慢雾洞若观火:庄家收割韭菜,地下黑客收割庄家

原创
2337 天前
28416
火讯财经

本文内容来源三点钟火讯财经创世群,如需转载,务必注明出处。

《火讯琅琊榜》第三期首次开启“双阁主”模式,以寻路区块链”为主题,继续带你探索区块链发展之路。

第三期第一场

大于、大象×慢雾团队


阁主:

大于,经济学博士、中国计算机学会区块链专业委员会委员、区块链产业资深研究者。

大象,不愿意透露身份的火讯财经联合创始人、游离于圈内圈外,不明真相的吃瓜群众、偶尔也明真相的区块链路人甲。

嘉宾:

慢雾安全团队,这是由一支拥有十多年一线网络安全攻防实战的安全成员创建,团队曾为 Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力,团队多项成果也曾进入过 Black Hat 等全球黑客大会。慢雾安全团队已经与全球多家知名交易所、数字资产钱包、主链项目合作,为合作伙伴提供安全审计、安全顾问、防御部署及威胁情报分享。

前言

上期阁主孙健开场称赞双阁主模式非常应景世界杯的主持模式,一个主攻一个助攻。在传统节目“阁主交接仪式”之后,话题正式打开,进入访谈环节。

本期嘉宾慢雾团队自称是一支慢格调的安全团队。“慢雾”这个词取自《三体》,寓意黑暗森林里的安全区域。那么究竟信仰“守正出奇”的慢雾赋予星星以安全?还是赋予观者以能力?或者是维护宇宙的基本平衡呢?

不必过于强调区块链技术,恰如神秘的黑客“自带奇”。因为这个这个世界不存在乌托邦,没有完美的去中心化。

你还记得关于以太坊黑色情人事件、USDT“虚假充值”事件、日本CoinCheck交易所被盗事件吗?好奇最新进展吗?关心区块链企业的安全问题吗?

在这个夜黑风高的夜晚,神秘的黑客先生会展现怎样的一种“超能力”呢?


以下为访谈实录整理


上期阁主孙健: @大于@大象 新阁主久仰大名啊。传授心得是琅琊榜的老传统,传新阁主刨根问底大法。这个是我在上一季的心得。对谈关键是走心,挖出嘉宾最想说的不重要,刨出大家最爱看的,才有趣。

很期待无厘头的大象和正儿八经的大于的混搭。

阁主大于:非常感谢宝贵经验!我们努力!争取为各位火讯的读者提供几道精神大餐!

阁主大象:对,我们的目标是没有蛀牙,开始吧。

主编赵一丹:感谢老阁主传授武功心得!现在我宣布,火讯琅琊榜第三期正式开场!

Q0

阁主大于: 大家晚上好,欢迎收看火讯琅琊榜第三期在线访谈节目,我是于佳宁(也就是大于),很荣幸能担任本期琅琊榜阁主(之一)。特别欢迎本期琅琊榜首次受访嘉宾——慢雾安全团队。

网络安全是一个技术性、专业性很强的领域,天然带着一定的神秘色彩,在正式访谈开始前,可否请慢雾安全团队先进行一下自我介绍,说说慢雾是怎样一个团队?以前做过什么?现在在做什么?未来还希望做什么?

嘉宾慢雾余弦:慢雾是一支比较喜欢慢格调的安全团队,慢雾这个词来自科幻《三体》,寓意黑暗森林里的安全区域。过去十多年我们在安全领域做过不少细分领域:政企、云、金融等,现在聚集区块链生态安全,独立一家区块链生态安全公司慢雾科技,未来希望跳出安全,创造更大价值。

阁主大于很有意思,可否介绍一下慢雾科技的愿景?

嘉宾慢雾余弦:嗯,愿景我用一张图文来说,这就是慢雾的愿景,比较低调。


阁主大于是赋予星星以安全?还是赋予观者以能力?或者是维护宇宙的基本平衡?

