文章来源:区块链大本营作者:吴家志编辑:韩依依
存在安全隐患的区块链生态自然成为黑客眼中的香饽饽,近年来,一系列安全事件层出不穷,波及范围和资产损失数额也不断增加。区块链行业的安全问题也愈发引人注目。
DVP,全称DecentralizedVulnerabilityPlatform(去中心化漏洞平台),作为全球第一家去中心化匿名众测平台,连结区块链厂商、安全公司和白帽子等社区参与者,共筑区块链生态安全。
8月9日晚,PeckShield研发副总吴家志在区块链大本营安全分会群中,为大家分享了一些DVP相关技术知识。
吴家志,美国北卡州立大学计算机博士;PeckShield研发副总;原360C0RETeam创始成员,并担任团队负责人;原360超级ROOT产品负责人;内核安全专家。曾发现多个有重大影响的安全漏洞,多次荣获谷歌、高通、华为等厂商致谢;目前专注于区块链智能合约安全以及数据分析。
以下内容为吴家志在安全分会群中的语音分享实录,由区块链大本营整理发布,有删改。希望对你有所启发。
我从2013年开始研究安全相关的问题,主要面向安卓手机系统,至今已经给厂商曝过上百个跟安卓相关的漏洞。这其中我们碰到过不少问题,比如说,有一些手机厂商可能根本联系不上,也可能厂商并不觉得这是一个安全问题,或者他不了解你描述的问题、不知道怎么去修,也可能没有多余的安全人员。
这些问题恰恰体现了漏洞平台的必要性。一方面,漏洞平台能够理解白帽子,包括对问题的描述,和它的危害程度;另一方面,它也可以协助厂商定位问题,配合修复bug,来保证整个系统的安全。
区块链下的安全需求
区块链方向的安全问题,与其他系统安全问题有很大不同。
平常我们经常见到的漏洞,像手机提权或者信息泄漏等,可能会造成你的隐私、照片被泄露。再严重一点,比如说手机里的支付宝、微信钱包的密码被泄露,就会造成金钱上的损失。不过,像支付宝和微信这种中心化的权威机构,还是有办法可以把你的钱找回来的。
但是在区块链中就是另外一种场景了。比如说你在交易所里面的密码被人改了,或是偷渡漏洞,你运行的一个全节点意外把控制接口绑定在0.0.0.0而不是localhost,那么别人只要扫到你这个host,而你刚好解锁了一个账户,他就可以把你账号的钱直接转走,这就跟钱直接丢了没什么两样。
而这种情况下,并没有中心化的机构可以提出申诉,也没有办法把你的钱找回来。所以说,区块链的这种场景中,由安全问题造成的危害极大,因此我们对安全也有着更高的需求。
据我们统计,截至18年6月止,针对数字资产的攻击,累计已超过一百次,直接造成经济损失高达三十三亿五千万美元。上千家交易所,流通数字货币超过一千六百种,其总值在三千五百亿左右。
我们分析,2017年安全事件的迅速增长,可能跟各种代币的价值提升,对应的交易所大量出现有关。进入2018年后,数字资产相关的安全事件也在以更夸张的速度增加。
而这种针对数字资产的安全事件,比如密码丢失、偷渡漏洞等,除了直接损失某些代币或是财产之外,还可能因此影响到市场的行情。比如说之前360找到EOS的史诗级漏洞并公开后,EOS代币价格随之瞬间暴跌。更经典的是四月份的美链事件,瞬间蒸发几个亿。这些都是这种安全事件的影响。
安全服务现状
区块链下到底有哪些安全需求呢?这里我们可以总结为以下四个方面:
智能合约审计方面的安全需求公链项目代码安全审计的需求运行公链软件「节点」的加固需求节点渗透测试的需求安全圈子就有一句话:攻击只需要一个点,防守你要做一个面。现在全球有超过一万个区块链项目,但是能够提供安全服务的公司还不到五十家。所以说,要想找到一个公司可以覆盖所有的攻击面,把整个防守做起来,其难度可想而知。
供需不平衡:一万多个区块链项目,却只有不到五十家公司能够提供安全服务;且每家公司擅长的点不同。
防守难度大:攻击可能涉及到的面非常广,所以防守时务必要做到非常全面的检测。攻击只需要一个点,防守你要做一个面。单一的公司来做这件事其实也是非常困难的。
服务单次性:这也是持续性的问题。安全公司给你提供的服务,或者说你购买的安全服务,往往都是单次性的,也就是说,它只帮你检测一次。比如说厂商要发布某一个版本代码,安全公司可以针对这版本做一次审计,做一次渗透测试,但并不能预测新的问题会出现在哪里,它可能是一个0day,没有人知道,但可能在一个月之后出现。等你知道的时候,已经被攻破了。所以这个持续性的问题,我们也希望能够通过漏洞平台来解决。
安全众测模式
刚刚我们铺垫了一下整个区块链中各种项目的安全需求,和对应安全服务提供方的情况。在目前整个生态里面正处于一个比较不平衡的状态。所以我们认为,其实区块链的项目非常适合一种模式,叫做安全众测模式。
简单来说,这个模式其实就是把你的项目提交到一个平台上面悬赏漏洞,让全球的白帽子或者说是安全工程师、安全专家去找到问题,来获得对应的奖励。
首先它具有人数优势。在平台上会有很多人同时帮你测产品,相比单一公司的某个团队在人数上肯定具有优势。并且,因为他是一个并发的状态,全球的白帽可能都在这平台上,通过平台可以二十四小时多人同时帮你检查这些问题。不同的人擅长的点也不一样,平台上作出的漏洞报告覆盖的面就会很广。
那对于厂商项目方来说它的好处是什么呢?
