本轮熊市周期会比2014年短一些,慢雾洞若观火
分类:威尼斯官方网站

本文内容来源三点钟火讯财经创世群,如需转载,务必注明出处。

威尼斯官方网站 1

威尼斯官方网站 2

大家好,我是紫狮财经CEO,Hyrik老师(hyrik2020),最近传得沸沸扬扬的以太坊经典ETC遭遇51%攻击事件伴随着今天Gate.io研究院发布公告称已成实锤。一时间关于POW共识机制是否安全的话题和争议又开始各种甚嚣尘上,更有黑粉甚至认为,连POW这种以比特币为代表的老牌去中性化共识机制的数字货币都成为了黑客的提款机,数字货币根本就没有安全可言。一时间各种声音,各种言论开始满天飞。

《火讯琅琊榜》第三期首次开启“双阁主”模式,以“寻路区块链”为主题,继续带你探索区块链发展之路。

《火讯琅琊榜》第三期首次开启“双阁主”模式,以“寻路区块链”为主题,继续带你探索区块链发展之路。

披露时间线

导读

今天我就从事件的开始经过和结果给大家一个分析和解读,当然仅仅是给一点自己的观点。仅供大家学习讨论!

第三期第五场 大于、大象×张寿松 

第三期第一场

以太坊代币“假充值”漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,我们的不完全统计就有 3619 份存在“假充值”漏洞风险,其中不乏知名代币。相关项目方应尽快自查。由于这不仅仅是一个漏洞那么简单,这已经是真实在发生的攻击!出于影响,我们采取了负责任的披露过程,这次攻击事件的披露前后相关时间线大致如下:

区块链生态中恶意攻击事件频发?冲击过后我们还应当如何搭建安全堡垒?安全是区块链行业发展背后的坚实力量,技术则是在攻防战争中矛与盾的力量转化。这里有一份以技术为导向的不完全安全指南,看一线网络安全攻防实战的团队如何做到负责任的披露,希望能够引领更多公链安全修习者共筑更为强大与健壮的数字未来。我们也许难以辩明黑暗丛林中的猎人,有人选择打开了潘多拉的魔盒,还应有人点燃寓意希望的圣火。

威尼斯官方网站 3

阁主:

大于、大象×慢雾团队

2018/6/28 慢雾区情报,USDT “假充值”漏洞攻击事件披露

2018/7/1 慢雾安全团队开始分析知名公链是否存在类似问题

2018/7/7 慢雾安全团队捕获并确认以太坊相关代币“假充值”漏洞攻击事件

2018/7/8 慢雾安全团队分析此次影响可能会大于 USDT “假充值”漏洞攻击事件,并迅速通知相关客户及慢雾区伙伴

2018/7/9 慢雾区对外发出第一次预警

2018/7/10 慢雾安全团队把细节同步给至少 10 家区块链生态安全同行

2018/7/11 细节报告正式公开

DoraSpeaker

首先我们从整个事件的开始讲起

大于,经济学博士、中国计算机学会区块链专业委员会委员、区块链产业资深研究者。

威尼斯官方网站 4

漏洞细节

DoraSpeaker是DoraHacks旗下的内容分享栏目,会围绕hackathon主题,引进属于时代的各种技术领域最资深的行业专家和学者为DoraHacker们带来分享。

看新闻

大象,不愿意透露身份的火讯财经联合创始人、游离于圈内圈外,不明真相的吃瓜群众、偶尔也明真相的区块链路人甲。

阁主:

以太坊代币交易回执中 status 字段是 0x1 还是 0x0,取决于交易事务执行过程中是否抛出了异常(比如使用了 require/assert/revert/throw 等机制)。当用户调用代币合约的 transfer 函数进行转账时,如果 transfer 函数正常运行未抛出异常,该交易的 status 即是 0x1。

威尼斯官方网站 5

时间:2019年 01月07日 10:30:28

威尼斯官方网站 6

大于,经济学博士、中国计算机学会区块链专业委员会委员、区块链产业资深研究者。

威尼斯官方网站 7image

分享主题:EOS和以太坊等公链安全研究分享时间:2018.6.16 20:00 -21:00分享人:慢雾科技安全研究员keywolf,“以太坊黑色情人节”事件披露者之一。

慢雾预警:ETC可能发生了51%攻击

嘉宾:

大象,不愿意透露身份的火讯财经联合创始人、游离于圈内圈外,不明真相的吃瓜群众、偶尔也明真相的区块链路人甲。

如图代码,某些代币合约的 transfer 函数对转账发起人(msg.sender)的余额检查用的是 if 判断方式,当 balances[msg.sender] < _value 时进入 else 逻辑部分并 return false,最终没有抛出异常,我们认为仅 if/else 这种温和的判断方式在 transfer 这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的 transfer 函数会采用 require/assert 方式,如图:

开场语录:

威尼斯官方网站 8

张寿松,中国区块链应用研究中心理事,资深区块链专家、投资人,财猫网络(股票代码430361)董事长,区块链行业孵化器聚空间创始人,中国通信工业协会区块链专委会常务副主任、DACA亚洲区块链协会会长、中科商学院特聘讲师,曾投资日本持牌交易平台BtcBox,韩国CoinNest等多家区块链公司。

嘉宾:

威尼斯官方网站 9image

在分享开始之前,先来给大家介绍我们慢雾科技:“慢雾”,来源于三体,代表黑暗森林中的安全区域。慢雾科技专注于区块链生态安全,核心能力包括安全审计、安全顾问、防御部署、以及地下黑客风向标追踪。我们目前已经为全球多家交易所、钱包、智能合约做了安全审计和防御部署,同时相信大家也有从各个媒体上关注到,我们与区块链行业内众多团队达成了战略合作。

据慢雾区披露消息,Ethereum Classic 疑似发生了51%攻击,有不少区块发生回滚。不过ETC官方则在推特表示,没有发现什么问题。ETC现报5.19美元,今日涨幅0.43%。

前言

慢雾安全团队,这是由一支拥有十多年一线网络安全攻防实战的安全成员创建,团队曾为 Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力,团队多项成果也曾进入过 Black Hat 等全球黑客大会。慢雾安全团队已经与全球多家知名交易所、数字资产钱包、主链项目合作,为合作伙伴提供安全审计、安全顾问、防御部署及威胁情报分享。

当不满足条件时会直接抛出异常,中断合约后续指令的执行,或者也可以使用 EIP 20 推荐的 if/else revert/throw 函数组合机制来显现抛出异常,如图:

威尼斯官方网站 10image

评论:这个时候一个预警机构都已经发现不对了,结果ETC的官方不但没发现,还表示没发现什么问题,我就想问,你去检查了吗?要是检查了,还是没发现的话,说明你们这个这个项目方没有资格再做下去了,局外人在你先发现问题,要是发现了,又不公布出来,想办法尽量减少投资人损失的话,说明这个项目方问题太大了,内部猫腻太多了,具体就不细说了。反正这个新闻到这里至少说明熊市让这个项目方非常的扯蛋!

整个科技的发展都处于一个高速加速过程中。

前言

威尼斯官方网站 11image

这次给大家带来的分享内容是我们慢雾科技目前所做的一些公链安全研究。主要内容有三个方面:首先是以太坊RPC安全;第二个是以太坊智能合约安全,目前在这方面已经频繁爆出了许多问题;最后则是我们慢雾最近做的EOS安全研究。

时间:2019年 01月07日 11:27:24

今晚琅琊榜嘉宾张寿松说:“区块链目前发展阶段类似于90年代初的互联网。很多人让我预测技术成熟的时间,但我觉得预测时间没有多大意义。我们能做的就是跟随行业发展的脚步,提前快速响应。”

上期阁主孙健开场称赞双阁主模式非常应景世界杯的主持模式,一个主攻一个助攻。在传统节目“阁主交接仪式”之后,话题正式打开,进入访谈环节。

我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如 TxReceipt Status 是 success(即上文提的 status 为 0x1 的情况) 就以为充币成功,就可能存在“假充值”漏洞。如图:

由于时间有限,没有办法展开详细说明,接下来会给大家介绍相关的推荐内容及文档链接,以供参阅、研究。下面我们开始进入正题吧。

许多知名区块链媒体发现,参与ETC挖矿的矿池算力在1月6日出现了大幅波动,Private Pool(0x3ccc8f74的开头的私人挖矿地址)最近一周在ETC上投入的算力平均在300GH/s以下,但在1月6日13点左右,突然飙升至了3263GH/s,短时排名第一。回归常态后,今日早间6点该矿池算力再次大幅拉升,最高达到了4723GH/s,超过了其他矿池投入的算力总和,当前ETC的算力为9206GH/s。

正如阁主大于的回复,在不确定的迷雾中,用知识和信念找到确定的道路,应该是一个顶级投资人的特征吧。

本期嘉宾慢雾团队自称是一支慢格调的安全团队。“慢雾”这个词取自《三体》,寓意黑暗森林里的安全区域。那么究竟信仰“守正出奇”的慢雾赋予星星以安全?还是赋予观者以能力?或者是维护宇宙的基本平衡呢?

