区块链的发展阶段分为三个阶段,2008年第一次浪潮走向了2013年的第二次浪潮再到2018年区块链第三次浪潮,共经历了10年的时间,热度一年比一年高。2018年的区块链3.0让众多人参与到了这场颠覆未来的浪潮中。3月,三点钟社群的火爆让区块链如同一阵风,迅速吹遍大街小巷。2018年是区块链的元年,各大场景项目如同雨后春笋一般出现在各个城市,明星项目高频次出现在大众的视野当中。
然而伴随着区块链产业规模及增长率带来的金融效应,更多的黑客为了谋取巨大的利益而盯上它,盗币事件变得更加频发起来,仅仅在2018年上半年,就有数据显示,大约有价值11亿美元的数字加密货币被盗。
数据来自BCSEC
2018年8月数字加密货币已经达到了约6千亿的市值,随着市值的攀升,业内的安全问题愈发值得重视。数字资产如何才能保证不会因为代码而损失几十亿、如何不被黑客盯上,成为了区块链业内人士着重关注得问题。笔者根据DVP平台12月态势以及平台五大案例为大家刨析安全方面会出现的情况,展现12月行业态势,旨在帮助大家认识区块链的安全问题,以此推动行业向前发展。
五大案例看区块链行业安全现状
区块链自存在以来,安全漏洞及安全事件频频发生,尤其是2018年重大安全事件呈现大规模爆发状态。
数据来自BCSEC
故区块链的安全仍是重中之重,与牛熊无关。以下是2011年至2018年4月30日发生的各类安全事件所造成的损失:
数据来自BCSEC
笔者希望通过整理分析DVP平台五大案例,借案例向大家展示目前12月态势。
案例一DVP通报漏洞可导致提币损失是在2018年11月份。GasToken矿工费滥用漏洞曾被国外twitter用户levelk_io预警,该漏洞可导致相关交易所以及其他有提币操作的平台产生资金损失。
levelk_io预警情报
同互联网一样,区块链是开放而不是封闭的,主打安全的区块链技术是相对的而不是绝对的,区块链安全是共同的而不是孤立的。
案例二钓鱼网站仿冒网站利用币安知名度与影响力疯狂敛财。DVP平台收到威胁情报反馈知名交易平台币安(Binance)被仿冒,虚假站点利用币安名义来钓鱼,诈骗用户资产,据平台情报披露该诈骗手段同样模仿过OKEX平台,无论平台名声誉受损还是用户资产受损均是建立在用户对平台信任的基础上,可见交易平台在防范自身安全问题的基础上也应做好用户安全权益的保障。
区块链产业目前还处于非常早期的阶段。随着整个产业的高速发展以及项目落地速度的加快,融资轮次将逐渐往后延伸,未来会出现更多进入中后期阶段的项目,区块链产业发展方兴未艾。关于以“区块链”为名的诈骗非法网站,基本都是披着或者疑似披着数字货币的外衣进行非法传销的项目。据报道腾讯安全反诈骗实验室负责人李旭阳介绍说,“最近利用所谓的区块链概念搞的代币、虚拟币这一块,我们发现非常活跃的这种代币有2000多种,这种传销平台已经超过3000多家,这类犯罪因为涉案金额非常大,所以危害很大。”
同时另外一组数据更加对区块链的安全问题发出质疑:去中心化漏洞平台DVP上线首周收到白帽子所提供的312个漏洞,涉及175个项目方。区块链的安全如同传统安全网络问题一样,是未来区块链企业不得不重视的问题。而同时也证明了去中心化、智能合约的区块链自身确实存在漏洞。
案例三DVP平台收到来自社区白帽子的多个关于亦来云远程DoS高危漏洞的反馈。据DVP漏洞平台12月07日消息,此前,DVP收到来自社区白帽子的多个关于亦来云远程DoS高危漏洞的反馈,攻击者可借此漏洞远程将亦来云节点瞬间瘫痪,最终导致亦来云主网瘫痪。目前该漏洞已通报给亦来云基金会并完成修复。DVP安全研究人员表示,DoS高危漏洞属于区块链公链中较高危的漏洞,公链节点既是客户端也是服务端,属于整个公链生态的基础设施,公链节点被轻易攻击下线的危害是非常巨大的,比如会使网络算力骤减,从而导致51%攻击等。
