2018年4月23日,BEC(美鏈)爆出 ERC20 協議安全漏洞,攻擊者利用整數溢出BUG,可無限生成代幣,直接導致BEC幣值跳水,幾乎歸零。
5月2日晚,美圖蔡文勝在微信群互動時再度回答了關于BEC的諸多疑問。
蔡文勝強調:“BEC美鏈不是美圖公司做的,也不是我個人做的。”但網友似乎并不買賬。
作為一個價值流通的底層平臺,安全性是區塊鏈的重中之重,也是區塊鏈能被社會廣為接受的基石之一。如何通過良好的漏洞治理生態來降低風險事件的發生將變的尤為重要。
回望區塊鏈九年的發展歷程,安全事件引發的巨額資金損失、公司破產等問題不勝枚舉。
讓我們先來分析一下比特幣、以太坊和交易所這三類安全事件重災區現狀,再探討一下如何從項目團隊、項目生態和投資者防范這三個方面去全面構建區塊鏈安全生態,切實降低安全風險。
安全問題現狀
1.比特幣安全問題
比特幣區塊鏈自2009年1月4日運行以來,截止到今日已經穩定地運行了3405天,其安全性可謂是固若金湯。
不過隨著加密技術的發展,比特幣的安全機制也越來越受到挑戰。
一個由加密算法愛好者構成的組織(Large Bitcoin Collider(LBC)),正在進行一番堂吉訶德式的努力:
暴力破解創建比特幣錢包地址的加密算法。
LBC上線運作還不到一年,項目方表示,他們已生成了3000萬億條密鑰,并將其和現有的比特幣錢包地址進行比對。目前總共篩選出了30個匹配的密鑰,去除“釣魚”秘鑰,真正包含比特幣的匹配密鑰已有3個。
除了暴力破解法,比特幣最大的安全隱患來自于交易所平臺監守自盜或被黑客攻擊,亦或是用戶賬戶被盜。
一旦被盜,黑客會通過混幣等手段進行洗白,追回的可能性幾乎為零。
2.以太坊安全問題
相較于比特幣,以太坊最大的提升莫過于一方面引入了智能合約。
一方面,其圖靈完備的編程機制使得平臺可以支持復雜的應用,大大豐富了平臺應用的多樣性;
另一方面,以太坊引入了虛擬機中間層,使得多種語言開發的智能合約都能在平臺運行,提高了平臺的可擴展性。
但恰恰也是這兩大機制為以太坊的安全問題增添了更多的不確定性。
首先,圖靈完備的編程方式固然更靈活,但同時也更復雜和不可控;
其次,虛擬機機制使得以太坊支持多種語言,當然也引入了更多語言的不確定性、復雜性和固有的缺陷。
這些因素都是黑客尋找獵物的溫床。
以太坊架構示意圖
作為區塊鏈最活躍的公鏈平臺以太坊,目前已知存在Solidity漏洞、短地址漏洞、交易順序依賴、時間戳依賴、可重入攻擊等漏洞。
在調用合約時漏洞可能被利用,而智能合約部署后難以更新的特性也讓漏洞的影響更加廣泛持久。
有研究機構運用分析工具Maian分析基于以太坊的近100萬個智能合約,發現有34,200個合約含有安全漏洞,可竊取或是凍結資產、甚至刪除合約。
3.交易所安全問題
交易所作為巨大的數字資產集中池,成為黑客們攻擊的重要目標。若是安全控制做的不到位,任何一次攻擊都將是損失慘重,破產倒閉也只是一夜之間。
除了來自外部的攻擊,源于交易所內部的監守自盜或是信息泄露也是非常致命和可怕的。2018年4月,總部位于印度的交易所Coinsecure宣布,價值330萬美元的438.318個比特幣被盜,據稱就是由于一名員工所為。
據外媒Cointelegraph報道,韓國媒體網站MBC聘請了一家安全公司來測試包括Bithumb在的五家韓國比特幣交易所安全性設置,結果令人堪憂。
安全公司使用了一些所謂的基本黑客工具就成功繞開了這些比特幣交易所的安全程序,該公司稱他們能夠成功入侵所有五個目標平臺,獲取用戶數據和資金。
構建區塊鏈安全生態
區塊鏈安全生態不僅僅需要項目團隊、開發人員,更需要多方的通力合作,因此,本文主要從項目團隊內控、項目生態激勵和投資者自我防范這三個方面去探討區塊鏈安全生態的建設。
完善代碼安全審查機制
回顧ERC20漏洞事件,可知毀掉BEC的僅僅是一個整數溢出漏洞,學過計算機的同學可能知道,這類漏洞是程序中最為常見和普遍的漏洞了,完全可以通過有效的代碼安全審查機制來避免。
漏洞事件一出,經過核查,使用ERC20協議的項目竟然有20余個都存在類似的問題,代碼質量很是堪憂!
