半年损失25亿美元,智能合约的漏洞像筛子一样多!

转载
2303 天前
11399
起风财经
智能合约漏洞百出,交易所被频繁攻击,仅仅半年区块链安全事件就损失超20亿美元,其实,比特币和区块链从诞生那一刻起,就伴随着人性的考验,白帽子or黑客,不同的选择会带来不同的生态环境。

来源 | 起风财经         作者 | 连翘

  目前国内顶级安全人才年收入可达百万,但大部分人跟做“黑产”的黑客的收入相比仍是天差地别,几乎每个水平较高的白帽子,都受到过来自黑产的诱惑,但多数人都拒绝了。

最近几天,有一位名叫约翰·迈克菲的美国人陷入了麻烦。

7月份时,他推出一款比特币钱包Bitfi,宣称是世界上第一个坚不可摧的硬件钱包,并宣布谁能破解这款钱包,将奖励10万美金。

不到一周,Bitfi 钱包就被人攻破了,然而迈克菲开始含糊其词。8月31日,又一名黑客公布了痛锤Bitfi的更多细节。迈克菲慌了,称“我司会对所有问题作出全面的公开声明,包括赏金支付方案,时间就在下周。”

迈克菲之所以死要面子,是因为他来头太大,他是全球家喻户晓的迈克菲杀毒软件的创始人,迈克菲本人还曾与特朗普同台竞选美国总统,现在秒被打脸,肯定要拼死抵抗。

不过我们也可看出,区块链的安全性堪忧,这样大牌公司设计出来的钱包也会被轻易破解。实际上,比特币和区块链从诞生那一刻起,就一直是黑客眼中的肥肉,交易所频频被攻,智能合约漏洞百出。随着区块链应用项目的增加,区块链安全问题愈加迫切。

2018年上半年区块链安全事件损失超20亿美元

白帽汇安全研究院BCSEC是一家专注区块链安全生态的机构,创始人赵武之前是360网站安全部门总监。白帽汇最近发布了对区块链安全趋势的评估报告,从报告图表中可以看出,2017到2018年,区块链安全问题陡增。




图表显示,到今年8月份为止,区块链在全球已经造成超过20亿美元的损失。其中在区块链项目最火爆的4月份损失最多,超过11亿美元。

而且从易受攻击的点来看,交易平台和智能合约最易被攻击。


从智能合约到代码审计,从节点加固再到渗透测试,安全问题一直都困扰着从业者。

白帽汇联合创始人邓焕称,目前区块链易受攻击的主要原因是专业的区块链人才太少,更多的业务先行,在设计业务时安全的细节考虑的并不完善,而且项目背后的技术不扎实,产生大量漏洞。

目前“全球从事做智能合约审计的才数千人,真正能做公链安全审计的全球不超过百人。”他透露。与此同时,全球有一万多家区块链机构,这有限的人才分散到各机构中是杯水车薪。

因此,目前区块链行业需要大量安全人员。网络安全公司位于整个互联网的最顶端,目前全国做区块链安全的公司只有五六家,全球也不足百家。

“根本忙不过来。”邓焕说,“厂家的智能合约有了漏洞,需要发布新的合约,然后做映射处理。否则就坐以待毙,因为在链上是无法更改的。”

目前在区块链安全领域,也还没出现成熟的安全类产品,更多的是依托于人工来提供安全服务的方式。

但是,即使聘请了一家公司做安全,每家公司技术人员擅长的领域也不一样,无法对项目进行360度的防护,只要出现一个严重问题就足以击溃整个区块链网络。要百分百地覆盖各个脆弱点,就需要尽可能多的团队进行集思广益。对绝大部分公司来说,聘请这么多团队并不现实。

目前市面上已经有了hackerOne、补天之类的中心化漏洞平台,这些平台连接了白帽子(网络安全研究者)与互联网厂商,通过厂商付费收集漏洞的方式,激发白帽子帮助企业发现并修复漏洞的积极性。

但在中心化平台上,由平台和厂商对漏洞进行独裁,白帽子无法保障自己的权益,厂商和白帽子的隐私也容易被泄露,而且中心化的平台也可以被权力机构任意关停。

基于此,白帽汇联合另一家安全公司派盾科技,发起了一个名为DVP的社区,DVP全称是Decentralized Vulnerability Platform(去中心化漏洞平台),结合目前区块链的特性来构建一条让厂商与白帽子连接的桥梁,全球的白帽子可以在平台上提交漏洞,各厂家可自行认领,厂家也可在平台上悬赏。

