编者按:本文来自36氪战略合作区块链媒体“Odaily星球日报”(公众号ID:o-daily,APP下载)
文 | Aesop,郝方舟
编辑 | 郝方舟
新一年的钟声刚刚敲响,属于 2019 的喧嚣、疯狂、奇迹、感动正在开启。
2018,作为区块链行业媒体,Odaily星球日报既陪伴了区块链行业疯狂的从零到一,也见证了非理性繁荣的泡沫破裂。有人感叹,这短暂却精彩的时代片段,再也无法被复制了。因此,我们希望记录下那些行业亲历者、开拓者的真实声音,为行业的探索者、守望者指引前路。
《2019 大佬说》是 Odaily星球日报推出的区块链访谈栏目,我们采访了 50 余位区块链行业引领者,将访谈精华整理沉淀为系列文章。
稳固的基础设施和完善的生态服务是判断区块链是否晋升成为“产业”的一项标准。对于满载价值而不只是信息的区块链网络,既从属于基建又可归为服务的“安全”就像站在一串“0”前面的“1”。
今年年初,日本大型数字货币交易所 Coincheck 遭攻击,超过 5.2 亿美元的新经币(NEM)被黑客洗劫。4 月,黑客借道智能合约中的整数溢出漏洞转出大量美蜜(BEC),引发市场抛售,BEC 价值几乎归零。5 月,因超级节点竞选而备受关注的 EOS 被曝出“史诗级漏洞”……交易所、公链与智能合约的接连失守,不禁让人回问,区块链安全吗?
Odaily星球日报今年接触了库神、慢雾、派盾PeckShield、360、CertiK、曲速未来、知道创宇、成都链安、长亭科技、安全链SECC 等向区块链世界提供安全服务的企业。我们发现:
和区块链技术一样,区块链安全服务行业还处于早期阶段(翻译下“早期”:市场小、正面竞争少、有增长预期)。
风险是小概率事件,短视与侥幸减弱了付费意愿,熊市又降低了客户的付费能力。仅靠用户教育,很难快速拉升安全服务需求。相关法规与标准或成为强推力。
攻防双方的战场是汇集财富的“法外之地”。黑客擅长在“防护木桶的短板”游击、“名利双收”后还无处追责;安全服务商需要全线布防、“替人消灾”却常被怀疑,双方显然不是同一心态。
近日,Odaily星球日报再次邀请到库神 COO 张玉、派盾科技PeckShield 创始人蒋旭宪、知道创宇创始人赵伟、慢雾安全团队、CertiK 联合创始人顾荣辉,用五问五答盘点区块链安全过去这一年、展望未来的风貌。以下为整理编辑后的问答精华,enjoy~
Q1. 今年在区块链安全领域,让您印象最深刻的一件事是什么?这件事在哪些方面影响了人们对区块链的认知?
张玉:今年 1 月份的 NEM 被盗事件(编者注:日本交易所 Coincheck 遭黑客攻击),当时大概价值五亿多美金,确实是整个区块链行业里金额最大的一次。对这个事情印象比较深刻,等于这开启了一连串的交易所被盗的序幕,某种程度上也影响了大家对这个行业的信心,间接影响了今年的市场走向。
大家对安全重新进行了思考,因为之前大家可能感觉区块链技术上比较完美,但其实也存在安全隐患,因为资产毕竟是保存在客户自己手里。这跟传统世界资产由中心化机构来保证是不一样的。
蒋旭宪:4 月下半旬,美链 BEC 的智能合约漏洞。资产缩水,币价归零,我非常震撼。我从来没想到数字资产一旦出现事故,影响会这么大。
区块链自带金融属性,和传统的互联网安全玩法完全不一样。之前,更多是设备被黑可能影响到业务数据方面。但是在区块链里,交易所、token、智能合约……全是安全问题。
赵伟:过去一年就很乱!我印象最深的是新经币事件(编者注:日本交易所 Coincheck 遭黑客攻击,超过 5.2 亿美元的新经币被非法转移),攻击者把新经币卖了狂砸盘,导致新经币差点清零,这是到现在为止最大的一起盗窃。这件事让人们认识到安全的重要性。安全是“1”,没有安全,后面数字再多也是“0”。
人们还发现,区块链以前号称的安全,只是某种意义上的安全。交易所和钱包还是集中式的,不是链上分布式的。但安全遵从着木桶效应,你的最短板就是黑客最容易攻击的地方。
慢雾安全团队:3 月 20 日的以太坊黑色情人节。我们团队 3 月 1 日开张,在跟进这个问题时发现,地下黑客在这方面的攻防形势是非常严峻的,黑客不需要知道任何钱包相关信息就可以把用户的钱都偷走。这是之前从未出现过的远程攻击。这次事件造成的损失也非常严重,5 万多个以太坊被盗了。
以前大家都在关注智能合约,没有人关注节点层面的安全问题。节点操作不当的话也会出现非常大的损失,并且这种攻击方式不需要知道你的任何信息,仅仅通过一行命令就可以把你的钱全转走。
顾荣辉:4 月以太坊智能合约 ERC-20 中 BatchOverFlow 漏洞被黑客利用,对 BEC 和 SmartMash 两个智能合约进行攻击。前者导致市场恐慌,大量抛售 BEC,64 亿市值短时间内蒸发;后者使得 SMT 在各大交易所平台的交易暂停。
人们逐渐意识到区块链安全问题的重要性,少数公司能够自己检测到安全漏洞。但公链的安全性应该怎么保障,由谁来保障?现有的技术还不够成熟,而目前区块链安全领域的公司较少。
Q2. 能否简单总结下区块链安全服务行业的生存现状。行业目前遇到最大的困难是什么?2019 该如何突破困境?
