▲点击上方 雷锋网 关注 文 | 郭佳 来自雷锋网(leiphone-sz)的报道 在知乎中,有个很有意思问答-----“人在哪些情形下最容易/最难成为小偷的目标?”   这个问题本是来想邀请“相关从业者”(其实就是小偷)来回答的,但干这行的都比较低调,最后反而炸出了不少受害者的被偷经历,虽然故事五花八门,但雷锋网编辑试着总结了一下这些答案,被偷目标一般都符合以下几个条件:
如果把这个问题放在安全行业,把小偷的角色改为黑客,答案应该也有相似之处。 首先你得有钱才会被黑客盯上;再者漏洞比较多,黑客得手的“成功率”比较高;最后黑客还会考虑攻击行为被发现后,是否容易脱身。 在2017-2018年间,有一个行业几近“完美”的满足了有钱、漏洞多、追溯难的三大条件,如果你是我宅的资深读者,应该已经猜到了。 没错,就是集中涌现“暴发户”的区块链行业了,在过去一年来,我们报道了关于币安、SMT、EOS 等众多区块链行业的安全漏洞。  现阶段,黑客可以将入侵肆意变现据区块链安全公司 BCSEC 的统计,目前全球总共有 500 家主流数字货币交易所,涵盖 1644 种数字货币,市值总额达到了 3448 亿元。截至 2018 年 6 月,针对数字货币的攻击累计达到 100 次,造成的直接经济损失达 33 亿 5000 万美元。  这从也从一个侧面表明,在区块链行业中,与火热的资本相对应的是脆弱的安全防护能力。据其统计,在前全球有10000+的区块链项目,而区块链安全服务公司却只有不到50家,对于安全防护非常渴求。 8 月 1 日下午, BCSEC 宣布联手区块链安全团队 PeckShield(派盾),召开了一个名为“安全链接计划”的发布会,决定发起一个去中心化的漏洞平台 DVP(Decentralized Vulnerability Platform),他们想利用区块链技术,建立匿名化的安全众测社区场景。 关于 BCSEC 的背景,雷锋网宅客频道此前曾在《白帽汇的赵武摘掉了他的“帽子”》这篇文章中有过介绍:创办白帽汇的赵武注册了一家名为“华顺信安”的公司,接受了丹华资本几千万的投资(后者投资了不少区块链公司),不过“白帽汇”并没有消失,而是成了华顺信安旗下的技术研究院,区块链安全是他们的研究方向之一,而 BCSEC 的创始团队正是来自于白帽汇安全研究院。 此次他们搞发布会,是想号召全世界的白帽子一起来挖区块链行业的漏洞,不过跟其他众测平台所不同的是,他们会让白帽子以“匿名”的形式来提交漏洞。(至于为什么强调匿名,大家可自行搜索白帽子和世纪佳缘事件。) 合作的另一方是“ PeckShield ”,据官方资料的介绍,PeckShield 是面向全球的区块链安全团队,由前 360 首席科学家、美国北卡州立大学终身教授蒋旭宪创办,曾在 2012 年率先进行了全球第一个智能手机上的恶意软件基因组研究,此后又于 2014 年首次发现了特斯拉汽车的应用程序安全漏洞。提交过大量高质量的漏洞报告,并多次获得谷歌,高通,三星,华为等厂商致谢及奖金。 团队的吴家志是 DVP 平台的 CEO,由于目前区块链技术在金融领域应用较多,他以传统金融为例,对比区块链金融目前所面临的安全挑战。  ▲吴家志
目前,安全漏洞分布于区块链的各个环节,包括:交易所、矿池、钱包、智能合约等,但与整个区块链生态环节众多相比,相关的安全从业人员力量却比较分散,难以形成合力解决问题,这也是他们为什么要做众测平台的原因。 为什么是这两家联手搞众测?既然是两家联手合作搞针对区块链安全的众测平台,那双方应该都在这方面有各自的强项。 我们先来了解一下 BCSEC,在其官网的 logo下面,有这样一行字:“区块链安全信息平台”。  在发布会当天,赵武也作为 DVP 漏洞平台的顾问来站台,而具体负责 DVP 平台的,则是白帽汇的联合创始人邓焕。 赵武之前一手创办了业内最大的漏洞响应平台“补天”,而邓焕也曾是补天漏洞响应平台的技术负责人。也就是说,他们曾拥有国内最大的漏洞响应平台的创办和运营经验,如何最大限度的发挥厂商、安全公司和白帽子的作用以减少漏洞暴露风险,是他们所擅长的。 而另外一方“PeckShield”(派盾),则已经在区块链安全研究方面受到业内关注。除了在移动安全方面的研究,2018 年来,他们还因连续发现并命名了BEC、SMT、EDU 等智能合约的重大安全漏洞。 换句话说,“PeckShield”很擅长“挖漏洞”,尤其是区块链领域的安全漏洞。 在随后对邓焕的采访中,他也表示,在区块链漏洞的挖掘和研究方面,“PeckShield”确实比他们厉害。 一个擅长漏洞平台的运营,一个擅长区块链行业的安全研究,加上市场的强烈需求,这就促成了双方的合作。 怎样确保漏洞的质量和白帽子应得的回报既然是众测平台,就面临着两个问题,一是如何让白帽子更加顺畅的提交漏洞,并获得应有的报酬;二是如何让厂商意识到漏洞的严重性,并愿意给提交漏洞的白帽子付相应的报酬。 作为 DVP 平台的 CSO,邓焕介绍,之所以提出提出“漏洞即挖矿”,就是为了促使白帽子和厂商形成利益共同体。 白帽子在 DVP 平台可以提交区块链相关漏洞及威胁情报,并随时查看漏洞审核及认领进度,获得相应的奖励。同时,为确保整个流程的公正性,DVP平台会将漏洞信息进行公钥加密,区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。
 为了确保平台顺畅运行,他们主要有以下机制
上线一周后的情况邓焕告诉宅客频道,截止 7 月 31 日,DVP 上线一周以来,白帽子”所提交的漏洞有 312 个,涉及 175 个项目方,包括目前的一些智能合约,知名公链,交易所等一系列的项目。 具体来看,经审核后,所提交的漏洞中,高危漏洞达 122 个占所有漏洞的 39.1 %,中危漏洞 53 个,约占 17 %。其中,包括某智能合约厂商存在重入漏洞,黑客可通过该漏洞从合约中无限提取资金。某大型公链存在设计缺陷,可导致此项目大量的公链节点崩溃,甚至可能导致项目方硬分叉。 目前给白帽子的报酬折合人民币约有 30 多万,其中一个白帽子所提交的高危漏洞价值 6 万元。 未来,DVP 准备制定一套虚拟的积分体系(类似于通证),白帽子群体将不用针对每一个发起测试邀请的厂商开通不同的钱包地址,同时,厂商也不用每次自己进行不同货币。 - END - 相关阅读 挖洞不赚钱?36W白帽大佬:不如放弃 关注雷锋网(leiphone-sz)回复 2 加读者群交个朋友 上一篇:报告 | 知道创宇2019年度网络安全(云防御)态势报告 下一篇:中国父母惨状曝光:前半生愁教育,后半生愁婚姻,余生在哄孙 |