将区块链与传统相比较的话,我们可以看出公链结点既是客户端也是服务端,它属于整个公链生态的基础设施。在安全方面公链客户端与其他传统软件的客户端没有太大区别,在传统软件上会遇到的问题在公链客户端中都有可能遇到,对于区块链来说,任何一个微小的问题都会被无限放大。
目前公链安全由于其门槛相对较高,所以研究的人也比较少,笔者切实希望更多的白帽子参与到区块链安全这个还处于蛮荒阶段的领域中来,让安全为区块链更多项目保驾护航。
案例四DVP平台接收到白帽子提交知名交易平台比特儿gate.io存在严重漏洞,可导致整个交易平台服务器被攻击者控制,DVP收录到漏洞后第一时间联系厂商进行通报,帮助厂商及时修复漏洞。
传统软件领域的漏洞可能被利用来发起网络攻击,造成数据、隐私的泄露甚至实际生活的影响。而数字货币本身是一套金融体系,在数字货币和区块链网络中的安全漏洞,往往会有更严重、更直接的影响,由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞,可能引发成千上万的节点遭到攻击。甚至,在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞,在区块链网络中则可能引发整个网络瘫痪的风暴攻击,对整个数字货币系统造成巨大冲击。笔者希望能够借着DVP平台上的以上五大真实案例呼吁各大业务厂商应加以重视,树立起为项目安全负责的态度,保障自身及用户信息及财产安全。
牛熊交替周而复始,了解五大态势助你区块链赛道飞速奔跑
历经2017年一声监管令下,行业迅速进入熊市,但是社群的火热再次燃起了区块链的星星之火,众人从熊市中回暖解套沉浸于牛市的狂欢当中。谁知,美梦不久便梦醒,熊市再次到来。币价一再上演着区块链牛市赚钱的假象,直到10月初币价断崖式下跌,大部分投资人认为这只不过是牛市的小回调后连月的阴跌终使得投资者在币市赚钱彻底成为幻影。尤其是10月底暴跌让币价连连创新低,行业仿佛一夜之间急转直下。虽然也有不少业内人认为暴跌仅此一次,牛市很快就会来临,然而牛市却如同遥远的期,迟迟未能到来。反而再次以N连跌刺痛了行业的信心,一时之间行业低迷,一片残败。
历经了完整的牛熊转换,区块链从业人员的关注点开始落在了项目本身。在经过火热牛市的疯狂,又穿越漫长得熊市,在牛市不曾思考过的问题反而因熊市得到了升华。不论牛熊,行业频频发生的安全事件就从未中断过。在整体行业的发展来看,越来越多的区块链项目开始在巨额损失的安全事件中获得警醒,汲取教训,更加注重项目自身安全方面的建设。笔者相信越来越多的项目穿越了熊市,经历过完整的洗礼,对这于整体的区块链行业发展是健康的现象。
数据来自BCSEC
在区块链安全问题日益突出的今天,如何迅速有效地发现各类新型的攻击行为,对保障当前网络系统和区块链的安全显得十分重要。高速发展的区块链因其开放性、共享性等特点不断地扩大,各种各样的网络监管设备带来了不同类型的流量,即呈现出不同的流量特征,给区块链领域带来巨大的考验。然而,网络流量分类又是认识、管理和优化各种网络资源的重要依据,是人们掌握区块链安全以及态势感知的重要基础。
数据来自BCSEC
安全性威胁是区块链迄今为止所面临的最重要的问题。其中,基于PoW共识过程的区块链主要面临的是51%攻击问题, 即节点通过掌握全网超过51%的算力就有能力成功篡改和覆盖区块链数据。基于PoS共识过程在一定程度上缓解了51 % 攻击问题,但同时也引入了区块分叉时的 N@S (Nothing at stake) 攻击问题。研究者已经提出通过构造同时依赖高算力和高内存的PoW共识算法来部分缓解51%攻击问题,更为安全和有效的共识制尚有待于更加深入的研究和设计。根据行业调研分析,发现区块链历经发展到现在,安全事故主要集中体现于应用服务层、中间协议层、基础网络三个方面。