张玉:区块安全服务行业还处于比较初期的阶段,因为大家都还在探索商业模式。遇到最大的困难是用户对安全的认知不清晰,安全教育工作也比较初步。安全是贯穿于资产的生产、存储、交易全过程的。我们一直通过公众号上知识问答、漫画等内容来向大众普及安全。
蒋旭宪:首先,现在的区块链安全行业,攻击者是强于安全保护者的,甚至强于生态建设者。第二,整个行业还处在野蛮生长阶段,空气币、传销甚至跑路,都给真正做事的那一方增加了舆论压力。第三,区块链行业本身门槛比较高,为了发展又需要接纳新用户和开发者,所以有产品落地的问题。
行业最大的问题是安全事故节奏太快,我们有点应接不暇。从生态来说,我们对区块链合约的理解可以再提高,开发者安全意识和技能还可以改善,安全公司任重道远。黑客攻击也有助于安全服务生态的建设。
赵伟:区块链行业泡沫太多,所以准定要经历泡沫的再压缩。压缩也会影响到安全服务行业,我们能服务的客户减少了,但也留下了更优质的客户。相对而言,安全服务业算是受熊市影响较少的。
区块链安全服务目前遇到的困难是要保护的环节太多,从币的产生、发放到流通、持有等等,每个都要做到位,生态才安全。行业所服务的对象也有些变化,今年全年主要围绕公链,年初和年中的智能合约审计多些。
慢雾安全团队:2018 年之前,无论在国内还是在国际上做这一块的比较少,今年很多之前做传统安全的转型到区块链安全,但是这个行业还没有达到饱和,依然在发展。
但是蓬勃发展后,都会进入类似红海的阶段,需要大家进行差异化竞争。比如现在经常有客户问我们:你们和别人有什么不一样?所以后续大家需要进行差异化竞争,不断提升自己的硬实力。
顾荣辉:人们对区块链安全的了解过少。本身这个领域要求很前沿的技术,进入门槛高。市场上有太多打着“形式化验证”旗号的公司,真正能做到“深度规范”的几乎为零。目前比较主流的解决方案是使用众包平台对智能合约进行筛选。这种基于人力的验证和审计往往成本巨大。对于每份智能合约而言,这种定制型解决方案也许很奏效,但显然,巨大的市场需求无法就此满足。
由于信息不对称,消费者缺少安全领域方面的必要知识,不能很好区分真正具备技术的公司。我们十分希望能够有更多的业内人士通过与我们的合作真正了解形式化验证。
Q3. 外人看来,攻方似乎更容易“收获名利”,那么守方的信仰是什么?是否曾有动摇的瞬间,或被黑客“诱惑”过?
蒋旭宪:我从没想过这个问题,我觉得也不要想,因为我们工作在安全第一线。我们也从没联系过黑客,只是从黑客思维去理解他们为什么这么想。
赵伟:我们年轻时就入行了,做安全行业不是为了发财有名啊什么的,而是保护别人比较有成就感。我们看好的是创造一份持久的事业,而不是这点钱。
比特币第一代参与者很多都是安全人员,我的几个朋友每人都持有 40 万枚,没必要去偷去抢。如果是真正的安全行业高手,是有能力靠自己的技术挣钱,不需要做黑客偷别人的。我们都是从 10 年、11 年开始玩,那时候比特币才五美分。
慢雾安全团队:其实我们做安全本身就是出于自己的爱好。在我们安全圈内有句话叫“未知攻焉知守”,指的是做安全肯定要知道怎么去攻击。我们的成就感在于给客户发现更多的漏洞。
其实黑客做了坏事都能被抓到的,只是说抓你的成本有多大,值不值得。我们在筛选团队时就会看对方价值观能不能被我们接受和认可,如果是那种动摇的人,我们就不会让他进来。
Q4. 区块链安全和互联网安全最大的不同是什么?
