您正在閱讀算力智庫第206篇原創作品
作者:王傑
編輯:大俠
算力巡遊記(六)
2008
年中本聰帶來了比特幣概念。如今從比特幣中發展出來的區塊鏈技術構建的商業網絡已經初現曙光,隨着區塊鏈技術的不斷深入行業和場景,勢必會引發繼互聯網之後的產業革命。
在區塊鏈技術快速的發展下,信息安全技術越來越得到重要,沒有信息安全技術的基礎,
區塊鏈技術也會存在很大的風險和不可控,對於區塊鏈生態,信息安全技術已經是一個不可缺少組成部分。
黑客攻擊、監守自盜各種“盜幣”事件層出不窮,接連發生,讓區塊鏈參與者在“出事”
和“還沒出事”徘徊。不但影響了參與者的體驗與數字資產安全,同時也阻礙了許多優質人才進入行業。爲此,許多有志之士紛紛尋求安全良策,同時也誕生了一批優秀的區塊鏈安全衛士,既有像
360、啓明星辰一樣的傳統安全巨頭,也有成都知創、慢霧科技、鏈安科技一樣的專注於區塊鏈行業的初創型公司。算力智庫從中遴選出兩家國內領先的區塊鏈信息安全公司——慢霧科技和鏈安科技,從安全體系的角度切入,梳理一下區塊鏈安全領域的發展,
以期呈現出國內區塊鏈信息安全行業的特色和動態,供大家參考。
【算力智庫專家點評】
*我們從啓明星辰相關技術專家瞭解到,“信息安全就是生命安全”,區塊鏈信息安全與傳統信息安全領域一樣,均存在信息安全漏洞需要專業安全人員去運營和提供技術支持,只是安全的場景存在不同差異。我們與算力智庫專家庫鏈英科技相關安全技術專家進行溝通得知,區塊鏈公司同樣需要專業的信息安全服務,特別要從代碼安全、資金安全等維度去考量。
*從系統架構的角度看,針對區塊鏈系統的安全攻擊涵蓋了區塊鏈系統架構的全產業鏈, 其中業務層最易受到黑客或者其他參與方的安全攻擊。
*從場景的角度看,易受攻擊點包括交易平臺、智能合約、普通用戶、曠工、共識機制等, 其中交易平臺最易受到黑客或者其他參與方的安全攻擊。
【核心觀點】
*任何區塊鏈項目均圍繞“不可能三角”來做技術改進的。在可擴展性、去中心化、安全性三者不可兼得的情況下,要依據自身項目或產品的發展屬性,來調整安全性的重要程度。
*慢霧科技佈局區塊鏈全生態,旗下團隊有十多年的網絡安全攻防實戰經驗,爲區塊鏈行業的交易所、錢包、公鏈、DApp 等項目提供優質的安全服務。
*鏈安科技聚焦於區塊鏈項目的安全審計,VaaS 平臺支持多平臺智能合約驗證,具有驗證效率高、自動化程度高,使用體驗好等特點。
*任何區塊鏈項目均需要安全服務,都是在項目進程和信息安全的重視程度存在差別而已,評價一個項目是否安全性達標,與項目的發展戰略有關,更與項目方是否重視用戶體驗、用戶資產信息安全有關。
區塊鏈信息安全:刻不容緩
區塊鏈技術快速發展的同時,安全事件也呈現高發態勢,尤其是涉及金融資產交易時,
往往會出現“一行代碼,打倒一種資產”。區塊鏈行業面臨的風險不僅來自外部黑客攻擊,
也有可能是從業人員素質不高導致,從攻擊手段看,包括入侵攻擊、金融詐騙、整數溢出攻擊等等。據 BCSEC 統計,從 2011 年到 2018 年 11
月,全球範圍內因區塊鏈安全事件造成的損失近 35.73 億美元,而 2018 年目前已經發生的區塊鏈安全事件超過了 100 件,區塊鏈信息安全已經刻不容緩。
從易受攻擊點的角度,區塊鏈安全攻擊事件大致可分爲四類安全事件:共識機制、智能合約、交易平臺和用戶自身。2 從經濟損失來看,2011-2018
年交易平臺、智能合約因爲安全事件帶來的損失分別爲 15.08 億、14.30 億,合計佔比 82%。交易平臺的安全攻擊包括 DDoS
攻擊、撞庫攻擊等,合約層的安全攻擊主要來自合約中的代碼邏輯錯誤、數據溢出、拒絕服務等漏洞。
區塊鏈系統解決架構:加強信安能力,提高人員素質
一般而言,區塊鏈系統包括數據層、網絡層、共識層、激勵層、合約層和業務服務層。目前,區塊鏈技術仍然在初期發展階段,面臨的風險不僅來自外部實體的攻擊,也有可能來自區塊鏈行業參與者的攻擊。2011-2018 年在區塊鏈系統中,業務服務層、合約層受到的攻擊最多,業務服務層、合約層因爲安全事件帶來的損失分別爲