瞬息萬變的幣圈確實發展的太快,每一個人都是飛奔著前進,都趕著寫白皮書、趕著募資、趕著上項目,自然而然就很少有人沉下心來好好做測試,好好做安全審查,導致漏洞頻出、安全事件頻發。
區塊鏈作為一個分布式的去中心化系統,代碼一旦部署將很難更新,需通過硬分叉或者軟分叉來對代碼進行升級,成本不可謂不高。
THE DAO事件則直接將以太坊分裂成為ETH和ETC,是對以太坊生態的重大破壞。所以在項目發布之前,充足的測試和代碼審核變得十分關鍵和必要。比如說多人代碼審核、內部測評小組、外部專家評測等。
多人代碼審核
由于一個人的能力和認知總是有限的,所以對于同一段代碼,不同的人將會發現不同的問題,多人代碼審核機制能使得代碼的BUG率和漏洞率大大降低。這種方式也是軟件行業降低錯誤率最為通用和有效的方式之一。
內部測評小組
項目組建立內部安全測評小組,梳理業界常見的安全問題清單,并逐一對發布的項目進行安全審計,通過簡單的梳理和測評便能將常見的基本漏洞一掃而空,大大增加了系統的可靠性。
外部專家評測
對于某些新型的,特殊性的漏洞,項目組可以借助于外部安全專家的幫助進行梳理和測評,爭取在項目發布前將安全隱患降到最低程度。
發展白帽黑客激勵機制
世界無非兩極,一陰一陽、一黑一白、一正一邪,有黑客肆意破壞,就有白帽黑客維護世界正義。
隨著各類數字資產的市值越來越高,黑客們從中套取的收益也越來越客觀,相比之下,白帽黑客們卻窮酸得多。這種巨大的收入差導致越來越多人加入的黑客的陣營,而白帽黑客們則為數稀少。
通過激勵白帽黑客來抑制或者是平衡黑客越來越肆無忌憚的破壞行為或許將成為一種有效的手段。
那么,如何激勵白帽黑客們為平臺做出貢獻呢?
主要可以從兩方面入手,一是物質激勵,二是精神激勵。
物質激勵
對于發行通證的公鏈來說,最實在的物質激勵自然就是通證。它既是區塊鏈平臺的價值載體,也是平臺生態治理的重要手段。比如COSMOS,為了鼓勵發現并及時報告缺陷,Cosmos Hub允許黑客通過ReportHackTx 交易來“邀功”,主要就是說明,“這個節點已被攻擊,請將獎金發到這個地址”。黑客可以收到擊中資產的5%作為賞金。
除此之外我們也可以通過設立黑客獎金池、黑客基金或者項目特別顧問等方式來激勵白帽黑客主動挖掘漏洞,幫助平臺持久安全地運行。
精神激勵
除了物質獎勵,對于Hacker這一非常另類、有性格的群體來說,精神上的激勵或許是更持久有效的方式。對于每一個為平臺或者項目作出貢獻的黑客來說,項目組、基金會或者社區都應將給與其相應的榮譽獎勵。可以是排行榜、貢獻值亦或是某種稀缺頭銜等等,使其不僅能被社區其它成員知曉,更能明顯區別于普通會員,增強其在社區的存在感、參與感和榮譽感。
選擇靠譜交易所
交易所之所以成為安全事件的重災區,原因有二:
一方面,是由于交易所存儲了投資者的巨額數字資產;
另一方面,區塊鏈行業發展迅速,中心化交易所的安防建設趕不上其業務的發展速度,特別是各類交易所參差不齊,安全問題非常突出,投資者利益難以得到保障。
為此,去中心化交易所喊得火熱,但由于其交易效率難以提升,技術實現難度較大,目前還不能完全取代中心化交易所。
因此,從保護切身利益出發,投資者們選擇運行持久、可靠有保障的交易平臺非常重要。
評論
查看更多