一是节省费用。在这种漏洞平台上基本不用花钱请人帮忙测试。因为测试本身是不用付钱的。而是要找到问题之后,才可能需要给予对应的奖励。
二是持续性。因为你可以长期悬赏你的某些产品,比如在某个网站,如果找到某个等级的漏洞,能够有多少的奖励,平台上的白帽将会长期监控这个网站。
这样的平台其实不是DVP发明的。像这种第三方众测平台,其实以前就有。国外比较有名的是HackerOne。国内也有补天,乌云这样的平台。
前面提到厂商可以通过这种悬赏,漏洞奖励计划,让自己的产品更加安全,这个也不是新的发明的。之前像facebook,microsoft,google,还有像以太坊,EOS这样的区块链项目其实也都使用这种悬赏的方式,让大家找到问题,然后给予奖励。
到这里我们就讲完了「众测平台」大体的一个概念,以及为什么我们说,尤其是区块链项目,特别需要这样的平台。
DVP平台
接下来我们介绍一下,DVP到底是一个什么样的东西。我们的DVP平台,到底跟以前的这种漏洞平台或者众测平台有什么不同呢?
目的
我们的DVP平台想要解决两个问题,一是匿名化的问题,二是奖励发放的问题。
因为很多白帽子其实并不愿意透露自己的个人信息。但是在传统的平台上,你可能会面临这样一个情况,比如说某个厂商要给你奖励,很有可能是法币。然后你总要提供某一个银行的账号,由此也可以追溯到你的个人信息。
但在区块链场景下,这个事情就很容易解决了。比如说,在我们DVP平台上,每一个白帽子就是一个地址。厂商给的奖励也可以用数字资产的方式直接发放。也就是说,白帽子可以做到匿名提交,并且这个奖励的授予也是以匿名方式进行的。
运作流程
这个平台的运作流程,大致可以分成五个阶段。
厂商发布某个项目的悬赏标准和它对应的公钥。比如说找到什么等级的问题给多少奖金,这些需要先公告出来。
白帽找到问题之后,提交漏洞信息,并使用厂商的公钥做加密。所以包括漏洞细节,以及白帽子认定的漏洞级别等,都会以加密的方式提交给厂商。
厂商再通过只有他拥有的私钥获得详情,进行漏洞判定。我们希望厂商能够自行判定,就可以直接以token的方式奖励白帽。
这些奖励信息,也就是所有的转账记录我们都会直接公示在网上。可以直接用类似etherscan这样的浏览器看到所有信息。我们现在这个阶段,发放奖励的记录也是这样公示的。
存在争议时,仲裁节点通过投票的方式做出裁定。
平台组成
整个平台里面有一个很特别的点,也就是所谓的仲裁节点。我们现在的计划是,先由一些比较知名的安全公司来担任仲裁节点。比如这里面会有PeckShield,会有白帽汇,慢雾,知道创宇,360这些公司,来帮我们更有效的做出仲裁。
所以你可以理解为,整个DVP平台上有四个角色,一个是发现问题的白帽子,一个是悬赏项目的厂商,还有仲裁节点和普通节点。
我们要做到整个信息在链上是不可篡改的,就必然需要一些节点来帮我们完成这件事情,也就是打包这些信息上链。
打个比方,这些普通节点就好像以太坊里面的全节点。它可以接收附近的广播,然后写入并打包成块,假设他最终能够出块,也就能够上到以太坊的公链上。
产品规划
我们刚刚讲了一下DVP的概念,接下来会讲一下目前DVP平台的产品规划。
第一阶段
现在是在第一个阶段,也就是从18年7月到明年的七月这段期间。这个阶段里面我们希望做出一个类似传统模式的中心化的平台,但是因为我们最终要以区块链的模式运行,所以我们现在只接收跟区块链相关的各种项目。
这个阶段的悬赏都是通过以太币ETH的形式。注册的白帽,就需要提供一个ETH的钱包地址来接收可能的奖赏,转账的记录都会在平台的网站上公示出来,也就是说,都是可以查的。