“漏洞即挖矿。”邓焕介绍,厂商需指定安全审计的资产范围和悬赏标准,并将押金存入合约;白帽子在DVP平台可以提交区块链相关漏洞及威胁情报,并随时查看漏洞审核及认领进度,被采用后即可获得相应的奖励。

为确保整个流程的公正性,DVP平台会将漏洞信息进行公钥加密,区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。

为了方便不同数字货币的奖励计划,DVP准备制定一套虚拟的积分体系(类似于通证)。在生态正式形成之前,目前DVP平台针对发现漏洞的白帽子奖励一定量的ETH。

一个月发现1200多个漏洞

DVP平台运营一段时间后,邓焕吃惊地发现漏洞太多了,“像筛子一样。”他形容道。

平台于2018年7月24日上线,目前平台上有一万多名白帽子。截至8月20日,共收到白帽子提供的1231个漏洞。其中,中危漏洞252个,高危漏洞399个,严重漏洞1个,涉及509个项目厂商。

漏洞主要来自交易所、钱包、公链等项目,其中不乏以太坊、唯链这样的知名区块链平台。


哪怕是比特王交易所、币虎网这样的知名平台,也存在许多风险极高的漏洞。


邓焕表示,严重漏洞一般会导致拒绝服务、直接获取系统权限、严重级别信息泄露,可造成严重经济损失。高危漏洞多是越权访问,能直接盗取关键业务中的用户身份信息,有高风险逻辑设计缺陷。首次曝光的黑榜中的交易所均存在资产损失风险,盗用篡改风险,隐私泄露风险。

他还透露,许多交易所漏洞在通报后久未修复。其中风险排名第2的比特王,仅27日一日,其交易成交额便可达1.6亿人民币,此外,coin88等平台更是完全无法联系到,也无法向其进行漏洞通报,这对投资者来说风险极大。

区块链最大的安全问题来自人性

虽然区块链技术现在面临种种威胁,但开发者将大量精力投入到了比较底层的算法安全上,目前区块链技术看上去仍是难以撼动。

通过近段时间的安全事件,邓焕发现安全问题其实越来越趋向于用户、平台层面,区块链的安全问题已经延伸到了传统的网络安全、基础设施、移动信息安全等问题,其中最明显的就是社会工程学攻击问题,严重性甚至超过了技术攻击。

社会工程学攻击,就是黑客利用人性的弱点和习惯,套取人们的关键信息,进而牟利。世界第一黑客凯文•米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。

很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身。对黑客来说,通过网络远程渗透破解获得数据,可能是最为麻烦的方法。而通过人际交流的方式获得信息的非技术渗透手段却有效, 而且效率很高。

“最近还有人冒充我们创始人赵武的微信,跟财务要资料。”邓焕说。

今年3月份时,北京市海淀区某互联网科技公司员工利用职务便利,通过使用管理员权限盗取该公司100个比特币。

同样是今年3月,西安张某丢失了上亿元的虚拟货币,三名犯罪嫌疑人都曾是国内知名网络科技公司工作人员。

面试时套话、职务便利、扮成专业顾问给电脑远程协助、甚至美人计等,都有可能成为社会工程学攻击的手段。也许不知不觉间,你就把拍了自己私钥的照片转发给对方了。

白帽子到底是怎样的一群人?

在很多人心目中,白帽子是很神秘的群体,其实他们只是一群热爱技术的极客。白帽汇的创始人赵武就曾是“中国黑客榜中榜”上榜的人物,现在是一万多名白帽子的“带头大哥”。邓焕本人则是更多通过自学的方式进入到了信息安全领域。

近几年,由于网络安全事件频发,白帽子们有了用武之地,但是也容易受到质疑。几个月前,360发现EOS的漏洞时,BM称360的行为是在制造恐慌。而普通白帽子向厂商提交漏洞时,也会被质疑为了钱。实际上多数情况下,白帽子们找漏洞是为了在实践中提高水平。

目前国内顶级安全人才年收入可达百万,但大部分人跟做“黑产”的黑客的收入相比仍是天差地别,几乎每个水平较高的白帽子,都受到过来自黑产的诱惑,但多数人都拒绝了。

对此,另一位业内安全专家也曾表示,“安全白帽子的价值一直以来被严重低估,拿着和能力、产出不匹配的收益。而黑客攻击获取的回报远远高于白帽子。当技术人员发现一个安全漏洞,可能更多人愿意选择当黑客去为自己牟利,而不是维护正义的白帽子。而没有安全,何谈区块链?”

所以,如何更好地体现白帽子的价值,无论对于厂商还是对于白帽子本人来说都至关重要。期待DVP平台能利用区块链等技术来改善白帽子与厂商之间的关系,未来形成一个真正自治的安全生态社区。