区块链真的自带“安全”的高帽子吗？

当前的区块链生态正处于发展初期，万事俱备之际，安全攻防对抗十分激烈。 并且随着区块链生态的丰富和完善，未来这种激烈的对抗还会不断加剧。

一行代码毁掉一个项目的情况经常发生。 据炭黑调查数据显示，2018年上半年，价值约11亿美元的数字加密货币被盗，全球范围内因区块链安全事件造成的损失金额仍在上升。 .

区块链生态自带金融属性，让攻击者更容易套现，更多的黑客正在加速。 此外，区块链生态被盗后，由于生态的匿名性，也造成溯源困难。 这两个原因直接导致区块链安全将成为一场没有硝烟的战争。

本期哔哔资讯邀请慢雾科技安全研究员Keywolf到直播间，以“区块链安全技术大讨论”为主题进行专访。 以下为正文。

从传统互联网安全到区块链安全

区块链生态安全危机四伏，但业内仍有白帽团队利用其强大的计算机技术维护区块链的公平正义，慢雾科技就是其中之一。

在区块链之前，Keywolf 一直致力于互联网公司的安全工作。 直到三年前，一次偶然的机会了解到区块链，他开始钻研区块链技术。 在星巴克和朋友聊天时，大家都觉得区块链市场前景非常光明，于是决定一起创业。

慢雾科技总部

慢雾科技专注于区块链生态安全。 其总部位于美丽的厦门海岛。 由拥有十余年一线网络安全攻防实践经验的团队创立。

虽然离开了传统互联网，但他们明白区块链技术并不新鲜，区块链的存在形式和底层结构与传统互联网的基础设施息息相关。 因此，区块链安全也包含了传统互联网的安全问题。

区块链安全与传统互联网安全的区别在于，区块链有一些新的东西，比如智能合约、语言等，也可能存在漏洞。 作为区块链从业者，应该在了解传统互联网的基础上，加强对区块链技术的了解，包括语言和共识算法。

慢雾技能树

慢雾团队非常看重《三体》的科幻感，《慢雾》的名字也由此而来。 他们希望将慢雾打造成区块链黑暗森林中的安全场，从而给整个生态带来更多的安全感。

区块链的四大安全方面

1. 交易所安全

在区块链安全问题中，交易所安全问题占了大头。 各国监管滞后导致数字资产成为黑客眼中的肥肉，各大交易所安全事件不断。

数字货币交易所有中心化交易所和去中心化交易所，两者的安全内容也各有侧重。 目前，中心化交易所在区块链生态中占比较大。 中心化交易所的安全问题其实涵盖了互联网安全的方方面面。

去中心化交易所建立在智能合约之上，因此去中心化交易所面临的主要是智能合约的安全问题，包括权限管理、数据校验、余额校验、撮合交易等业务逻辑。 不管是以太坊、EOS还是其他，都是通过插件或者钱包来操作的，包括网页程序和钱包DApps。

慢雾科技整理的交易所安全审计项目中，审计内容分为十二大类，开源情报采集、App安全审计、服务器安全配置审计、节点安全审计、身份认证管理审计、认证授权审计、会话管理审计、输入安全审计、业务逻辑审计、密码学安全审计、热钱包架构安全审计、私钥管理系统安全设计。

2. 智能合约安全

区块链频频爆出智能合约安全问题，智能合约安全事件造成的经济损失甚至超过交易所，智能合约成为区块链项目的重中之重。

2018年3月20日，慢雾科技披露以太坊黑色情人节盗币事件，揭露长达两年的自动化盗币事件，造成近5万个ETH和巨额各类币的损失。 类标记。

在BEC等代币的早期智能合约中，由于溢出或逻辑漏洞，攻击者凭空制造出数量极多的代币，最后将代币带到交易所获取收益，这将对区块链产生负面影响。整个代币市场和交易所。 交易有很大的不同。 比如DAO事件就损失惨重。

除了BEC通过智能合约溢出的问题，还有条件竞争，比如合约初始化，攻击者可以影响代币相关信息。

智能合约的开发者需要有足够的安全意识，尽可能避免一些常见的安全问题，比如智能合约溢出、权限控制、构造函数大小写等。

3. 钱包安全

在区块链圈中，钱包扮演着举足轻重的角色。 无论是用户还是企业，无论是to C还是to B，都有需求场景。 钱包也分为去中心化钱包和中心化钱包。 在安全审计方面，不同类型的钱包在安全性上各有侧重。

但它们的共同点是，加密数字货币资产的安全性完全基于加密数字钱包私钥本身的安全性，而私钥是唯一的数字资产凭证。 私钥一旦创建，就无法修改或重置。 只要私钥不丢失，资产就不会丢失。

因此，整个加密数字资产的安全话题都围绕着私钥的存储和使用展开。 但数字钱包并不总是安全的。 目前，数字钱包存在三大安全隐患：一是设计缺陷。 其次，数字钱包包含恶意代码。 三、电脑、手机遗失或损坏造成的资产损失。

