自互联网诞生以来,安全一直是至关重要的一环。衍生出的常规安全体系虽然在一定程度上缓解了部分安全风险,但也暴露出了一些问题:如隐私、效率、诚信等问题。
7月24日,去中心化漏洞平台DVP首席执行官Daniel Wen做客链节点ChainNode AMA,为用户解答了有关去中心化漏洞平台的问题,解释了为什么这一模式会是未来发展的趋势。
以下为本次AMA集锦:
一句话说明DVP在做什么?
“(我们是)去中心化漏洞悬赏平台和白帽子自治理社区。”Daniel Wen进一步指出,DVP的重点在于利用已有的底层技术建立一个区块链项目方、安全从业人员和组织之间可信的、隐私的安全情报交换平台;同时建立一个基于通证激励的去中心化自治社区。
过去一年,DVP一直在低调地深耕区块链安全领域,将重点放在漏洞平台、白帽社区和厂商合作的建设上,已取得了阶段性成果:截至今天,DVP平台注册白帽子超过1.4万名,覆盖厂商1400多家,入驻厂商近百家,入驻安全团队数十家,收录4000多个有效漏洞。目前发布赏金计划的头部厂商有NEO,MXC,Gate,Bibox,F2pool等42家。DVP的深度合作伙伴包括白帽汇、派盾等安全领域的实力派,有强大的技术后盾。在规模上DVP已经处于细分头部位置。
依托于“漏洞即挖矿,安全众测即挖矿”的经济模式,其未来将聚焦于两个方面的发展:一方面,DVP致力于吸引更多全球范围内的安全从业者加入;另一方面,DVP会和更多的区块链项目合作,创建适合每个项目的漏洞悬赏的产品。
那么普通用户是否有机会参与DVP治理呢?DVP将采用DPoS机制,除了由专业安全机构、白帽子和安全团队主导的仲裁节点之外,DVP通证持有者未来可以通过节点质押,共建普通节点,市场教育,活动组织宣讲,文献撰写等方式参与治理,并获得相应激励。DVP通证也是本着与经典的比特币、以太坊相同的原则:价值共创、价值共享。
做去中心化漏洞悬赏平台,DVP是不是多此一举了?
现在行业内有优秀的安全公司,如PechShield,安全众测的意义何在?漏洞悬赏的概念由来已久,通常都是白帽黑客与相关平台及项目进行直接联系,而DVP作为双方沟通的渠道意义何在?用户产生了这样的疑虑。
对此,Daniel Wen做出了回应:
“区块链是一门跨学科技术,仍处于早期阶段,发展更新速度快,加之区块链安全从业者匮乏,导致了区块链发展过程中会不断出现大量的、新的薄弱环节,仅仅依靠单一的安全团队,很难覆盖所有的薄弱点。”使用单一安全团队时,“一,防守难度大。攻击可能涉及到的面非常广,所以防守时务必要做到非常全面的检测。攻击只需要一个点,防守要防很多面。二,服务单次性,即持续性的问题。安全公司给你提供的服务,或者说你购买的安全服务,往往都是单次性的,也就是说,它只帮你检测一次。”
“安全众测可以对此问题形成很好的补充,让更多专业的安全研究人士更灵活地安排时间,从各个角度去寻找漏洞,及时反馈给项目方进行修补。而且这一过程是“按效果付费”,只有找到有效的漏洞时,项目方才需要付费。因此,安全众测具有持续性和成本费用优势,与安全服务业务也并不冲突,两者将共同为安全行业保驾护航。”对于DVP在漏洞悬赏中的作用,Daniel表示:
“首先,白帽子与厂商沟通是具有一定成本和风险的,从厂商角度来看,若个人通过私下联系厂商的方式通报漏洞并索取奖励,稍微沟通不当可能就会让厂商误以为是在敲诈,给白帽子自身带来风险,且奖励无法得到保障,在厂商得到漏洞详情后忽略白帽子直接修复漏洞也是有可能的。”
“厂商运营白帽子社区是具有一定成本的,没有白帽子社群,即使对外声明漏洞悬赏,很多白帽子也不一定能注意到。而DVP的优势在于拥有长期积累,更强大的安全团队合作方、白帽子群体曝光与覆盖,同时拥有更完善的业务流程与更丰富的业务经验。厂商入驻之后立马就会有白帽子关注到,而不用再去建设安全响应平台和运营白帽子社群,提高厂商安全相关的运营效率,同时降低成本。”传统众测平台也存在两个问题,分别是匿名化和奖励发放的问题。传统的奖励发放流程需要通过银行,这对追求匿名的白帽子来说本身就是个bug。Daniel Wen指出:
“在DVP平台上,每一个白帽子就是一个地址。厂商给的奖励也可以用数字资产的方式直接发放。也就是说,白帽子可以做到匿名提交,并且这个奖励的授予也是以匿名方式进行的。”
“建立一条链有几个目的,一是保障安全情报交换过程的保密性,比如,提交漏洞时,会根据厂商提供对公钥对漏洞报告进行加密后,再将数据存放在链上,只要没有相应的私钥,任何第三方都无法得到报告详情,这是由密码学决定的。第二是把这个流程各关键环节存证,建立可验证可信的数据流。第三是保证奖金发放过程的可靠性。”
漏洞被用来作恶怎么破?
