“宇宙就是一座黑暗森林,每個文明都是帶槍的獵人,像幽靈般潛行於林間,輕輕撥開擋路的樹枝,竭力不讓腳步發出一點兒聲音,連呼吸都必須小心翼翼。
他必須小心,因爲林中到處都有與他一樣潛行的獵人,如果他發現了別的生命,能做的只有一件事,開槍消滅之。”——三體
前記
2016 年 2 月 14 日發生了以太坊史上最大的盜幣行爲。這一天史稱爲“黑色情人節”事件。在事件發生至今 2 年多的時間裏,以太坊盜幣問題並沒有得到很好的解決,僅從 2018 年 1 月 1 日至今,就發生了數千起成功的盜幣攻擊。
區塊鏈的生態安全已經危機四伏。嚴重的影響到了行業的發展。不過行業內還是有利用自己強大的計算機技術來維護區塊鏈內的公平正義的白帽子, 慢霧科技就是其中之一 。作爲行業內最知名的區塊鏈安全公司之一,慢霧科技致力於維護行業的生態安全。
2018 年 3 月 20 日,慢霧科技披露以太坊黑色情人節盜幣事件,曝光長達兩年之久的自動化盜幣行爲,其造成的損失達近 5 萬多枚以太幣及數量巨大的各類代幣,依託慢霧科技獨有的墨子(MOOZ)系統和蜜罐分析技術,可以對全網自動化盜幣攻擊進行捕獲、識別。
爲此,慢霧科技上線了“以太坊黑色情人節”專題頁面,對這一隱患進行持續追蹤與披露。
我們與慢霧科技 CEO ABY 進行深度對話,從他口中得知這個行業的安全問
題已刻不容緩。與我們每個人都息息相關。
慢霧簡述
廈門慢霧科技有限公司,專注區塊鏈生態安全,總部位於廈門,由一支擁有十多年一線網絡安全攻防實踐的團隊創建。團隊成員曾爲 Google、微軟、W3C、公安部、騰訊、阿里、百度等輸出過安全能力,團隊成員多項成果也曾進入過 Black Hat 等全球黑客大會。
慢霧科技的核心能力包括:安全審計、安全顧問、防禦部署、威脅情報等。慢霧科技已經爲全球多家交易所、錢包、智能合約等做了安全審計與防禦部署,並通過獨有的地下黑客風向標追蹤引擎,持續爲合作公司及國家相關部門提供威脅情報。
安全審計、安全顧問、防禦部署、威脅情報等
問題頻發的假充值
1:最近頻繁報出以太坊假充值,影響對象至少包括相關中心化交易所、中心化錢包、代幣合約等,但代幣合約統計有 3619 份存在假充值、漏洞風險,其中不乏知名代幣,這種假充值一直頻繁發生的原因是什麼?
ABY :我們在 6 月 28 日披露了 USDT 假充值的漏洞,然後在 7 月 9 日披露的 3619 份基於以太坊的假充值,相當於是第二版。
USDT 是 Tether 公司發行的一種穩定幣,出現假充值的原因主要是交易所沒有驗證 USDT 裏面的 valid 字段。當客戶到交易所充值 USDT 幣的時候,只是簡單的檢查了鏈上有沒有這個交易,就把錢充進來了,但是這筆交易是失敗的。
打個比方來說吧,一個人去銀行存錢,但是我們只知道他是去了銀行,到底存沒存錢是不清楚的。這樣就有假充值的可能。
2: 出現問題 是因爲需要判斷的操作很複雜 嗎 ?
ABY : 其實一點都不復雜,並且 USDT 官方帳號有做說明,只是某些交易所的安全開發人員或者技術開發人員,沒有注意到這個點。
他們可能按照之前其他一些幣種的檢驗方式照做,但是 USDT 它有自己的一套機制。用固有思維去判斷這件事情,沒有深思每一個鏈或幣背後的判斷機制,結果出了問題。
3:在 出現問題 之後, 交易所 要驗證 相應字段了嗎 ?
