半年損失25億美元,智能合約的漏洞像篩子一樣多!區(qū)塊鏈
智能合約漏洞百出,交易所被頻繁攻擊,僅僅半年區(qū)塊鏈安全事件就損失超20億美元,其實(shí),比特幣和區(qū)塊鏈從誕生那一刻起,就伴隨著人性的考驗(yàn),白帽子or黑客,不同的選擇會(huì)帶來(lái)不同的生態(tài)環(huán)境。
目前國(guó)內(nèi)頂級(jí)安全人才年收入可達(dá)百萬(wàn),但大部分人跟做“黑產(chǎn)”的黑客的收入相比仍是天差地別,幾乎每個(gè)水平較高的白帽子,都受到過(guò)來(lái)自黑產(chǎn)的誘惑,但多數(shù)人都拒絕了。
最近幾天,有一位名叫約翰·邁克菲的美國(guó)人陷入了麻煩。
7月份時(shí),他推出一款比特幣錢(qián)包Bitfi,宣稱(chēng)是世界上第一個(gè)堅(jiān)不可摧的硬件錢(qián)包,并宣布誰(shuí)能破解這款錢(qián)包,將獎(jiǎng)勵(lì)10萬(wàn)美金。
不到一周,Bitfi 錢(qián)包就被人攻破了,然而邁克菲開(kāi)始含糊其詞。8月31日,又一名黑客公布了痛錘Bitfi的更多細(xì)節(jié)。邁克菲慌了,稱(chēng)“我司會(huì)對(duì)所有問(wèn)題作出全面的公開(kāi)聲明,包括賞金支付方案,時(shí)間就在下周。”
邁克菲之所以死要面子,是因?yàn)樗麃?lái)頭太大,他是全球家喻戶曉的邁克菲殺毒軟件的創(chuàng)始人,邁克菲本人還曾與特朗普同臺(tái)競(jìng)選美國(guó)總統(tǒng),現(xiàn)在秒被打臉,肯定要拼死抵抗。
不過(guò)我們也可看出,區(qū)塊鏈的安全性堪憂,這樣大牌公司設(shè)計(jì)出來(lái)的錢(qián)包也會(huì)被輕易破解。實(shí)際上,比特幣和區(qū)塊鏈從誕生那一刻起,就一直是黑客眼中的肥肉,交易所頻頻被攻,智能合約漏洞百出。隨著區(qū)塊鏈應(yīng)用項(xiàng)目的增加,區(qū)塊鏈安全問(wèn)題愈加迫切。
2018年上半年區(qū)塊鏈安全事件損失超20億美元
白帽匯安全研究院BCSEC是一家專(zhuān)注區(qū)塊鏈安全生態(tài)的機(jī)構(gòu),創(chuàng)始人趙武之前是360網(wǎng)站安全部門(mén)總監(jiān)。白帽匯最近發(fā)布了對(duì)區(qū)塊鏈安全趨勢(shì)的評(píng)估報(bào)告,從報(bào)告圖表中可以看出,2017到2018年,區(qū)塊鏈安全問(wèn)題陡增。
圖表顯示,到今年8月份為止,區(qū)塊鏈在全球已經(jīng)造成超過(guò)20億美元的損失。其中在區(qū)塊鏈項(xiàng)目最火爆的4月份損失最多,超過(guò)11億美元。
而且從易受攻擊的點(diǎn)來(lái)看,交易平臺(tái)和智能合約最易被攻擊。
從智能合約到代碼審計(jì),從節(jié)點(diǎn)加固再到滲透測(cè)試,安全問(wèn)題一直都困擾著從業(yè)者。
白帽匯聯(lián)合創(chuàng)始人鄧煥稱(chēng),目前區(qū)塊鏈易受攻擊的主要原因是專(zhuān)業(yè)的區(qū)塊鏈人才太少,更多的業(yè)務(wù)先行,在設(shè)計(jì)業(yè)務(wù)時(shí)安全的細(xì)節(jié)考慮的并不完善,而且項(xiàng)目背后的技術(shù)不扎實(shí),產(chǎn)生大量漏洞。
