据统计,上半年区块链行业因安全问题的损失已经达 75 亿美元。层出不穷的安全风险事件,给区块链行业敲响了警钟。
黑客究竟是这个行业的超级鲶鱼还是超级炸弹?代码即法律的区块链世界的安全钥匙应该握在谁手里?集中化的交易、钱包、挖矿、矿池如何守护分布式和匿名的数字资产?
与此同时,区块链行业仍是鱼龙混杂,黑灰产也纷至而来。在舆论信息与安全交集的时代,区块链安全问题早已不是简单的攻与防的课题。
区块链产业的浑水模式与乌云模式又是怎样运作?黑客与媒体如何利用信息差直接影响价格做多或做空市场?腾讯、知道创宇等企业为何要成立中国区块链安全联盟?
6 月 21 日上午,由中国技术市场协会主办,北京知道创宇信息技术有限公司承办的“中国区块链安全高峰论坛”在北京国家会议中心举行。会上“中国区块链安全联盟”的倡议活动正式启动,中国技术市场协会、腾讯安全、知道创宇、极客邦科技等企业组织作为联盟发起单位。
我们总结了腾讯副总裁马斌、传奇黑客、中国顶级网络安全公司知道创宇 CEO 赵伟,中国区块链应用研究中心理事长、星合资本董事长郭宇航,比特大陆副总裁葛越晟,一本区块链、一本财经的创始人王奕等人的实践经验和精彩观点,多个角度报道解读今天的区块链安全问题。
巨头布局区块链安全
腾讯公司副总总裁马斌表示,数字化已经成为未来每一个企业,包括数字中国的建设的必经之路,而安全是整个行业的基础设施最底层的保障。腾讯愿意积极加入到整个区块链产业建设当中去,并成为即将成立的中国区块链安全联盟的其中一员,共同为中国的区块链安全建设贡献自己的力量。
今天在我们在享受科技进步的同时,黑客也同样在利用这些技术,他们也会利用大数据、人工智能。在安全方面,腾讯有一支将近 3000 人的团队,每年高达几十亿的投入。腾讯将继续秉承开放、合作、共享的态度,特别是在安全领域的开放能力,做好连接器和做好底层安全防护的工作。
传奇黑客、中国顶级网络安全公司知道创宇 CEO 赵伟,则提出了区块链安全层出不穷的几个原因。第一,虽然数字资产用区块链技术分布式化了,但是交易、钱包、挖矿、矿池都是集中化的,这些在黑客来看来都是非常好攻击的目标。更重要的是,数字货币失窃以后是非常难以追踪的,区块链的匿名化和不可逆,这个本质问题导致了在区块链行业非常多的黑客事件。第二,公链的价值在于共识,但是共识是建立在分布式的点对点技术上,一旦这种技术被操控和没有安全防护,黑客操控后就可以任意偷取利益,导致资产的价值变成零。所以安全即区块链数字资产有价值的本质。
赵伟从安全的角度观察到了区块链技术和行业几个重要的风险。第一,重大黑客安全风险会导致区块链行业崩溃。比如知道创宇曾发现过前三大数字货币的重要挖矿节点和钱包任意转帐漏洞,这个漏洞会导致千亿美金的公链崩溃,更会导致大家对区块链技术资产信心崩溃。
第二是重大项目的风险,比如使用了超级节点概念的 EOS,它本质是一个分布式的数据库。EOS 的风险不是代码级的,因为其构架是集中化的,不代表比特币和区块链的精神,所以是伪区块链。EOS 募集了 40 亿美金,一旦项目崩溃,将导致整个行业发展进入熊市多年。
第三是空气币热。由于行业鱼龙混杂,空气币项目绝大数的资金用于销售虚假包装,却没有任何开发团队和低于 20% 的技术开发支出。由于买空气币的大多数是盲目的网民,一旦空气币崩溃会导致很严重的群体性事件,并且让政府和国家对区块链技术与行业失去信心。
超级炸弹!超级鲶鱼?