威尼斯官方网站 12image

威尼斯官方网站 13image

评论:仅仅过了一个小时左右,在各知名区块链交易所的联合监测下,不祥的预感越来越强,甚至事实已经摆在眼前了,但是以太经典项目方方面任然没有任何动静。

你想知道作为投资人的资深区块链专家、投资人,张寿松都投了哪些项目吗?哪些项目在落地上会有优势?区块链项目真正的“护城河”是什么?区块链项目该如何估值吗?

不必过于强调区块链技术,恰如神秘的黑客“自带奇”。因为这个这个世界不存在乌托邦,没有完美的去中心化。

参考示例 TX:

我们从RPC的安全攻防开始说起。通常,在区块链上都会有RPC。关于以太坊的RPC,我们之前在披露“以太坊黑色情人节”的时候进行过深入的研究分析,发现其中有不少问题。

时间:2019年 01月07日 19:25:52

……

你还记得关于以太坊黑色情人事件、USDT“虚假充值”事件、日本CoinCheck交易所被盗事件吗?好奇最新进展吗?关心区块链企业的安全问题吗?

1.1 以太坊黑色情人节事件回顾与原理剖析

以太经典_ETC刚发微博,以太经典ETC从昨天开始由安全团队慢雾科技监测到异常的区块回滚,并发出了预警。ETC社区第一时间跟进事件的发展,我们了解到有个私人矿池(地址:0x3ccC8F7415e09BEAd930dc2B23617bD39ceD2C06)在某些时间的算力达到全网算力的50%以上。

请看实录。

在这个夜黑风高的夜晚,神秘的黑客先生会展现怎样的一种“超能力”呢?

修复方案

3月20号,我们发布了《以太坊生态缺陷导致的一起亿级代币盗窃大案》这篇文章。在披露过程中我们发现,攻击目前仍在持续,并且这样的一个盗币行为造成的损失已高达2000多万美金。

团队成员Roy(ETC中国社区负责人)已与团队其他开发人员正在密切监视事件的发展,到目前为止,ETC网络没有发生实质性的影响,我们暂时不清楚肇事者的目的。为了预防潜在的可能攻击,我们呼吁交易所,矿池等提高充值和提现的确认时间,直到预警解除。慢雾科技转发该微博并评论:将持续关注事件动态并追查结果。

以下为访谈实录整理

以下为访谈实录整理

除了判断交易事务 success 之外,还应二次判断充值钱包地址的 balance 是否准确的增加。其实这个二次判断可以通过 Event 事件日志来进行,很多中心化交易所、钱包等服务平台会通过 Event 事件日志来获取转账额度,以此判断转账的准确性。但这里就需要特别注意合约作恶情况,因为 Event 是可以任意编写的,不是强制默认不可篡改的选项:

在这边给大家简单介绍一下攻击过程:攻击者会在全球扫描8545以太坊RPC端口,以及8546 WebSocket RPC 端口,频繁查询账户列表及账户余额,同时获取区块高度;第二步是在得到服务器的IP及端口列表之后,不断重复调用sendTransaction的方法将余额转出到攻击者自己的钱包,一个关键点在于,如果正好碰上节点的用户在机器上对自己的钱包执行unlockAccount时,在默认的300秒时间内,攻击者从RPC调用的时候就不再需要密码,就能够对这个交易转出进行签名,这样就可以把这个节点里面的ETH或者Token转到攻击者钱包。

评论:盼星星盼月亮的投资人总算等来了以太经典官方的回答,然而这个回答可以说是敷衍至极,比如说,ETC中国社区负责人已与团队其他开发人员正在密切监视事件的发展,到目前为止,ETC网络没有发生实质性的影响,我们暂时不清楚肇事者的目的。也就是说明确的告诉投资人,目前对ETC网络没有发生实质性的影响,以后我们在监测中,不知道楚肇事者的目的。这不就是明摆着中告诉你,在一场战役中主力不知道战场情况,也不知道敌人的目的,这个时候就是等死呗!

emit Transfer(from, to, value); // value 等参数可以任意定义

我们在披露了 “以太坊黑色情人节”之后,还建立了专题网站,对这样的攻击行为进行持续跟踪和监控。在我们的专题网站中,能够看到被盗取的币和Token数量都在不断增加。

时间:2019年 01月08日 04:20:54

阁主大于:我本人非常期待今天晚上的对话,关于区块链投资是个神秘而迷人的话题。我们现在就开始第一个问题。

上期阁主孙健: @大于@大象 新阁主久仰大名啊。传授心得是琅琊榜的老传统,传新阁主刨根问底大法。这个是我在上一季的心得。对谈关键是走心,挖出嘉宾最想说的不重要,刨出大家最爱看的,才有趣。

作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。

以太坊生态缺陷导致的一起亿级代币盗窃大案:

以太坊经典(Ethereum Classic)刚刚发表推特:“我们猜测这些哈希值可能来自于:ASIC矿机制造商Linzhi确认正在测试高达1400/Mh的新矿机。算力超50%的原因可能是:1.自私挖矿;2:未监测到的双花。”随后该团队在评论中表示,将随时通报最新情况。

Q1

很期待无厘头的大象和正儿八经的大于的混搭。

作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。

Billions of Tokens Theft Case cause by ETH Ecological Defects:

评论:又是九个小时过去了,我们又等来了ETC官方推测算力超50%的原因,官方通过各种监测和分析推导得出,自私挖矿,反正就是没有出现双花攻击。并且告诉大家,目前ASIC矿机制造商Linzhi确认正在测试高达1400/Mh的新矿机。为之后有问题先埋下一个伏笔。

阁主大于:我们看到BAT等传统互联网公司纷纷试水区块链应用,还有越来越多的主流投资机构也开始投资区块链项目,作为资深区块链专家和投资人,您认为目前区块链技术应用处于什么阶段?距离区块链技术成熟还有多长时间?

阁主大于:非常感谢宝贵经验!我们努力!争取为各位火讯的读者提供几道精神大餐!

后记 Q&A

2019年 01月08日 05:00:22

嘉宾张寿松:区块链技术目前还处于早期,像BAT这样的企业虽然发了很多专利,但仍然处于研究阶段,真正的商用也是在试验性的开始。不过,距离区块链技术成熟的时间会比互联网技术所用的时间要成熟很多,因为技术的发展是越来越快的。

阁主大象:对,我们的目标是没有蛀牙,开始吧。

Q:为什么我们采取这种披露方式?

以太坊黑色情人节专题跟踪:

Coinbase停止ETC交易、存取

阁主大于:所以您认为区块链技术目前处于一个技术爆炸、加速成熟的过程,是吗?

主编赵一丹:感谢老阁主传授武功心得!现在我宣布,火讯琅琊榜第三期正式开场!

A:本质是与攻击者赛跑,但是这个生态太大,我们的力量不可能覆盖全面,只能尽我们所能去覆盖,比如我们第一时间通知了我们的客户,然后是慢雾区伙伴的客户,再然后是关注这个生态的安全同行的客户,最终不得不披露出细节。

Coinbase刚刚在其官方博客发文称,它们监测到ETC发生了9次包括双花在内的额外重组,涉及到88500枚ETC,现在ETC已经停止交易和存取。针对此事以太坊经典(Ethereum Classic)在推特上回应称,Coinbase据称发现了双花,但并没有人就此事与ETC人员联系。

嘉宾张寿松:从技术层面来讲,区块链目前发展阶段类似于90年代初的互联网。

Q0

Q:为什么说披露的不仅仅是漏洞,而是攻击?

1.2 以太坊 RPC 攻击手法一览

评论:交易所Coinbase发现了双花攻击并采取了紧急措施,换来了以太坊经典(Ethereum Classic)的一顿埋怨,你发现了双花攻击,怎么就没有人因为双花攻击联系我们呢?

是的,不止区块链技术,整个科技的发展都处于一个高速加速过程中。

阁主大于: 大家晚上好,欢迎收看火讯琅琊榜第三期在线访谈节目,我是于佳宁(也就是大于),很荣幸能担任本期琅琊榜阁主(之一)。特别欢迎本期琅琊榜首次受访嘉宾——慢雾安全团队。

A:其实,以我们的风格,我们一般情况下是不会单纯去提漏洞,漏洞这东西,对我们来说太普通,拿漏洞来高调运作不是个好方式。而攻击不一样,攻击是已经发生的,我们必须与攻击者赛跑。披露是一门艺术,没什么是完美的,我们只能尽力做到最好,让这个生态有安全感。

在披露了“以太坊黑色情人节”之后,我们持续地对RPC进行研究,除了这个发送交易的攻击,还有其他的一些攻击方法,主要就是针对RPC相关的模块,例如:如果RPC里面启用了personal模块,那么就可以通过RPC调用personal_unlockAccount的方法去猜测钱包的账户密码,假如说账户密码是弱口令的话,就可以一次性实现解锁和转账;再一个是比较重要的miner 模块,这是与挖矿相关的。miner模块里有一个方法是通过miner_setEtherbase可以修改挖矿收益的钱包地址。假如说,RPC里面启用了这样的方法,并且节点里面正在进行打包的话,攻击者就可以通过修改挖矿地址来实现劫持矿机。

2019年 01月08日 05:49:59

很多人让我预测技术成熟的时间,但我觉得预测时间没有多大意义。

网络安全是一个技术性、专业性很强的领域,天然带着一定的神秘色彩,在正式访谈开始前,可否请慢雾安全团队先进行一下自我介绍,说说慢雾是怎样一个团队?以前做过什么?现在在做什么?未来还希望做什么?