目前“全球從事做智能合約審計(jì)的才數(shù)千人,真正能做公鏈安全審計(jì)的全球不超過(guò)百人。”他透露。與此同時(shí),全球有一萬(wàn)多家區(qū)塊鏈機(jī)構(gòu),這有限的人才分散到各機(jī)構(gòu)中是杯水車(chē)薪。
因此,目前區(qū)塊鏈行業(yè)需要大量安全人員。網(wǎng)絡(luò)安全公司位于整個(gè)互聯(lián)網(wǎng)的最頂端,目前全國(guó)做區(qū)塊鏈安全的公司只有五六家,全球也不足百家。
“根本忙不過(guò)來(lái)。”鄧煥說(shuō),“廠家的智能合約有了漏洞,需要發(fā)布新的合約,然后做映射處理。否則就坐以待斃,因?yàn)樵阪溕鲜菬o(wú)法更改的。”
目前在區(qū)塊鏈安全領(lǐng)域,也還沒(méi)出現(xiàn)成熟的安全類(lèi)產(chǎn)品,更多的是依托于人工來(lái)提供安全服務(wù)的方式。
但是,即使聘請(qǐng)了一家公司做安全,每家公司技術(shù)人員擅長(zhǎng)的領(lǐng)域也不一樣,無(wú)法對(duì)項(xiàng)目進(jìn)行360度的防護(hù),只要出現(xiàn)一個(gè)嚴(yán)重問(wèn)題就足以擊潰整個(gè)區(qū)塊鏈網(wǎng)絡(luò)。要百分百地覆蓋各個(gè)脆弱點(diǎn),就需要盡可能多的團(tuán)隊(duì)進(jìn)行集思廣益。對(duì)絕大部分公司來(lái)說(shuō),聘請(qǐng)這么多團(tuán)隊(duì)并不現(xiàn)實(shí)。
目前市面上已經(jīng)有了hackerOne、補(bǔ)天之類(lèi)的中心化漏洞平臺(tái),這些平臺(tái)連接了白帽子(網(wǎng)絡(luò)安全研究者)與互聯(lián)網(wǎng)廠商,通過(guò)廠商付費(fèi)收集漏洞的方式,激發(fā)白帽子幫助企業(yè)發(fā)現(xiàn)并修復(fù)漏洞的積極性。
但在中心化平臺(tái)上,由平臺(tái)和廠商對(duì)漏洞進(jìn)行獨(dú)裁,白帽子無(wú)法保障自己的權(quán)益,廠商和白帽子的隱私也容易被泄露,而且中心化的平臺(tái)也可以被權(quán)力機(jī)構(gòu)任意關(guān)停。
基于此,白帽匯聯(lián)合另一家安全公司派盾科技,發(fā)起了一個(gè)名為DVP的社區(qū),DVP全稱(chēng)是Decentralized Vulnerability Platform(去中心化漏洞平臺(tái)),結(jié)合目前區(qū)塊鏈的特性來(lái)構(gòu)建一條讓廠商與白帽子連接的橋梁,全球的白帽子可以在平臺(tái)上提交漏洞,各廠家可自行認(rèn)領(lǐng),廠家也可在平臺(tái)上懸賞。
“漏洞即挖礦。”鄧煥介紹,廠商需指定安全審計(jì)的資產(chǎn)范圍和懸賞標(biāo)準(zhǔn),并將押金存入合約;白帽子在DVP平臺(tái)可以提交區(qū)塊鏈相關(guān)漏洞及威脅情報(bào),并隨時(shí)查看漏洞審核及認(rèn)領(lǐng)進(jìn)度,被采用后即可獲得相應(yīng)的獎(jiǎng)勵(lì)。
為確保整個(gè)流程的公正性,DVP平臺(tái)會(huì)將漏洞信息進(jìn)行公鑰加密,區(qū)塊鏈廠商可以通過(guò)私鑰解密得到報(bào)告內(nèi)容詳情。當(dāng)確認(rèn)此漏洞無(wú)誤并采用后,懸賞獎(jiǎng)勵(lì)將自動(dòng)打入該漏洞提交者的地址。
