您正在阅读算力智库第 206 篇原创作品
作者:王杰
编辑:大侠
算力巡游记(六)
2008 年中本聪带来了比特币概念。如今从比特币中发展出来的区块链技术构建的商业网络已经初现曙光,随着区块链技术的不断深入行业和场景,势必会引发继互联网之后的产业革命。
在区块链技术快速的发展下,信息安全技术越来越得到重要,没有信息安全技术的基础, 区块链技术也会存在很大的风险和不可控,对于区块链生态,信息安全技术已经是一个不可缺少组成部分。
黑客攻击、监守自盗各种“盗币”事件层出不穷,接连发生,让区块链参与者在“出事” 和“还没出事”徘徊。不但影响了参与者的体验与数字资产安全,同时也阻碍了许多优质人才进入行业。为此,许多有志之士纷纷寻求安全良策,同时也诞生了一批优秀的区块链安全卫士,既有像 360、启明星辰一样的传统安全巨头,也有成都知创、慢雾科技、链安科技一样的专注于区块链行业的初创型公司。算力智库从中遴选出两家国内领先的区块链信息安全公司——慢雾科技和链安科技,从安全体系的角度切入,梳理一下区块链安全领域的发展, 以期呈现出国内区块链信息安全行业的特色和动态,供大家参考。
【算力智库专家点评】
我们从启明星辰相关技术专家了解到,“信息安全就是生命安全”,区块链信息安全与传统信息安全领域一样,均存在信息安全漏洞需要专业安全人员去运营和提供技术支持,只是安全的场景存在不同差异。我们与算力智库专家库链英科技相关安全技术专家进行沟通得知,区块链公司同样需要专业的信息安全服务,特别要从代码安全、资金安全等维度去考量。
从系统架构的角度看,针对区块链系统的安全攻击涵盖了区块链系统架构的全产业链, 其中业务层最易受到黑客或者其他参与方的安全攻击。
从场景的角度看,易受攻击点包括交易平台、智能合约、普通用户、旷工、共识机制等, 其中交易平台最易受到黑客或者其他参与方的安全攻击。
【核心观点】
任何区块链项目均围绕“不可能三角”来做技术改进的。在可扩展性、去中心化、安全性三者不可兼得的情况下,要依据自身项目或产品的发展属性,来调整安全性的重要程度。
慢雾科技布局区块链全生态,旗下团队有十多年的网络安全攻防实战经验,为区块链行业的交易所、钱包、公链、DApp 等项目提供优质的安全服务。
链安科技聚焦于区块链项目的安全审计,VaaS 平台支持多平台智能合约验证,具有验证效率高、自动化程度高,使用体验好等特点。
任何区块链项目均需要安全服务,都是在项目进程和信息安全的重视程度存在差别而已,评价一个项目是否安全性达标,与项目的发展战略有关,更与项目方是否重视用户体验、用户资产信息安全有关。
区块链信息安全:刻不容缓
区块链技术快速发展的同时,安全事件也呈现高发态势,尤其是涉及金融资产交易时, 往往会出现“一行代码,打倒一种资产”。区块链行业面临的风险不仅来自外部黑客攻击, 也有可能是从业人员素质不高导致,从攻击手段看,包括入侵攻击、金融诈骗、整数溢出攻击等等。据 BCSEC 统计,从 2011 年到 2018 年 11 月,全球范围内因区块链安全事件造成的损失近 35.73 亿美元,而 2018 年目前已经发生的区块链安全事件超过了 100 件,区块链信息安全已经刻不容缓。
从易受攻击点的角度,区块链安全攻击事件大致可分为四类安全事件:共识机制、智能合约、交易平台和用户自身。2 从经济损失来看,2011-2018 年交易平台、智能合约因为安全事件带来的损失分别为 15.08 亿、14.30 亿,合计占比 82%。交易平台的安全攻击包括 DDoS 攻击、撞库攻击等,合约层的安全攻击主要来自合约中的代码逻辑错误、数据溢出、拒绝服务等漏洞。
区块链系统解决架构:加强信安能力,提高人员素质
