根據(jù)白帽匯的數(shù)據(jù),2018年,數(shù)字貨幣行業(yè)由于安全問題造成的經(jīng)濟損失是22 49億美元,折合用戶人均損失56美元。這是什么概念呢?數(shù)字貨幣排名
根據(jù)白帽匯的數(shù)據(jù),2018年,數(shù)字貨幣行業(yè)由于安全問題造成的經(jīng)濟損失是22.49億美元,折合用戶人均損失56美元。這是什么概念呢?數(shù)字貨幣排名第十的門羅幣市值也只有16億美元。
從時間軸來看,2018年由于安全問題造成的損失金額比2017年增長近3倍。2019年上半年損失金額也已經(jīng)突破7億美元,且隨著市場回暖,安全問題造成的損失有激增的跡象。
在這樣的背景下,DVP在一周年之際,圍繞「區(qū)塊鏈安全進化論」這個主題,自7月20日啟動了一系列活動,推出三重大禮,包括線上漏洞挖掘大賽、解謎游戲挑戰(zhàn)和線下黑客松,設(shè)百萬人民幣獎池,旨在回饋白帽黑客和社區(qū),促進行業(yè)安全發(fā)展。
上周六(8月10日),DVP線下黑客松圓滿落幕。此次大會由DVP主辦,OGC、PeckShield、MixMarvel、Contentos、Bibox、Ontology、YeeCo協(xié)辦,獲眾多知名項目和媒體支持。上午,來自DVP、PeckShield、白帽匯、長亭科技、騰訊湛瀘實驗室的安全行業(yè)大佬,以及頂尖白帽黑客代表,進行重要安全議題分享;下午,則正式開始激烈的黑客松競賽。
經(jīng)過漏洞終選和綜合競賽(漏洞挖掘+CTF競賽)兩輪較量,最終角逐出6支隊伍共15名選手分別獲得一、二、三等獎,摘得總價值30余萬人民幣的大獎。其中一等獎獲獎?wù)邽楫吘乖捝?/ kennyS;二等獎獲獎?wù)邽?fsname / 瓜瓜 / Chris_l、r4v3zn / Santanx / Xenc;三等獎獲獎?wù)邽?gs-ice2019 / gs-sun1and / gs-saf3d0s、襯衫、cybersecurity / YouLii / Jasper。 值得一提的是,最小的獲獎?wù)?,年齡只有16歲。
6個真實交易所漏洞
有趣的是,線下黑客松的漏洞終選環(huán)節(jié),入選最終評選的6個嚴重危害漏洞,均是全球頂尖數(shù)字貨幣交易所的真實漏洞。據(jù)說,比賽現(xiàn)場,還有涉及的交易所親臨現(xiàn)場。從這些漏洞,可以更真切地感受到當前交易所安全的嚴峻形勢,DVP已第一時間通知相關(guān)交易所修補漏洞。這些漏洞的基本影響如下:
(1)某全球前十交易所,通過該漏洞可獲取整個交易所的KYC信息;
(2)某知名交易所提供商通用漏洞,通過該漏洞可獲取所有使用其系統(tǒng)的交易所用戶反饋的敏感信息,影響180+交易所,包括多家火爆的新興交易所;
(3)某知名交易所,通過該漏洞可以篡改應(yīng)用商店中官方app,替換為釣魚app竊取用戶資產(chǎn);
(4)某知名交易所,通過該漏洞可以獲得其旗下某站點的服務(wù)器賬號密碼、數(shù)據(jù)庫賬號密碼等;
(5)某知名交易所,通過該漏洞可以在一定的交互之下對用戶實施盜號攻擊;
(6)某知名交易所,可以對當前交易所下發(fā)大量的買單、賣單,進行市場操控。
由此可以看到,KYC泄漏、釣魚APP、賬號密碼泄漏、盜號攻擊、市場操縱等安全風(fēng)險,都是真實且普遍存在的,頂尖交易所也不例外。用戶的信息安全和資產(chǎn)安全面臨著極大的威脅。
DVP線上漏洞挖掘大賽排名第一的白帽領(lǐng)袖Chris_L,擅長挖掘交易所漏洞,他分享了自己近兩年挖掘漏洞的對比。可以看到,信息泄漏類的漏洞占比顯著提高,從2018年的15.6%上升至2019年的27.3%。
Chris_L表示:“交易所漏洞很多,它們不太注重安全。通常情況下,9成漏洞是在沒有意識的情況下暴露的,而現(xiàn)在交易所的漏洞,9成是因為配置不當造成的。”他還表示,數(shù)字貨幣領(lǐng)域的交易所,幾乎都存在在大大小小的安全漏洞。
他給出了6條實用的個人安全防護建議:
1.在登錄銀行、交易所、錢包等網(wǎng)站時,一律使用帶https開頭的安全鏈接;
2.手機、電腦、硬件錢包等聯(lián)網(wǎng)設(shè)備不隨意使用第三方不明Wifi;
3.前提許可的情況下,必須安裝防護殺毒軟件,拒絕“裸奔”;
4.網(wǎng)頁、APP出現(xiàn)異常情況時,及時確認和終止重大操作;
5.不打開來路不明的插件、郵件、鏈接;
6.大額數(shù)字貨幣資產(chǎn)盡量轉(zhuǎn)到知名可靠的冷錢包。
區(qū)塊鏈安全問題4大成因