為了方便不同數(shù)字貨幣的獎(jiǎng)勵(lì)計(jì)劃,DVP準(zhǔn)備制定一套虛擬的積分體系(類(lèi)似于通證)。在生態(tài)正式形成之前,目前DVP平臺(tái)針對(duì)發(fā)現(xiàn)漏洞的白帽子獎(jiǎng)勵(lì)一定量的ETH。
一個(gè)月發(fā)現(xiàn)1200多個(gè)漏洞
DVP平臺(tái)運(yùn)營(yíng)一段時(shí)間后,鄧煥吃驚地發(fā)現(xiàn)漏洞太多了,“像篩子一樣。”他形容道。
平臺(tái)于2018年7月24日上線,目前平臺(tái)上有一萬(wàn)多名白帽子。截至8月20日,共收到白帽子提供的1231個(gè)漏洞。其中,中危漏洞252個(gè),高危漏洞399個(gè),嚴(yán)重漏洞1個(gè),涉及509個(gè)項(xiàng)目廠商。
漏洞主要來(lái)自交易所、錢(qián)包、公鏈等項(xiàng)目,其中不乏以太坊、唯鏈這樣的知名區(qū)塊鏈平臺(tái)。
哪怕是比特王交易所、幣虎網(wǎng)這樣的知名平臺(tái),也存在許多風(fēng)險(xiǎn)極高的漏洞。
鄧煥表示,嚴(yán)重漏洞一般會(huì)導(dǎo)致拒絕服務(wù)、直接獲取系統(tǒng)權(quán)限、嚴(yán)重級(jí)別信息泄露,可造成嚴(yán)重經(jīng)濟(jì)損失。高危漏洞多是越權(quán)訪問(wèn),能直接盜取關(guān)鍵業(yè)務(wù)中的用戶身份信息,有高風(fēng)險(xiǎn)邏輯設(shè)計(jì)缺陷。首次曝光的黑榜中的交易所均存在資產(chǎn)損失風(fēng)險(xiǎn),盜用篡改風(fēng)險(xiǎn),隱私泄露風(fēng)險(xiǎn)。
他還透露,許多交易所漏洞在通報(bào)后久未修復(fù)。其中風(fēng)險(xiǎn)排名第2的比特王,僅27日一日,其交易成交額便可達(dá)1.6億人民幣,此外,coin88等平臺(tái)更是完全無(wú)法聯(lián)系到,也無(wú)法向其進(jìn)行漏洞通報(bào),這對(duì)投資者來(lái)說(shuō)風(fēng)險(xiǎn)極大。
區(qū)塊鏈最大的安全問(wèn)題來(lái)自人性
雖然區(qū)塊鏈技術(shù)現(xiàn)在面臨種種威脅,但開(kāi)發(fā)者將大量精力投入到了比較底層的算法安全上,目前區(qū)塊鏈技術(shù)看上去仍是難以撼動(dòng)。
通過(guò)近段時(shí)間的安全事件,鄧煥發(fā)現(xiàn)安全問(wèn)題其實(shí)越來(lái)越趨向于用戶、平臺(tái)層面,區(qū)塊鏈的安全問(wèn)題已經(jīng)延伸到了傳統(tǒng)的網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施、移動(dòng)信息安全等問(wèn)題,其中最明顯的就是社會(huì)工程學(xué)攻擊問(wèn)題,嚴(yán)重性甚至超過(guò)了技術(shù)攻擊。
社會(huì)工程學(xué)攻擊,就是黑客利用人性的弱點(diǎn)和習(xí)慣,套取人們的關(guān)鍵信息,進(jìn)而牟利。世界第一黑客凱文?米特尼克在《欺騙的藝術(shù)》中曾提到,人為因素才是安全的軟肋。