ABY :對。USDT 的 CTO 也有聯繫我們,我們把相關問題推送給了他們。他們認爲這個不一定是漏洞,可能是交易所沒有做完善的判斷,並且他們之後也提醒了這些交易所一定要判斷這個字段,在技術中也強調了這個東西。
交易所在充 USDT 幣的時候一定要去看這個字段,已經變成了行業的標準。
從內到外的預防機制
4:現在 假充值和漏洞風險的 問題非常嚴重,沒有根治的辦法。交易所 有相關的預防措施嗎 ?
ABY :交易所對安全的需求比較高,非常看重安全問題。安全的核心在於人,而最好的安全管理組織架構是項目方有自己的安全負責人,與外部的第三方安全團隊合作,共同維護,不能單純依賴第三方,也不能沒有第三方,安全這件事一定事從內到外的結合。
現在整個區塊鏈其實是很完整的安全,包括內、外部的風控。但是攻擊項目方的手段是五花八門的,不是單一的攻擊,可以從很多緯度去攻擊。攻擊者可以同時在不同的交易所掛做空或做多單,形成套利差,手段很多樣。
5:最開始發現了假充值的問題, 達成 了整個行業的共識,現在 開始 防範 了嗎?
ABY :對。在區塊鏈方方面面都可能頻繁出現像 USDT 假充值的類似情況,因爲它是新生行業,很多規範標準沒有完善,也沒辦法要求技術人員完全按照官方的提示去判斷。
USDT 事件之後才曝光了 ETH3619 份代幣合約存在漏洞風險,並且關乎到智能合約交易所、中心化錢包的問題。我們披露了 USDT 之後,應該深思以太坊是否也可能出現類似的這種問題。以太坊的機制和 USDT 是類似的。比如正常在以太坊上面轉帳,如果發現餘額不足,會提示異常。
以太坊本質上跟 USDT 的邏輯特別像,它會稍微複雜一點。黑客會拿餘額不足的帳號去轉帳,如果智能合約有缺陷,同時交易所檢驗不到位,兩者都達成條件的情況下,就可以進行攻擊、假充值了。
6: 會 造成以太坊上面的 很多 代幣很大的損失 嗎?
ABY :對。這件事情的影響非常廣,我們也儘量做到非常負責任的披露。儘自己能力把漏洞情報共享,基本涵蓋了整個圈子裏的交易所錢包。
我們首先披露給客戶,披露之後才慢慢的去預警,讓沒辦法傳達到的客戶接收到信息,之後留三天時間給大家去自查並修補漏洞。因爲是真實發生的攻擊,我們是在搶時間和攻擊方賽跑。進行這一輪之後,才披露這個漏洞並公佈細節,附帶解決建議。
解析兩起事件的攻擊方式
7:2016.2.14 以太坊發生了大額代幣被盜,這一天也被定爲“以太坊黑色情人節”,這件事過去了兩年多還在持續,並且有越演越烈的趨勢。目前最新的一例被盜 Token 就發生在 7 月 4 日。該事件又出現了新的隱藏攻擊方式, 這兩起事件中的攻擊方式相同嗎 ?
ABY :本質上兩個事件的攻擊模式完全不一樣。我們在 3 月份發佈的披露黑色情人節事件,涉及到了以太坊的節點,它的 RPC 端口是開放的,端口開放會出現一些問題。當這個節點被解鎖的時候,有一個 300 秒的密碼權限,一旦登陸就可以有五分鐘讓別人想幹嘛就幹嘛,會很不安全。這是這件事情的根本原因,是以太坊生態的一個缺陷。
缺陷能用我們的解決方案側面修復,官方並沒有給出相應補丁。黑色情人節造成的影響非常大,到現在爲止,還有地址被盜幾百個以太坊,被盜的不是單純的 ETH 幣,而是整個 ERC20,所有 ERC20 用的都是以太坊這個節點。
8 : 黑色情人節的攻擊方式 是 最 新的嗎?