20.86 億、14.30 億,合計佔比 98%。
面對區塊鏈技術的安全特點和缺陷,我們需要從區塊鏈系統全產業鏈的角度思考,從系統的生命週期加入安全設計的考量。從物理、數據、應用系統、加密、風險控制等層面構建區塊鏈安全體系。同時,項目方也應該重視信息安全,提高參與方的素質。
*在區塊鏈底層技術方面,對數據層主要從數據存儲、加密算法維度去改進,對網絡層從 P2P 網絡安全、網絡驗證機制來提高底層安全性。
*在區塊鏈系統業務層,通過安全審計提高代碼的穩定性和有效性。
面對區塊鏈信息安全的大市場,國內多家公司各有特色,依據創始團隊的理念和背景,
選擇了不同的安全服務路徑。算力智庫從中遴選出兩家國內領先的區塊鏈信息安全公司——慢霧科技和鏈安科技,從安全體系的角度切入進行分析。
慢霧科技:專注威脅情報系統爲核心的安全審計與防禦部署
慢霧科技,專注區塊鏈生態安全,由一支擁有十多年一線網絡安全攻防實戰的團隊創建,
慢霧科技已經爲全球多家交易所、錢包、智能合約等做了安全審計與防禦部署,並通過獨有的地下黑客風向標追蹤引擎,持續爲合作公司及國家相關部門提供威脅情報。
圖片來源:慢霧科技
慢霧科技針對區塊鏈行業的安全服務包括:
*安全審計:安全審計智能合約、交易所、錢包、礦池等。
*安全顧問:指導先導性安全體系建設、防禦先人一步。爲客戶提供持續安全跟蹤和安全建議。
*防禦部署:部署因地制宜的防禦方案、實施熱錢包安全加固等。
*威脅情報:利用自研的區塊鏈威脅情報系統,通過整合鏈上鍊下的威脅情報,並通過社區夥伴的力量,構建一個鏈上鍊下安全治理一體化的聯合防禦體系。
圖片來源:慢霧科技
鏈安科技:專注智能合約形式化驗證領域
智能合約作爲執行合約條款的計算機交易協議,對所有用戶都開放,導致了內部存在的安全漏洞也隨之公開暴露在黑客面前。從目前研究來看,80% 的智能合約都存在安全漏洞。因此,在智能合約正式開始運行之前進行安全審計就顯得尤爲重要。
圖片來源:鏈安科技
鏈安科技針對區塊鏈安全問題打造的全生態安全服務包括:
*VaaS 平臺定製化開發:面向特定公鏈平臺定製化開發 VaaS 智能合約形式化驗證工具;
*智能合約安全審計:基於 VaaS“一鍵式”形式化驗證平臺進行智能合約安全審計,並出具各大交易所認可的安全審計報告;
*安全的 Dapp 開發:根據用戶需求開發基於區塊鏈的應用程序,並且對其進行形式化驗證。
相比於半自動化的智能合約形式化驗證,VaaS 平臺的“一鍵式”形式化驗證工具對智能合約安全驗證的過程,不僅能自動、快速、精確檢查出智能合約安全問題,還能精確定位到有風險的代碼位置並指出風險原因。
圖片來源:鏈安科技
VaaS“一鍵式”智能合約安全驗證平臺是全球首個同時支持 ETH、EOS、Fabric
等多個區塊鏈平臺的智能合約安全檢測系統,具有驗證效率高、自動化程度高、人工參與度低、支持多種合約開發語言等特點。
算力綜評
*作爲早期的信息技術創新,區塊鏈的生態不在不斷延展和深入,由此將會催生更加繁榮的信息安全市場,相信這個大市場的參與者會越來越多,不但區塊鏈領域的,國內的慢霧科技、鏈安科技,國外的 Certik、Securify.ch 等,同時也包括傳統信息安全巨頭 360、美國安全巨頭 Symantec 等,積極參與進來。
*隨着區塊鏈技術所產生的商業價值越來越高,其所面臨的安全問題將也將不斷新增,但信息安全不但需要像慢霧科技、鏈安科技一樣的專業安全服務提供商,更需要區塊鏈行業項目重視信息安全,遵循“安全就是生命”的準則。
文章所載觀點僅代表作者本人
且不構成投資建議
敬請注意投資風險
往期精彩推薦
算力指數
|
上海臨港
|
分片技術
互聯網趨勢
|
區塊鏈遊戲
|
數字經濟
供應鏈金融
|
綠色經濟
|
底層平臺
【算力智庫】現已入駐
今日頭條 | 一點資訊 | 鳳凰號 | 企鵝號
搜狐新聞 | 網易新聞 | 喜馬拉雅 FM
歡迎搜索“算力智庫”關注、轉發
**
**
原創不易
如果您覺得此文對您有幫助
請按下方「點贊 ❤」鼓勵鼓勵小蒜粒 ~~
繁體中文
简体中文
English
日本語
Español