“安全卫士”360的区块链安全生态布局之行

原创
2288 天前
14047

【本文转自微信公众号“链得得”(ChainDD)】

5月25日午间,360安全卫士官方微博发布消息称,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞,在区块链网络中可能引发整个网络瘫痪的风暴攻击,对整个数字货币系统造成巨大冲击。

5月29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。而因为安全问题,也影响到了EOS的上线进程。

但也就是因为这一战,曾经用免费模式颠覆传统互联网安全领域的360携“安全”重剑杀入了区块链领域,人们不禁惊呼,新兴区块链领域终于迎来成熟互联网安全巨头的“驻扎”。也就在披露EOS“史诗级”漏洞的同一天,360陆续与币安、欧链科技达成合作,在合约审计、区块链底层技术和应用等多方面提供解决方案。

【EOS之后,360在做什么?】

但是近5个月过去,360安全团队在做什么?区块链领域的进展是什么?近日,在2018ISC互联网安全大会上,360区块链资深安全专家李佳峰透露,360已经建立了自己的区块链安全解决方案平台,而集团在区块链上的安全业务,并没有太大的偏好,公链、交易所和钱包的安全测试都会去做。

据了解在360区块链安全平台上,提供了包括钱包、矿池、交易所、智能合约和EOS超级节点等安全解决方案,几乎涵盖了区块链生态中所有业务。


对于早期发展的区块链来说,安全的重要性不言而喻。层出不穷的安全事件成为行业发展最大“隐忧”。2018年初,日本数字交易所Coincheck遭受黑客攻击,26万客户损失4亿美元。3月7日,币安疑似遭遇黑客攻击,交易系统出现故障,被黑客一夜卷走7个亿。6月10日,韩国加密货币交易所Coinrail 称系统遭遇“网络入侵”,虽然这只是个小交易平台,但损失还是超过 4000万美元。

据《2018上半年区块链安全报告》显示,因安全问题上半年损失超过27亿美元。在此环境下,以知道创宇、SECBIT实验室和链安科技等为代表的安全公司加入到区块链安全领域,并迅速成长。

他们有一个共同的特征,即以“合约”切入,对合约进行代码审计和形式化验证。

不过目前市场中还没有真正成长起一支“整体作战能力”突出的安全团队,而360似乎计划在这一领域中承担起这样一个角色。李佳峰讲到:“我们人数多,不存在以哪块业务来切入;对我们来说,合约的安全检查是没有问题的,因为合约涉及到的安全积累是最早的。”他表示,对于一般的安全人员,学习一段时间都能够去做一些安全测试,360则偏向于难度较高的业务。

作为一支深耕安全领域十三年的老牌劲旅,360公司在2013年就已经开始布局区块链安全研究,且已在钱包、矿机、智能合约等生态领域发现多个严重

安全漏洞并发布预警。据了解,360信息安全部有三个团队做区块链安全研究。

【区块链安全的免费化趋势】

对于360来说,似乎也不缺影响力。李佳峰解释道,把漏洞攥在自己手里是一种小作坊的做法,等客户找上门再以更快的速度去测试,以获得更大影响力,但是我们更愿意把这些问题爆出来,来净化整个互联网安全环境。

而今年上半年360爆出的EOS“史诗级”漏洞,就被外界定义为一次“成功的营销”。无可否认,对于处在行业龙头的360来说,区块链安全是一个复杂且蕴藏巨大机会的蓝海市场,围绕“数字资产”建立起来的区块链体系,已然突破传统的互联网信息安全演变成为一场带有高金融属性的“信任危机”,公司以一种高姿态杀入进来可以迅速占据高点。


而区块链本身分布式的账本设计,每个节点频繁维护决定了“安全方案”更高成本的投入,对于链的监控问题、链的异常出块、异常大额交易和黑客地址的监控等,都需要付出很大的人力和物力。对于主打安全牌的360来说,势必也想在区块链行业再次占得先机。李佳峰称,他们在一些技术要求低的以合约审计为代表的业务上未来可能会结合公司战略决定是否会有免费化趋势,360目前在自己的平台上已经提供了ERC20、ERC721等标准合约的审计业务但还未对外开放与免费。

360在传统互联网安全上的免费化策略是基于“安全防护要求不高”的C端用户而运用,同时也是以360浏览器为代表的其他业务的成熟为基础。但是在区块链安全方面,用户群体是安全要求高的B端企业,他们在安全风险的综合考虑上,必然不会在安全上减少投入,甚至也不愿以低廉的价格甚至免费来得到普通的安全服务。所以,对于“安全免费化”这个话题,无论是在传统互联网还是在区块链领域,都不能是一个独立的“手段”。

另外,知道创宇安全服务部项目主管沈瑞也聊到“安全是个奢侈品,其实它再奢侈,也超不过IT投资的10%或15%”。他还提出了一个“安全合伙人”的概念,安全公司以入股方式和项目方展开合作,这种一荣俱荣的方式对企业和整个行业的发展均有好处。

不过随着基础安全服务成本的下降,一些基础的安全服务走向免费化是一个大概率事件。360的投入必然会加剧行业安全的竞争和迭代。

【360在区块链安全领域是新生儿?】

不过,一位专业从事智能合约安全的资深人士并不看好360在区块链安全上的发展。他说道,360不足以对现有的区块链安全格局产生影响,从传统互联网安全跳进来区块链领域并不具有优势。

准确来说,区块链是不同于互联网的新型应用模式,共识算法、分布式存储和非对称密码学研究都是一个全新的方式,对于在传统互联网安全有建树的360来说,在专业能力和人才储备上有先天优势,但是这种优势难以在短时间内适用于区块链安全研究。

面对区块链这种全新的技术框架,需要重新学习和积淀,而且不能用传统互联网的思路来研究区块链。

虽然360是一个老前辈,但在区块链安全上只是一个新生儿。

(本文仅代表原文作者观点,不代表布朗客财经官方立场)