张玉:互联网资产基本是在中心化机构手中,中心化机构承担安全的责任。中心化交易所在面临安全问题时,还达不到互联网的安全级别,区块链资产在用户手里面,所以用户要承担安全责任。
蒋旭宪:数字货币天然有金融属性,用户影响和用户感知会更强一点;互联网安全偏重用户隐私,但没有这么明显的密集损失效应。区块链的安全攻防会更激烈、节奏更快。
赵伟:首先,区块链的运行本身就有现金流,所以安全的重要性高于其他行业。但问题在于需要用到热钱包、交易所等中心化的东西,这些短板在放大安全的缺陷。
然后,要说到黑客,俗话“不怕贼偷,就怕贼惦记”。有一些犯罪分子把这个行业当成提款机。再有呢,一旦在区块链上丢了东西,就真的完了,因为是去中心化和匿名的。不像你丢了卡,还可以在银行补办。
慢雾安全团队:区块链安全和互联网安全都会有 APP、网站、系统后台等,差异在于区块链有自己的属性,也就是共识算力、智能合约、底层虚拟机等。
传统互联网,比如说开发一个 APP,特别注重的是用户的隐私和身份信息。但是在区块链领域,无论做钱包还是交易所都是和资产相关的,所以区块链公司特别重视平台的安全、币存储的安全。
顾荣辉:智能合约是目前最容易出现安全问题的地方。和传统程序不同,智能合约具有自治,自足和去中心化等特征。智能合约的安全隐患既有传统的互联网世界中所存在的漏洞,也有自身独有的风险点。对于黑客来讲,攻击传统程序就像闭卷考试,比如攻击阿里的系统,完全是黑盒攻击,根本无法走近它的代码。而攻击智能合约就好比是开卷考试,黑客可以针对源代码进行攻击,极大降低了攻击难度。
在银行、军事等高安全级别的系统中,除了线上防护体系,还受系统性安全网络保障,再加上严格的法律监管条文和国家级的追查体系,都抬升了黑客的攻击成本。而中心化数字货币交易所集成了多个角色功能,却只有一层线上防护体系,一旦被黑客突破,几乎毫无还手之力。
Q5. 对于区块链安全,法规和标准意味着什么?
蒋旭宪:现在整个区块链监管法律法规还不完善,因为这个原因,黑客攻击犯罪成本较低。
赵伟:很多人觉得法律法规在限制,但你看国内能不限制吗?净是一些坑蒙拐骗偷的人搞 ICO,最能忽悠的都跑路了,劣币淘汰良币。这影响了人们的心态,一旦你觉得挣钱难、骗钱容易,想着一夜暴富,心理弱点就容易被人利用。所以必须要有合适的法规来约束,因为骗子太多了,傻子不够用。
也有人反对约束,认为区块链本身是去中心化的,自身数学就是法规,规则标准由矿机执行。我也觉得这挺完美的,但我发现技术人员多少有些对现实社会的“天真”。
总体,法规对安全服务业来说有利有弊。利是如果要求有安全检测,那客户对安全都是放在第一位的,必须有安全检测来加固保护。弊是设置了准入门槛,控制了市场总体量。
慢雾安全团队:法律和标准是为了规范从业者,能给这个行业带来更多安全。如果不符合这样一个标准,项目价值会降低,无论项目参与者还是项目方自身都不希望在安全标准之下,这样就能不断提高整个行业的安全水平。
顾荣辉:用代码替代法律还需要迭代,安全性最后由人来保障。代码本身存在漏洞或者逻辑模棱两可,这个是无法被标准化的,判断设计者的意图对错没有任何参考标准。
2018 年在“熙熙攘攘”的区块链安全攻防战中结束了。黑客出于利益频繁进攻,白帽子守于道义严加防守,双方比拼谁先找到漏洞。
“现在的攻击者强于保护者,甚至强于生态建设者,但黑客攻击有助于安全服务生态的建设”,是安全服务人士对目前形势的判断。
多位业内人士预测,2019 年将是“横盘”的一年。市场的低迷可能“唆使”部分开发者转为黑客(这已在今年下半年成为现实)。另一方面,以太坊的升级、多条公链的主网上线,又“赠予”黑客更多攻击目标。
区块链世界依然充满了未知与变数。但我们可以预见,2019 年攻防大战将继续上演,并且更加频繁激烈。
星球研报 | 2018年区块链技术安全服务行业报告
你居然还以为区块链更安全,我也是醉了
附《2018区块链领域走心盘点》