在360內部,Vulcan(伏爾甘)團隊負責人鄭文彬更常用的稱謂是MJ。在關注區塊鏈領域之前,Vulcan團隊在Pwn2Own、PwnFest等世界大賽中攻破包括Chrome、Edge、Flash、Windows10等多個目標。在2017年的Pwn2own上,Vulcan團隊就連續攻下了六個項目冠軍,獲得了世界總冠軍和“破解大師”的桂冠。Vulcan團隊於2017年底關注區塊鏈行業,為區塊鏈行業所熟知則始於今年5月底發現了EOS一系列安全漏洞,其中牽頭者之一,便是Vulcan團隊中的區塊鏈專家彭峙釀博士。
為了更好的貼近了解這一神祕團隊,瞭解黑客眼中的區塊鏈安全,金色財經採訪了這兩位“超級黑客”。
安全:不止是加固與代碼審計
對於當前區塊鏈領域的安全現狀,MJ認為無論是認知還是投入,都還有很長的路要走。“安全本身是一個範圍特別廣的概念,除了目前大部分安全公司都在提供的代碼審計類服務,如何在攻擊發生前就追蹤到黑客動作進而阻止攻擊的動作更為重要”,鄭文彬對金色財經表示,對於區塊鏈行業來說,從全局出發通過已有安全事件推測黑客下一步行動,這種對安全整體態勢的預測是下一步更值得關注的方向。
“技術本質上是相通的”,MJ表示,新的系統總會走已有系統的老路,現今還存在的操作系統和瀏覽器都是經歷這麼多年來的磨練才構建起了現有的安全體系,既然都是由人寫的代碼,那不免會重複同樣的錯誤,而無論再新的技術都不會是空中樓閣,一定是基於過往的積累,“因此做區塊鏈領域的安全一定要對傳統安全有一定的瞭解,才能發現這類問題,這時需要所有的區塊鏈安全公司、區塊鏈社群大家共同去努力的一個方向;另一方面,在通有問題之外,每個系統必定也會有自身獨特的問題,因此更要去了解區塊鏈和數字貨幣、交易相關的問題,去了解經濟學和博弈論的知識。
區塊鏈安全重災區:交易所、智能合約、錢包
從EOS到礦池、項目,已有戰績顯示彭峙釀對區塊鏈領域漏洞下手可謂穩準狠。在他看來,區塊鏈領域的安全重災區非常明顯:一是交易所,被黑事件層出不窮;二是智能合約,合約幣突然歸零、合約幣被完全控制事件;三是普通用戶,用戶電腦和手機被盜竊數字貨幣的木馬病毒侵入或者遭遇詐騙和勒索事件每天都在大量的發生。
“安全問題的本質是黑客在尋找更好下手的目標,沒有百分百的安全”,MJ表示,但起碼做到80、90分的程度,黑客攻擊要付出很大成本時他就會轉移目標,這也是為何區塊鏈概念大漲後近期交易所安全問題如此頻繁的原因。“從收益角度看,攻擊數字貨幣交易所能夠獲得更多的資產,因為與銀行相比數字貨幣的匿名性讓交易所攻擊變得性價比更高。從攻擊難度上看,當下數字貨幣交易所的弱安全性使其成為了黑客眼中的‘軟柿子’,這一狀態除了要歸根到行業整體安全意識不強外,目前交易所還未得到國家層面的認可與安全策略管控也是原因之一。”
建議:加強安全意識,守住安全準則
智能合約的DAPP開發者主要面臨的問題是代碼在業務邏輯上面的一些問題,即邏輯上可能會有漏洞,針對這一情況,彭峙釀對金色財經表示,項目在開發階段要遵循安全開發流程。自身不具備安全能力的,需要請外界安全團隊幫助進行代碼審計。
對普通用戶來說,最重要的也是要提高安全意識,在這個基礎上通過多關注業內新聞以及補充安全知識去有意識、有能力的選擇一些更加安全的交易所以及錢包產品,三是就像安全上網準則一樣,區塊鏈用戶也有自己的安全準則,首要的是安裝防護軟件,這樣能夠將安全率提高很多。
對於跨入區塊鏈安全領域,MJ笑稱並不是為了“趕時髦”。“根本的原因是區塊鏈行業本身的影響力變大了,這對我們是很有吸引力的,就像我們在Windows上發現、修補了漏洞可能能夠增強幾億、幾十億人正在使用的系統安全性一樣,區塊鏈用的人多了、影響力大了,我們就覺得我們應該看一下是否能夠在安全方面去影響、幫助很多人。