ABY :不是。在 2016 年,這個黑客已經做了整套自動化的處理,成本並不高。但是這個缺陷在這兩年時間裏還是沒有得到很好的解決。我們披露黑色情人節事件後,得到了行業比較大的迴響,很多人遵循了我們給予的修復意見,對節點安全配置進行了優化。比如禁用 RPC 端口,去避免這個問題。
後來我們一直在監控盜幣情況,它並沒有停止。我們和慢霧區夥伴溝通發現,這個黑客在 unlockAccount 默認的 300 秒免密操作窗口當中,寫了非常多的轉帳內容。假設我的錢包是空的,看到了慢霧發的這篇文章,就禁用了 RPC,便覺得錢包安全了,其實不然,那個黑客就這麼想的,不管帳號裏面有沒有錢,等到他找到端口就埋無數個圈套,把裏面的錢都轉走。
9:所有的攻擊 都 在不停的變化,根本原因是以太坊自身問題 嗎 ?
ABY :我們歸類爲以太坊本身的缺陷,但是每個系統都會有一些缺陷。現在披露的過程,都是真實攻擊的,想讓這件事提醒我們能覆蓋到的所有人,趕緊把這件事情積極的修補好,免去攻擊。如果我們不去做這件事情的話,這些問題可能會愈演愈烈,希望整個圈子是有安全感的,並且大家都能做好防護。
10:從 2016 年被盜到最近幾天纔出現的 這些問題, 有沒有其他危害整個生態或者行業的類似的攻擊行爲?
ABY :其他的攻擊行爲都是一段一段的,以太坊黑色情人節我們不把它稱爲漏洞,而是稱爲缺陷。是因爲缺陷不一定要補它,但是漏洞可以很快的把它修補好,有的漏洞修補好,就相對的解決了。
但是,有的稱之爲缺陷,是因爲它是天生的,是需要付出更多的努力,讓維護的人更加了解解決方案。
建立安全行業的共識準則
11:慢霧科技是許多頭部交易所信賴的合作伙伴,他們自身都沒有安全審計嗎?
ABY : 他們是非常注重安全的,也有自己的專業且龐大的安全團隊,跟我們建立了密切的情報溝通。我前面有提到,安全這件事情是從內而外的合作,才能全面的防護。
12:現在整個區塊鏈行業除了慢霧, 還 有其他 的 安全公司,你們有沒有達成整個區塊鏈安全方面的共識?有沒有標準?
ABY :有的,我們在披露的過程中,輸出給了安全生態同行,跟他們之間建立橋樑,這種橋樑就是情報之間的互通有無。大家的客戶都可能會受到影響,建立這種橋樑,可以無償的奉獻給大家,快速的修復問題,是有意識形態在裏面,我們也確實真真正正的落地的在執行這件事情。
13:共識的準則具體是什麼 樣 ?
ABY :現在有初步的安全共識的概念,裏面會有各種區塊鏈、技術手段,大家都在裏面互通有無,達成基本的區塊鏈安全行業的共識。
不能說標準,基礎的行業安全共識是有的。例如負責任的漏洞披露過程。做安全首先要客觀、中立,不能把安全輿論化,不能拿安全作爲炒作的工具。
安全團隊是給別人安全感,而不是危機感,這非常重要。我們希望能樹立起行業的標杆,讓整個行業往更好更健康的方向發展。
初心未變 慢霧使命
尋求初心 :慢霧科技注重安全 的 初心是什麼?
ABY :我們從業十幾年了,對安全都比較有興趣,覺得它可能是我們應該做的一件事情,有太多其他的因素和想法,包括我們團隊做區塊鏈也有一段時間了,團隊裏面大家交流的多一點,也達成共識,希望區塊鏈生態是安全的,就去做,沒有其他太多的東西,很純粹很簡單。
希望通過採訪能把我說的事件傳播給整個圈子,讓圈子的人更加註重生態安全的重要性。給大家一些建議,傳播給更多的人,瞭解到這個事件的重要性,以及我們團隊的一些處理態度、標準,安全行業達標,要有共識。我們希望更多志同道合的人蔘與進來,取之區塊鏈,迴歸區塊鏈。只有這樣去做,才能給這個生態帶來真正的安全感,這也是慢霧的使命。
end
繁體中文
简体中文
English
日本語
Español