Q:至少 3619 份存在“假充值”漏洞风险,这些代币该怎么办?

以太坊 RPC 功能列表:

Linzhi官方否认与ETC区块重组有关

阁主大于:对于投资人来说,确实是这样,等到技术真正成熟,最好的投资阶段或许就过去了。

嘉宾慢雾余弦:慢雾是一支比较喜欢慢格调的安全团队,慢雾这个词来自科幻《三体》,寓意黑暗森林里的安全区域。过去十多年我们在安全领域做过不少细分领域:政企、云、金融等,现在聚集区块链生态安全,独立一家区块链生态安全公司慢雾科技,未来希望跳出安全,创造更大价值。

A:很纠结,一般来说,这些代币最好的方式是重发,然后新旧代币做好“映射”。因为这类代币如果不这样做,会像个“定时炸弹”,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个“假充值”漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。

据CoinDesk记者Nikhilesh De推特消息,Linzhi深圳运营总监Wolfgang Spraul驳斥了Linzhi与以太坊经典区块重组有关的说法,Spraul称:“我们断然否认这种说法,他们完全毫无根据,并且可能是攻击本身的一部分。”以太坊经典今日早些时候发布推文称,他们认为超出50%的算力可能来因为Linzhi正在测试高达1400/Mh的新矿机。据悉,Linzhi是嘉楠耘智前首席芯片工程师创建的矿机制造企业。

嘉宾张寿松:我们能做的就是跟随行业发展的脚步,提前快速响应。不可能说如果技术在4年半后成熟,难道就要等到4年半后再去布局吗?

阁主大于:很有意思,可否介绍一下慢雾科技的愿景?

Q:有哪些知名代币存在“假充值”漏洞?

同时我们还发现以太坊生态里的Geth、Parity等的日志没有很好地记录到通过RPC请求的方法及来源IP。在进行溯源的时候,由于这样的日志机制不够完善,我们难以去获取到这些攻击者的信息。

评论:纸是包不住火的,马上以太经典遭遇双花攻击的事实已经实锤落地了,没办法了,只有承认了,但是伏笔可以先用一下。

阁主大于:没错,投资的风险收益是匹配的,本质上超额收益就是来自于这种技术不成熟带来的不确定性。在不确定的迷雾中,用知识和信念找到确定的道路,应该是一个顶级投资人的特征吧。

嘉宾慢雾余弦:嗯,愿景我用一张图文来说,这就是慢雾的愿景,比较低调。

A:我们不会做点名披露的事。

1.3 以太坊 RPC 安全加固方法

2019年 01月08日 05:51:53

嘉宾张寿松:这也是我从5年前一直坚持到现在的理念。

威尼斯官方网站 14

Q:有哪些交易所、钱包遭受过“假充值”漏洞的攻击?

讲完了上面的几个攻击方法,再重点说一下防御以及加固的方法:

以太坊经典官方刚刚发布推文称:“要明确的是,我们并没有试图隐藏或淡化最近发生的事件。事实就是事实,随着形势的发展,很快就能全面了解实际发生的情况。Linzhi正在测试ASICS,Coinbase发布双重支付的报告;两者都可能是真的。”

阁主大于:好,我们进入下一个问题。

阁主大于:是赋予星星以安全?还是赋予观者以能力?或者是维护宇宙的基本平衡?

A:恐怕没人会公开提,我们也不会点名。

针对攻击面来说,一个是修改端口。尽量不要用默认的RPC API端口,避免别人进行全网扫描的时候发现这样的端口。

评论:明确告诉大家,ETC官方未试图隐藏或淡化事实,现在告诉大家,Linzhi正在测试ASICS,Coinbase发布双重支付的报告;两者都可能是真的。

Q2

嘉宾慢雾余弦:如果想了解慢雾更多内容,可以后续看我们的官网。慢雾只想做好一件事:区块链生态安全。强调“生态”这个词,是因为我们觉得这里面角色很多,安全是环环相扣,甚至唇亡齿寒。

Q:这些代币不重发是否可以?

更重要的就是尽可能地不要把这个端口暴露在公网上,可以通过修改监听地址为内网的方法,让RPC在内网进行调用。

2019年 01月08日 10:36:40

阁主大于:我先说两句背景,目前很多人都已经认同区块链发展已经进入了3.0,也就是产业区块链的时代,但是大部分人对区块链落地应用仍然处于一个看不清的状态,大家很希望您能够从您的角度,将您看到的一些“确定性”与大家分享,给大家一个指引。

阁主大于:很帅气的官网,清晰明了,值得点开一看,哈哈。

A:也许可以,但不完美。不选择重发的代币要么很快是发布主网就做“映射”的,要么得做好通知所有对接该代币的平台方的持续性工作。

第三,假如说你需要对外提供查询的话,也可以配置iptable来源IP白名单作为限制。

据PeckShield态势感知平台数据显示:从01月05日到07日 (块高度7245623 到 7255998之间),ETC网络共遭受至少11次疑似双花攻击 (double spending),损失ETC 88500枚,价值约46万美元。美国Coinbase和欧洲Bitfly都对此次攻击发出预警,然而ETC官方并不认为这是攻击,并称可能是Linzhi Minning测试新矿机所致,但随即Linzhi否认了这一说法。安全人员分析认为,这是由于某匿名矿工算力突然暴增造成的,且攻击行为目前还在持续进行中。PeckShield提醒,在网络稳定下来之前,各大交易所也应增加ETC确认块数,暂停ETC充提操作,广大ETC持仓用户务必暂停一切交易。

第二问,您在湖畔大学讲学时曾经提到,目前区块链项目的主要问题在于“项目无业务逻辑,强沾概念,无必要性;无技术团队,行业人才匮乏,尚无技术实力;无落地项目。”能否谈谈造成这些现象背后的原因有哪些?区块链应用从目前的状态到大规模实际应用还有哪些问题亟待解决?

是的,安全问题已经不再是某一个参与者单独的问题,而是要从整体生态层次予以考虑,好,那我们下面进入正式的访谈。

Q:为什么慢雾可捕获到这类攻击?

Geth 命令行参数列表:

评论:只能用痛心疾首来形容这是何等的卧槽,过去3天ETC共遭受疑似11次双花攻击,且还在持续中,然而在一天前慢雾预警才发现疑似双花攻击的存在,项目方还不承认或者说是真的一点都没有发现。

嘉宾张寿松:这里要澄清一下,并不是说所有项目都存在我说的这些问题,只是部分项目。任何一个行业在早期都会有一些浑水摸鱼的公司。但是最终大浪淘沙,差的项目还是要被淘汰的。这也是我在湖畔大学讲座上提到的。行业将会趋于理性,优质项目会脱颖而出。

Q1

A:我们有健壮的威胁情报网络,捕获到异常时,我们默认直觉会认为这是一种攻击。

2019年 01月08日 10:43:15

阁主大于:潮水退去,才知道谁在裸泳,泡沫破裂,就知道哪些项目是空气。

阁主大于:第一个问题,区块链的核心是解决信任问题,而安全事件却一次次打击人们的信任,尤其是智能合约安全漏洞带来的巨额损失。目前区块链行业总体安全态势是怎样的?

Q:除了 USDT、以太坊代币存在“假充值”漏洞风险,还有其他什么链也存在?

再有就是,不要将账户信息存放在节点上 (因为如果账户不在节点上,就不会用到unlockAccount )。如此一来,攻击者在通过RPC查询的时候也不会看到账户信息。

Gate.io发布公告称,已确认ETC网络遭受51%攻击并定位到攻击者的ETC地址。在此次攻击中,Gate.io检测到总共7笔回滚交易。其中有四笔总计54200ETC来自巧妙谋划的攻击者。攻击时间从1月7日0:40UTC开始到4:20UTC结束,总共持续约4小时。在这期间攻击者的算力占据全网算力的51%以上,所有交易看起来都是真实有效并且在ETC网络上有真实确认的。在攻击者成功之后,使用强大的算力对ETC区块链进行了回滚操作,强制使得之前已经确认的转账记录变为无效。Gate.io研究院进一步确认,此次ETC网络的51%攻击造成的本质原因是ETC市值下降,网络算力下降,攻击者极易通过租赁ETH算力的方式对ETC进行算力攻击。Gate.io建议所有ETC交易平台采取安全措施,提升确认个数要求或者关闭ETC充值,防御类似攻击。

嘉宾张寿松:区块链技术并不是一个凭空的、全新的技术,它最终还是要跟现有的商业模式相结合,实质上它是现在商业模式在技术层面的一个升级。目前存在一个新旧技术交替升级的过程,所以越大的商业体就越难落地。

嘉宾慢雾余弦:你们看到各种正规军其实都在陆续进来,这也包括地下黑客群体(也是我们常说的攻击者),他们远比我们想象的职业。举个例子,我们今年3月20号披露的一个大事件:以太坊黑色情人节(大家可以打开我们做的专题页看看),这个攻击其实2016年2月14日就发生了(这也是为什么我们命名这个为以太坊黑色情人节),持续了两年多,自动化盗取了近5万枚以太币,几十亿枚各种代币。技术细节我们有专门的分析报告,这里就不谈了,但是大家仔细琢磨下:为什么持续了两年多,直到我们的进来,才完整披露了呢?如果我们没披露呢?