第二阶段
到明年7月的时候,我们会发布自己的主链。DVP平台会开始以去中心化的方式运营。首先是以非对称加密的模式,确保信息不会泄露。甚至我们平台方在很大的概率下可能都不知道这些漏洞的信息。
第三阶段
主链上线约半年之后,按计划是在2020年年初,我们希望整个漏洞平台可以接收所有的漏洞。希望DVP平台可以取代,比如说,HackerOne,成为一个更好的安全众测平台模式。这不管是对白帽也好,厂商也好,甚至对用户其实都会有很大的帮助。
我们希望任何项目都能够在这个平台上悬赏他们的产品,而且平台是以区块链的模式运营。
截至到前天晚上为止,我们总共收到588个漏洞,其中有207个是高危漏洞,115个中危漏洞,266个低危漏洞。里面涉及的项目包括智能合约,知名的公链,还有很大一部分都是来自交易所,共计307家厂商。
我们目前已经发了188个ETH作为奖金,这些漏洞的分布,有44%——将近一半都是设计上的缺陷,逻辑错误等。
奖励机制
我们会以代币的方式,来实现厂商对白帽的奖励。
目前我们使用的是DVP平台币。厂商在入驻平台前,要先存入五万美金等值的平台币作为保证金。通过这个平台币来实现给白帽的奖励。
值得说明的是,对于每一笔支付给白帽的DVP,我们将从中收回10%形成基金,然后在每个自然月的最后一天零点进行结算。其中,该基金的80%将回馈给所有DVP的注册用户,也就是白帽。另外的20%会再次奖励当月的Top100白帽用户。我们目的其实很简单,就是希望更多的白帽来参与这个平台。
这样我们就保证了整个基金的透明化。其实现在在DVP平台的网站上也能看到我们的奖励各自对应到的漏洞,对应的白帽ID。这些钱包地址都是公开的。
Q&A环节:
郭文生|成都链安科技:报的第三方的漏洞,如何联系对方并保证漏洞在联系过程中对网站保密?
吴家志:我们讲到我们的这个DVP平台其实是分成三个发展的阶段。
第一个阶段是做一个中心化的平台。在这个阶段之内,其实是类似于以前的补天平台。也就是说,还是通过中心化的一群运营人员去审核这些问题,然后再通知厂商。
到了第二个阶段,也就是明年的这时候,我们会以区块链的方式来运营这个平台。简单来说,厂商在入驻平台的时候,我们会审核他的真实性,再给他一对加密的公钥跟私钥,也就是使用非对称加密的方式。
然后白帽子会用使用厂商的公钥把漏洞信息做加密。加密完之后,这些信息就会上到公链上去。
所以上到公链的信息,第一要保证他是不可篡改的。并且由于这种非对称加密,只有厂商可以用它的私钥去把这个信息解开。也就是说,厂商是唯一能够得到这个信息的人。我们就是通过这种机制来保证漏洞在联系的过程中对网站、对DVP平台是保密的。
郭文生|成都链安科技:谁来判断是否是真的漏洞或者是高危的级别?
吴家志:在第一个阶段,我们平台方当然还是会加入去判断。到了第二个阶段的话,我们希望厂商跟白帽之间可以直接达成一个协议,让他们自己评定是什么样的级别,只要双方同意就OK了。
而出现争议的时候,我们会引入一个仲裁机制。也就是说,在我们DVP最终公链上面,会有多个仲裁节点,例如是一百个仲裁节点,然后在出现争议的时候会由厂商提交仲裁的需求,然后仲裁节点以投票的方式来决定仲裁的结果。
我们觉得这是一个区块链应有的一种运作方式。所以我们不会说某一个仲裁节点或者厂商能够判定这个漏洞的真伪。这种比较有争议的事,实际上会以投票机制来做。
郭文生|成都链安科技:系统全面安全审计如何保证?
