0
在知乎中,有個很有意思問答-----“人在哪些情形下最容易/最難成為小偷的目標?”
這個問題本是來想邀請“相關從業者”(其實就是小偷)來回答的,但干這行的都比較低調,最后反而炸出了不少受害者的被偷經歷,雖然故事五花八門,但雷鋒網編輯試著總結了一下這些答案,被偷目標一般都符合以下幾個條件:
1.露財了。你的鈔票或者手機早就被小偷盯上了。
2.防護能力不強。你將財物直接放在了衣服最外面的兜里,或者背包的拉鎖沒拉,漏出了破綻。
3.反抗能力有限。小偷偷東西的時候也會考慮萬一被抓的后果,在一個柔弱的姑娘和一個彪形大漢之間,小偷當然會選擇前者。
如果把這個問題放在安全行業,把小偷的角色改為黑客,答案應該也有相似之處。
首先你得有錢才會被黑客盯上;再者漏洞比較多,黑客得手的“成功率”比較高;最后黑客還會考慮攻擊行為被發現后,是否容易脫身。
在2017-2018年間,有一個行業幾近“完美”的滿足了有錢、漏洞多、追溯難的三大條件,如果你是我宅的資深讀者,應該已經猜到了。
沒錯,就是集中涌現“暴發戶”的區塊鏈行業了,在過去一年來,我們報道了關于幣安、SMT、EOS 等眾多區塊鏈行業的安全漏洞。
據區塊鏈安全公司 BCSEC 的統計,目前全球總共有 500 多家主流數字貨幣交易所,涵蓋 1644 種數字貨幣,市值總額達到了 3448 億元。截至 2018 年 6 月,針對數字貨幣的攻擊累計達到 100 次,造成的直接經濟損失達 33 億 5000 萬美元。
這從也從一個側面表明,在區塊鏈行業中,與火熱的資本相對應的是脆弱的安全防護能力。據其統計,在前全球有10000+的區塊鏈項目,而區塊鏈安全服務公司卻只有不到50家,對于安全防護非常渴求。
8 月 1 日下午, BCSEC 宣布聯手區塊鏈安全團隊 PeckShield(派盾),召開了一個名為“安全鏈接計劃”的發布會,決定發起一個去中心化的漏洞平臺 DVP(Decentralized Vulnerability Platform),他們想利用區塊鏈技術,建立匿名化的安全眾測社區場景。
關于 BCSEC 的背景,雷鋒網此前曾在《白帽匯的趙武摘掉了他的“帽子”》這篇文章中有過介紹:創辦白帽匯的趙武注冊了一家名為“華順信安”的公司,接受了丹華資本幾千萬的投資(后者投資了不少區塊鏈公司),不過“白帽匯”并沒有消失,而是成了華順信安旗下的技術研究院,區塊鏈安全是他們的研究方向之一,而BCSEC 的創始團隊正是來自于白帽匯安全研究院。
此次他們搞發布會,是想號召全世界的白帽子一起來挖區塊鏈行業的漏洞,不過跟其他眾測平臺所不同的是,他們會讓白帽子以“匿名”的形式來提交漏洞。(至于為什么強調匿名,大家可自行搜索白帽子和世紀佳緣事件。)
合作的另一方是“PeckShield”,據官方資料的介紹,PeckShield 是面向全球的區塊鏈安全團隊,由前360首席科學家、美國北卡州立大學終身教授蔣旭憲創辦,曾在 2012 年率先進行了全球第一個智能手機上的惡意軟件基因組研究,此后又于2014年首次發現了特斯拉汽車的應用程序安全漏洞。提交過大量高質量的漏洞報告,并多次獲得谷歌,高通,三星,華為等廠商致謝及獎金。
團隊的吳家志是DVP平臺的CEO,由于目前區塊鏈技術在金融領域應用較多,他以傳統金融為例,對比區塊鏈金融目前所面臨的安全挑戰。
▲吳家志
與傳統金融相比,區塊鏈金融在很多國家是不受國家法律保護的,只能由區塊鏈相關企業自己保護自己,在這種法律空白的情況下,資金盤越大,就越容易遭受黑客攻擊,目前這種過渡階段對于黑客來說,是一個可以將入侵肆意變現的時代。