一般而言,区块链系统包括数据层、网络层、共识层、激励层、合约层和业务服务层。目前,区块链技术仍然在初期发展阶段,面临的风险不仅来自外部实体的攻击,也有可能来自区块链行业参与者的攻击。2011-2018年在区块链系统中,业务服务层、合约层受到的攻击最多,业务服务层、合约层因为安全事件带来的损失分别为 20.86 亿、14.30 亿,合计占比 98%。
面对区块链技术的安全特点和缺陷,我们需要从区块链系统全产业链的角度思考,从系统的生命周期加入安全设计的考量。从物理、数据、应用系统、加密、风险控制等层面构建区块链安全体系。同时,项目方也应该重视信息安全,提高参与方的素质。
在区块链底层技术方面,对数据层主要从数据存储、加密算法维度去改进,对网络层从P2P 网络安全、网络验证机制来提高底层安全性。
在区块链系统业务层,通过安全审计提高代码的稳定性和有效性。
面对区块链信息安全的大市场,国内多家公司各有特色,依据创始团队的理念和背景, 选择了不同的安全服务路径。算力智库从中遴选出两家国内领先的区块链信息安全公司——慢雾科技和链安科技,从安全体系的角度切入进行分析。
慢雾科技:专注威胁情报系统为核心的安全审计与防御部署
慢雾科技,专注区块链生态安全,由一支拥有十多年一线网络安全攻防实战的团队创建, 慢雾科技已经为全球多家交易所、钱包、智能合约等做了安全审计与防御部署,并通过独有的地下黑客风向标追踪引擎,持续为合作公司及国家相关部门提供威胁情报。
图片来源:慢雾科技
慢雾科技针对区块链行业的安全服务包括:
安全审计:安全审计智能合约、交易所、钱包、矿池等。
安全顾问:指导先导性安全体系建设、防御先人一步。为客户提供持续安全跟踪和安全建议。
防御部署:部署因地制宜的防御方案、实施热钱包安全加固等。
威胁情报:利用自研的区块链威胁情报系统,通过整合链上链下的威胁情报,并通过社区伙伴的力量,构建一个链上链下安全治理一体化的联合防御体系。
图片来源:慢雾科技
链安科技:专注智能合约形式化验证领域
智能合约作为执行合约条款的计算机交易协议,对所有用户都开放,导致了内部存在的安全漏洞也随之公开暴露在黑客面前。从目前研究来看,80%的智能合约都存在安全漏洞。因此,在智能合约正式开始运行之前进行安全审计就显得尤为重要。
图片来源:链安科技
链安科技针对区块链安全问题打造的全生态安全服务包括:
VaaS 平台定制化开发:面向特定公链平台定制化开发 VaaS 智能合约形式化验证工具;
智能合约安全审计:基于VaaS“一键式”形式化验证平台进行智能合约安全审计,并出具各大交易所认可的安全审计报告;
安全的 Dapp 开发:根据用户需求开发基于区块链的应用程序,并且对其进行形式化验证。
相比于半自动化的智能合约形式化验证,VaaS平台的“一键式”形式化验证工具对智能合约安全验证的过程,不仅能自动、快速、精确检查出智能合约安全问题,还能精确定位到有风险的代码位置并指出风险原因。
图片来源:链安科技
VaaS“一键式”智能合约安全验证平台是全球首个同时支持 ETH、EOS、Fabric 等多个区块链平台的智能合约安全检测系统,具有验证效率高、自动化程度高、人工参与度低、支持多种合约开发语言等特点。
算力综评
作为早期的信息技术创新,区块链的生态不在不断延展和深入,由此将会催生更加繁荣的信息安全市场,相信这个大市场的参与者会越来越多,不但区块链领域的,国内的慢雾科技、链安科技,国外的 Certik、Securify.ch 等,同时也包括传统信息安全巨头 360、美国安全巨头 Symantec 等,积极参与进来。
随着区块链技术所产生的商业价值越来越高,其所面临的安全问题将也将不断新增,但信息安全不但需要像慢雾科技、链安科技一样的专业安全服务提供商,更需要区块链行业项目重视信息安全,遵循“安全就是生命”的准则。
