「 慢霧 只想做好一件事:區塊鏈生態安全。」-淺談區塊鏈產業安全問題
在區塊鏈產業裡,安全性問題是大家非常重視的一塊,這次在因緣際會之下,桑幣有了這次的機會可以跟專職於區塊鏈生態安全的慢霧科技進行訪談,一起討論有關於區塊鏈產業的安全問題,以及慢霧科技在未來所想發展的方向,也希望可以透過這次的訪談讓更多人可以認識慢霧科技。
這次的訪談我們很高興邀請到慢霧科技安全研究員以及慢霧區負責人的Keywolf來替我們解惑:
依您所見,一般加密貨幣投資人最常碰到的安全問題有哪些呢?
合約安全問題:導致加密貨幣項目遭受巨大損失的案例還蠻多的,如 Parity 多簽合約兩次被攻擊的事件,The Dao 事件、BeautyChain 事件和SmartMesh 事件等,建議在合約上線之前請權威、專業、靠譜的安全審計公司進行合約代碼審計。像我們慢霧就已經累計審計了 300+ 份智能合約。
交易所安全問題:交易所安全涉及到傳統的 Web 和 APP 等應用的安全,還包括架構安全等,交易所因為應用漏洞被黑客攻擊並獲取服務器權限,通過修改服務器中的數據進行盜幣行為已經發生了好多起;在交易所上線之前我們同樣是建議找有能力的第三方公司進行審計。
安全意識問題:用戶安全意識缺失導致遭受到木馬或惡意釣魚攻擊私鑰被攻擊者竊取等,也有因為私鑰保管不當導致私鑰遺失,有因為開發人員代碼編寫不規範,有運維人員應用配置錯誤等問題;我們建議要培養用戶和開發者的安全意識,完善企業內部的安全管理規範等。
偷偷問一下,您能否透漏有哪些知名項目或交易所最常收到漏洞情報?
站在安全的角度上來說,並不存在絶對安全的交易所或項目,都有收到漏洞,這有點涉及到隱私在這裡就不具體說明了。多多少少都會收集到,包括一些邊緣的、底層的或者核心的安全問題。
慢霧幣在不可交易的基礎下,要如何激勵用戶呢?
目前階段的慢霧幣主要是用來奬勵社區內夥伴,可以通過提交漏洞,共享威脅情報等渠道獲得,現在更像是一種類似積分一樣的存在,當然未來慢霧幣一定會有更多的用途,在這裡就先給大家賣個關子。
請問有沒有一些高等級的黑客技術可以在不知道你的助記詞、私鑰的情況下盜取你的賬戶中的加密資產?如果可以的話,我們要如何防範?
這個有的,我們在今年 3 月份披露了這種攻擊,由於漏洞影響很大,我們命名為“以太坊黑色情人節”,攻擊者就是利用以太坊節點 Geth/Parity RPC API 鑒權缺陷,惡意調用 eth_sendTransaction 盜取代幣,這個攻擊其實 2016 年 2 月 14 日就發生了(這也是為什麽我們命名這個為以太坊黑色情人節),持續時間長達兩年多,自動化盜取了近 5 萬枚以太幣,幾十億枚各種代幣,總價值難以估計。一般我們建議大家私鑰進行物理隔離或者高強度加密存儲並保證密鑰的安全、還有就是賬戶信息(keystore)不要存放在節點上等等。
關於這個事件我們有個專題進行追蹤,大家可以去看一下,裡面有更加詳細的解讀還有具體的建議:
以太坊黑色情人節
https://4294967296.io/eth214/
以太坊生態缺陷導致的一起億級代幣竊盜大案
https://mp.weixin.qq.com/s/Kk2lsoQ1679Gda56Ec-zJg
許多人都認為使用了硬體錢包,就代表自己的加密資產安全萬無一失了,請問真是如此嗎?
像我們做安全的人都有一種共識,就是沒有絶對的安全,萬無一失是不可能存在的,總有你想不到的漏洞在前面等着你。硬體錢包當然也不可能。硬體錢包最重要的是要對其硬體本身進行安全保存,因為一旦硬體丟失,那麽其中的內容就可能會被讀取,不法分子通過相關技術便可以竊取用戶的私鑰。
相關產業裡的競爭者有哪些, 慢霧 科技和他們不一樣的地方和現有的優勢在哪呢?
我們一直都是希望區塊鏈生態能夠有更多的類似慢霧這樣的安全正規軍加入進來,大家也能感受的出來,最近各種安全事件頻發,在區塊鏈這個領域安全攻防對抗是十分激烈的,可以預見的是未來這種激烈程度會繼續增加,只有越來越多的人參與進來,才能給這個生態帶來更多的安全感。不能說是競爭者吧,我們更願意稱他們為同行者,在這裏就不點名了。和他們相比慢霧的優勢可能在於我們是一支黑客團隊,有更多的攻防對抗經驗。
目前遭遇哪些難題,技術上有哪些比較難突破或需要時間去研發的呢?
區塊鏈是一個發展非常快的行業,你可以看到可能一個月就有好幾個熱點,不知道什麽時候就又冒出了一個新的玩法,這就要求我們要不斷地去學習才能跟上整個行業的腳步。
就是不僅要從技術角度不斷學習,同時還要考慮更多的東西來補強技術上的一些短板。
近期目標是要完成哪些,進度有無落後或超前?
近期目標還是不少,團隊的小夥伴們也是在各種加班加點趕進度,進度目前還是正常的在按照計劃中進行。
對於區塊鏈產業趨勢和未來 慢霧 科技在區塊鏈上會佔有什麼樣的地位?
在未來我們依舊希望慢霧能夠成為給這個生態帶來安全感的存在,慢霧只想做好一件事:區塊鏈生態安全。