TMT观察网_独特视角观察TMT行业

有人說區塊鏈的安全就是資產的安全，即使是數字貨幣界的億萬富翁，也可能會因為一個安全漏洞瞬時間一貧如洗。

安全問題永遠是懸在區塊鏈行業從業者頭上的達摩克利斯之劍，永不可掉以輕心，是重中之重。

8月26日，冉道資本、嗶嗶News、巴比特聯合加速器、BYSEC、WhaleEx聯合舉辦第四期主題為“攻防有道”的圓桌論壇，默然公關劉惠迪主持， BYSEC COO張任偉、區塊鏈安全專家Seckeep、安恒風暴中心的趙連州、WhaleEx的CEO Charlie Zhang應邀出席。

BYSEC 張任偉：重視安全，拒絕黑灰產

在區塊鏈2.0時代，各種代幣泛濫，各種交易所橫生。然而大多數人都缺乏安全意識，也沒有特殊的防范手段。張任偉戲言，在黑客面前，這些代幣就像一塊裸奔的肥肉，充滿了危險的意味。

論壇伊始，張任偉便向大家介紹了區塊鏈黑灰產。業內俗稱的黑產其實很廣泛，只要是法律明文規定禁止的行為都可稱為黑產，“灰產”即為游走在法律邊緣，沒有明確法律規定的灰色產業，其行為雖無明確的法律規章定性為違法犯罪，但對社會有明顯大的危害。

張任偉提到當前的代幣案件絕大部分是通過勒索病毒、偷盜代幣、控制挖礦、操控行情以及區塊鏈傳銷等方式詐取不義之財。

在分享中，張任偉講述以下幾種非法方式：

一：目前很多黑客企圖脅迫用戶或加密文件等方式以達到勒索的目的，比較猖狂的勒索病毒還屬Wanna Cry，它勒索了大概一百多個比特幣，進行了124次接收，通過兩次發送使得巨額虛擬貨幣化整為零，從而逃避法律的制裁。

二：漏洞盜幣主要有三種：平臺漏洞、智能合約漏洞、公鏈設計缺陷，其中絕大多數的區塊鏈出現安全事故的最主要因素是智能合約漏洞。如果廠商遲遲不修補漏洞，公眾對于漏洞的存在不知情，風險會隨著時間的增長迅速膨脹，漏洞一旦爆發可能會造成更大的危害，波及更大的人群，可能會造成很多人的投資瞬間化為烏有。

三：一則挖礦商無良囤貨，待價而沽；二則挖礦軟件開發商使用高額算力抽成；三則部分軟件存在惡意挖礦程序。

四：數字貨幣給傳銷組織提供了一個天然的產品渠道，虛擬幣暴漲之下，即使是空氣幣也會被傳銷組織賦予百倍萬倍的上漲空間，然而更可怕的是所有的韭菜對此深信不疑。

安全專家Seckeep：安全是一場沒有硝煙的戰爭

安全是一個極其復雜的系統性工程，安全是一場沒有結果、沒有硝煙的戰爭。安全的最高分是零分，稍微差一點是負分。安全部門的考核通常是一個公司最頭疼的問題，因為它和別的部門性質完全不同，系統安全且內部沒有泄露就是最大的產出。

誠然區塊鏈的設計中包含了一定的安全考量，但區塊鏈相關配套的安全性卻做得非常差。舉例來說高鐵很安全，但如果沒有兩側的護欄，談何安全？

一個中心化的交易所其實是傳統電商和區塊鏈合二為一的產物，它有50%的問題歸屬于傳統安全。以下分享部分安全工作內容（只是眾多安全內容中的一部分）

一、端安全：市場上有很多app安全廠商，但是很少有廠商能夠針對交互數據加密的，此加密不是https協議層的加密，而是封裝在內的數據加密，無論app自身如何加固都很難避免黑客通過代理抓包改包的方式進行各種滲透攻擊。一旦端的安全能夠保障，那么就能屏蔽99%的攻擊量，而剩下的1%高手攻擊才是安全部門應該重點布局防范的。現實的情況是，很多項目方本末倒置，利用絕大多數安全資源以防范小黑攻擊，實屬被動。

二、資源安全：DDOS、和短信轟炸都是灰黑產經常使用的，只要平臺有流量有價值，他就會攻擊勒索，有些黑客很精明，只詐取小額，因為小額不夠網絡犯罪立案標準，足以拜托制裁。因此如果不想平臺服務被打死，就需要在上線前做好ddos和短信轟炸防范措施。

