BYSEC高級(jí)安全專家李志峰:共話區(qū)塊鏈安全檢測(cè) 共建區(qū)塊鏈安全生態(tài)區(qū)塊鏈
BYSEC安全專家李志峰呼吁廣大區(qū)塊鏈創(chuàng)業(yè)者及從業(yè)者加強(qiáng)自己的安全意識(shí),用科學(xué)的安全技術(shù)抵御風(fēng)險(xiǎn)。只有聯(lián)合各方、發(fā)揮技術(shù)特長(zhǎng),參與問題解決,才能打贏這場(chǎng)網(wǎng)絡(luò)黑灰產(chǎn)戰(zhàn)爭(zhēng)
2018年8月21日,由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)聯(lián)合阿里巴巴集團(tuán)、螞蟻金服和阿里云等共同主辦的“2018網(wǎng)絡(luò)安全生態(tài)峰會(huì)”在京揭開了序幕。峰會(huì)將以“共建安全防線 共治安全環(huán)境 共享安全生態(tài)”為主題,結(jié)合熱點(diǎn)話題,在國(guó)家會(huì)議中心(北京)舉行為期兩天的研討會(huì),以此呼吁社會(huì)各界關(guān)注網(wǎng)絡(luò)安全。
作為國(guó)內(nèi)安全領(lǐng)域的頂級(jí)會(huì)議,8月21日峰會(huì)主論壇精心設(shè)置了六大精彩議題,包括“前沿安全趨勢(shì)”、“全球化視角看數(shù)據(jù)保護(hù)”、“AI與內(nèi)容治理”、“金融安全與黑灰產(chǎn)治理”、“互聯(lián)網(wǎng) 知識(shí)產(chǎn)權(quán)保護(hù)”和“云安全助力數(shù)字經(jīng)濟(jì)”等。
該峰會(huì)邀請(qǐng)了眾多國(guó)內(nèi)外嘉賓,其中就包括 BYSEC安全實(shí)驗(yàn)室高級(jí)安全專家李志峰。據(jù)悉,李志峰在8月22日黑灰產(chǎn)技術(shù)對(duì)抗分論壇中發(fā)表了重要演講。
早在2015年國(guó)家互聯(lián)網(wǎng)應(yīng)急中心就對(duì)“黑灰產(chǎn)”范圍進(jìn)行了界定,主要包括三類:一是發(fā)動(dòng)涉嫌拒絕服務(wù)式攻擊的黑客團(tuán)伙;二是盜取個(gè)人信息和財(cái)產(chǎn)賬號(hào)的盜號(hào)團(tuán)伙;三是針對(duì)金融、政府類網(wǎng)站的仿冒制作團(tuán)伙。業(yè)內(nèi)俗稱的黑產(chǎn)實(shí)際更為廣泛,只要是法律明文規(guī)定禁止的行為都可稱為黑產(chǎn)。通俗而言,“灰產(chǎn)”即為游走在法律邊緣,沒有明確法律規(guī)定的灰色產(chǎn)業(yè),其行為雖無明確的法律規(guī)章定性為違法犯罪,但對(duì)社會(huì)有明顯大的危害。
在演講中,李志峰提到當(dāng)前很多不法分子通過黑客攻擊,利用政策擦邊球或者坐莊操盤以借機(jī)薅羊毛,牟取暴利。李志峰在仔細(xì)分析當(dāng)前的代幣案件后得出:當(dāng)前的代幣案件絕大部分是通過勒索病毒、偷盜代幣、控制挖礦、操控行情以及區(qū)塊鏈傳銷等方式詐取不義之財(cái)。
在發(fā)言中,李志峰講述了以下兩種非法方式:
一:目前很多黑客企圖脅迫用戶或加密文件等方式以達(dá)到勒索的目的,由于數(shù)字貨幣的匿名性,很容易逃避法律的制裁;
二:漏洞盜幣主要有三種:平臺(tái)漏洞、智能合約漏洞、公鏈設(shè)計(jì)缺陷,其中絕大多數(shù)的區(qū)塊鏈出現(xiàn)安全事故的最主要因素是智能合約漏洞。如果廠商遲遲不修補(bǔ)漏洞,公眾對(duì)于漏洞的存在不知情,風(fēng)險(xiǎn)會(huì)隨著時(shí)間的增長(zhǎng)迅速膨脹,漏洞一旦爆發(fā)可能會(huì)造成更大的危害,波及更大的人群,可能會(huì)造成很多人的投資瞬間化為烏有。
此外,BYSEC安全專家李志峰著重分析了當(dāng)前代幣案件發(fā)生的環(huán)節(jié):從剛開始在各平臺(tái)大量做空貨幣的準(zhǔn)備階段,到囤積流通性較小的幣種,再到攻擊交易所,發(fā)起買入指令的操作階段,隨后拋售囤積貨幣,賺取差價(jià)環(huán)節(jié),最后場(chǎng)外做空,牟取暴利。這一系列的案件表明黑產(chǎn)已然不是早先的單兵作戰(zhàn)模式,而是發(fā)展成為組織嚴(yán)密,分工明確的團(tuán)伙作案模式。
在這種條件下,比起獨(dú)善其身,項(xiàng)目方其實(shí)不應(yīng)“諱疾忌醫(yī)”,而是加強(qiáng)自己的安全意識(shí),用科學(xué)的安全技術(shù)抵御風(fēng)險(xiǎn)。只有聯(lián)合各方、發(fā)揮技術(shù)特長(zhǎng),參與問題解決,才能打贏這場(chǎng)網(wǎng)絡(luò)黑灰產(chǎn)戰(zhàn)爭(zhēng)。因此,BYSEC安全專家李志峰呼吁廣大區(qū)塊鏈創(chuàng)業(yè)者及從業(yè)者,一定將安全意識(shí)貫穿整個(gè)項(xiàng)目,在智能合約上線之前,對(duì)其進(jìn)行全面深入的代碼安全審計(jì),并伴隨整個(gè)周期;并且借助白帽子的科技力量,盡可能的消除漏洞,降低安全風(fēng)險(xiǎn),提高安全質(zhì)量,共建區(qū)塊鏈安全生態(tài)。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