A:暂时不做披露,但相信我们,“假充值”漏洞已经成为区块链生态里不可忽视的一种漏洞类型。这是慢雾安全团队在漏洞与攻击发现史上非常重要的一笔。

在全节点的使用方面,尽可能把签名的过程拿到钱包里,或者选择不在全节点上进行操作,可以使用web3的 sendTransaction 和 sendRawTransaction 发送私钥签名过的 transaction。

评论:攻击实锤落下,损失已经造成。

阁主大于:这点我非常赞同,我一直的观点是,大部分区块链项目将不会改变目前的商业逻辑,但是会显著的提升商业逻辑运行的效率,明显的降低成本。

以太坊黑色情人节专题页我发两个截图

本文引自慢雾区公众号文章"以太坊代币“假充值"漏洞细节披露及修复方案"

威尼斯官方网站 15image

接下来就是各种满天飞的言论开始甚嚣尘上了

嘉宾张寿松:当然这里还有很多的法律合规问题。

威尼斯官方网站 16

接下来我们会讲以太坊智能合约安全。最近这段时间频繁地有团队爆出智能合约安全问题,例如早期从BEC、SMT爆出的问题,还有最近EDU、BAI的问题。

威尼斯官方网站 17

阁主大于:是不是可以这么理解,越大的商业体本身在过去就取得了很大的成功,其背后的逻辑在于,他们已经在目前的商业逻辑下做了最大程度的优化,所以再优化的空间相对比较小,新技术带来的变革空间也有限,所以在大产业大项目中反而难以落地。

威尼斯官方网站 18

2.1 智能合约准则(code is law)

2019年 01月08日 12:09:10

嘉宾张寿松:在技术层面,目前也没达到高频率的商业级应用。新技术带来的增长空间也比较大,但是更替的成本也比较高。小而美方向的项目,反而更容易落地。

阁主大于:这还真是一个令人惊诧的问题。

两起著名的利用智能合约漏洞的事件

据区块链相关媒体采访了北京大学经济学博士、知密大学发起人刘昌用先生。

阁主大于:也是,船大难掉头,越成熟的产业、越大的项目路径依赖反而越明显。

嘉宾慢雾余弦:然后,似乎有个错觉,有人说:你们慢雾进来后,各种新型攻击就层出不穷。就好像柯南每集都会死掉一个人,这不能怪柯南呀,剧情需要呀。

The DAO 攻击、黑客攻击Parity事件

他表示,根据Gate.io消息,攻击者在4个小时内,用超过51%算力双花了至少4笔总计54200个ETC,价值271000美元。根据crypto51.app数据,51%攻击ETC的每小时成本仅为5168美元,即此次攻击成本约20672美元,攻击收益超10倍。

嘉宾张寿松:第二问回答完毕。

这些人是没意识到:其实地下黑客正规军早进来了,我们的进来也确实是时候,攻防对抗必然会升级。都说币圈一天、人间一年,我们的攻防对抗当然也是这样,会越来越激烈,直到一种平衡。

智能合约的准则就是代码即法律。相信The DAO事件和Parity事件大家都有所耳闻。在智能合约的准则下面,默认的是合约在发布之后代码无法进行修改,但可以通过一些分层的设计来进行局部更新。

刘昌用认为,在有算力租借市场,并且同种算法可以挖多种币的情况下,PoW矿工的算力收益不再依赖于唯一币种,51%算力攻击将有利可图。比特币PoW的原有经济模型已经改变,PoW币种需要认真考虑新的经济模型。事实证明,BCH应对CSW算力攻击威胁所采取的重组保护是抵御重组攻击的有效措施。遗憾的是,这遭到了PoW生态的普遍反对。现在应该认真考虑一下了。

阁主大于:可否请您畅想一下,等到区块链应用大规模落地,又会是怎样一个图景?这是一个追问。

阁主大于:影响范围如此广泛,数额如此巨大,居然还能持续如此长的时间,可见攻防对抗确实在相当长一段时间内处于失衡状态,黑客的攻击居然这么久都没有被监测发现,这在网络安全领域也是难以想象的。

2.2 智能合约漏洞一览

2019年 01月08日 12:28:27

嘉宾张寿松:我觉得应该是一个效率极高的社会,但也很可能会出现很多人都失业的图景。就像人工智能和机器人可以代替劳动力,区块链技术使得很多场景可以自主式运行,不再需要人为干预和基于人的信任,也省掉了很多人工环境。

嘉宾慢雾余弦:嗯,这也是我们觉得区块链这个世界充满魔力的原因。

安全公司:行情低迷下51%攻击风险骤增,DASH存可疑风险

阁主大于:效率极高的社会,我非常赞同,因为区块链极大的提升了产业中各主体的协同效率,现在很多用电子邮件电话微信QQ甚至是纸质文件沟通确认的协作环节都可以用区块链高效实现。

阁主大于:那相比于传统互联网的安全态势,区块链安全有哪些新的特点和趋势?

接着讲的是智能合约的漏洞。上面的DASP网站里有去中心化应用安全问题的TOP10,其实大家在近期了解到的智能合约问题上,比较多的是溢出和逻辑设计方面的缺陷。

今日凌晨,Coinbase发推称自1月5号以来发现了88500个ETC被双花,并在1月5号就暂停了ETC在Coinbase上的相关操作。猎豹区块链安全中心认为,由于ETC价格下跌,挖矿收益减少,相应的算力减少过快,从而使得作恶者很容易从市场上购买到攻击ETC需要的算力。猎豹区块链安全中心从市值和算力方面检查了其他PoW的加密货币,DASH存在着与ETC同样的被攻击风险。

您说的第二点还真是挺有意思,之前真是没有往这个方面思考过,协作环节一旦实现信息化,可能又给机器替代人提供了新的空间。

嘉宾慢雾余弦:当大家关心币价的时候,也可以回过头来,琢磨琢磨这些问题。

DASP的可重入漏洞( Reentrancy Vulnerabilities )也是The DAO攻击的根源,还有的就是权限控制缺失以及拒绝服务、短地址攻击。

2019年 01月08日 12:41:34

前两天我在和朋友还在讨论,区块链到底是可以约束强人工智能,还是变成强人工智能征服人类的一项利器?看来您是悲观论者,哈哈。

比起传统的攻防来说,区块链生态会有自己的特别点,比如币属性,自带金融属性,攻击者有时候不一定要盗走这个币,想办法做空做多就好。

DASP在我们慢雾区也有中文版文档,大家可以去搜索一下。由于时间关系,在这次分享中不能与大家展开说明。

火星人:POW POS的模型在安全上更优

我们进入下一个问题。

然后这个生态里做个溯源其实更难,法币溯源有国家力量,这个生态这些币的溯源,没什么力量,太分散,大家自扫门前雪,偶尔还会看到互相嘲讽。

2.3 如何写安全的智能合约

火星人Ryan柯里昂刚刚在微博上表示:ETC遭遇51%攻击,导致Gate.io损失了4万ETC,数字货币安全任重道远。POW POS的模型在安全上更优,ETH的下一版本就采用了这一机制。AE、HC、DCR也是第一批采用双共识的币种,值得关注。

Q3

但是我们得意识到,安全这个东西,是整个生态的事,攻击者喜闻乐见币圈的乱,越乱,他们越喜欢,收割起来毫不留情。有句话是:庄家收割韭菜、地下黑客收割庄家。

2019年 01月08日 12:59:20

阁主大于:第三问,想了解一下您的投资实践,您已经投资和孵化了多少个区块链项目?包括哪些类别?您认为区块链项目真正的“护城河”是什么?您在投资一个区块链项目时,最看重的因素包括哪些?

威尼斯官方网站 19

以太坊智能合约 —— 最佳安全开发指南

余弦:不经过攻击洗礼并保持进化的公链是不安全的

嘉宾张寿松:我已经投资了几十个项目,投资的范围很广,从海外交易平台、媒体、技术服务公司、公链,还有一些其他的应用。在这么早期的阶段,还很难讲护城河。时间和技术壁垒都会是很大的优势。

阁主大于:那区块链生态出现安全问题,最严重的情况下会导致什么后果?

今日慢雾科技联合创始人余弦表示,ETC 51%攻击在行业内刷屏了,马后炮的居多,还有说其他共识算法比 POW 更安全,顺手广告自家的公链。我想说:没经过真实攻击一次次洗礼且保持进化的公链都不是安全的公链。顺便提醒下:51%攻击一旦成为真实场景下的成熟攻击手法,各个非大型公链及对接了一堆小公链币种的都需要小心了,风控机制需要特别增加一项:万一出现双花攻击,怎么办?

阁主大于:时间是指的入场时间吗?也就是越早发起的项目越有优势,对吧?

