【blocktimes線上人物對話第二十三期】區塊鏈守護者的⽣存之道
人物對話
172天前
7292

螢幕快照 2019-01-31 下午6.08.14.png


對話時間 : 1 月 29 日 19:30

微信社群 : blockchain-in-臺灣

對話嘉賓 : 慢霧科技安全負責人 海賊王

輪值群主:blocktimes主編-Wade


前言: 

慢霧科技(SlowMist)在近來重大的區塊鏈資安事件中先聲奪人,諸如EOS隨機數漏洞、Newdex 遭駭事件、ETC遭算力攻擊等,都很快地在第⼀時間做出中英⽂的資安評論與報告, 搶盡中⻄⽅媒體的目光,blocktimes除了了好奇這支實力堅強的團隊外,也想知道一個區塊鏈資安是如何在瞬息萬變的產業中定位與生存的。最近 ASIA TIMES才剛發表了了一篇慢霧科技的報導稱之「中國白帽」,今天很榮幸邀請到慢霧科技 SlowMist 的安全負責⼈-海賊王 來訪。


【第⼀問】 

請先跟台灣的朋友介紹一下您⾃己,以及關於慢霧科技的成員以及業務範疇。


海賊王:

大家好,我是慢霧安全負責人海賊王,關於慢霧的業務我可以做一個簡單的介紹主要分為兩大部分:慢霧技術服務部分和慢霧區的社區服務部分。


YIY9i2AUqDogek2B__thumbnail.png


安全審計及顧問服務為主要營收。另外還有BTI安全情報系統,結合社區的力量成為聯防體系,能可以追蹤到駭客的真實身份與一定相關訊息。還有防禦部署跟賞金,來增強防禦功能。


【第二問】 想先從時事題開始,近來發⽣生的ETC重組(Reorg)事件,慢霧很快地提出預警,並且還為ETC官⽅做了資安評估報告。您們是怎麼做到即時的反應與聯繫呢?


海賊王:

北京時間 2019 年 01 月 06 日,我們據慢霧區夥伴情報及 BTI(區塊鏈威脅情報)系統的異常情報分析在慢霧區預警了 ETC 網絡的 51% 算力攻擊的可能性。次日,得到了  ETC 官方和 Coinbase 官方的回應和分析。當天晚上立即展開了調查忙到了半夜。根據持久化的區塊數據進行了確認是發生了回滾攻擊。被回滾有一個明顯的特徵就是會有大量的空白區塊,很容易檢測到。確認了回滾攻擊事件之後立即給我們服務的所有交易所客戶做了預警和提供防護方案來防止我們的客戶遭受損失。隨後 ETC 官方聯繫過來詢問情況,因為當時他們還沒有發現問題,我們提供了部分信息並配合他們做了社區的關於這次攻擊的調查工作。後來就是 coinbase 和 gate.io 也都出了文章分析,我們也綜合了 coinbase 的分析去再次分析確認了慢霧的判斷是正確的,同時也發現 coinbase 的實力也是很強的。事情到了後來也很完美,攻擊者主動退還了交易所損失的 ETC,所以這次攻擊事件也算是有了一個皆大歡喜的結局。


通過這次事情我們也在思考,在熊市的時候構造一次這樣的攻擊成本相對較低,如何做好防禦和預警。這很重要特別是對於交易所來說,對於交易所來說有兩個選擇:

(1)是要麼有自己的安全團隊來檢測,但是自己做的話往往做這種檢測的機器成本還是不小的,並且攻擊可能一年出現一兩次這樣做從企業自身的成本考慮還是開支太大。

(2)是和外部優質的區塊鏈安全團隊建立合作,通過職業的安全隊伍來做好這類預警和檢測。把專業的事交給專業的人也是不錯的選擇。


【第三問】 

近來國際結算銀⾏(BIS)發佈報告表示基於安全與經濟問題,他們認為PoW無法長期使用。從安全的角度來看,您怎麼看 PoW/PoS/DPoS 三種共識機制?對於第⼆層解決方案、側鏈有何看法?


海賊王:

關於共識算法的問題之前也有一些思考,在量子計算機和 5G 的時代會發生什麼,科技會變成什麼樣子我們站在當下是很難預見的,但是可以展開聯想一下:

如果把現在所有的礦機的算力用來為一個有意識的人工智能機器(類似於 AlphaGo)提供計算服務的話恐怕我們人類是無法與其抗衡的在某些方面。當下還是人類為主導的時代,如果有一天機器佔據了主導呢?就目前區塊鏈世界的玩法為了利益礦工都是誰給我錢多我為誰打工,如果到時候機器成為了主導會很可怕。所以 PoW 在一定時期有其使用場景,PoS 和 DPoS 也會在未來有更豐富的應用場景,無論是為了保護人類的話語權還是出於公平。


無論是 BTC 的閃電網絡還是 以太坊的分片方案我們都是覺得是值得嘗試的,我們也在一直關注中。然後關於側鏈的話其實主要看有沒有在原來的基礎上創新和解決一些痛點,如果僅僅是 Fork 了代碼那就沒有什麼意思了,像 EOS 生態中的 BOS (https://www.boscore.io/)和 FIBOS(https://fibos.io/)側鏈我覺得至少解決了一部分問題:為 DApp 生態提供了更好的運行環境和更為友好的開發者環境和生態激勵方案,官方實現了一個隨機數的方案給開發者來使用,避免一些開發者走了 EOS 上面的坑。


【第四問】 

慢霧的經驗中看到有哪些作惡⾏為是最普遍的呢?您怎麼看這些作惡事件,對區塊鏈發展帶來的影響?