DVP去中心化漏洞平台根据平台案例总结了2018年12月主要区块链信息安全行业发展态势,通过风险类型、风险厂商类型、漏洞类型三个维度进行态势分析,详细解读12月的安全态势详情。
态势一、交易平台风险率依旧居高不下,为区块链安全风险厂商重灾区
DVP平台数据(12月)
通过上图数据,我们能看出在12月份安全态势风险厂商类型中占比最高得前2类分别为交易平台、项目方。其中交易平台占比84.78%,成为风险厂商的重灾区。现在行业内超过的54%的交易所没有执行安全标准,交易所的安全风险也显得尤为明显。目前在交易所内部,主要存在以下四个方面的风险:第一,区块链交易资金安全。投资者的数字资产进入交易市场后,交易平台需要具备强大且安全的企业级别钱包和良好的企业信用,否则如发生交易平台转移资产事件,投资人将无法追索其资产。第二,区块链交易市场风险。区块链的走势受众多因素影响,一方面无涨跌幅限制,价格走势较难控制;另一方面众多散户涌入给庄家或平台恶意串通、误导投资者、操控币价创造了巨大的空间。第三,区块链交易高杠杆风险。在外汇等较规范的金融市场中,杠杆比例都会控制在较合理的范围,
比如某交易平台的杠杆是100倍,最低8美金即可交易,能够有效防止对杠杆交易风险,而在区块链交易市场中,由于缺乏投资者准入及杠杆率限制,散户投资者将会承担较大的亏损风险。交易所卷钱跑路或者交易所自己控盘等情况都是可能存在的。第四,网络安全风险,对于区块链交易平台来说,最不确定风险来自庞大的交易量及外部攻击,交易所被盗币(或监守自盗)。交易所没办法自证公平,现在的期货交易所机制,存在着“交易所有机会无成本、无痕迹的作弊”的漏洞,例如在2016年8月2日因为多重签名漏洞,香港比特币交易所bitfines大约价值7000万美元的比特币被盗。“交易所的安全性尚且不能保障,个人私钥的安全性也存在较高风险;2018年1月26日发生的,日本最大数字货币交易所Coincheck遭到黑客攻击,交易所内大量NEM币被盗,消息显示,被盗的NEM币总共5.23亿个,价值5.3亿美元,约有26万用户受害;
态势二、Web缺陷依旧为高风险率漏洞占比
DVP平台数据(12月)
上图数据,我们从DVP平台数据12月厂商漏洞占比当中,12月份安全态势漏洞类型中占比最高的前3类分别为web缺陷、威胁情报和移动客户端缺陷,其中web缺陷依旧为高风险率漏洞占比。
在Web缺陷中,开发者最大的失误往往是无条件地信任用户输入,假定用户(即使是恶意用户)总是受到浏览器的限制,总是通过浏览器和服务器交互,从而打开了攻击Web应用的大门。实际上,黑客们攻击和操作Web网站的工具很多,根本不必局限于浏览器,从最低级的字符模式的原始界面(例如telnet),到CGI脚本扫描器、Web代理、Web应用扫描器,恶意用户可能采用的攻击模式和手段很多。
在区块链的世界当中,尤其是大量数据库的世界中,WEB安全成为了区块链企业的重要的关注方向。数据库的安全是项目的重中之重,而容易被猜中得信息容易降低区块链项目自身得防御性,增加漏洞出现的可能,通过各种攻击手段让用户以及区块链的企业受到伤害,最常见的如:容易猜测的密码、可预测的密钥、会话劫持攻击和 DNS 欺骗等严重漏洞。
DVP平台数据
再根据DVP漏洞平台12月数据看到,厂商严重漏洞40个,高危漏洞826个,中危数据616个,低危数据1601个。根据DVP提供的数据资料,可以看出的区块链行业目前项目大部分存在漏洞,轻则泄露用户隐私,重则经济受损,被迫停止运营,12月DappEOS攻击数据信息上能够有利佐证行业目前仍然处于一个初级阶段,随着区块链技术的发展,安全问题呈现动态情况,需要行业人群针对现状保护行业的安全。根据BECSEC数据统计,12月份发生的攻击事件共有10起,对行业内造成损失约90万美元,其中90%遭受攻击的对象为基于EOS的DApp,10%为公链项目。