嘉宾慢雾余弦:区块链生态安全发生危险最严重的就是团队资金破产及信誉破产。

如何写出安全的智能合约呢?一个推荐是参考OpenZeppelin的框架,同时ConsenSys也总结了以往的智能合约漏洞,并给出开发方面的安全建议。

评论:各种说法褒贬不一,但是出来诟病POW的居多,确实从比特币开始51%的攻击就时刻被担心着,但是现在出来落井下石,踩一下POW在宣传一下自己看好的共识机制的代币,做马后炮也是不可取的,首先,这个事件我觉得以太经典项目方有着不可推卸的责任是一定的了,这是无可厚非的,还记得去年,火币请知道创宇创宇去做安全监测,在知道创宇几经努力下才发现的漏洞,在第二天想向火币报告是,就发现这个漏洞已经被补上了,就是这样拥有一支本身就非常牛逼的安全团队的火币,还是要花费重金请知道创宇这个安全专家来做安全检测,我觉得这就是做事的态度吧,在被人刚发现安全隐患之前就想办法先堵上,我觉得在慢雾预警刚发现不妥当是就赶紧采取行动才是正确的做法吧!而不是在那左确认右确认的。

嘉宾张寿松:对,做的早、做的快,再加上比较领先的技术。对,时间肯定是很大的优势。回答完毕。

但是呢……其实我们是乐观的,有时候安全这东西也没那么夸张,一个生态之所以是生态,就具备生态的一个属性:自愈能力其实很强……

威尼斯官方网站 20image

之后我们再来了解一下51%攻击是什么?

阁主大于:很明确,很精辟,寿松总真是爽快人,完全不故弄玄虚,哈哈。

威尼斯官方网站 21

下面我们简单聊聊EOS方面的安全,最近EOS主网上线也是一个大家关注的热门话题。

威尼斯官方网站 22

Q4

阁主大于:从安全角度,您说的生态的自愈能力应该怎么理解呢?

我们在主网上线过程中有对几十个超级节点进行安全检测,同时也输出了多份文档。

51%攻击又被称为Majority attack,这种攻击是通过控制网络算力实现双花/双重支付,即一笔token花了两次。双花不会产生新的代币,但能把自己花出去的钱重新拿回来。

阁主大于:第四问,您认为,区块链投资与传统的股权投资相比,有哪些差别?区块链项目该如何估值?

嘉宾慢雾余弦:受损后会恢复,生态的容错性就是这样。安全这东西,到头来还是人,人这个物种就是诡辩、聪明、进化。感觉这部分细节很难在这展开。

3.1 EOS P2P 拒绝服务漏洞

攻击者如果拥有超过全网50%的算力,就可以创造一条长度长于原始链的链,俗话说“最长链获胜”。在他控制算力的这段时间,他可以将区块逆转,进行反向交易,实现双花。

嘉宾张寿松:这两种投资总的来说是大同小异,也是要看团队、看商业模式。但是区块链投资的节奏明显更快。区块链估值现在没有一个完整的、成熟的标准,不像传统投资,A轮、B轮、C轮,要看数据。

我之所以会这样说,是因为想表明:安全这东西,有时候太神秘化不好。

在研究过程中我们发现了P2P拒绝服务的漏洞,发现并验证这个问题之后,我们也进行了负责任的披露,将问题提交给EOS官方,同时也申请了CVE。

比如,攻击者在主链A链中进行一笔交易,交易被确认后,攻击者立即卖掉token,拿到现金。随后,由于控制了51%以上的算力,攻击者在分支B上进行挖矿,让B链的长度超过A链而成为主链,A链上的交易就会被回滚,从而实现双花。也就是说,攻击者之前换成现金的那些token又回到了自己手里。

阁主大于:给我感觉是,区块链项目给机构投资者的窗口期好像越来越短了。

阁主大于:哈哈,有点感受到安全问题的本质了。

CVE-2018-11548 EOSIO P2P 拒绝服务漏洞:

以及这次事件对市场和以太坊有何影响!

嘉宾张寿松:好的区块链项目在估值的话语权会更大,投资的时间窗口也是极短的。

面对如此错综复杂的区块链安全形势,我们目前掌握的相对比较有效的应对方式有哪些?

威尼斯官方网站 23

阁主大于:是的,看来“快”不仅是对项目的要求,对投资人也是一样。我这里再加一个追问,您刚才说好的区块链项目既要快,技术还要好,这两者之间是不是存在一定矛盾?

这个问题很重要,所以追问有点多哈。

在EOS官方修复这个漏洞后,我们才在社区披露漏洞的细节和安全问题。这是我们所做的负责任的披露工作。

对于目前本就处于熊市的市场环境来说,消极影响肯定是有的,尤其是对于以太经典的持有者来说,影响相对较大,但是对于整个币圈来说也没有什么了,目前大熊市的行情下一不小心行情一下来个大瀑布一跌就是20%-30%,更有甚至就是直接腰斩,该走的韭菜大多数都割肉离场了,或者就是空仓观望的,所以是对于这些人来说这次双花攻击造成的接近10%的跌幅算不了什么,尤其是留下来者群铁头韭菜来说,只是对用户,和刚进入的小白投资者来说,这确实是一个不小的打击,主要对安全和信任上的怀疑。

嘉宾张寿松:比如我在投一个项目的时候,中午跟他们刚聊完,晚上确定要投的时候,已经没有额度了。

嘉宾慢雾余弦:最好的应对方式是:提高安全感,把安全去神秘化,把黑客去神秘化。

拒绝服务漏洞的根源是由于默认的P2P链接数上限是25,同时没有对来源IP进行唯一校验。这样攻击者就可以使用同一个IP来发起成千上万的连接去占满超级节点的连接数。

对于以太坊来说影响就更小了,就像我在之前一篇文章《以太坊的硬分叉升级能否给以太坊带来第二春》中说的一样,以太坊终极版本2.0出来也是和POW共识机制没有什么关系的了,更何况无论你采用算力还是权益、委托权益证明,只要你要解决拜占庭将军问题,只要这是共识问题,你都无法避免出现 51% 攻击情况。51% 不一定要求严格超越这个比例,看你的共识实现机制。在熊市,算力大跌,币价大跌,主网都是相对脆弱的,没有哪条公链可以独善其身。

阁主大于:这窗口期也实在太短了点。

阁主大于:在区块链世界里,意识、共识永远是很重要的。

3.2 EOS超级节点安全

所以说,以太坊还是像我之前文章中说的一样,短线的早就可以走了,150美刀以上个人觉得以太坊硬分叉利好就用的差不多了,当然后面也有肯由于各种原因和消息接着涨上去,但是个人觉得1月16号硬分叉升级的利好差不多用完了,当然如果你做的是长期价值投资,方法是定投,时间是打算知道拿到下一轮牛市出现的话,个人觉得,目前市值前六的币种里面价格风险都不是太大的。

嘉宾张寿松:肯定是存在矛盾的。

嘉宾慢雾余弦:有句话:无知者无畏;其实,知者更无畏。

我们针对EOS共识算法以及节点的配置出具了一份《EOS 超级节点安全执行指南》,在RPC安全、配置安全、网络安全、DDoS 防御和主机安全以及威胁情报方面进行了深入的研究思考,并且整理了这样一份安全执行指南输出到社区里:

以上都是个人观点,当然我说的也不一定是对的,或者漏洞百出、仅仅是个人的经验和一些建议,仅仅作为学习和了解参考。不构成任何投资意见,同时我欢迎大家随时留言沟通交流和各抒己见!大家互相学习共同进步。

阁主大于:不过也差不多,链圈一天,人间一年,半天的时间也相当于过了半年了,哈哈。那您在面对这种矛盾的时候,怎么去做判断?怎么去选择一个较优点呢?

慢雾的做法是开放:我们的安全做法、我们的安全理念,来自区块链,最终得回到区块链,你说的:共识。

EOS 超级节点安全执行指南:

由于我对区块链的了解,我为大家总结准备了500份区块链白皮书、区块链行业词典、公链项目大盘、技术波段看线等优质免费大礼包。联系微信:hyrik2020,免费获取500份中文版区块链白皮书:其中BTC、ETH、EOS、ont、HT、BU、PAI、ADA等(了解数字货币价值的核心因素)。还有李笑来老师最新书籍《韭菜的自我修养》电子版免费送!