海賊王:

區塊鏈中作惡最為普遍的可能就是盜幣了,盜幣又分為不同種類:

(1)錢包漏洞盜幣:利用區塊鏈節點或者錢包的漏洞盜幣。

(2)智能合約攻擊盜幣:智能合約的被攻擊盜幣。

(3)第三方安全盜幣:第三方服務被釣魚攻擊盜幣。


那這些類型的盜幣有的錯誤很低級,比如合約層面的慢霧已經在 GitHub 公佈了 EOS 智能合約最佳安全開發指南

(EOS:https://github.com/slowmist/eos-smart-contract-security-best-practices),可是有些人沒有看到還是寫了一個很低水平的合約導致被黑了最後。然後智能合約又是 

「Code is Law」 只能說:「同場競技,技不如人」。有一些安全事件發生讓人很惋惜,比如之前慢霧披露的假充值系列漏洞(ERC20 假充值、USDT 假充值、XRP 假充值),這些漏洞有些只要開發者能夠認真看一下官方開發手冊或者接口文檔就可以避免的,開發人員提升自己的專業技能和知識很重要。最後關於攻擊者只能說出來混遲早要還的,目前慢霧已經有能力通過 BTI 服務和慢霧區一些情報來源摸清楚一些攻擊者的真實身份,但是由於新技術的出現導致短暫的司法不完善時期暫時不能將這些黑客繩之以法。但是我們相信在區塊鏈的時代,無論你做了什麼都記錄在鏈上無法抹除,當收網的時候會一網打盡。最後其實黑客在一定程度也促進了區塊鏈技術的安全發展,但是有些黑客沈迷於一時的快感選擇一直做惡,對於這種黑客我們慢霧會一直和他們對抗到底,給區塊鏈生態帶來安全感。


我們也整理了一個區塊鏈作惡圖:


IMG_6452.PNG


【第五問】 

以太坊與EOS在合約審計上,分別有哪些差異呢?智能合約審計團隊需要有不一樣背景或身份的⼈嗎?


海賊王:

主要是開發語言上的差異,一個是 Solidity 新型語言,一個是 C++ 老牌的開發語言。

慢霧的智能合約審計團隊有三個獨立的 Team ,每個 Team 都有自己獨特的思維模式。有的 Team 是站在開發的角度審計開發的合約是否符合 ERC20 或者其他規範,有的 Team 是站在攻擊者的思路去看如何攻擊,有的 Team 是站在防護的角度思考如何去防護和防不防得住。

自動化工具審計提升審計效率,人工再次審計確保萬無一失。如果真的有遇到什麼未知的漏洞那麼我們也認了,我們會迅速拿出結局方案和止損方案給客戶,畢竟新興技術需要不斷的踩坑和填坑。我相信遇到這些未知的漏洞客戶也是可以理解的。


【第六問】區塊鏈技術與語⾔更新的非常快,不同公鏈也有 各⾃自的開發環境,慢霧怎麼因應?


海賊王:

慢霧會對新技術和有價值的公鏈做好提前的技術調研和跟進,我們有自己的節奏。並且慢霧的小夥伴們都是很棒的全能型選手,技術上手是很快的。


【第七問】 像是公鏈安全、智能合約審計、託管業務、交易所安全...等等,慢霧有沒有特別看好哪個領域的業務? 慢霧是如何定位⾃己在全球區塊鏈產業中的⾓色?


海賊王:

目前區塊鏈世界還在早期,我們只能說目前主營業務比較多的是:智能合約審計和交易所安全服務,未來其實會有跟多的細分領域出現,我們都看好。關於定位在慢霧的官網首頁就可以看到,慢霧的定位始終都是:專注區塊鏈生態安全 「慢霧」,區塊鏈黑暗森林中的安全區域。


【傳承問】想引薦哪兩位產業大咖來做客 blocktimes 進行分享呢 ?


OTCBTC的負責人鄭伊庭xdite


回顧【blocktimes線上人物對話第二十二期】代幣經濟讓大數據徹底改變生活—以運動為例

台灣專業區塊鏈媒體平台blocktimes,隸屬新加坡成立之跨國媒體品牌Block Global,Block Global涵蓋大陸布洛克科技、韓國Coinin、東南亞Beecast。台灣blocktimes由資深電信人陳振國成立,提供區塊鏈業界深度訪談及專欄。
新聞排行
熱門新聞

© blocktimes——專業的區塊鏈媒體平臺