嘉宾慢雾余弦:如果想了解慢雾更多内容,可以后续看我们的官网。慢雾只想做好一件事:区块链生态安全。强调“生态”这个词,是因为我们觉得这里面角色很多,安全是环环相扣,甚至唇亡齿寒。

阁主大于很帅气的官网,清晰明了,值得点开一看,哈哈。

是的,安全问题已经不再是某一个参与者单独的问题,而是要从整体生态层次予以考虑,好,那我们下面进入正式的访谈。

Q1

阁主大于:第一个问题,区块链的核心是解决信任问题,而安全事件却一次次打击人们的信任,尤其是智能合约安全漏洞带来的巨额损失。目前区块链行业总体安全态势是怎样的?

嘉宾慢雾余弦:你们看到各种正规军其实都在陆续进来,这也包括地下黑客群体(也是我们常说的攻击者),他们远比我们想象的职业。举个例子,我们今年3月20号披露的一个大事件:以太坊黑色情人节(大家可以打开我们做的专题页看看),这个攻击其实2016年2月14日就发生了(这也是为什么我们命名这个为以太坊黑色情人节),持续了两年多,自动化盗取了近5万枚以太币,几十亿枚各种代币。技术细节我们有专门的分析报告,这里就不谈了,但是大家仔细琢磨下:为什么持续了两年多,直到我们的进来,才完整披露了呢?如果我们没披露呢?

以太坊黑色情人节专题页我发两个截图

阁主大于这还真是一个令人惊诧的问题。

嘉宾慢雾余弦:然后,似乎有个错觉,有人说:你们慢雾进来后,各种新型攻击就层出不穷。就好像柯南每集都会死掉一个人,这不能怪柯南呀,剧情需要呀。

这些人是没意识到:其实地下黑客正规军早进来了,我们的进来也确实是时候,攻防对抗必然会升级。都说币圈一天、人间一年,我们的攻防对抗当然也是这样,会越来越激烈,直到一种平衡。

阁主大于影响范围如此广泛,数额如此巨大,居然还能持续如此长的时间,可见攻防对抗确实在相当长一段时间内处于失衡状态,黑客的攻击居然这么久都没有被监测发现,这在网络安全领域也是难以想象的。

嘉宾慢雾余弦:嗯,这也是我们觉得区块链这个世界充满魔力的原因。

阁主大于:那相比于传统互联网的安全态势,区块链安全有哪些新的特点和趋势?

嘉宾慢雾余弦:当大家关心币价的时候,也可以回过头来,琢磨琢磨这些问题。

比起传统的攻防来说,区块链生态会有自己的特别点,比如币属性,自带金融属性,攻击者有时候不一定要盗走这个币,想办法做空做多就好。

然后这个生态里做个溯源其实更难,法币溯源有国家力量,这个生态这些币的溯源,没什么力量,太分散,大家自扫门前雪,偶尔还会看到互相嘲讽。

但是我们得意识到,安全这个东西,是整个生态的事,攻击者喜闻乐见币圈的乱,越乱,他们越喜欢,收割起来毫不留情。有句话是:庄家收割韭菜、地下黑客收割庄家。


阁主大于:那区块链生态出现安全问题,最严重的情况下会导致什么后果?

嘉宾慢雾余弦:区块链生态安全发生危险最严重的就是团队资金破产及信誉破产。

但是呢……其实我们是乐观的,有时候安全这东西也没那么夸张,一个生态之所以是生态,就具备生态的一个属性:自愈能力其实很强……


阁主大于:从安全角度,您说的生态的自愈能力应该怎么理解呢?

嘉宾慢雾余弦:受损后会恢复,生态的容错性就是这样。安全这东西,到头来还是人,人这个物种就是诡辩、聪明、进化。感觉这部分细节很难在这展开。

我之所以会这样说,是因为想表明:安全这东西,有时候太神秘化不好。

阁主大于哈哈,有点感受到安全问题的本质了。

面对如此错综复杂的区块链安全形势,我们目前掌握的相对比较有效的应对方式有哪些?

