关于区块链,你是否知道?
• 针对区块链的攻击,已经涉及应用层、合约层、底层、基础设施层各方面
• 区块链攻击一旦成功,损失通常多达百万、千万、上亿美金
• 比特币的价格断崖,背后有攻击者的加持
• 成功的区块链攻击,常常是一些最简单的手段
• 逻辑漏洞的利用频率决定了区块链安全防护更需要成熟的攻击者视角
• 攻击者为了避免硬分叉处理方式,分批转移财产的耐心可以延长至2年
• 区块链平台连续1年内被多次攻击,直接导致宣布破产
• 区块链黑产规模初具,打牌者和偷牌者可能来自同一双手
• ……
关于区块链技术,你是否知道?
• 应用层是攻击者的首选目标,交易所往往是靶心
• 智能合约层是安全防护的重中之重,“不可修改”成双刃剑
• 底层结构和基础设施层安全隐患突出
• 社会工程、内部攻击、钓鱼……一个都不少
区块链攻击,“海盗”攻击者
闻名世界的索马里海盗,执行者一般几个人、一艘船、并不强大的火力,抢船成功后动辄百万、千万美金的赎金要求,拼的不是火力,不是船的大小,更多是对海域的熟悉、地理位置的利用和敢想敢做的行为。
总结历史发生的所有区块链安全案例来看,这个新兴乍起的行业所遭受的攻击过程和恶劣结果,会让人时不时恍惚觉得,这种攻击力量对比、手法策略和获利的丰厚程度非常相似,现阶段针对区块链的攻击者可被形象归纳为“海盗”攻击者。
结果利好的是:当美国海军、中国海军等多方力量定期驻扎、轮岗对过往商船护航开始,索马里海盗因为正规军的介入而逐渐销声匿迹。
当前的区块链企业似乎也急需专业正规军的介入,通过对攻击者画像、攻击行为特点、攻击逻辑链条、损失追回的有效方法等维度进行深入研究,提出切实可行的有效手段,对当前“无墙”的攻击进行遏制。
长亭科技、ConsenSys、比特大陆
联合发声
随着整个区块链行业的兴起,长亭科技服务了多个相关企业,囊括多种类型。在这个过程中,长亭安全服务团队意识到区块链企业从业者拥有很高的安全意识,但针对区块链安全的了解却是匮乏的;国内外研究区块链安全技术的机构并非不存在,但信息渠道的不畅通导致了知识获取的延迟,遂决定通过多年在安全行业的积累,联合优质且真正能解决问题的资源,将各自的研究成果集合,在当前阶段,给区块链从业者一个相对客观的可参考、可查找资源。
由此产生了长亭科技、ConsenSys和比特大陆的此次联手,发布全国首部《区块链安全生存指南》。
长亭科技因擅长攻防技术的背景,是国内最早开始研究并服务区块链企业的网络安全公司之一,积攒了丰富的素材,并利用多年攻防研究和实战经验,梳理了相对成熟的方法论;ConsenSys由以太坊联合创始人Joseph Lubin成立于2015年,总部位于纽约,全球团队超过600人,旗下安全团队ConsenSys Diligence为以太坊生态提供安全服务、工具和最佳实践指南;比特大陆创始人吴忌寒,是第一个将比特币创始人中本聪的论文翻译成中文的人,2013年联合詹克团创立比特大陆,这家成立不到五年的中国公司,被称为比特币产业链上的隐形帝国。
三家企业从更丰富的视角对报告内容进行了补充,尽量为区块链从业者提供更多维度的参考信息。
区块链安全,本身也是“链”
区块链,声名鹊起于比特币。币也成为目前最广为人知的区块链应用案例。然而,从应用角度看,区块链是融合了密码学、数学、计算机科学、网络科学、社会学等多门学科的产物。从创新角度看,区块链巧妙融合升级了多种现有技术,如非对称加密、点对点网络技术、哈希算法和共识算法,它是一次工程学意义上而非科学理论上的创新。区块链的兴起始于币,却远远不限于币,其应用的本质都可以被归类为将资产数字化后,利用区块链可信任与可溯源性进行管理。
从2008年概念提出到2013年业界认识到区块链技术的重要潜在价值,并开始尝试将其应用到数字货币以外的场景(如众募、资产交易、权属管理、身份认证等领域),短短几年间区块链迅速成为最热的技术。
目前市场上多达几百家的区块链相关公司,根据业务类型和模式大致上可将其划分为数字货币和技术应用两大类。顾名思义,数字货币是与数字经济时代相匹配的一种体现、传递和交换价值的中间件。而技术应用是在很多现实场景中利用区块链技术降低成本,提升效率。两者因业务形态、模式的区别,导致其安全诉求也不尽相同。
应用层通常成为攻击者首选的目标,也就是最常见到的各种交易平台。安全问题包括交易所服务器未授权访问、交易所DDoS攻击、员工主机安全问题、恶意程序感染等几个方面。智能合约层则是整个安全防范的重点,智能合约一旦发布极难修改,合约的安全与否往往决定了一个项目的生死。世界知名的The DAO事件就是被重入攻击导致数千万美金的损失;涉及智能合约开发的代表性项目有区块链钱包、众筹基金、区块链代币发行、区块链游戏等。未授权访问攻击,Solidity 编程隐患等都是合约层的常见问题。底层结构层和基础设施层安全需要注意区块链实现层安全隐患、针对社区的DoS 攻击、EVM 安全隐患等等。此外,安全意识与管理,含如何识别防范社会工程学攻击、内部攻击、第三方风险控制失败、钓鱼攻击也是一个都不能少。显而易见,区块链安全本身就是一个环环相扣的“链条”,安全防护需要系统化的生命周期体系及上帝视角思考。
开发具有生命周期的安防体系
数据显示,区块链专利申请的主要国家包括中国、美国、韩国、日本,中国的增长最为迅速,世界上超过一半的区块链专利都在中国。目前中国区块链创业公司的数量仅次于美国,全球市值前二十的数字资产中,不少都有中国血统。此外,通过披露各行年报可知,A股26家上市银行中共有12家在年内已上线运行区块链应用,其中包括三家国有大行、六家全国性股份制银行,以及三家城商行。
图:区块链的Hyper Cycle周期图
区块链技术的应用在逐渐深入,为了更全面和系统化地应对区块链所面临的安全问题,不仅要考虑技术架构中的每个层面面临的安全风险,也要将安全方案融入区块链开发的每一个环节中去,最终实现区块链安全开发生命周期的安全管理方案。
区块链自诞生以来,各种攻击事件层出不穷,安全形势严峻,需要行之有效的方法来防御。
—— 吴忌寒,比特大陆创始人
”很荣幸与长亭科技和比特大陆共同撰写发布区块链安全深度报告,希望通过报告为提高全行业的安全意识和技术能力做出一些贡献。安全一直是区块链的核心课题之一,ConsenSys期待与行业伙伴们共建安全生态,推动区块链技术在中国和世界的发展。
——唐弈,ConsenSys
中国区负责人
”我们在拥抱区块链技术带来的革命时,也面临着严峻的安全考验——无论是系统的设计还是实现中出现的安全漏洞,都可能给整个应用带来毁灭性的打击。在此次发布的指南中,我们围绕区块链安全,对不同应用的安全需求、过去发生的攻击事件和应对策略进行梳理,希望能够为行业带来启发。
——杨坤,长亭科技联合创始人
首席安全研究员
”推荐阅读