TMT观察网_独特视角观察TMT行业

目前國內(nèi)頂級安全人才年收入可達百萬，但大部分人跟做“黑產(chǎn)”的黑客的收入相比仍是天差地別，幾乎每個水平較高的白帽子，都受到過來自黑產(chǎn)的誘惑，但多數(shù)人都拒絕了。

最近幾天，有一位名叫約翰·邁克菲的美國人陷入了麻煩。

7月份時，他推出一款比特幣錢包Bitfi，宣稱是世界上第一個堅不可摧的硬件錢包，并宣布誰能破解這款錢包，將獎勵10萬美金。

不到一周，Bitfi 錢包就被人攻破了，然而邁克菲開始含糊其詞。8月31日，又一名黑客公布了痛錘Bitfi的更多細節(jié)。邁克菲慌了，稱“我司會對所有問題作出全面的公開聲明，包括賞金支付方案，時間就在下周?！?/p>

邁克菲之所以死要面子，是因為他來頭太大，他是全球家喻戶曉的邁克菲殺毒軟件的創(chuàng)始人，邁克菲本人還曾與特朗普同臺競選美國總統(tǒng)，現(xiàn)在秒被打臉，肯定要拼死抵抗。

不過我們也可看出，區(qū)塊鏈的安全性堪憂，這樣大牌公司設計出來的錢包也會被輕易破解。實際上，比特幣和區(qū)塊鏈從誕生那一刻起，就一直是黑客眼中的肥肉，交易所頻頻被攻，智能合約漏洞百出。隨著區(qū)塊鏈應用項目的增加，區(qū)塊鏈安全問題愈加迫切。

2018年上半年區(qū)塊鏈安全事件損失超20億美元

白帽匯安全研究院BCSEC是一家專注區(qū)塊鏈安全生態(tài)的機構，創(chuàng)始人趙武之前是360網(wǎng)站安全部門總監(jiān)。白帽匯最近發(fā)布了對區(qū)塊鏈安全趨勢的評估報告，從報告圖表中可以看出，2017到2018年，區(qū)塊鏈安全問題陡增。

圖表顯示，到今年8月份為止，區(qū)塊鏈在全球已經(jīng)造成超過20億美元的損失。其中在區(qū)塊鏈項目最火爆的4月份損失最多，超過11億美元。

而且從易受攻擊的點來看，交易平臺和智能合約最易被攻擊。

從智能合約到代碼審計，從節(jié)點加固再到滲透測試，安全問題一直都困擾著從業(yè)者。

白帽匯聯(lián)合創(chuàng)始人鄧煥稱，目前區(qū)塊鏈易受攻擊的主要原因是專業(yè)的區(qū)塊鏈人才太少，更多的業(yè)務先行，在設計業(yè)務時安全的細節(jié)考慮的并不完善，而且項目背后的技術不扎實，產(chǎn)生大量漏洞。

目前“全球從事做智能合約審計的才數(shù)千人，真正能做公鏈安全審計的全球不超過百人?！彼嘎?。與此同時，全球有一萬多家區(qū)塊鏈機構，這有限的人才分散到各機構中是杯水車薪。

因此，目前區(qū)塊鏈行業(yè)需要大量安全人員。網(wǎng)絡安全公司位于整個互聯(lián)網(wǎng)的最頂端，目前全國做區(qū)塊鏈安全的公司只有五六家，全球也不足百家。

“根本忙不過來?！编嚐ㄕf，“廠家的智能合約有了漏洞，需要發(fā)布新的合約，然后做映射處理。否則就坐以待斃，因為在鏈上是無法更改的?！?/p>

目前在區(qū)塊鏈安全領域，也還沒出現(xiàn)成熟的安全類產(chǎn)品，更多的是依托于人工來提供安全服務的方式。

但是，即使聘請了一家公司做安全，每家公司技術人員擅長的領域也不一樣，無法對項目進行360度的防護，只要出現(xiàn)一個嚴重問題就足以擊潰整個區(qū)塊鏈網(wǎng)絡。要百分百地覆蓋各個脆弱點，就需要盡可能多的團隊進行集思廣益。對絕大部分公司來說，聘請這么多團隊并不現(xiàn)實。

目前市面上已經(jīng)有了hackerOne、補天之類的中心化漏洞平臺，這些平臺連接了白帽子(網(wǎng)絡安全研究者)與互聯(lián)網(wǎng)廠商，通過廠商付費收集漏洞的方式，激發(fā)白帽子幫助企業(yè)發(fā)現(xiàn)并修復漏洞的積極性。

但在中心化平臺上，由平臺和廠商對漏洞進行獨裁，白帽子無法保障自己的權益，廠商和白帽子的隱私也容易被泄露，而且中心化的平臺也可以被權力機構任意關停。

基于此，白帽匯聯(lián)合另一家安全公司派盾科技，發(fā)起了一個名為DVP的社區(qū)，DVP全稱是Decentralized Vulnerability Platform（去中心化漏洞平臺），結合目前區(qū)塊鏈的特性來構建一條讓廠商與白帽子連接的橋梁，全球的白帽子可以在平臺上提交漏洞，各廠家可自行認領，廠家也可在平臺上懸賞。

“漏洞即挖礦?！编嚐ń榻B，廠商需指定安全審計的資產(chǎn)范圍和懸賞標準，并將押金存入合約;白帽子在DVP平臺可以提交區(qū)塊鏈相關漏洞及威脅情報，并隨時查看漏洞審核及認領進度，被采用后即可獲得相應的獎勵。

為確保整個流程的公正性，DVP平臺會將漏洞信息進行公鑰加密，區(qū)塊鏈廠商可以通過私鑰解密得到報告內(nèi)容詳情。當確認此漏洞無誤并采用后,懸賞獎勵將自動打入該漏洞提交者的地址。