这个问题很重要,所以追问有点多哈。

嘉宾慢雾余弦:最好的应对方式是:提高安全感,把安全去神秘化,把黑客去神秘化。

阁主大于在区块链世界里,意识、共识永远是很重要的。

嘉宾慢雾余弦:有句话:无知者无畏;其实,知者更无畏。

慢雾的做法是开放:我们的安全做法、我们的安全理念,来自区块链,最终得回到区块链,你说的:共识。

阁主大于您说的这句话我认为很重要,可否再多解释几句?(慢雾的做法是开放:我们的安全做法、我们的安全理念,来自区块链,最终得回到区块链,你说的:共识。)

群友厂长:基于共识慢雾愿意做白帽,也服务于共识。所以才叫来自区块链,也回到区块链。而且开源精神和共识本就是同根同源。

嘉宾慢雾余弦:比如,我们在我们官网开放了我们安全审计的一些做法,还有不少,我们都会陆续更新。

再比如,我们重度 GitHub 使用者。我们在我们的GitHub上公开了很多解决方案与研究,你们回头可以看看。我们觉得安全这东西一定要首先解决信任这个大问题、

阁主大于很深刻,这些都是很宝贵的资料哎,之后我们还要仔细研究和学习。

嘉宾慢雾余弦:如果我们的客户、我们的伙伴对我们不信任,他们不会和我们合作。如何解决信任:1. 开放开源;2. 口碑传播

阁主大于精辟!基本有些感觉了。

Q2

阁主大于:第二问,国家信息技术安全研究中心主任俞克群曾表示,目前区块链还处在初级阶段,风险不仅来自于外部有意的恶意攻击,也有可能来自区块链本身体系内生的原因。我想问,区块链本身体系内生风险源是什么?区块链技术本身存在安全缺陷吗?

嘉宾慢雾余弦:说实话这个问题上下文我没了解,区块链技术本身当然存在安全缺陷呀。没绝对的安全,这也算是我们做安全的基本共识。

阁主大于能不能把区块链本身的安全缺陷再讲一讲。虽然我想很多朋友可能有所理解,但是理解的有很有可能有偏差,或者不到位。

嘉宾慢雾余弦:好的,我找个我之前发的文字片段,稍等。研究区块链安全的可以参考以太坊漏洞赏金计划

里面对安全的分类有:

- 协议安全

- 实现安全,包括:

1. 客户端协议实现安全

2. 网络安全

3. 节点安全

4. 客户端应用安全

5. 算法使用安全

6. Solidity 语言安全

7. ENS 安全

然后还有不少已经披露的案例可以供参考,拿到赏金不是件难事。这是我们看到知名公链以太坊这个区块链本身的安全缺陷类型。供参考,细节可以回头细聊。

阁主大于:对于安全问题,专业性很强,您觉得,对于一般的区块链从业者而言,应该学习关注到什么层次?

嘉宾慢雾余弦:一般的区块链从业者,保持空杯心态吧,至少能保护好自己的私钥。

阁主大于哈哈,这个建议很中肯,不过做到也不那么容易啊。

嘉宾慢雾余弦:技多不压身,大家会看到越来越多攻击手法被披露,至少保持理解为什么会这样。比如前面说的以太坊黑色情人节事件,为什么为什么为什么会发生?

阁主大于是的,这个概念的理解还是很重要的,即使不能从代码层面理解,也要有这种意识,不过好像学习起来真的挺难,没有看到相对通俗但又权威系统的学习材料。

嘉宾慢雾余弦:本质就是以太坊全节点的私钥机制与相关端口开放的综合攻击手法的工程化问题……

有时候深入挖掘会发现这比魔法还魔法,难怪黑客容易被神秘化。

阁主大于虽然之前做了很多功课,但是看这个概念,说实话还是不太明白。

嘉宾慢雾余弦:确实术业有专攻,有门槛。

阁主大于我觉得以后真的有必要搞一些通俗易懂的区块链安全科普材料,至少让大家有基本的认识,才能达成共识。

Q3

阁主大于:第三个问题,历来人们都对拥有超能力的人有更多的质疑,能力越强责任越大,在区块链世界,慢雾科技其实上可以认为是有“超能力”的公司,我想知道,你们是如何约束自身的“超能力”的?有哪些不可违背的行事原则?除了观念和文化上的约束,慢雾科技对内部成员有怎样的实质性约束?

嘉宾慢雾余弦: 有必要,这问题真好啊!