中国区块链应用研究中心理事长,星合资本董事长郭宇航则认为,黑客并不是贬义词,黑客精神和区块链是一脉相承的。1984 年曾有一个著名记者对黑客精神进行了六条总结。其中包括了使用计算机应该不受限制,信息的流动是自由的,黑客精神应该是不相信权威去中心化的。这些跟今天的区块链精神都不谋而合。
开源必然会带来很多安全挑战,但是开源恰恰能够解决未来更多的安全问题。在黑客精神里也包含了解决问题、高智商、探索等极客精神,这也是区块链所具备的。安全问题永远是一个不可能彻底解决的问题,但是技术极客们的目标是让想攻克的人付不起昂贵的代价。
在区块链世界里,代码即法律。曾做过律师的郭宇航希望,未来在区块链的世界里,所有的法律条文用编程化的语言执行,所有智能合约让商业交易变得自动化和没有争议的执行,而不需要大量的律师解决。我们这个世界看起来是机器的世界,但是决定这个世界美好与否的是机器背后创造语言的人。程序员的审美决定了我们使用的软件好看不好看,程序员的能力决定了使用的软件安全不安全,所以未来安全解决的钥匙在每个参与者的手上。
比特大陆的副总裁葛越晟则强调,自 2009 年区块链加密货币诞生以来,给国际国内金融界带来了新鲜的血液和方向。但行业的高速增长也带来了全新的信息安全威胁和挑战。尤其区块链行业天然的金融去中心化、匿名等属性,使在防范黑客入侵需要付出更多的努力和代价。
因此,诸如比特大陆、交易所、钱包,等拥有大量数字货币资产的公司,也成为了黑客的目标。公司需要安全团队的安全服务,共同搭建公司整体的信息安全体系和技术防护能力,提升公司整体抗信息安全的风险能力。在这方面,知道创宇对比特大陆和火币交易所等公司整体的信息安全防护体系的建立和稳定运行,提供了有力支撑。
安全背后的黑灰白产业链
中国区块链媒体一本区块链与一本财经,曾深度调查过大量区块链行业的黑灰产事件,与业内诸多顶级黑客有着大量交流,对整个区块链产业链最底层有着最深刻直接的观察理解。一本区块链、一本财经的创始人王奕则从媒体舆论的角度谈了她对区块链的安全问题的理解。
简单梳理一下层出不穷的区块链安全事件,大多数都会导致数字资产的价格大跌和市场恐慌性抛售。实际上所谓的炒币就是炒用户的心理,一旦出现了安全问题会引发用户恐慌性的抛售。可以说,安全问题是数字货币领域影响价格波动最最核心的因素。
而今年 3 月发生的币安交易所事件,则说明安全问题或引起信息的关键要素,其实已经不是我们原来想象的简单的攻防战争了。首先由安全问题爆发,接着引起一系列的连锁反应,影响到币价,黑客然后再从别的平台上去抛售币,并没有直接盗走币。
这表明未来的黑客之战,不再是简单的攻防之战。黑客并没有从攻击的平台上直接盗走币,而是用的信息差的手段。信息差正在成为他们的一个新的方式和新的手段。因此,我们可以得出一个非常关键的结论,这是一个舆论信息与安全交集的时代,安全其实也不再是一个单独的课题。
今天,在区块链安全问题的背后,正在形成两条产业链。
第一条是区块链行业的浑水模式,即黑客、媒体合作,联合操纵币价做多或做空。黑客会批量扫描区块链漏洞,发现漏洞后媒体策划舆论,然后在整个行业和用户圈发出报道,引发币价下跌。但是在币价下跌之前他们已经开始做多或做空。整个操作过程中并没有对平台做任何的攻击和黑客入侵,但它已经影响了你的币价,导致下跌,通过市场拿到很高的收益。
另外一条产业链则是区块链行业的乌云模式。由于区块链比较早期,期间必然会有很多的漏洞。这个过程中技术人员们可以主动和区块链项目谈合作,然后再把这些钱分给白帽子(正面黑客),而中间这个结算的模式就是通过币,形成了一个规模化的产业。目前,区块链安全的需求点主要是集中在这几个领域,第一是密钥安全、第二是矿力安全、第三是智能合约安全、第四是网络安全、第五主机安全、第六应用安全、第七是物理安全。白帽子们会主动去扫描漏洞并发现问题,比如说在算力上他们会扫描网络接口、矿机安全、网络安全;在钱包上他们会专注于做私钥管理安全、智能合约安全;在交易所上关注是外部攻击规范、内部人员安全管理、权限控制;如果是金融属性的话他们会关注账户数据安全、权限管理和智能合约安全;如果是数据方面则关注是隐私信息安全。
最后总结我们会发现,其实现在大家都在运用安全问题,去操纵舆论或达到自己目的。所以安全其实必须上升到区块链项目的首要高度,或者说最最关键的要素。
感谢徐川对本文的审校。
评论