作为一个漏洞悬赏平台,DVP的漏洞处理方式是非常重要的,否则很容易出现漏洞泄露被用来作恶的问题,这也是链节点网友最关心的问题。
Daniel Wen表示,DVP主要从技术和激励上的设计防止作恶:
“主要是两个方面:技术上,利用区块链的不对称加密进行安全情报定向传递,以及对消息传递过程存证。激励上,利用通证进行经济激励,并结合基于链上信息的声誉体系做到作恶有损失,行善有奖励。”Daniel Wen解释说,在收到漏洞报告后,DVP不会直接对外公布,而是第一时间联系漏洞所属厂商,提醒其尽快修复。在漏洞修复之后,只会公示一条简易信息,以显示白帽子和厂商之间提交漏洞和接收奖励的过程,并不会披露更多细节,无法被用来作恶。
对于部分无法取得联系或拒不配合修复漏洞的厂商,DVP会酌情公布其漏洞,目的是提醒其他厂商和用户及时防范相关风险。此外,对于一些具有典型意义的漏洞,出于行业交流学习的目的,也会进行公布,但该类漏洞均是已经修复和脱敏后的,也无法再被用来作恶。
对于所有漏洞,DVP都会有专业的人员进行初审、复审,最后再依据相关的悬赏规则对漏洞进行评级,当漏洞存在争议时,会联合多家安全厂商进行投票决定。
硬核干货:交易所常见漏洞解析
交易所作为区块链生态的重要一环,由于存有大量加密资产,常常会成为黑客攻击的目标。尽管经历多年的发展,交易所在安全防护方面取得了一定的进展,但依然是这个行业“最危险的地方”。因此这类厂商现阶段成为了DVP关注的重点。
Daniel Wen在本次AMA中分享了几个交易所常见的漏洞:
“这里简单列几个常见漏洞。假充值漏洞:交易所在验证充值交易时没有严格验证转账是否真的成功,以及没有验证余额是否有增加导致的一种漏洞,常见的解决方案就是在用户充值之后,一定要验证相应的收款地址的余额是否有等额增加。SQL注入漏洞:SQL注入攻击是黑客对数据库进行攻击的常用手段之一。这种漏洞是因为开发人员在引入外部数据时未经过安全检查直接带入到SQL语句中导致的,这种漏洞会导致平台数据库内的数据全部泄漏,更严重的可导致数据被篡改,甚至影响到服务器的安全。常见的解决方案就是在使用SQL语句时使用参数化查询,在接收来自外部的参数时需要经过检查以及过滤。
XSS漏洞:XSS漏洞是黑客对客户端进行攻击的常用手段之一。这种漏洞是因为开发人员在引入外部数据时未经过安全检查直接带入到网页中导致的,当网页客户端被植入恶意代码时,可能会导致产生客户端的身份凭证被窃取(俗称盗号)、敏感信息泄漏等危害。常见的解决方案就是在引入外部数据到网页中时,先经过安全检查以及过滤。
逻辑漏洞:逻辑漏洞是黑客对平台业务进行攻击的常用手段之一。这种漏洞是因为在程序设计、编码时,逻辑不严谨导致的,常见的逻辑漏洞有任意密码重置(篡改别人密码)、任意改绑等类型。这类问题属于最难解决的一类,无法依赖自动化的工具和简单的防护来解决,需要人工对代码中的逻辑进行梳理以及测试来解决。”
安全无小事,社区利益重
Daniel Wen还特别强调了自己对行业安全的看法和DVP的核心理念:
“安全是个需要持续关注的问题,即使是安全公司也不能百分百保证绝对安全,DVP、PeckShield、白帽汇都在DVP平台上发布了自己的漏洞赏金计划,欢迎白帽黑客进行安全测试。我们始终相信,及时发现漏洞,修补漏洞,而不是回避漏洞,才能避免造成更大的危害。”
“区块链不是万能的,去中心化是一个循序渐进的过程,要匹配项目的成熟度逐步推进。这个过程需要团队的努力,更需要社区的积极参与。只有社群积极参与,为项目贡献并获得相应回报,才能保证token分配的均衡,从而促进去中心化。”
“DVP将一切以社区利益为重!”小彩蛋:DVP在诞生一周年之际举办了“区块链安全进化论”活动,推出三重大礼,通过线上漏洞挖掘大赛、解密游戏和线下黑客松的形式,希望回馈社区,吸引更多白帽子与安全机构为区块链保驾护航。更多信息可关注DVP官方网站dvpnet.io和公众号DVPNET,添加官方客服小爱同学(f1ndfreedom)进入社群,获取更多内容和惊喜。
更多AMA精彩观点戳这里:https://www.chainnode.com/ama/357229