其中黑客攻击EOS DApp的主要方式有以下几种:
1. 利用EOS自身漏洞造成的回滚攻击:利用API节点和BP节点同步时间差,来只保留对黑客自身有利的交易。在本月19日,黑客利用此漏洞攻击了Big.game、BetDice、ToBet、EOSMAX这四个博彩类DApp,总共获利高达28万余EOS,以攻击发生时间的EOS价格折算为美金约75万美元。
2. 利用合约自身漏洞造成的重放攻击:由于开发者设计的开奖随机算法存在严重缺陷,使得攻击者可利用合约漏洞重复开奖,是一种较低级的错误。在本月18日,黑客利用此漏洞攻击了一个名为TRUSTBET的博彩类Dapp,总共获利高达11501个EOS,以攻击发生时间的EOS价格折算为美金约3万美元。
3. 利用交易所的验证缺陷造成的假币攻击:由于交易所对币种的校验不严格导致可使用同名假币进行交易的。在本月12日,黑客利用此漏洞攻击了一个名为EETH的锚定币,导致该币在当天被砸盘下跌98%。
4. 利用合约自身漏洞造成的回滚攻击:由于合约在某些操作执行失败时会使交易发生回滚,使得攻击者可以将对其好的交易执行成功,对其比好的交易发生回滚。在本月12日,黑客利用此漏洞攻击了一个名为钓鱼高手的博彩类Dapp,总共获利558个EOS,以攻击发生时间的EOS价格折算为美金约0.1万美元。
5. 利用合约自身漏洞造成的随机数预测攻击:由于合约在生成随机数时采用的熵源可预测,使得攻击者可使用相同的算法预测随机值。在本月13日和15日,黑客利用此漏洞攻击了Dice3D和Fastwin这两个博彩类Dapp,总共获利12498个EOS,以攻击发生时间的EOS价格折算为美金约3.6万美元。
其中黑客攻击公链的主要方式为常见的51%攻击,攻击者利用51攻击总共完成了15次双花交易,获利高达10万美元。黑客轻松通过技术手段攻击EOS DApp身上频繁出现在12月。
态势三、多数风险厂商均面临资产损失、盗用篡改、隐私泄露风险
我们知道,区块链本质上是一个对等网络的分布式账本数据库。比特币的底层就采用了区块链的技术构架。区块链的未来发展前景与项目的增加,不少交易所纷纷上线。然而作为金融中心,交易所作为一个巨大的矿池,是黑客们钟爱的聚集地,交易所成为被攻击的对象比例远远高于其他项目。根据BCSEC最新统计数据,目前500家数字货币全球交易所,1644种数字货币,市值总额3448亿元。截至2018年6月,针对数字货币的攻击累计达到100次造成的直接经济损失33亿5千万美元。
风险厂商12月排行榜
从上图中,我们看到令人惊讶的信息,排名前5的交易所风险系数均已达到极高,其余排名前20名的风险厂商可在DVP安全态势模块看到,风险度同样较高,多数风险厂商均面临资产损失、盗用篡改、隐私泄露等风险。
据中证网报道,我国存续区块链公司439家,北京、上海、广州、深圳、杭州占绝大数,超八成区块链创业公司集中在金融及企业服务行业。其中区块链公司,北京占比34%,上海占比21%,广东占比17%,浙江地区占比10%,其他地区合计占比18%。区块链公司呈现聚集状态,大部集中在几个发达城市。但除了数量极少的几家交易所,中国区块链市场还充斥着大量三无项目,无应用场景,无技术团队,无业务逻辑。虽然ICO被监管机构叫停,但泡沫却没有破裂迹象,人们忍不住呼吁区块链技术「脱虚就实」。