嘉宾张寿松:看一个团队的技术肯定不是看它的技术已经完成了,而是看它的背景和实力能够达到怎样的一个技术高度。

阁主大于:您说的这句话我认为很重要,可否再多解释几句?(慢雾的做法是开放:我们的安全做法、我们的安全理念,来自区块链,最终得回到区块链,你说的:共识。)

最后还是那句话,2018年是区块链发展元年,2019年区块链的发展趋势会更倾向于落地和与传统行业结合,让更多数然人们想感受互联网一样感受到它的存在。所以不希望大家一次次的错过风口。你将会像当年错过互联网时代、错过电商、错过微商时代一样,再一次错过整个区块链时代。

阁主大于:明白了,看预期水平和执行力,这个逻辑非常具有启发性。今天晚上干货不断啊。

群友厂长:基于共识慢雾愿意做白帽,也服务于共识。所以才叫来自区块链,也回到区块链。而且开源精神和共识本就是同根同源。

同时我们也提供了一份安全审计方案以供节点来进行自我审计,校验自己节点的安全性:

写文章总要有结束语,最后用一段话来做结束语:

嘉宾张寿松:对的,是看潜力。

嘉宾慢雾余弦:比如,我们在我们官网开放了我们安全审计的一些做法,还有不少,我们都会陆续更新。

EOS 超级节点安全审计方案:

1、关于区块链发展:短期是底层技术,中期是应用场景,长期是改造社会。

阁主大于:愈发感觉区块链投资具有很独特的魅力,不过总体上感觉和天使投资更像一些。时间关系,我们进入下一个问题,

再比如,我们重度 GitHub 使用者。我们在我们的GitHub上公开了很多解决方案与研究,你们回头可以看看。我们觉得安全这东西一定要首先解决信任这个大问题、

2、关于区块链参与各方:币圈看到流量,链圈看到共识,玄学圈看到革命。

Q5

阁主大于:很深刻,这些都是很宝贵的资料哎,之后我们还要仔细研究和学习。

3.3 EOS 智能合约安全

3、关于区块链怎么改造社会:短期是通证和激励,中期是货币和经济,长期是社会。

阁主大于:第五问,今年以来,杭州、北京先后成立了区块链产业基金:4月9日,杭州成立了百亿雄岸区块链创新基金,该基金总规模达100亿元人民币,每一期基金规模为10亿元人民币。5月19日,北京区块链生态投资基金已经正式启动,基金规模达到10亿人民币,旨在创建北京地区首家专注无币区块链应用投资的引导基金。此外,各个地方政府都出台了区块链产业扶持政策,建立区块链产业园。您对这些扶持政策哪些建议呢?怎样才能加快地方区块链产业的发展?

嘉宾慢雾余弦:如果我们的客户、我们的伙伴对我们不信任,他们不会和我们合作。如何解决信任:1. 开放开源;2. 口碑传播。

在EOS主网启动之后,会有越来越多的DApp开始在上面运行,那么EOS智能合约安全也会是我们关注的重点。

4、关于应用落地:前期是比特币和炒币工具,短期是公链,中期是轻应用,长期是去中介化场景。

嘉宾张寿松:这也看出地方政府对区块链技术的支持,但真正要推动区块链技术的落地,仅仅是从建一个物理的园区上还是不够的。

阁主大于:精辟!基本有些感觉了。

EOS合约在溢出及权限设计方面和以太坊是类似的。在规避溢出方面,C 也提供了一些基础的函数库来规避溢出。

5、关于炒币:长期看人口,中期看供求,短期看监管。

阁主大于:除了园区之外,还需要从哪些方面推动呢?

Q2

EOS智能合约我们也在不断地进行研究和实践,以后还有更多分享带给大家,敬请期待。

6、关于区块链本质:一边是技术,一边是通证,一边是社区,链币社区不分家。

嘉宾张寿松:但行业毕竟是处于早期,从技术到政策都没有一个规范。

阁主大于:第二问,国家信息技术安全研究中心主任俞克群曾表示,目前区块链还处在初级阶段,风险不仅来自于外部有意的恶意攻击,也有可能来自区块链本身体系内生的原因。我想问,区块链本身体系内生风险源是什么?区块链技术本身存在安全缺陷吗?

7、关于技术模型:短期看共识机制,中期看操作系统,长期看DAPP生态。

阁主大于:是的,很多诸如行业标准编制等基础性的工作还在逐步开展中。

嘉宾慢雾余弦:说实话这个问题上下文我没了解,区块链技术本身当然存在安全缺陷呀。没绝对的安全,这也算是我们做安全的基本共识。

8、关于通证模型:短期看发币上市,中期看总量机制,长期看生态使用,终极看通证经济体的参与各方利益平衡。

嘉宾张寿松:我也走访过很多地方园区,跟他们沟通过,政府除了资金支持和办公场地支持外,也很难做出其他的一些支持政策。大家都处于探索期。回答完毕。

阁主大于:能不能把区块链本身的安全缺陷再讲一讲。虽然我想很多朋友可能有所理解,但是理解的有很有可能有偏差,或者不到位。

9、关于社区治理:短期是自发自理,中期是社区政治,长期是代码法治。

阁主大于:对于区块链这样的新经济产业,硬件层面上的扶持虽然有一些作用,但是好像效果又不够充分。我也做了一些调研,感觉政府对企业周到服务这样的软性扶持,虽然看起来并不会那么轰轰烈烈,但是确实能帮助企业有效的提升运行效率,反而对企业有非常大的吸引力,这方面好的经验确实需要进一步总结。

嘉宾慢雾余弦:好的,我找个我之前发的文字片段,稍等。研究区块链安全的可以参考以太坊漏洞赏金计划。

10、关于通证社区经济体:以前是公司制,现在有非盈利组织,以后是通证社区,终极是人的自由联合。

非常感谢寿松总的精彩回答,干货不断,非常精辟,我也受益良多。下面有请另外一位阁主@大象 继续提问。

里面对安全的分类有:

嘉宾张寿松:谢谢于博士。

- 协议安全

阁主大象:好的,我继续,接力。

- 实现安全,包括:

Q6

  1. 客户端协议实现安全

  2. 网络安全

  3. 节点安全

  4. 客户端应用安全

  5. 算法使用安全

  6. Solidity 语言安全

  7. ENS 安全

阁主大象:第一问,FCoin是今年交易所的一匹“黑马”,凭借交易挖矿、持币分红的激励模式,它仅用了半个月的时间就登顶全球交易量排行榜第一,FT的价格在一个月内上涨了百倍。众多交易所纷纷模仿交易挖矿模式,币安、OKex、火币也纷纷出台应对措施。您怎么看待FCoin的交易挖矿模式?交易所通过交易来赢取暴利的时代是不是要一去不复返了?怎么看待去中心化交易所的未来?

然后还有不少已经披露的案例可以供参考,拿到赏金不是件难事。这是我们看到知名公链以太坊这个区块链本身的安全缺陷类型。供参考,细节可以回头细聊。

嘉宾张寿松:交易平台这几年来一直尝试各种创新,其实平台币分红的模式在2014年就有平台做过,但是在法律合规上还是一个问号。我觉得这种创新是交易平台很好的冷启动的方式,但最终还是要回归商业的本质,为用户创造价值。交易量排名第一不说明任何问题,如果想,一个平台可以用各种活动让交易量冲到第一,但这种交易量可能多半是虚假的交易,或者是为了交易而去交易,并不产生实际的商业价值。

阁主大于:对于安全问题,专业性很强,您觉得,对于一般的区块链从业者而言,应该学习关注到什么层次?

关于“交易所通过交易来赢取暴利的时代是不是要一去不复返了?”,任何行业除了垄断性企业都很难有持续的暴利的时间窗口,从2013年到2016年,交易平台由于竞争的原因,大部分平台连交易手续费都免了。所以不管是现在还是未来,竞争会让交易所利润越来越低,服务越来越好。去中心化交易平台和中心化交易平台还是各有优势的,各有各的用户群体。未来这两者将是并存的。当然,去中心化交易平台更符合区块链的分布式理念。这一问回答完毕。

嘉宾慢雾余弦:一般的区块链从业者,保持空杯心态吧,至少能保护好自己的私钥。

本轮熊市周期会比2014年短一些,慢雾洞若观火。阁主大象:中心化交易平台会最终消亡?

阁主大于:哈哈,这个建议很中肯,不过做到也不那么容易啊。

嘉宾张寿松:不会,各有各的用户群体。

嘉宾慢雾余弦:技多不压身,大家会看到越来越多攻击手法被披露,至少保持理解为什么会这样。比如前面说的以太坊黑色情人节事件,为什么为什么为什么会发生?

阁主大象:没有政府的原因?

阁主大于:是的,这个概念的理解还是很重要的,即使不能从代码层面理解,也要有这种意识,不过好像学习起来真的挺难,没有看到相对通俗但又权威系统的学习材料。

嘉宾张寿松:很多国家都已经制定了交易平台的规范,比如日本颁发了牌照。

嘉宾慢雾余弦:本质就是以太坊全节点的私钥机制与相关端口开放的综合攻击手法的工程化问题……

阁主大象:这种规范更有利于中心化交易平台发展?

有时候深入挖掘会发现这比魔法还魔法,难怪黑客容易被神秘化。

嘉宾张寿松:对啊,这种规范就是针对中心化交易平台的。

阁主大于:虽然之前做了很多功课,但是看这个概念,说实话还是不太明白。

本轮熊市周期会比2014年短一些,慢雾洞若观火。阁主大象:是否反而抑制了去中心交易平台的发展?

嘉宾慢雾余弦:确实术业有专攻,有门槛。

嘉宾张寿松:不会的。

阁主大于:我觉得以后真的有必要搞一些通俗易懂的区块链安全科普材料,至少让大家有基本的认识,才能达成共识。

阁主大象:好的,我赶紧第二问。

Q3

Q7

阁主大于:第三个问题,历来人们都对拥有超能力的人有更多的质疑,能力越强责任越大,在区块链世界,慢雾科技其实上可以认为是有“超能力”的公司,我想知道,你们是如何约束自身的“超能力”的?有哪些不可违背的行事原则?除了观念和文化上的约束,慢雾科技对内部成员有怎样的实质性约束?