我觉得这首先是价值观问题了,我们是职业做安全,过去十多年,圈子是有口碑的,而且我们很明白该遵守什么规则,比如我们国家有网络安全法。

我一直给团队共识我们的红线,我们在招人时尤其注意这个,价值观是第一需要考虑的,然后才是其他。还有,我们也和公安相关部门有合作,在自我约束这方面,我们非常严肃。

我总说:确认过眼神,我们一起干事,还不止确认过眼神。

我也总说:守正出奇。比如,黑客这个身份,自带奇……

但是你得守正,价值观一致,还得敬畏法律,敬畏规则。

群友厂长:好纯洁。

阁主大于文化+制度+监管。

嘉宾慢雾余弦:不,纯洁这个词不适合我们。

阁主大于:守正应该是出奇的前提。那让您选一个词来描述慢雾,你会选择什么词?

嘉宾慢雾余弦:好吧,想不到。

阁主大于其实如果让我来想的话,好像也没有比“守正出奇”更加合适的词了。

嘉宾慢雾余弦:是这样,我们也不会提白帽这个词。

阁主大于白帽这个概念已经越来越深入人心了。

嘉宾慢雾余弦:我们有我们的行事准则,确实,守正出奇是最合适的形容。

Q4

阁主大于:第四问,您曾经说“这个社会不存在完美的去中心化,不存在乌托邦,去中心化+中心化才是区块链落地的真正未来。”您认为完全的去中心化不可能吗?去中心化+中心化指得是一种新的共识机制,还是一种治理机制?

嘉宾慢雾余弦:嗯。完全去中心化不可能,因为人性,我高中就看《自私的基因》,里面描述了人性非常底层的本质行为:利己与利他。

阁主大于能再具体解释一下吗?

嘉宾慢雾余弦:区块链落地的真正未来,其实,我并不觉得区块链技术有什么需要特别去强调的,我们应该看人类的未来,比如生产关系与生产力,大趋势来看(不考虑黑天鹅事件),生产关系肯定是越来越好(比如区块链技术让信任成本尽可能降低),生产力越来越强。

区块链并没什么特别,就好像我一直说黑客没什么特别。我想表达的是:我们不必过于强调。对了,别忘了:区块链可不仅仅是技术,还有经济和政治。

阁主大于我很同意,技术永远是中性的,只能推动既有趋势而不能根本改变。

所以说,技术只能强化原有的产业逻辑和趋势,比如如果能通过分布式协作增加效率,那使用区块链一定是很好的。但是恐怕不能用技术凭空创造出来不存在的趋势。

好,我提问的部分就到这里。接下来请另外一位阁主大象提问,也就是要从一本正经切换到轻松愉快模式了。双阁主的模式,嘉宾很辛苦,观众很嗨皮。

Q5

阁主大象:我是一名观察者。

作为观察者,我观察到您有一条发在朋友圈的信息:“我们说慢雾无对手,有投资人估计当我们神经病,现在这个环境,没点格局及想象力还真就别出来做事了……不用给我们假设对手,小龙虾都没吃过两顿的你觉得能谈出个鬼?一个电话就自以为无敌的,不见……”这句话的感觉,不好说低调,更像是在说“燕雀安知鸿鹄之志”,所以你觉得如果要成为你的对手,需要哪些条件?

嘉宾慢雾余弦:得罪人。

阁主大象:不会得罪人的,因为对手可能还没诞生……

嘉宾慢雾余弦:这句话其实有当时的心境。

这个生态才刚开始热闹,就天天喊打喊杀的,任何事业想做好都需要有个马拉松心态。

火讯财经创始人龙典:最近看了一个电影:《我是谁:没有绝对安全的系统》感觉黑客特别厉害。

嘉宾慢雾余弦:慢雾的使命是给这个区块链生态带来安全感。愿景前面也通过了。慢雾是个慢格调的公司,不喜欢竞争。

《我是谁:没有绝对安全的系统》这部电影拍的不错。

群友刘韩:知道创宇、armors应该在行业都是比较领先的吧。

嘉宾慢雾余弦:知道创宇是我老东家。我在老东家做了9年安全,负责安全能力。是的,他们很强。我觉得区块链生态有它极大的魅力,可玩性其实很高很高,现在谈对手,太早。

Q6

阁主大象:刚才有讲到要去神秘化,我们知道暗网是最神秘的组织,匿名交易者在这上面交易毒品、假身份证、火药还有黑客软件等被法律禁止的物品。 人们通过加密的隐身软件才能进入这个普通搜索引擎不能发现的空间,一切交易都通过执法人员监管不到的虚拟货币隐秘进行。可以给大家科普一下,你们所认识的暗网吗?