除交易所外,区块链行业的项目、钱包等漏洞也是存在的。比如在2016年10月,国家互联网应急中心聚焦区块链领域的知名开源软件,综合考虑用户数量、受关注程度以及更新频率等情况,选取了 25 款具有代表性的区块链软件,结合漏洞扫描工具和人工审计,进行了安全检测。从结果来看,开源区块链软件存在着不容忽视的严重安全风险。报告指出,测试选取了 25 款具有代表性的区块链软件,包括Dogecoin、Ripple、Litecoin、Dash、Ethereum Wallet等,结合漏洞扫描工具和人工审计,进行了安全检测。本次检测在代码层面发现高危安全漏洞和安全隐患共 746 个。由于这些软件多数与资产、货币交易相关,一旦出现漏洞,可能会导致财产损失的严重风险。
态势四、安全漏洞及事件仍在不断增长,未曾因为币价下跌而下降
通过上述数据可发现区块链相关行业安全问题仍不容乐观,截至目前风险厂商数量已达到1107个,有大量的安全事件发生在我们的身边。
对比漏洞数量,将会有平均每个风险厂商存在1.3个中高危以上漏洞的比率。
漏洞各项风险率占比依次为:资产损失风险28.54%、盗用篡改风险61.64%、隐私泄露风险99.42%;目前相关风险趋势仍在不断上升中。早之前某智能合约厂商存在重入漏洞,黑客可通过该漏洞从合约中无限提取资金。某大型公链更是存在设计缺陷,可导致此项目大量的公链节点崩溃,甚至可能导致项目方硬分叉。
针对此种现象,我们不难推测出事实到底是怎样的,趋势不断增长的厂商漏洞当中风险是同比上月呈现上升现象。
首先在今年12月,越来越多的攻击者将目光投向了DApp,从早期针对以太坊的The DAO,到最近的BCE、SMT代币等事件,以太坊生态已经经过了一场来自黑客的“血的洗礼“,生态环境逐渐趋于安全。而DApp生态的第二翘楚EOS目前正处于蛮荒生长阶段,越来越多的黑客将目光从以太坊DApp投向了EOS DApp。其中一个很有趣的现象是:关于被攻击的报道很多,漏洞预警的报道却很少。
从红蓝对抗的角度来讲,这似乎表明了目前DApp的红队(攻击方)要比蓝队(防守方)多,这对区块链整个行业来说是不利的。
其次,寒冬漫长,币圈链圈在熊市的之下,一部分矿工由于入不敷出选择了罢工,直接导致了PoW币的网络总算力都呈现出下跌态,这使得攻击者发动51%攻击的成本更小,所以本月Vertcoin便遭受了51%攻击。
除此之外,项目方、供应商、服务商等这些区块链生态内的组织在寒冬下也在竭力的缩小成本,例如一些区块链企业正在裁员,ETC开发团队解散等。所以其在安全上所投入的成本也会大大降低,这是一个恶性循环,在安全投入越低便越会遭受攻击,越遭受攻击熊市便越漫长。
态势五、行业内对安全关注的厂商逐步增多
在DVP上修复过的厂商
目前,我国的区块链产业目前处于高速发展阶段,创业者和资本不断涌入, 企业数量快速增加。区块链应用加快落地,助推传统产业高质量发展,加快产业转型升级。此外,区块链技术正在衍生为新业态,成为经济发展的新动能。区块链技术正在推动新一轮的商业模式变革,成为打造诚信社会体系的重要支撑。与此同时,各地政府积极从产业高度定位区块链技术,政策体系和监管框架逐步发展完善。与此同时,许多规则也已经随着行业的发展而得到完善,业界的缺陷也在慢慢改善。行业内,有一些对安全负责的厂商,在收到漏洞情报后及时进行修复。区块链的安全本身就是一个严峻的问题,也是各区块链企业必须承认,面对的问题。
区块链行业风险事件的增多,不断地敲响着财富效应集中的区块链项目不得不重视安全问题;安全的问题无法解决的,就意味着的用户或自身的安全存在重大的隐患,一旦出现风险问题不能及时补救,对用户与自身都是信任的考虑。离钱最近的地方也就离人性最重要,曾有数据表明,多数安全问题是已经在安全平台收到预警但并未进行修复而发生的重大事件,影响颇为广泛;但同时我们也看到了有厂商重视安全并且收到预警及时修复,笔者相信在区块链领域未来我们会看到了越来越多的厂商重视并且加入守护安全的队伍当中,让用户使用起来更加安心、放心。
区块链安全展望:脚踏实地,赢信任者得天下