慢雾联合慢雾区合作伙伴的力量，导出恶意钱包地址库，包括钓鱼、勒索、盗窃三种恶意钱包地址，涵盖比特币、以太坊、达世币、门罗币等数字货币。 Python、NodeJS、Go、Java等主流语言的SDK可灵活接入产品风控系统。

4.游戏安全

随着区块链游戏的井喷，慢雾也披露了EOS Fomo3D、神游等多款区块链游戏的安全问题。

在游戏安全和审计方面，慢雾科技也做了大量的安全研究，无论是游戏攻击手段的预警、攻击源代码的复现，还是新兴智能合约的威胁监测。

以太坊自然有上传源码验证的功能。 以太坊上的游戏一般都有开源代码。 与EOS相比，各项设施还不够完善，因此慢雾科技在EOS上推出了合约源代码一致性验证工具。 ，本平台可以查询EOS合约是否开源，也会对源码的升级进行监控。

安全政策要点

策略一：人工验证+形式验证

现在整个行业都非常关注人工智能。 人类编写的智能程序会消灭人类吗？ 比如Alpha Go，也涉及到相关问题。

形式化验证由来已久，区块链不可篡改，这也让形式化验证备受关注。 但是从合约安全的角度来看，没有办法用形式化验证或者自动化的方式来完美解决所有的安全问题。

首先，在解决安全漏洞方面，形式化验证需要人工编写数据规则。 其次，如果出现一些未知的问题，程序中没有输入相应的判断或测试规则，就会暴露形式验证的缺陷。

因此，慢雾科技通过自动化流程+人工验证/人工检查的方式进行智能合约审计操作。 一种是通过自动化流程扫描出一些常规问题。 其次，在智能合约、DApp业务逻辑、整体锁仓时间等方面，人工检查将结合功能设计文档进行详细验证。

目前，形式验证有一定的局限性。 人工验证会被工具完全替代吗？ 这其实就是人工智能的威胁论。 目前，答案是否定的，因为人工或人脑的体验优势是显而易见的。

策略二：独特的技术+丰富的经验

慢雾威胁情报业务采用独有的地下黑客风向标追踪引擎usdt安全性，基于慢雾科技的全网扫描技术，通过全网扫描、蜜罐、探针获取区块链或传统互联网安全漏洞。 因此，慢雾科技抓获了以太坊假充值、USDT假充值以及一些关注度较高的第三方组件。

慢雾科技团队成员来自传统互联网，在金融安全、政企安全等领域积累了数十年的一线网络安全攻防经验。 同时，他们很早就开始从事区块链安全方面的研究。 目前，慢雾科技已经服务了国内外多家知名交易所、钱包、链和智能合约，他们的资料非常丰富。

策略三：聚焦联防+奖金激励

无论是区块链安全还是传统互联网安全，没有哪个安全公司敢说我是世界上最好的，我公司一个人就可以保护所有的安全问题。 每个安全公司和安全团队都有自己的专长，安全细分也有很多，无论是外部的，二进制的，移动的等等。

因此，面对安全领域的问题，慢雾科技始终秉持着开放共赢的态度。 今年4月22日，慢雾科技成立慢雾专区，一个月内人数突破万人。 他们希望有更多的人加入到区块链的安全领域，以联防的方式共同捍卫整个区块链的生态安全。

慢雾区发布了漏洞赏金计划，目前共有十个项目入驻，包括钱包、公链和交易所。

漏洞赏金入驻企业

从上图可以看出，厂家对安全问题非常重视，悬赏高达1万美元或1万元人民币。 目前，厂商发放的赏金累计已超过10万元人民币。

根据慢雾区漏洞赏金后台统计，每个入驻的厂商都收集了一个或多个安全漏洞，包括一些边缘的、底层的或核心的安全问题。 厂商对漏洞非常重视，会及时修复并发放奖金。

策略四：区块链底层将是未来安全的重点

未来区块链的安全性会更加巩固在底层。 慢雾将继续加强智能合约语言和底层虚拟机的安全性。

随着新技术的出现，区块链必然会产生新的安全问题。 当越来越多的人加入到区块链安全行业，整个行业就会变得丰富多彩，行业内部也会形成差异化竞争。 良性竞争将使区块链行业越来越安全。

安全是所有技术发展的基础。 只有对安全问题持谨慎态度，被寄予厚望的区块链技术才能越走越远。

虽然从数学角度来看，区块链系统近乎完美，具有公开透明、不可篡改、可靠加密、唯一标识、抗DDoS攻击等特点，使其具有自身的“安全性” “高帽子。 然而，处于早期发展阶段的区块链生态系统仍面临基础设施、系统设计、运营管理、隐私保护等诸多挑战。

随着技术的更新迭代usdt安全性，区块链项目安全从业者不仅要从技术层面提升，还要考虑管理水平的影响，从全局角度加强基础研究，补齐技术短板。

【更多区块链，更多数字货币行情分析，可以访问——石猴财经】