在DVP CEO Daniel看來,區(qū)塊鏈安全問題的產(chǎn)生,有很多原因。
一是開源特性:區(qū)塊鏈通過開源作為構(gòu)建信任的一個核心要素,但開源也導(dǎo)致了漏洞更容易曝露,更容易受到攻擊。
二是安全投入不足:區(qū)塊鏈處于行業(yè)發(fā)展的早期,行業(yè)對底層技術(shù)開發(fā)的投入和重視先行于在安全方面的投入。
三是行業(yè)安全資源缺乏:相比傳統(tǒng)互聯(lián)網(wǎng)和IT領(lǐng)域,從事區(qū)塊鏈行業(yè)的安全人員仍然是少數(shù)。即使頭部項目也難以獲得足夠資源構(gòu)建覆蓋全面的安全團隊;
四是安全意識不足:眾多項目在生態(tài)和技術(shù)擴展上沒有把構(gòu)建完整的安全防護體系作為首要的任務(wù)。用戶對區(qū)塊鏈產(chǎn)品使用的安全方面認識不夠。
具體來講,從整個互聯(lián)網(wǎng)情況來看,過去幾年安全人員的復(fù)合增長率約為6%,但需求的增長實際上是15%。到2021年,全球大概會有350萬個安全崗位無法被填滿,其中存在很大的缺口。從區(qū)塊鏈行業(yè)角度來看,更是如此。新的區(qū)塊鏈項目超過萬家,但是真正提供安全服務(wù)的不到50家,且魚龍混雜。
劍橋大學(xué)另類金融研究中心(CCAF)做了一個關(guān)于區(qū)塊鏈數(shù)字資產(chǎn)的調(diào)研,它的數(shù)據(jù)很有典型示范意義。從人數(shù)占比來講,大型區(qū)塊鏈企業(yè)安全人員占比在6-10%,小型企業(yè)占比11-20%。從安全投入預(yù)算來看,安全預(yù)算大概占總預(yù)算的11-20%。
根據(jù)調(diào)查,只有接近50%的小型區(qū)塊鏈企業(yè)進行年度外部安全審計。而大型企業(yè)中,這一比例僅有29%,這可能是因為他們有自信去做內(nèi)部安全審計。
有趣的是,大量的調(diào)查對象對審計頻次的問題選擇“不適用”或“不予回答” 這也體現(xiàn)出項目方在對外公開性上的疑慮。整體而言,對內(nèi)部及外部安全審計情況披露的意愿非常低,最高的為存貯類約30%會披露外部審計的情況;最低的為交易所類,僅8%。
區(qū)塊鏈安全模式的進化
對于項目來講,可以自建安全團隊,優(yōu)點是響應(yīng)迅速,可控程度高。缺點也顯而易見,就是安全覆蓋面低,維護成本也比較高。因此出現(xiàn)了一些新的趨勢。
比如中心化漏洞懸賞平臺,大企業(yè)和政府機構(gòu)也慢慢開始接受這種模式,美國國防部迄今為止,至少已經(jīng)有4次在三大中心化安全平臺上發(fā)布賞金項目。這種模式的好處是,每個平臺里會有很多白帽黑客,所以安全覆蓋面會更廣。而且白帽子挖到漏洞才會有獎勵,所以收益成本比較高。但由于是一個中心化主導(dǎo)的平臺,白帽利益如何得到保護?這是一個問題。
而DVP的邏輯是建立一個更加去中心化的平臺,因為社區(qū)的建立,覆蓋面會更廣,參與人員多角度眾測,提供的安全報告會更全面、質(zhì)量會更高。另外,在廠商訴求和白帽子利益的平衡方面,也更容易做到平衡。一方面通過不對稱加密通訊的方式,保證漏洞的機密不會被泄漏,另一方面通過區(qū)塊鏈智能合約的設(shè)計,可以把白帽子的利益鎖定在其中,以及通過經(jīng)濟模型設(shè)計,可以對白帽子有更好的激勵。
具體來說,一是采用新型激勵模式,“業(yè)務(wù)即挖礦,漏洞即挖礦”,當整個業(yè)務(wù)流程完成后,做出貢獻的白帽子將獲得一定獎勵;二是由具有安全能力的廠商組成的治理節(jié)點,和由生態(tài)共建者組成的普通節(jié)點,通過質(zhì)押的方式參加網(wǎng)絡(luò)的維護和管理;三是各類社區(qū)的參與者,通過社區(qū)行為貢獻的形式,獲取一部分DVP通證獎勵,形成良好的治理結(jié)構(gòu) 。
一年以來,DVP,已經(jīng)建立了一個完善的安全協(xié)作生態(tài)。目前有超過14000名注冊白帽子,覆蓋廠商1490家,注冊廠商162家,有效挖掘漏洞4312個,為白帽子發(fā)放ETH獎勵超過1170個、DVP獎勵超過100萬,避免行業(yè)潛在損失超過百億人民幣。
DVP即將開啟“區(qū)塊鏈安全進化論”全球行活動,凝聚全球白帽黑客社群力量。此外,鑒于交易所安全的嚴峻形勢,“區(qū)塊鏈安全進化論”系列活動將追加一輪“TOP交易所漏洞大賽”,增設(shè)價值數(shù)萬RMB的獎勵,旨在幫助頂尖交易所快速查找漏洞,保護廣大用戶資產(chǎn)。