区块链因自身的金融属性,未来的攻防将成为常态,安全显得更加重要,如何为更多的区块链项目方发展保驾护航就成了未来严峻的问题。如大众所见,目前虚拟货币整体趋势虽在大跌过程中,业界安全漏洞及事件仍在不断增长,未曾因为币价下跌而下降。故建议各大区块链企业应从多个维度去进行综合防护,同时对于产业生态的安全需要区块链产业与区块链安全企业来共同提高区块链产业的安全性。
回顾区块链物联网公司Slock.it发起的The DAO项目。其项目的运作特点是首先通过智能合约来主导以太币资金的分发利用。 其次参与众筹人按照出资金额(比特币等),获得相应DAO代币,即内部token,具有审查及投票表决权利。 随之的投资议案由全体代币持有人投票,每个代币一票。 最后项目收益按照一定规则回馈代币持有人。不得不承认,项目最初的出发点是好的,但随之的几点问题,使之成为了有史以来的最大丑闻,首先,The DAO项目智能合约代码不严谨,导致交易资金出现很大的漏洞。 后面为了解决修复智能合约,进行软分叉的尝试。最后失败的因素还是在一方面在于人们接受了去中心化理念后因为为了修复bug而导致变更不允许发生的变更,即理念冲突。第二方面在于,修复方案也和以太坊平台设计思路冲突,即该合约思路没问题但未收取gas。而通过软分叉升级可能会导致攻击者零成本利用软分叉来攻击整个体系。因而软分叉方案全部失败。 最后采用了硬分叉。虽然已经导致了以太坊直接撕裂成了ETH和ETC(旧版),但最后还是没能解决问题,因为会存在重放攻击。新链上的交易广播到旧链上,交易依然能够成功,因而造成使用混乱。合约升级后依然还是存在漏洞,虽然封堵了withdrawalFor的漏洞,但是整个机制中依然存在问题。其原因还是在于检测员总是习惯一次检测一个功能,并假定调用安全子例程将会安全的如预期的操作。而很少系统性的测试并假定容易被攻击的可能性。
在此事件发生后,我们不难得出经验教训。智能合约不合理,导致最后失败归根结底还是在于人们对新生事物的第一次尝试。并不是说如果合约代码没有技术漏洞后,就会一帆风顺。也有可能就算没有技术漏洞,也可能出现其他的落地时的漏洞。它让人们看到了硬分叉后能给我们带来其他更多的问题,比如重放问题,交易混乱。与此同时也让人们看到了分布式自治组织目前的局限性。包括法律认可程度,技术不成熟度,金融资产和法律,道德上如何良好衔接,以及完全的自治是否能够实现,如何良好的导入必要时期的人工介入。比如The DAO事件发生后,能够应急的人工干预机制。
无论是技术创新,还是商业模式创新,对于安全的考虑,永远是必要且不能忽略的。在区块链行业中,项目的安全起到关键性作用,一个安全问题随时可能会引爆项目的生死。如果项目上线之初没有考虑到安全,那么有可能导致安全漏洞的出现会成为项目失败的一个重要的关卡。安全问题是区块链领域的核心问题,因为区块链是跨国、无政府无趋势性质,造成犯罪成本低,所以黑客由于利益或风险评估,会对区块链深度投入造成项目的漏洞情况出现。
同时,仍未普及的区块链技术,其安全技术体系更是零散。有数据显示,目前全球有10000+的区块链项目,区块链安全服务公司却只有不到50家。作为新兴产业,区块链产业的从业人员安全意识较为缺乏,导致目前的区块链相关软硬件的安全系数不高,存在大量的安全漏洞;此外,整个区块链生态环节众多,相较之下,相关的安全从业人员力量分散,难以形成合力解决问题,迎接上述挑战需要系统化的解决方案。
可以预见的是,随着各种公链价值的不断提升,不难想象未来会有更多的攻击者将涌入到区块链行业。对于区块链产业的攻击会越来越多,并不会因为熊市而减少,而区块链生态内的企业也终将认识到,在区块链领域,业务先行是行不通的,安全是发展的前提。那么,在安全建设的问题上势必还需投入更多的精力和技术研究,提升区块链整体的安全意识,共同构建更好的区块链生态是行业未来。