三、最基本的防火墻是必須的。曾經兩個月前，網絡爆出一個很知名的行情與數據服務平臺連防火墻都沒有，當然也可能存在防火墻沒開啟白名單策略。針對這種安全級別，即使沒有任何黑客技術，從網山下載幾個黑客工具，就可以把平臺黑掉。

四、WAF必不可少。WAF是一類在安全性和易用性之間做左右平衡的系統，規則過嚴肯定導致正常業務被誤殺，規則過松就沒有任何價值了。所以waf是必須要部署的，但是也必須要有一個專人負責waf規則的量身定制和及時更新（例如：針對spring、struts2的0day，就需要第一時間增加規則）。

五、建立語言級防火墻rasp。這是一道最新的安全防護體系，它是在語言層面做防護，能彌補WAF的不足。

六、主機防護。當黑客進入主機系統時，主機要有敏感的神經感知和自動阻斷策略。很多公司的主機防護做得都不盡如人意，因為公司給安全部門的系統權限太低，再好的主機防護技術，在沒有系統高權限的情況下，做不了多少事情，只能眼看黑客行兇確無力阻擊。

七、數據庫審計。很多企業雖然有數據庫審計，但是所有的審計日志調出來，只看到有人執行了SQL語句，至于這條SQL語句涉及的關鍵數據ID很多都沒有記錄。一旦發生安全事件，并不能鎖定某個人。當然細粒度的強審計需要很大的存儲資源，有可能審計數據比生產系統源數據還要大。

安恒風暴中心趙連州：放大鏡下的區塊鏈產業無所遁逃

據了解，目前市場上共有13547家加密數字貨幣交易所，這些交易所在風口中激流勇進，極大地吸引了黑客的注意。

據不完全數據統計，數字貨幣因黑客攻擊累計造成的直接經濟損失達33億5千萬美元。根據這個趨勢，攻擊事件會越來越頻繁。

現在的區塊鏈產業被放在一個放大鏡下，只要存在一些微小的問題，馬上都會被放大，造成了強大攻擊影響。無論多么小的漏洞，但凡被發現，都是造成難以估量的影響。

WhaleEx Charlie Zhang：去中心化交易所的安全探究

實際上中心化交易所與傳統的金融交易沒差別，因為本身是中心化的系統，而且是互聯網系統，所以中心化交易所的安全措施和傳統金融差不多。

一個交易所分為四個組成部分，分別為券商（用戶入口）、上交所|深交所（撮合）、中證登（清算）、銀行（資產托管）。在傳統的股票交易所里面，中證登和銀行充當著一個安全管家的角色，它們確保每一筆交易的資產安全。而在區塊鏈中心化交易所中，這四個部分由中心化交易所充當，大家在中心化交易所中完成注冊、交易、撮合、充值等操作。

如何在用戶資產相關的清算和托管這兩個層面實現去中心化呢？鯨交所做了一些嘗試。

一、用戶入口的去中心化。鯨交所開放WhaleEX全球新伙伴計劃，通過流量進行引流。

二、清算和資產托管實現去中心化。智能合約和股票市場中銀行角色相同，在EOS上用戶每轉一筆賬，合約都會自動記賬。賬本完全由代碼控制，沒有人為地增發和銷毀。

三、交易層面的去中心化。鯨交所為每個用戶在每個設備上創造了一把私鑰。這把私鑰主要用于簽發交易。每次撮合都需要交易雙方簽名和交易所簽名，才能夠完成一次資產的轉移，確保用戶資產完全由用戶自己控制。

四、資產提現的去中心化。如果用戶的私鑰泄露了怎么辦？因此用戶在提現時，需要綁定自己的EOS賬戶。這也就意味著用戶充值只能充值到原來的地址，而地址本身的私鑰掌握在用戶手里。即使是交易所的私鑰被盜了，也不會盜取到私鑰，因此最大程度保護了用戶的資產。

區塊鏈剛剛興起，但是安全問題卻屢曝不止，幾乎成為眾矢之的。區塊鏈的本質是去中心化，重新構筑信任的藩籬，如果基本的安全問題都未能解決，所構筑的藩籬也不過是想象中的保護層，隨時幻滅與傾覆。

當前，區塊鏈還是新興行業，處于起步階段，它的安全問題可能比傳統互聯網安全更加復雜與棘手，區塊鏈從業者在具備安全意識的基礎上，及時關注區塊鏈行業新出現的安全隱患，創新開拓安全防范手段也是必要的。