嘉宾慢雾余弦:暗网其实是个很泛的概念,里面有太多大大小小的组织或个人,霍炬这篇科普文章:写得很好,推荐之后看看。

我题外话说下地下世界现在最有意思的我觉得是门罗币,但是这个题外话回头可以再展开。

阁主大象:讲讲嘛,不要吊大家胃口……

嘉宾慢雾余弦:门罗币不小心创造了个网络和平世界,因为其CPU/GPU算力友好,对抗职业矿机(比如ASIC芯片)。且门罗是最早的一批,算是匿名币的龙头。地下黑客入侵大量服务器,以前是勒索、窃取机密,现在大规模做CPU挖矿。比如一段代码:(由于代码太长……已略)

阁主大象:这是科普……

嘉宾慢雾余弦:这里的蠕虫修补了相关漏洞入口,杀掉了蠕虫对手,安全加固了相关机制,然后它仅挖矿……不少企业入侵事件的发现不是因为发现蠕虫,而是发现服务器或主机卡了……这些蠕虫挖的主要就是门罗。

这样的挖矿收益高呀,更好的蠕虫还会合理利用服务器资源,让你还不一定发现得了。好了 先科普这点。

阁主大象:挖门罗币?感觉诡异,换个话题。

嘉宾慢雾余弦:嗯,很神奇的世界。

Q7

阁主大象:说回您自己,6月28日晚间,慢雾科技在官方微博上表示,发现交易所在进行USDT充值交易确认时存在逻辑缺陷,导致“假充值真交易”。对此,okex和 LBank等平台相继做出回应表示,他们已针对该漏洞做出了排查,两家平台均不存在以上漏洞;但由于LBank无法保证其他交易平台及USDT 整体的安全性,所以决定暂时关闭USDT充值。

目前该事件有什么最新进展?慢雾最近又发现了哪些新型且隐秘的攻击手法?

嘉宾慢雾余弦:关于 USDT “虚假充值”的事件,目前许多交易所也都发了公告声明说不存在该问题了,存在该问题的交易所也都获取了情报在第一时间修复了,目前应该已经不存在此问题了。

我们披露的基本都是已经有攻击事件发生的,而不是一个单纯的漏洞,单纯漏洞没意思。

当时我朋友圈发了段文字:我们一般不披露那些还没出现攻击事件的情报。比如单纯漏洞这玩意,挤挤总会有的,多重磅都可以搞个出来,没什么好说,但只要是事件,就代表已经发生,披露我们尽最大努力走负责任路线。我们在给甲方做安全时,会全面带入我们的情报网络,这种价值,似乎还不好量化,但懂的人,会很感激我们。

其实我们发现不少隐秘攻击,有些还不是时候披露,我们一般是先通知合作方,修复后,再想办法合理披露。

比如这个 #预警# 新型攻击手法披露:以太坊黑色情人节事件里已经出现的隐蔽攻击方式

一次次颠覆许多人的认知。这个过程挺有趣的,就像破案,抽丝剥茧……但是你们知道,不是什么都可以立马公开谈,因为即使我们看看本群500人,有攻击者吗?你们觉得?你们回头加我微信,你又能知道我就是我?

群友币圈小吴:问题以后越来越多。那么实际上,中心化也未必是坏事。

阁主大于细思极恐。

Q8

阁主大象:这让我想起早前比较大的新闻,今年年初日本CoinCheck交易所被盗近5亿美元的新经币(XEM),当时新经币的开发团队开发了自动标记系统,用来追踪所有CoinCheck被盗资金。但是,最终被盗的新经币还是被黑客清洗干净了。安全已然成为区块链行业必须重视的话题,那么区块链企业自身应该采取哪些措施应对高发的区块链安全问题呢?