目前,安全漏洞分布于區塊鏈的各個環節,包括:交易所、礦池、錢包、智能合約等,但與整個區塊鏈生態環節眾多相比,相關的安全從業人員力量卻比較分散,難以形成合力解決問題,這也是他們為什么要做眾測平臺的原因。
既然是兩家聯手合作搞針對區塊鏈安全的眾測平臺,那雙方應該都在這方面有各自的強項。
我們先來了解一下 BCSEC,在其官網的 logo下面,有這樣一行字:“區塊鏈安全信息平臺”。
在發布會當天,雷鋒網發現趙武也作為 DVP 漏洞平臺的顧問來站臺,而具體負責DVP平臺的,則是白帽匯的聯合創始人鄧煥。
趙武之前一手創辦了業內最大的漏洞響應平臺“補天”,而鄧煥也曾是補天漏洞響應平臺的技術負責人。也就是說,他們曾擁有國內最大的漏洞響應平臺的創辦和運營經驗,如何最大限度的發揮廠商、安全公司和白帽子的作用以減少漏洞暴露風險,是他們所擅長的。
而另外一方“PeckShield”(派盾),則已經在區塊鏈安全研究方面受到業內關注。除了在移動安全方面的研究,2018年來,他們還因連續發現并命名了BEC、SMT、EDU 等智能合約的重大安全漏洞。
換句話說,“PeckShield”很擅長“挖漏洞”,尤其是區塊鏈領域的安全漏洞。
在隨后對鄧煥的采訪中,他也表示,在區塊鏈漏洞的挖掘和研究方面,“PeckShield”確實比他們厲害。
一個擅長漏洞平臺的運營,一個擅長區塊鏈行業的安全研究,加上市場的強烈需求,這就促成了雙方的合作。
既然是眾測平臺,就面臨著兩個問題,一是如何讓白帽子更加順暢的提交漏洞,并獲得應有的報酬;二是如何讓廠商意識到漏洞的嚴重性,并愿意給提交漏洞的白帽子付相應的報酬。
作為DVP平臺的CSO,鄧煥介紹,之所以提出提出“漏洞即挖礦”,就是為了促使白帽子和廠商形成利益共同體。白帽子在DVP平臺可以提交區塊鏈相關漏洞及威脅情報,并隨時查看漏洞審核及認領進度,獲得相應的獎勵。同時,為確保整個流程的公正性,DVP平臺會將漏洞信息進行公鑰加密,區塊鏈廠商可以通過私鑰解密得到報告內容詳情。當確認此漏洞無誤并采用后,懸賞獎勵將自動打入該漏洞提交者的地址。
正因為此,通過社區將重構白帽子與廠商之間的關系,DVP平臺一方面將利用區塊鏈的天然的匿名性等特點有效保護“白帽子”,促使全球的白帽子和安全工程師都可以參與進來發掘漏洞,另一方面則是有效擴充企業有限的溝通渠道,降低溝通成本。
為了確保平臺順暢運行,他們主要有以下機制
? 每筆懸賞項目,需要存入50,000$等值的DVP平臺保障金
? 每筆漏洞支付將回收10%形成DVP基金
? 每個自然月的最后一天00:00進行結算,其中:DVP基金中當月80%用于獎勵回饋社區所有持DVP用戶;20%用于再次獎勵平臺當月按照漏洞提交數量排名TOP100的白帽子用戶。
鄧煥告訴雷鋒網,截止7月31日,DVP上線一周以來,“白帽子”所提交的漏洞有312個,涉及175個項目方,包括目前的一些智能合約,知名公鏈,交易所等一系列的項目。
具體來看,經審核后,所提交的漏洞中,高危漏洞達122個占所有漏洞的39.1%,中危漏洞53個,約占17%。其中,包括某智能合約廠商存在重入漏洞,黑客可通過該漏洞從合約中無限提取資金。某大型公鏈存在設計缺陷,可導致此項目大量的公鏈節點崩潰,甚至可能導致項目方硬分叉。
目前給白帽子的報酬折合人民幣約有30多萬,其中一個白帽子所提交的高危漏洞價值 6 萬元。
未來,DVP準備制定一套虛擬的積分體系(類似于通證),白帽子群體將不用針對每一個發起測試邀請的廠商開通不同的錢包地址,同時,廠商也不用每次自己進行不同貨幣。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