很多公司在信息安全上投入重金,最終導(dǎo)致數(shù)據(jù)泄露的原因卻在人本身。對(duì)黑客來(lái)說(shuō),通過(guò)網(wǎng)絡(luò)遠(yuǎn)程滲透破解獲得數(shù)據(jù),可能是最為麻煩的方法。而通過(guò)人際交流的方式獲得信息的非技術(shù)滲透手段卻有效, 而且效率很高。
“最近還有人冒充我們創(chuàng)始人趙武的微信,跟財(cái)務(wù)要資料。”鄧煥說(shuō)。
今年3月份時(shí),北京市海淀區(qū)某互聯(lián)網(wǎng)科技公司員工利用職務(wù)便利,通過(guò)使用管理員權(quán)限盜取該公司100個(gè)比特幣。
同樣是今年3月,西安張某丟失了上億元的虛擬貨幣,三名犯罪嫌疑人都曾是國(guó)內(nèi)知名網(wǎng)絡(luò)科技公司工作人員。
面試時(shí)套話、職務(wù)便利、扮成專(zhuān)業(yè)顧問(wèn)給電腦遠(yuǎn)程協(xié)助、甚至美人計(jì)等,都有可能成為社會(huì)工程學(xué)攻擊的手段。也許不知不覺(jué)間,你就把拍了自己私鑰的照片轉(zhuǎn)發(fā)給對(duì)方了。
白帽子到底是怎樣的一群人?
在很多人心目中,白帽子是很神秘的群體,其實(shí)他們只是一群熱愛(ài)技術(shù)的極客。白帽匯的創(chuàng)始人趙武就曾是“中國(guó)黑客榜中榜”上榜的人物,現(xiàn)在是一萬(wàn)多名白帽子的“帶頭大哥”。鄧煥本人則是更多通過(guò)自學(xué)的方式進(jìn)入到了信息安全領(lǐng)域。
近幾年,由于網(wǎng)絡(luò)安全事件頻發(fā),白帽子們有了用武之地,但是也容易受到質(zhì)疑。幾個(gè)月前,360發(fā)現(xiàn)EOS的漏洞時(shí),BM稱(chēng)360的行為是在制造恐慌。而普通白帽子向廠商提交漏洞時(shí),也會(huì)被質(zhì)疑為了錢(qián)。實(shí)際上多數(shù)情況下,白帽子們找漏洞是為了在實(shí)踐中提高水平。
目前國(guó)內(nèi)頂級(jí)安全人才年收入可達(dá)百萬(wàn),但大部分人跟做“黑產(chǎn)”的黑客的收入相比仍是天差地別,幾乎每個(gè)水平較高的白帽子,都受到過(guò)來(lái)自黑產(chǎn)的誘惑,但多數(shù)人都拒絕了。
對(duì)此,另一位業(yè)內(nèi)安全專(zhuān)家也曾表示,“安全白帽子的價(jià)值一直以來(lái)被嚴(yán)重低估,拿著和能力、產(chǎn)出不匹配的收益。而黑客攻擊獲取的回報(bào)遠(yuǎn)遠(yuǎn)高于白帽子。當(dāng)技術(shù)人員發(fā)現(xiàn)一個(gè)安全漏洞,可能更多人愿意選擇當(dāng)黑客去為自己牟利,而不是維護(hù)正義的白帽子。而沒(méi)有安全,何談區(qū)塊鏈?”
所以,如何更好地體現(xiàn)白帽子的價(jià)值,無(wú)論對(duì)于廠商還是對(duì)于白帽子本人來(lái)說(shuō)都至關(guān)重要。期待DVP平臺(tái)能利用區(qū)塊鏈等技術(shù)來(lái)改善白帽子與廠商之間的關(guān)系,未來(lái)形成一個(gè)真正自治的安全生態(tài)社區(qū)。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為T(mén)MT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