嘉宾慢雾余弦:建议其实好多,简单说几个:1. 做好各方面的安全加固;2. 找专业团队做安全审计,把专业的事情交给专业的人来做;3. 共同促进生态安全。

阁主大象:刚才我问了第八问,再追问一句,号称是可以追溯来源的加密货币真的没有办法将这些“赃款”锁定吗?

嘉宾慢雾余弦:不一定,比如智能合约代币如果加了锁机制,那可以,但这样你们不觉得很可怕?项目方权限也太大了吧?

阁主大象:这就是两难悖论。

Q9

阁主大象:EOS主网上线前夕,360安全团队公布了EOS的“史诗级”安全漏洞,我们当然相信360团队认真负责地公布漏洞的态度。但是部分EOS支持者却认为360做空EOS,周鸿祎借势入局。我想请问余弦先生,作为一个拥有“超能力”的黑客,一个“守正出奇”的黑客,在区块链行业从事安全工作遭遇过哪些非议?其中您最不能容忍的指责是什么?

嘉宾慢雾余弦:好问题。非议多得很,比如前面说的以太坊黑色情人节事件,我们披露后,有人就留言我:你们盗了不少币了吧?披露是不是想混淆视听?你们为什么不盗币,披露干什么...

我们没什么不能容忍的,因为我们深刻明白这个世界就是如此;-)

两本好书:《自私的基因》,《乌合之众》。

阁主大象:哈哈哈,宽恕。

嘉宾慢雾余弦:没什么问题是一顿小龙虾解决不了的,如果有,那就两顿。

阁主大象:可以,天天来。我最不能解决的问题是小龙虾为什么要去壳,这么麻烦。

Q10

阁主大象:那继续我的第10问?慢雾现在遇到的几乎所有智能合约的安全问题都是以太坊上的。最近这段时间频繁地有团队爆出智能合约安全问题,例如早期从BEC、SMT爆出的问题,还有最近EDU、BAI的问题。团队该如何做好风控呢?

嘉宾慢雾余弦:很聚焦的问题,安全最佳实践早有了,然后上线前请职业的安全团队做个安全审计,不费事。以太坊智能合约 —— 最佳安全开发指南

这里,别偷懒,回头认真看。

Q11

阁主大象:第十一问,这是我的个人爱好,以权谋私一下。我也很喜欢看《三体》,对水滴印象很深,水滴既是监视者又是攻击者,让人细思极恐。在区块链的发展中存在这样的角色么?

嘉宾慢雾余弦:偶尔,我之前反驳过一个人:你对力量一无所知。这也是我们常说的:上帝视角。凡事都得看具体场景。

阁主大象:补充一句,在我问慢雾科技是干什么的时候,有人回答我,慢雾既是监视者又是守卫者……

嘉宾慢雾余弦:谢谢。

阁主大象:一共十一问,OK,我的问题结束。

嘉宾慢雾余弦:慢雾背后有一支 Red Team,以攻促防,只有了解攻击者的手法与心理还有这个群体的生存模式,才能真正做好防御。

自由提问环节

群友:请问,现在交易所那么多 如何看待越来越多的新交易所 至少安全角度而言,会不会只是个空架子?

嘉宾慢雾余弦:安全角度,我们觉得这个生态没谁是漂亮的。但是,相对优质的是有的。而且我们也发现,其实普遍来说,区块链生态里大家已经把安全当成必选项了。

群友:能承受这么大的DDOS攻击和数据量吗,竞争对手恶意攻击让这个生态更混乱了还是清楚劣质交易所呢?

嘉宾慢雾余弦:客观说,绝大多数安全性堪忧,挡不住职业攻击者。整体来说一切的生态发展都是从混乱到正规。

未来可期。我建议大家搞好自家安全时,也多促进整个生态的安全感,这方面需要一些共识。比如:1. 不夸大恐吓式宣传;2. 不拿安全当黑公关能力去踩对手。大家共同努力吧,也欢迎监督我们。谢谢,我准备吃小龙虾去了……

群友:问一个可能比较冒昧的问题:慢雾目前是运动员还是裁判员呢?会不会将来两者都会牵涉呢?

嘉宾慢雾余弦:啊,好问题。

我们努力做好区块链生态安全这一件事,我上面说的内容,也欢迎监督。我知道中立其实很难很难很难,但是我们努力。