早就被小偷盯上了。
2.防護能力不強。你將財物直接放在了衣服最外面的兜里,或者背包的拉鎖沒拉,漏出了破綻。
3.反抗能力有限。小偷偷東西的時候也會考慮萬一被抓的后果,在一個柔弱的姑娘和一個彪形大漢之間,小偷當然會選擇前者。
如果把這個問題放在安全行業(yè),把小偷的角色改為黑客,答案應該也有相似之處。
首先你得有錢才會被黑客盯上;再者漏洞比較多,黑客得手的“成功率”比較高;最后黑客還會考慮攻擊行為被發(fā)現(xiàn)后,是否容易脫身。
在2017-2018年間,有一個行業(yè)幾近“完美”的滿足了有錢、漏洞多、追溯難的三大條件,如果你是我宅的資深讀者,應該已經(jīng)猜到了。
沒錯,就是集中涌現(xiàn)“暴發(fā)戶”的區(qū)塊鏈行業(yè)了,在過去一年來,我們報道了關(guān)于幣安、SMT、EOS 等眾多區(qū)塊鏈行業(yè)的安全漏洞。
據(jù)區(qū)塊鏈安全公司 BCSEC 的統(tǒng)計,目前全球總共有 500 多家主流數(shù)字貨幣交易所,涵蓋 1644 種數(shù)字貨幣,市值總額達到了 3448 億元。截至 2018 年 6 月,針對數(shù)字貨幣的攻擊累計達到 100 次,造成的直接經(jīng)濟損失達 33 億 5000 萬美元。
這從也從一個側(cè)面表明,在區(qū)塊鏈行業(yè)中,與火熱的資本相對應的是脆弱的安全防護能力。據(jù)其統(tǒng)計,在前全球有10000+的區(qū)塊鏈項目,而區(qū)塊鏈安全服務公司卻只有不到50家,對于安全防護非常渴求。
8 月 1 日下午, BCSEC 宣布聯(lián)手區(qū)塊鏈安全團隊 PeckShield(派盾),召開了一個名為“安全鏈接計劃”的發(fā)布會,決定發(fā)起一個去中心化的漏洞平臺 DVP(Decentralized Vulnerability Platform),他們想利用區(qū)塊鏈技術(shù),建立匿名化的安全眾測社區(qū)場景。
關(guān)于 BCSEC 的背景,雷鋒網(wǎng)此前曾在《白帽匯的趙武摘掉了他的“帽子”》這篇文章中有過介紹:創(chuàng)辦白帽匯的趙武注冊了一家名為“華順信安”的公司,接受了丹華資本幾千萬的投資(后者投資了不少區(qū)塊鏈公司),不過“白帽匯”并沒有消失,而是成了華順信安旗下的技術(shù)研究院,區(qū)塊鏈安全是他們的研究方向之一,而BCSEC 的創(chuàng)始團隊正是來自于白帽匯安全研究院。
此次他們搞發(fā)布會,是想號召全世界的白帽子一起來挖區(qū)塊鏈行業(yè)的漏洞,不過跟其他眾測平臺所不同的是,他們會讓白帽子以“匿名”的形式來提交漏洞。(至于為什么強調(diào)匿名,大家可自行搜索白帽子和世紀佳緣事件。)
合作的另一方是“PeckShield”,據(jù)官方資料的介紹,PeckShield 是面向全球的區(qū)塊鏈安全團隊,由前360首席科學家、美國北卡州立大學終身教授蔣旭憲創(chuàng)辦,曾在 2012 年率先進行了全球第一個智能手機上的惡意軟件基因組研究,此后又于2014年首次發(fā)現(xiàn)了特斯拉汽車的應用程序安全漏洞。提交過大量高質(zhì)量的漏洞報告,并多次獲得谷歌,高通,三星,華為等廠商致謝及獎金。
團隊的吳家志是DVP平臺的CEO,由于目前區(qū)塊鏈技術(shù)在金融領(lǐng)域應用較多,他以傳統(tǒng)金融為例,對比區(qū)塊鏈金融目前所面臨的安全挑戰(zhàn)。
▲吳家志
與傳統(tǒng)金融相比,區(qū)塊鏈金融在很多國家是不受國家法律保護的,只能由區(qū)塊鏈相關(guān)企業(yè)自己保護自己,在這種法律空白的情況下,資金盤越大,就越容易遭受黑客攻擊,目前這種過渡階段對于黑客來說,是一個可以將入侵肆意變現(xiàn)的時代。
目前,安全漏洞分布于區(qū)塊鏈的各個環(huán)節(jié),包括:交易所、礦池、錢包、智能合約等,但與整個區(qū)塊鏈生態(tài)環(huán)節(jié)眾多相比,相關(guān)的安全從業(yè)人員力量卻比較分散,難以形成合力解決問題,這也是他們?yōu)槭裁匆霰姕y平臺的原因。
