“区块链安全正面临着前所未有的挑战。”白帽汇安全研究院负责人邓焕8月22日,在2018网络安全生态峰会——区块链安全分论坛上表示,现阶段对于区块链安全的挑战一方面是来自于技术本身,而另外更重要的一方面则是部分区块链厂商自身的安全意识薄弱。他指出,目前中小型交易所对安全的认知仍有不足,大多还未建立完善的安全防御体系。
2018网络安全生态峰会——区块链安全分论坛由阿里发起,邀请白帽汇安全研究院作为区块链安全分会场出品方,论坛上北京华顺信安科技有限公司CEO赵武、PeckShield联合创始人兼工程副总裁吴磊、安比实验室创始人郭宇、知道创宇404实验室安全研究员朱铜庆、链上科技CEO钟庚发等多个业内权威专家,分别就以太坊智能合约安全、数字交易所安全等方面进行深入分析,共同探讨如何建立安全可靠的区块链技术安全生态体系等问题。
当前,全球信息领域新一轮科技创新和产业变革持续深入,渗透范围逐步广泛。在此背景下,区块链技术发展势头迅猛,其生态系统已延伸至物联网、云计算、大数据、人工智能等多个领域。但值得注意的是,区块链作为新兴技术,因技术的演变和复杂化,安全性威胁已成为其迄今为止所面临的最重要问题之一。同时,目前涉区块链技术应用多为金融类项目与产品,其安全所带来的风险更是不可估量。
“一行代码,打倒一种代币”、“一个漏洞,摧毁一类智能合约”,区块链行业安全风险显著。据邓焕介绍,白帽汇旗下的BCSEC联合PeckShield共同发起基于区块链技术的去中心化漏洞平台DVP,虽然刚刚运营满月,但白帽子已提交漏洞数量超过1200个,涉及509个厂商。其中,严重漏洞1个,高危漏洞399个,占所发现的总漏洞数量的32.4%。中危漏洞与低危漏洞为252个和579个,分别占比20.5%和47%。
邓焕指出,目前漏洞不仅存在于部分私链,甚至大型公链也存在致命的漏洞问题。具体来看,漏洞多涉及导致拒绝服务、直接获取系统权限、严重级别信息泄露、越权访问、直接盗取关键业务等用户身份信息、高风险逻辑设计缺陷等方面。
值得注意的是,邓焕透露,此前白帽子在DVP平台所提交的某系统多个通用型漏洞,涉及范围超过600家交易所。
邓焕说,该系统是贝克云2016年开发的开源程序,由于该程序早已被废弃,开发商已不跟进维护。因此,使用系统的数百交易所面临着严重的安全威胁,该漏洞可导致整个交易所的信息数据全部泄露,攻击者可绕过交易所原本的限制,违规修改信息,或在未授权的情况下删除交易所的数据,危害服务器安全,对交易所和用户资金造成严重损失。
而大面积交易所涉事其中的根本原因,是对安全风险认知的缺位。邓焕表示,针对此次漏洞影响的交易所,DVP平台此前已第一时间联系告知其风险,但截至目前,仍有部分交易所仍未察觉上述漏洞的存在。“目前中小型交易所对安全的认知仍有不足,大多还未建立完善的安全防御体系,很多厂商都是直接购买的通用交易所程序做了简单修改就进行了运营,这种模式虽然构建速度快,但一旦这类程序本身存在问题将影响大面积的厂商。”
对此,链上科技CEO钟庚发也表示,除了交易所平台系统外,很多交易所忽略冷钱包的重要性,以至于事故发生时措手不及。
钟庚发指出,目前很多项目方为了交易所快速接入,提供针对交易所的充值上账,提现出账方法,但这些方法多数情况是依赖节点和地址私钥存放在一起,只有这样钱包才能监听到节点的充值,提现。但是,节点的开发性会暴露很多未知的漏洞,攻击者很容易拿到交易所钱包的私钥,ETH也曾发生过类似事件。
的确,BCSEC数据显示,仅2018年上半年因交易所被攻击所造成的损失超过11亿美元。例如今年6月,bkex.com(币客)交易所刚刚上线,即被爆出重大安全漏洞,疑似超过十万用户的账号密码泄露。以色列加密货币交易平台Bancor日前也宣布,因遭到黑客攻击,其平台上价值1250万美元的以太币被窃取,同时价值大约1000万美元的Bancor加密货币也被窃取。
最后,邓焕表示,为了促进交易所提高对安全的重视程度,未来DVP平台将根据漏洞数量、响应时间以及修复速度等多个指标设立红黑榜,以帮助投资者鉴别交易所的安全风险。