阁主大象:FCoin最近宣布开启币改试验区,支持传统企业或互联网企业进行通证化改造。参与“币改试验区”的元道、孟岩发文表示:“互联网和传统企业通过“币改”,将自己的一部分或者全部业务按照通证经济的思路和模式重构,这将成为一个大趋势,任何人也无法阻挡。”然而,也有参与过币改的业内人士表示不看好币改,传统企业盘根错节,想要推翻旧的利益分配机制很难。您投资过币改项目吗?认同这是大趋势吗?该如何解决旧的利益分配机制的难题?

嘉宾慢雾余弦: 有必要,这问题真好啊!

嘉宾张寿松:我不认同“币改”这个说法,我投的就是区块链的项目。你能说互联网公司是“网改”公司吗?

我觉得这首先是价值观问题了,我们是职业做安全,过去十多年,圈子是有口碑的,而且我们很明白该遵守什么规则,比如我们国家有网络安全法。

阁主大象:有道理。那么正确的说法是什么呢? 

我一直给团队共识我们的红线,我们在招人时尤其注意这个,价值观是第一需要考虑的,然后才是其他。还有,我们也和公安相关部门有合作,在自我约束这方面,我们非常严肃。

嘉宾张寿松:一个商业模式是否适合用区块链,这是由它的商业本质决定的。

我总说:确认过眼神,我们一起干事,还不止确认过眼神。

阁主大象:我更正一下我的看法,我个人认为是存在“网改”的,互联网作为底层技术确实改变了大多数行业,正因为有了互联网,才有了那句著名的话“任何行业都值得重来一遍。”所以,“币改”是否可以准确的说是“链改”呢?

我也总说:守正出奇。比如,黑客这个身份,自带奇……

嘉宾张寿松:币不是代替股权的一种东西,不是所有的公司都要用区块链技术。

但是你得守正,价值观一致,还得敬畏法律,敬畏规则。

阁主大象:恩,落地场景也是有限的。

群友厂长:好纯洁。

嘉宾张寿松:这不叫“网改”。“币改”这个词更多是源于“股改”。

阁主大于:文化 制度 监管。

Q8

嘉宾慢雾余弦:不,纯洁这个词不适合我们。

阁主大象:嗯,我继续我的第三问,最近火币HADAX超级节点修改规则引发了一些Token Fund的强烈不满。一些曾经被币圈投资人嘲笑为“古典投资人”的传统基金成了常务节点,而节点资本、Dfund、BlockVC等币圈“新富”被“发配”到了只有申请制且面临着末位淘汰风险的优选节点。有人说这是new money和old money之间的一场战争。在您看来,跟过去相比,传统投资人和区块链投资人过去泾渭分明的界线是否有所变化?双方在区块链的关注领域和投资标准上有何不同?区块链投资领域是否存在一条隐形的鄙视链?

阁主大于:守正应该是出奇的前提。那让您选一个词来描述慢雾,你会选择什么词?

嘉宾张寿松:就像上个问题一样,不存在传统公司与区块链公司之分,我认为也不存在new money和old money之分。传统公司应用区块链技术和新区块链公司,就像传统VC投资区块链和新兴资本投资区块链,我认为是一样的。

威尼斯官方网站,嘉宾慢雾余弦:好吧,想不到。

阁主大象:概念的界定在于源头不一样吧?

阁主大于:其实如果让我来想的话,好像也没有比“守正出奇”更加合适的词了。

嘉宾张寿松:站在更长远的角度来讲,新到晚到,其实都是从业者。这种所谓的“鄙视链”毫无意义。

嘉宾慢雾余弦:是这样,我们也不会提白帽这个词。

阁主大象:确实,殊途同归。

阁主大于:白帽这个概念已经越来越深入人心了。

Q9

嘉宾慢雾余弦:我们有我们的行事准则,确实,守正出奇是最合适的形容。

阁主大象:第四问:今年数字货币交易市场走入了熊市,比特币市值从今年以来下跌超过50%,您作为经历过数字货币周期的投资人,如何评价目前所处的数字货币市场?何时将走出谷底?

Q4

嘉宾张寿松:我认为所有资本在区块链的投资领域,都是一视同仁的。不需要看过往的历史、年龄、资历。谁在这个行业里投出了好项目,谁就是优秀的投资者。

阁主大于:第四问,您曾经说“这个社会不存在完美的去中心化,不存在乌托邦,去中心化 中心化才是区块链落地的真正未来。”您认为完全的去中心化不可能吗?去中心化 中心化指得是一种新的共识机制,还是一种治理机制?

阁主大象:不管白猫,黑猫,抓住老鼠就是好猫:)

嘉宾慢雾余弦:嗯。完全去中心化不可能,因为人性,我高中就看《自私的基因》,里面描述了人性非常底层的本质行为:利己与利他。

嘉宾张寿松:周期性是非常正常的。但这次的周期应该会比2014年的熊市会短一些。

阁主大于:能再具体解释一下吗?

阁主大象:这句话对新入者应该是个安慰……

嘉宾慢雾余弦:区块链落地的真正未来,其实,我并不觉得区块链技术有什么需要特别去强调的,我们应该看人类的未来,比如生产关系与生产力,大趋势来看(不考虑黑天鹅事件),生产关系肯定是越来越好(比如区块链技术让信任成本尽可能降低),生产力越来越强。

嘉宾张寿松:2013年的行情是比特币的价格主导的,2017年的行情有更多层面技术的创新。2014年价格的下跌让很多人觉得比特币可能是个骗局。但今年,大家还是相信区块链技术的长远发展。

区块链并没什么特别,就好像我一直说黑客没什么特别。我想表达的是:我们不必过于强调。对了,别忘了:区块链可不仅仅是技术,还有经济和政治。

阁主大象:也就意味着前景相对更为乐观。

阁主大于:我很同意,技术永远是中性的,只能推动既有趋势而不能根本改变。

嘉宾张寿松:时间我就不预测了。

所以说,技术只能强化原有的产业逻辑和趋势,比如如果能通过分布式协作增加效率,那使用区块链一定是很好的。但是恐怕不能用技术凭空创造出来不存在的趋势。

Q10

好,我提问的部分就到这里。接下来请另外一位阁主大象提问,也就是要从一本正经切换到轻松愉快模式了。双阁主的模式,嘉宾很辛苦,观众很嗨皮。

阁主大象:好的。第五问,说说比特币。 去年芝加哥商品交易所和芝加哥期权交易所纷纷推出了比特币期货交易,在数字货币市场不景气的情况下,对于投资者来说如何利用衍生工具进行投资和保值增值?此外对于币圈新进入者和数字货币持有者分别有哪些方面建议?

Q5

嘉宾张寿松:对于投资新手来说,一句话:“别玩期货”。

阁主大象:我是一名观察者。

阁主大象:言简意赅呀,哈哈哈。

作为观察者,我观察到您有一条发在朋友圈的信息:“我们说慢雾无对手,有投资人估计当我们神经病,现在这个环境,没点格局及想象力还真就别出来做事了……不用给我们假设对手,小龙虾都没吃过两顿的你觉得能谈出个鬼?一个电话就自以为无敌的,不见……”这句话的感觉,不好说低调,更像是在说“燕雀安知鸿鹄之志”,所以你觉得如果要成为你的对手,需要哪些条件?

嘉宾张寿松:期货虽然作为一个成熟的金融工具,但它更适合套保的需求和专业投资者投资的标的。

嘉宾慢雾余弦:得罪人。

Q11

阁主大象:不会得罪人的,因为对手可能还没诞生……

阁主大象:时间比较紧了,最后一问,李笑来的录音曝光了自己的“成功秘笈”,称“如果你随波逐流地认为价值投资是对的,那你注定是个傻逼平庸的人物。”币圈造富神话的逻辑成了“做网红圈粉丝再发一堆垃圾币销售给他们”。您觉得再这样下去,“劣币驱逐良币”的现象会不会越演越烈?对于未来的监管政策,您有什么建议?您也经常被一些项目方“站台”,有什么话想对那些项目方说吗?