吴家志:这个事情我觉得是很难保证的。因为你只能长期悬赏某一个项目,在这个平台上,如果你能持续提供奖金的话,那也持续会有人来帮你检测问题、提交漏洞报告,但要说“保证”,其实我觉得是很困难的。
王启泽|启明星辰|秘书:DVP如何做到漏洞不被泄漏?
吴家志:这个问题刚刚我们讲过。以现在这个阶段,其实我们是做不到的,因为我们现在还是一个中心化的平台。所以必然会有一群人在平台运营方要审核这些漏洞——既然是人,所以还是有泄露的可能性。
到了第二个阶段,也就是非对称加密后上链的这种机制,我们才可以确保这些漏洞不会泄露。
这个快讯是我们刚才弄好的,是我们最近收到的一些比较通用型的漏洞,会涉及到好多的交易所。我们知道很多交易所代码是来自同样的厂商,所以会变成一个通杀的漏洞。
王启泽|启明星辰|秘书:白帽子的奖金会不会随着币值波动而波动?
吴家志:对。白帽的奖金确实会随着币值波动而波动。毕竟这个DVP的平台币是会上交易所的,所以它会根据市场的行情有所波动。
郭文生|成都链安科技:为什么不直接使用以太坊做个DAPP解决这个问题呢?
吴家志:这个问题问的很好。我们其实现在还在这个DVP公链的设计阶段。确实也有可能直接复用现有的公链机制来做。
郭文生|成都链安科技:直接用ETH付费?吴家志:对,但是ETH其实也存在市场波动的问题,所以应该这个问题是解决不了。
Heige|knownsec:漏洞评估怎么去中心化?
吴家志:在DVP的公链上,白帽跟厂商之间的协调存在争议时,会提交仲裁。仲裁节点可能是几十甚至上百家这种安全公司,可以提交他们的仲裁结果,最终会形成一个共识,来完成这个评估。
Heige|knownsec:厂商很多时候没有能力。
郭文生|成都链安科技:相当于DVP建立了一个白帽和厂家之间的VPN:)
吴家志:对,所以这些仲裁节点,我们可能会请安全公司来担任,来协助这些厂商。如果他没有能力的话,也直接可以提出仲裁。
Heige|knownsec:仲裁,也是中心化。
郭文生|成都链安科技:可以把所有安全公司加入到这个平台,但主要是激励问题:)
吴家志:对。其实我们有在设计这种经济模型。因为仲裁节点也要付出他的心血去做,去看这些报告,然后才能做出仲裁,所以我们会有一个经济模型去奖励这些仲裁节点。
郭文生|成都链安科技:激励少了,仲裁节点收益少是个问题:)
Heige|knownsec:不是奖励,而是要考虑风险。这个还是中心化,跟去中心化还是背离的。
王启泽|启明星辰|秘书:仲裁节点看报告也可能会泄漏问题。
郭文生|成都链安科技:大量的假漏洞报告,浪费厂家或仲裁节点的精力,是否给激励?
吴家志:确实是个问题,我们后面会把这些问题考虑进去。
Heige|knownsec:原则上,你的仲裁节点越多,风险越大。
吴家志:是的,从信息泄漏的角度可以这样理解。
Heige|knownsec:节点越多、风险越大,这个跟去中心化是一个悖论。
吴家志:我相信厂商的能力也能慢慢起來的,仲裁的情況能够少一点。或许厂商担心信息泄露,那也可能就不入驻平台了。用脚选择,也是有可能的。
郭文生|成都链安科技:先找公司做全面审计,然后利用DVP做补充和持续漏洞发现,还是可以考虑的,然后厂家发现漏洞后找审计公司进行评估。
Heige|knownsec:厂商能力ok,评估的标准是不一样的,怎么实现大家对“矿”的价值认定?
吴家志:是的。成熟的项目方肯定会先做一轮审计的。
郭文生|成都链安科技:个人觉得单纯靠一种方案解决所有问题肯定是不现实的。
吴家志:那是厂商跟白帽之间的协议。
Heige|knownsec:漏洞及矿,这个概念最大的问题,是怎么确认你的矿,及你矿的价值?
吴家志:我们当然也会提供一些参考价格。
Heige|knownsec:各家评判,没有唯一的共识标准。
吴家志:确实是,我们只提供通道,让他们协调。这方面我想做一个反馈机制进去,例如存在某个厂商对于漏洞的评价偏离平均值太多,直接提交仲裁。
郭文生|成都链安科技:完全去中心和中心化现在大家实际上都没有想好,很多都是需要根据实际情况进行折中的:)
吴家志:这方面确实还没设计好。
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
链闻看天下
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626996.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
日本国家警局采用新软件跟踪加密货币交易
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。