既然是兩家聯(lián)手合作搞針對區(qū)塊鏈安全的眾測平臺,那雙方應該都在這方面有各自的強項。
我們先來了解一下 BCSEC,在其官網(wǎng)的 logo下面,有這樣一行字:“區(qū)塊鏈安全信息平臺”。
在發(fā)布會當天,雷鋒網(wǎng)發(fā)現(xiàn)趙武也作為 DVP 漏洞平臺的顧問來站臺,而具體負責DVP平臺的,則是白帽匯的聯(lián)合創(chuàng)始人鄧煥。
趙武之前一手創(chuàng)辦了業(yè)內(nèi)最大的漏洞響應平臺“補天”,而鄧煥也曾是補天漏洞響應平臺的技術(shù)負責人。也就是說,他們曾擁有國內(nèi)最大的漏洞響應平臺的創(chuàng)辦和運營經(jīng)驗,如何最大限度的發(fā)揮廠商、安全公司和白帽子的作用以減少漏洞暴露風險,是他們所擅長的。
而另外一方“PeckShield”(派盾),則已經(jīng)在區(qū)塊鏈安全研究方面受到業(yè)內(nèi)關(guān)注。除了在移動安全方面的研究,2018年來,他們還因連續(xù)發(fā)現(xiàn)并命名了BEC、SMT、EDU 等智能合約的重大安全漏洞。
換句話說,“PeckShield”很擅長“挖漏洞”,尤其是區(qū)塊鏈領(lǐng)域的安全漏洞。
在隨后對鄧煥的采訪中,他也表示,在區(qū)塊鏈漏洞的挖掘和研究方面,“PeckShield”確實比他們厲害。
一個擅長漏洞平臺的運營,一個擅長區(qū)塊鏈行業(yè)的安全研究,加上市場的強烈需求,這就促成了雙方的合作。
既然是眾測平臺,就面臨著兩個問題,一是如何讓白帽子更加順暢的提交漏洞,并獲得應有的報酬;二是如何讓廠商意識到漏洞的嚴重性,并愿意給提交漏洞的白帽子付相應的報酬。
作為DVP平臺的CSO,鄧煥介紹,之所以提出提出“漏洞即挖礦”,就是為了促使白帽子和廠商形成利益共同體。白帽子在DVP平臺可以提交區(qū)塊鏈相關(guān)漏洞及威脅情報,并隨時查看漏洞審核及認領(lǐng)進度,獲得相應的獎勵。同時,為確保整個流程的公正性,DVP平臺會將漏洞信息進行公鑰加密,區(qū)塊鏈廠商可以通過私鑰解密得到報告內(nèi)容詳情。當確認此漏洞無誤并采用后,懸賞獎勵將自動打入該漏洞提交者的地址。
正因為此,通過社區(qū)將重構(gòu)白帽子與廠商之間的關(guān)系,DVP平臺一方面將利用區(qū)塊鏈的天然的匿名性等特點有效保護“白帽子”,促使全球的白帽子和安全工程師都可以參與進來發(fā)掘漏洞,另一方面則是有效擴充企業(yè)有限的溝通渠道,降低溝通成本。
為了確保平臺順暢運行,他們主要有以下機制
? 每筆懸賞項目,需要存入50,000$等值的DVP平臺保障金
? 每筆漏洞支付將回收10%形成DVP基金
? 每個自然月的最后一天00:00進行結(jié)算,其中:DVP基金中當月80%用于獎勵回饋社區(qū)所有持DVP用戶;20%用于再次獎勵平臺當月按照漏洞提交數(shù)量排名TOP100的白帽子用戶。
鄧煥告訴雷鋒網(wǎng),截止7月31日,DVP上線一周以來,“白帽子”所提交的漏洞有312個,涉及175個項目方,包括目前的一些智能合約,知名公鏈,交易所等一系列的項目。
具體來看,經(jīng)審核后,所提交的漏洞中,高危漏洞達122個占所有漏洞的39.1%,中危漏洞53個,約占17%。其中,包括某智能合約廠商存在重入漏洞,黑客可通過該漏洞從合約中無限提取資金。某大型公鏈存在設計缺陷,可導致此項目大量的公鏈節(jié)點崩潰,甚至可能導致項目方硬分叉。
目前給白帽子的報酬折合人民幣約有30多萬,其中一個白帽子所提交的高危漏洞價值 6 萬元。
未來,DVP準備制定一套虛擬的積分體系(類似于通證),白帽子群體將不用針對每一個發(fā)起測試邀請的廠商開通不同的錢包地址,同時,廠商也不用每次自己進行不同貨幣。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