嘉宾慢雾余弦:这句话其实有当时的心境。

嘉宾张寿松:在一个行业的初期,必然有很多不规范的时候。2010年团购网站火热的时候,也有很多团购网站卖假货。不论监管如何,市场也会大浪淘沙,用户也会逐识别优质项目。我认为行业会趋于规范和理性。

这个生态才刚开始热闹,就天天喊打喊杀的,任何事业想做好都需要有个马拉松心态。

我也真诚地呼吁所有从业者,踏踏实实做事,不要靠弄虚作假,谎言始终会被戳穿的。

火讯财经创始人龙典:最近看了一个电影:《我是谁:没有绝对安全的系统》感觉黑客特别厉害。

阁主大象:是的,是骡子是马,最终都会显型。

嘉宾慢雾余弦:慢雾的使命是给这个区块链生态带来安全感。愿景前面也通过了。慢雾是个慢格调的公司,不喜欢竞争。

火讯财经主编赵一丹:感谢两位阁主,感谢今晚嘉宾的精彩回答。

《我是谁:没有绝对安全的系统》这部电影拍的不错。

群友刘韩:知道创宇、armors应该在行业都是比较领先的吧。

嘉宾慢雾余弦:知道创宇是我老东家。我在老东家做了9年安全,负责安全能力。是的,他们很强。我觉得区块链生态有它极大的魅力,可玩性其实很高很高,现在谈对手,太早。

Q6

阁主大象:刚才有讲到要去神秘化,我们知道暗网是最神秘的组织,匿名交易者在这上面交易毒品、假身份证、火药还有黑客软件等被法律禁止的物品。 人们通过加密的隐身软件才能进入这个普通搜索引擎不能发现的空间,一切交易都通过执法人员监管不到的虚拟货币隐秘进行。可以给大家科普一下,你们所认识的暗网吗?

嘉宾慢雾余弦:暗网其实是个很泛的概念,里面有太多大大小小的组织或个人,霍炬这篇科普文章:写得很好,推荐之后看看。

我题外话说下地下世界现在最有意思的我觉得是门罗币,但是这个题外话回头可以再展开。

阁主大象:讲讲嘛,不要吊大家胃口……

嘉宾慢雾余弦:门罗币不小心创造了个网络和平世界,因为其CPU/GPU算力友好,对抗职业矿机(比如ASIC芯片)。且门罗是最早的一批,算是匿名币的龙头。地下黑客入侵大量服务器,以前是勒索、窃取机密,现在大规模做CPU挖矿。比如一段代码:(由于代码太长……已略)

阁主大象:这是科普……

嘉宾慢雾余弦:这里的蠕虫修补了相关漏洞入口,杀掉了蠕虫对手,安全加固了相关机制,然后它仅挖矿……不少企业入侵事件的发现不是因为发现蠕虫,而是发现服务器或主机卡了……这些蠕虫挖的主要就是门罗。

这样的挖矿收益高呀,更好的蠕虫还会合理利用服务器资源,让你还不一定发现得了。好了 先科普这点。

阁主大象:挖门罗币?感觉诡异,换个话题。

嘉宾慢雾余弦:嗯,很神奇的世界。

Q7

阁主大象:说回您自己,6月28日晚间,慢雾科技在官方微博上表示,发现交易所在进行USDT充值交易确认时存在逻辑缺陷,导致“假充值真交易”。对此,okex和 LBank等平台相继做出回应表示,他们已针对该漏洞做出了排查,两家平台均不存在以上漏洞;但由于LBank无法保证其他交易平台及USDT 整体的安全性,所以决定暂时关闭USDT充值。

目前该事件有什么最新进展?慢雾最近又发现了哪些新型且隐秘的攻击手法?

嘉宾慢雾余弦:关于 USDT “虚假充值”的事件,目前许多交易所也都发了公告声明说不存在该问题了,存在该问题的交易所也都获取了情报在第一时间修复了,目前应该已经不存在此问题了。

我们披露的基本都是已经有攻击事件发生的,而不是一个单纯的漏洞,单纯漏洞没意思。

当时我朋友圈发了段文字:我们一般不披露那些还没出现攻击事件的情报。比如单纯漏洞这玩意,挤挤总会有的,多重磅都可以搞个出来,没什么好说,但只要是事件,就代表已经发生,披露我们尽最大努力走负责任路线。我们在给甲方做安全时,会全面带入我们的情报网络,这种价值,似乎还不好量化,但懂的人,会很感激我们。

其实我们发现不少隐秘攻击,有些还不是时候披露,我们一般是先通知合作方,修复后,再想办法合理披露。

比如这个 #预警# 新型攻击手法披露:以太坊黑色情人节事件里已经出现的隐蔽攻击方式!

一次次颠覆许多人的认知。这个过程挺有趣的,就像破案,抽丝剥茧……但是你们知道,不是什么都可以立马公开谈,因为即使我们看看本群500人,有攻击者吗?你们觉得?你们回头加我微信,你又能知道我就是我?

群友币圈小吴:问题以后越来越多。那么实际上,中心化也未必是坏事。

阁主大于:细思极恐。

Q8

阁主大象:这让我想起早前比较大的新闻,今年年初日本CoinCheck交易所被盗近5亿美元的新经币(XEM),当时新经币的开发团队开发了自动标记系统,用来追踪所有CoinCheck被盗资金。但是,最终被盗的新经币还是被黑客清洗干净了。安全已然成为区块链行业必须重视的话题,那么区块链企业自身应该采取哪些措施应对高发的区块链安全问题呢?

嘉宾慢雾余弦:建议其实好多,简单说几个:1. 做好各方面的安全加固;2. 找专业团队做安全审计,把专业的事情交给专业的人来做;3. 共同促进生态安全。

阁主大象:刚才我问了第八问,再追问一句,号称是可以追溯来源的加密货币真的没有办法将这些“赃款”锁定吗?

嘉宾慢雾余弦:不一定,比如智能合约代币如果加了锁机制,那可以,但这样你们不觉得很可怕?项目方权限也太大了吧?

阁主大象:这就是两难悖论。

Q9

阁主大象:EOS主网上线前夕,360安全团队公布了EOS的“史诗级”安全漏洞,我们当然相信360团队认真负责地公布漏洞的态度。但是部分EOS支持者却认为360做空EOS,周鸿祎借势入局。我想请问余弦先生,作为一个拥有“超能力”的黑客,一个“守正出奇”的黑客,在区块链行业从事安全工作遭遇过哪些非议?其中您最不能容忍的指责是什么?

嘉宾慢雾余弦:好问题。非议多得很,比如前面说的以太坊黑色情人节事件,我们披露后,有人就留言我:你们盗了不少币了吧?披露是不是想混淆视听?你们为什么不盗币,披露干什么...

我们没什么不能容忍的,因为我们深刻明白这个世界就是如此;-)

两本好书:《自私的基因》,《乌合之众》。

阁主大象:哈哈哈,宽恕。

嘉宾慢雾余弦:没什么问题是一顿小龙虾解决不了的,如果有,那就两顿。

阁主大象:可以,天天来。我最不能解决的问题是小龙虾为什么要去壳,这么麻烦。

Q10

阁主大象:那继续我的第10问?慢雾现在遇到的几乎所有智能合约的安全问题都是以太坊上的。最近这段时间频繁地有团队爆出智能合约安全问题,例如早期从BEC、SMT爆出的问题,还有最近EDU、BAI的问题。团队该如何做好风控呢?

嘉宾慢雾余弦:很聚焦的问题,安全最佳实践早有了,然后上线前请职业的安全团队做个安全审计,不费事。以太坊智能合约 —— 最佳安全开发指南。

这里,别偷懒,回头认真看。

Q11

阁主大象:第十一问,这是我的个人爱好,以权谋私一下。我也很喜欢看《三体》,对水滴印象很深,水滴既是监视者又是攻击者,让人细思极恐。在区块链的发展中存在这样的角色么?

嘉宾慢雾余弦:偶尔,我之前反驳过一个人:你对力量一无所知。这也是我们常说的:上帝视角。凡事都得看具体场景。

阁主大象:补充一句,在我问慢雾科技是干什么的时候,有人回答我,慢雾既是监视者又是守卫者……

嘉宾慢雾余弦:谢谢。

阁主大象:一共十一问,OK,我的问题结束。

嘉宾慢雾余弦:慢雾背后有一支 Red Team,以攻促防,只有了解攻击者的手法与心理还有这个群体的生存模式,才能真正做好防御。

自由提问环节

群友:请问,现在交易所那么多 如何看待越来越多的新交易所 至少安全角度而言,会不会只是个空架子?

嘉宾慢雾余弦:安全角度,我们觉得这个生态没谁是漂亮的。但是,相对优质的是有的。而且我们也发现,其实普遍来说,区块链生态里大家已经把安全当成必选项了。

群友:能承受这么大的DDOS攻击和数据量吗,竞争对手恶意攻击让这个生态更混乱了还是清楚劣质交易所呢?

嘉宾慢雾余弦:客观说,绝大多数安全性堪忧,挡不住职业攻击者。整体来说一切的生态发展都是从混乱到正规。

未来可期。我建议大家搞好自家安全时,也多促进整个生态的安全感,这方面需要一些共识。比如:1. 不夸大恐吓式宣传;2. 不拿安全当黑公关能力去踩对手。大家共同努力吧,也欢迎监督我们。谢谢,我准备吃小龙虾去了……

群友:问一个可能比较冒昧的问题:慢雾目前是运动员还是裁判员呢?会不会将来两者都会牵涉呢?

嘉宾慢雾余弦:啊,好问题。

我们努力做好区块链生态安全这一件事,我上面说的内容,也欢迎监督。我知道中立其实很难很难很难,但是我们努力。

威尼斯官方网站 24

本文由威尼斯官方网站发布于威尼斯官方网站,转载请注明出处:本轮熊市周期会比2014年短一些,慢雾洞若观火

上一篇:威尼斯官方网站去中心化交易所和交易所协议, 下一篇:没有了
猜你喜欢
热门排行
精彩图文