360爆出EOS"史詩級"漏洞到最近韓國交易所coinrail推文稱遭到黑客攻擊,頻發的安全問題炸醒了區塊鏈行業沉睡的安全意識。為此,金色財經就區塊鏈行業安全問題獨家採訪了360信息安全部負責人高雪峰,高雪峰表示自2017年底360入局區塊鏈安全以來,在錢包、礦池、EOS超級節點、智能合約和交易所五大解決方案下都累積了一些客戶,從爆出EOS漏洞至金色財經採訪時,這個數字平均上漲了十倍左右。這樣閃電速度的背後,可以說是區塊鏈企業對安全的高度重視,但更為根本的,或許是行業整體安全意識的缺失。
區塊鏈安全問題從何而來
前華為首席區塊鏈專家、CyberVein技術顧問黃連金在日前談及360發現EOS漏洞時曾有四點表態:1.安全是動態的,不是靜態的;2、代碼是人寫的,沒有百分之百的安全;3、智能合約的安全非常重要。它一旦通過共識確立就很難更改,同時智能合約還是鎖定資產的;4.安全需要多方面考慮,不能顧此失彼。
毋庸置疑,作為一種技術,區塊鏈代碼有漏洞十分正常,而近期一系列安全事件讓行業認識到此前安全意識的缺失。"安全意識不高現象不止存在於區塊鏈行業,這與人性中的僥倖心理有關",高雪峰對金色財經表示,在安全問題上,投入與產出一般不可能成正比,有投入不代表問題能解決,更有可能的是一年投入下來卻沒有發生安全問題,這樣的話從業務角度就有可能產生僥倖心理——這錢不投也可以。"作為一個新興行業,區塊鏈發展速度可謂日新月異,很多新加入的創業者們對如何保證項目安全並不瞭解,這也是當下安全問題頻發的一個原因。"
意識缺位,安全漏洞成區塊鏈軟肋
高雪峰對金色財經披露了一組數據:360對20款全球主流數字錢包進行了安全測試後發現,80%的錢包都存在不同程度的安全問題,可導致助記詞、交易密碼被黑客獲取,攻擊者破解用戶交易密碼等危害;全球目前有1萬多家大大小小的交易所,基本沒有整體的安全防護策略,交易系統沒有經過安全審計、缺少安全加固是常見問題。"主流的大型交易所相對來說安全防護較為完善,而一些還在起步階段的區塊鏈公司在去全方面投入還不是很多,因此常常變成黑客"照顧"的對象。
從2017年至今,已爆出的交易所遭到攻擊事件不下十起,帶來BTC價格跌幅最高接近腰斬,"安全是相對的,沒有絕對的安全,但如果一點防護措施都不做,那麼就降低了攻擊成本,被攻擊的概率就會增加",針對近期頻發的交易所安全問題,區塊鏈安全公司數字彗星創始人張東誼對金色財經表示,只要做了防護措施就會提升攻擊成本,變得相對安全,"企業應該做好邊界安全,提升入侵檢測和應急響應的能力"。
今年5月,比特黃金遭到51%攻擊,這項觸及了數字貨幣根本的危機讓整個行業都感受到了威脅。比特黃金在公告中稱"我們不會是最後一個被攻擊的幣種"更是給整個區塊鏈行業敲響了安全警鐘。高雪峰對金色財經表示,除了交易所面臨的盜幣安全風險、錢包系統面臨的用戶私鑰洩漏和丟失外,區塊鏈系統也面臨著惡意信息上鍊的問題。隨著區塊鏈的快速發展與智能合約的出現,智能合約成了以太坊時代安全問題多發地,或許會導致惡意轉幣、造幣等危害。
大安全時代,如何保護區塊鏈安全
"安全意識基本都是靠事件驅動",從另一層面看安全事件會促使整個行業關注到安全問題,在高雪峰看來,近期安全事件頻發或許是對行業安全意識的一次集體教育。
區塊鏈企業或者項目該如何保障自身安全?"如果單靠360這類外部安全公司,無法從根本上保護區塊鏈企業的安全,企業需要打造屬於自己的安全團隊",高雪峰對金色財經記者表示,區塊鏈行業有自己的特殊性,區塊鏈行業企業的業務相對來說比較深入,想要做好安全就要深入觀察業務,但這與企業業務邏輯的保密性之間是有衝突的。"因此區塊鏈企業必須要配備自己的安全團隊,只有在項目團隊本身具備一定安全能力的基礎上,雙方配合協作,像360這樣的外部安全公司才能更好的協助他們將安全做得更好。"
張東誼對金色財經表示,安全是個非常龐大的系統架構,其中包括系統安全、網絡安全、代碼安全、通信安全、中間件安全、業務安全等,很多區塊鏈企業並沒有意識到這一點,對於區塊鏈企業的安全防護,張東誼建議著重關注使用專業的代碼審計服務、熟悉安全編碼規範實行嚴進寬出規則、密碼算法的安全性、以及多人代碼審核、內部測評小組、外部專家評測,白帽黑客激勵機制四個方面。
對於數字資產擁有者的安全防護來說,高雪峰從三個方面給出了建議:一是學會保護自己的私鑰,二是學會保存數字資產,冷熱錢包以及交易所按照一定比例合理分配,三是提高自己安全意識,防止被釣魚網站攻擊等。
"區塊鏈技術並不是一項新的技術,而是將幾項成熟技術巧妙的結合在了一起,360過往十幾年在這些方面積累的經驗與資源成為了當下進軍區塊鏈安全領域的獨特優勢",高雪峰表示,"但區塊鏈領域的安全絕對不是360一家就能做好的,目前也看到很多安全方面的初創公司,360正在打造一個安全生態聯盟,希望通過業內大大小小公司的參與,共建大安全生態。"
來源:比特幣之家
