教你3天识别150个漏洞 “白帽子” 成黑客克星
相对于币圈的大起大落,在资本和人才的双重作用下,区块链行业迎来快速发展。但是作为一个新兴行业,其安全漏洞频繁示警的状况引发了人们对区块链风险的担忧。
漏洞监管平台“应运而生”
《共享财经》记者日前了解到,首创“漏洞即挖矿”的去中心化平台DVP上线3天,共收到“白帽子”黑客提交漏洞达150个。这些漏洞涉及数百家与区块链行业相关的厂商,其中与交易所相关的漏洞数量占比超60%。截至7月31日,DVP去中心化漏洞平台上线一周的时间,“白帽子”所提交的漏洞已多达312个,涉及175个项目方。
DVP全称Decentralized Vulnerability Platform(去中心化漏洞平台),意在利用区块链技术,建立匿名化的安全众测社区场景,打造去中心化、漏洞即挖矿的平台概念。该平台致力于解决区块链企业安全危机,将连结区块链厂商、安全公司和白帽子等社区参与者,最大化减少漏洞暴露风险,共筑区块链生态安全。
业内人士告诉记者,对于隐私管理、信息篡改、网络诈骗等问题,区块链的出现给人们带来了很多期望。但区块链的安全问题依然存在诸多的挑战,目前区块链还处在初级阶段,存在着算法安全性、协议安全性、使用安全性、系统安全性等诸多的挑战。
尤为关键的是,目前区块链还面临的是51%的攻击问题,即节点通过掌握全网超过51%的算例就有能力成功的篡改和伪造区块链数据。
安全公司“趁火打劫”目前,币圈“白帽子”势力正在扩张。所谓“白帽子”,指的是正面的黑客,可以识别计算机系统或网络系统中的安全漏洞,并不去恶意利用,而是公布漏洞。在安全人才储备严重不足情况下,很多安全公司趁火打劫。在传统互联网行业,代码审计按万行收费,平均一行代码1元至10元,而在区块链行业,代码审计费最高上万元。
币圈白帽子团队就在这种行情下应运而生。目前区块链行业不断扩展,很多区块链项目缺乏安全意识和维护安全的高端人才,白帽子们就趁着这个机会对“不差钱”的区块链公司狠敲一笔。
有数据显示,目前全球有10000+的区块链项目,区块链安全服务公司却只有不到50家。
漏洞损失数额巨大
BCSEC数据显示,仅今年上半年以来,区块链产业损失金额高达10亿美元。以日前曝出的Bancor (BNT)的智能合约安全漏洞为例,其导致价值2350万美元资金被窃取。而此前日本Coincheck交易所价值5亿美元的加密货币被盗,韩国Coinrail交易所也丢失价值4000万美元的加密货币。记者了解到,漏洞具体集中在设计缺陷、访问控制缺陷、身份凭证窃取、跨站请求伪造、敏感信息泄露等方面。其中包含有一些通用性的设计缺陷,譬如一部分交易所存在可将任意用户密码被攻击者修改的漏洞,还有一些漏洞甚至可以造成整个网站用户的详细信息泄露,给用户资产带来极大的安全隐患。
区块链行业的有序发展离不开这些“白帽子”的帮助,但是从区块链行业自身来讲,如何在开发初期就重视安全问题并引进安全管理人才,才是治标又治本的关键。