為了方便不同數(shù)字貨幣的獎勵計劃，DVP準備制定一套虛擬的積分體系（類似于通證）。在生態(tài)正式形成之前，目前DVP平臺針對發(fā)現(xiàn)漏洞的白帽子獎勵一定量的ETH。

一個月發(fā)現(xiàn)1200多個漏洞

DVP平臺運營一段時間后，鄧煥吃驚地發(fā)現(xiàn)漏洞太多了，“像篩子一樣?！彼稳莸?。

平臺于2018年7月24日上線，目前平臺上有一萬多名白帽子。截至8月20日，共收到白帽子提供的1231個漏洞。其中，中危漏洞252個，高危漏洞399個，嚴重漏洞1個，涉及509個項目廠商。

漏洞主要來自交易所、錢包、公鏈等項目，其中不乏以太坊、唯鏈這樣的知名區(qū)塊鏈平臺。

哪怕是比特王交易所、幣虎網(wǎng)這樣的知名平臺，也存在許多風險極高的漏洞。

鄧煥表示，嚴重漏洞一般會導致拒絕服務、直接獲取系統(tǒng)權限、嚴重級別信息泄露，可造成嚴重經(jīng)濟損失。高危漏洞多是越權訪問，能直接盜取關鍵業(yè)務中的用戶身份信息，有高風險邏輯設計缺陷。首次曝光的黑榜中的交易所均存在資產(chǎn)損失風險，盜用篡改風險，隱私泄露風險。

他還透露，許多交易所漏洞在通報后久未修復。其中風險排名第2的比特王，僅27日一日，其交易成交額便可達1.6億人民幣，此外，coin88等平臺更是完全無法聯(lián)系到，也無法向其進行漏洞通報，這對投資者來說風險極大。

區(qū)塊鏈最大的安全問題來自人性

雖然區(qū)塊鏈技術現(xiàn)在面臨種種威脅，但開發(fā)者將大量精力投入到了比較底層的算法安全上，目前區(qū)塊鏈技術看上去仍是難以撼動。

通過近段時間的安全事件，鄧煥發(fā)現(xiàn)安全問題其實越來越趨向于用戶、平臺層面，區(qū)塊鏈的安全問題已經(jīng)延伸到了傳統(tǒng)的網(wǎng)絡安全、基礎設施、移動信息安全等問題，其中最明顯的就是社會工程學攻擊問題，嚴重性甚至超過了技術攻擊。

社會工程學攻擊，就是黑客利用人性的弱點和習慣，套取人們的關鍵信息，進而牟利。世界第一黑客凱文?米特尼克在《欺騙的藝術》中曾提到，人為因素才是安全的軟肋。

很多公司在信息安全上投入重金，最終導致數(shù)據(jù)泄露的原因卻在人本身。對黑客來說，通過網(wǎng)絡遠程滲透破解獲得數(shù)據(jù)，可能是最為麻煩的方法。而通過人際交流的方式獲得信息的非技術滲透手段卻有效， 而且效率很高。

“最近還有人冒充我們創(chuàng)始人趙武的微信，跟財務要資料。”鄧煥說。

今年3月份時，北京市海淀區(qū)某互聯(lián)網(wǎng)科技公司員工利用職務便利，通過使用管理員權限盜取該公司100個比特幣。

同樣是今年3月，西安張某丟失了上億元的虛擬貨幣，三名犯罪嫌疑人都曾是國內(nèi)知名網(wǎng)絡科技公司工作人員。

面試時套話、職務便利、扮成專業(yè)顧問給電腦遠程協(xié)助、甚至美人計等，都有可能成為社會工程學攻擊的手段。也許不知不覺間，你就把拍了自己私鑰的照片轉(zhuǎn)發(fā)給對方了。

白帽子到底是怎樣的一群人？

在很多人心目中，白帽子是很神秘的群體，其實他們只是一群熱愛技術的極客。白帽匯的創(chuàng)始人趙武就曾是“中國黑客榜中榜”上榜的人物，現(xiàn)在是一萬多名白帽子的“帶頭大哥”。鄧煥本人則是更多通過自學的方式進入到了信息安全領域。

近幾年，由于網(wǎng)絡安全事件頻發(fā)，白帽子們有了用武之地，但是也容易受到質(zhì)疑。幾個月前，360發(fā)現(xiàn)EOS的漏洞時，BM稱360的行為是在制造恐慌。而普通白帽子向廠商提交漏洞時，也會被質(zhì)疑為了錢。實際上多數(shù)情況下，白帽子們找漏洞是為了在實踐中提高水平。

目前國內(nèi)頂級安全人才年收入可達百萬，但大部分人跟做“黑產(chǎn)”的黑客的收入相比仍是天差地別，幾乎每個水平較高的白帽子，都受到過來自黑產(chǎn)的誘惑，但多數(shù)人都拒絕了。

對此，另一位業(yè)內(nèi)安全專家也曾表示，“安全白帽子的價值一直以來被嚴重低估，拿著和能力、產(chǎn)出不匹配的收益。而黑客攻擊獲取的回報遠遠高于白帽子。當技術人員發(fā)現(xiàn)一個安全漏洞，可能更多人愿意選擇當黑客去為自己牟利，而不是維護正義的白帽子。而沒有安全，何談區(qū)塊鏈?”

所以，如何更好地體現(xiàn)白帽子的價值，無論對于廠商還是對于白帽子本人來說都至關重要。期待DVP平臺能利用區(qū)塊鏈等技術來改善白帽子與廠商之間的關系，未來形成一個真正自治的安全生態(tài)社區(qū)。