根據(jù)白帽匯的數(shù)據(jù)，2018年，數(shù)字貨幣行業(yè)由于安全問(wèn)題造成的經(jīng)濟(jì)損失是22 49億美元，折合用戶人均損失56美元。這是什么概念呢?數(shù)字貨幣排名

根據(jù)白帽匯的數(shù)據(jù)，2018年，數(shù)字貨幣行業(yè)由于安全問(wèn)題造成的經(jīng)濟(jì)損失是22.49億美元，折合用戶人均損失56美元。這是什么概念呢?數(shù)字貨幣排名第十的門羅幣市值也只有16億美元。

從時(shí)間軸來(lái)看，2018年由于安全問(wèn)題造成的損失金額比2017年增長(zhǎng)近3倍。2019年上半年損失金額也已經(jīng)突破7億美元，且隨著市場(chǎng)回暖，安全問(wèn)題造成的損失有激增的跡象。

在這樣的背景下，DVP在一周年之際，圍繞「區(qū)塊鏈安全進(jìn)化論」這個(gè)主題，自7月20日啟動(dòng)了一系列活動(dòng)，推出三重大禮，包括線上漏洞挖掘大賽、解謎游戲挑戰(zhàn)和線下黑客松，設(shè)百萬(wàn)人民幣獎(jiǎng)池，旨在回饋白帽黑客和社區(qū)，促進(jìn)行業(yè)安全發(fā)展。

上周六(8月10日)，DVP線下黑客松圓滿落幕。此次大會(huì)由DVP主辦，OGC、PeckShield、MixMarvel、Contentos、Bibox、Ontology、YeeCo協(xié)辦，獲眾多知名項(xiàng)目和媒體支持。上午，來(lái)自DVP、PeckShield、白帽匯、長(zhǎng)亭科技、騰訊湛瀘實(shí)驗(yàn)室的安全行業(yè)大佬，以及頂尖白帽黑客代表，進(jìn)行重要安全議題分享;下午，則正式開(kāi)始激烈的黑客松競(jìng)賽。

經(jīng)過(guò)漏洞終選和綜合競(jìng)賽(漏洞挖掘+CTF競(jìng)賽)兩輪較量，最終角逐出6支隊(duì)伍共15名選手分別獲得一、二、三等獎(jiǎng)，摘得總價(jià)值30余萬(wàn)人民幣的大獎(jiǎng)。其中一等獎(jiǎng)獲獎(jiǎng)?wù)邽楫吘乖捝?/ kennyS;二等獎(jiǎng)獲獎(jiǎng)?wù)邽?fsname / 瓜瓜 / Chris_l、r4v3zn / Santanx / Xenc;三等獎(jiǎng)獲獎(jiǎng)?wù)邽?gs-ice2019 / gs-sun1and / gs-saf3d0s、襯衫、cybersecurity / YouLii / Jasper。 值得一提的是，最小的獲獎(jiǎng)?wù)撸挲g只有16歲。

6個(gè)真實(shí)交易所漏洞

有趣的是，線下黑客松的漏洞終選環(huán)節(jié)，入選最終評(píng)選的6個(gè)嚴(yán)重危害漏洞，均是全球頂尖數(shù)字貨幣交易所的真實(shí)漏洞。據(jù)說(shuō)，比賽現(xiàn)場(chǎng)，還有涉及的交易所親臨現(xiàn)場(chǎng)。從這些漏洞，可以更真切地感受到當(dāng)前交易所安全的嚴(yán)峻形勢(shì)，DVP已第一時(shí)間通知相關(guān)交易所修補(bǔ)漏洞。這些漏洞的基本影響如下：

(1)某全球前十交易所，通過(guò)該漏洞可獲取整個(gè)交易所的KYC信息;

(2)某知名交易所提供商通用漏洞，通過(guò)該漏洞可獲取所有使用其系統(tǒng)的交易所用戶反饋的敏感信息，影響180+交易所，包括多家火爆的新興交易所;

(3)某知名交易所，通過(guò)該漏洞可以篡改應(yīng)用商店中官方app，替換為釣魚app竊取用戶資產(chǎn);

(4)某知名交易所，通過(guò)該漏洞可以獲得其旗下某站點(diǎn)的服務(wù)器賬號(hào)密碼、數(shù)據(jù)庫(kù)賬號(hào)密碼等;

(5)某知名交易所，通過(guò)該漏洞可以在一定的交互之下對(duì)用戶實(shí)施盜號(hào)攻擊;

(6)某知名交易所，可以對(duì)當(dāng)前交易所下發(fā)大量的買單、賣單，進(jìn)行市場(chǎng)操控。

由此可以看到，KYC泄漏、釣魚APP、賬號(hào)密碼泄漏、盜號(hào)攻擊、市場(chǎng)操縱等安全風(fēng)險(xiǎn)，都是真實(shí)且普遍存在的，頂尖交易所也不例外。用戶的信息安全和資產(chǎn)安全面臨著極大的威脅。

DVP線上漏洞挖掘大賽排名第一的白帽領(lǐng)袖Chris_L，擅長(zhǎng)挖掘交易所漏洞，他分享了自己近兩年挖掘漏洞的對(duì)比?？梢钥吹?，信息泄漏類的漏洞占比顯著提高，從2018年的15.6%上升至2019年的27.3%。

Chris_L表示：“交易所漏洞很多，它們不太注重安全。通常情況下，9成漏洞是在沒(méi)有意識(shí)的情況下暴露的，而現(xiàn)在交易所的漏洞，9成是因?yàn)榕渲貌划?dāng)造成的。”他還表示，數(shù)字貨幣領(lǐng)域的交易所，幾乎都存在在大大小小的安全漏洞。

他給出了6條實(shí)用的個(gè)人安全防護(hù)建議：

1.在登錄銀行、交易所、錢包等網(wǎng)站時(shí)，一律使用帶https開(kāi)頭的安全鏈接;

2.手機(jī)、電腦、硬件錢包等聯(lián)網(wǎng)設(shè)備不隨意使用第三方不明Wifi;

3.前提許可的情況下，必須安裝防護(hù)殺毒軟件，拒絕“裸奔”;

4.網(wǎng)頁(yè)、APP出現(xiàn)異常情況時(shí)，及時(shí)確認(rèn)和終止重大操作;

5.不打開(kāi)來(lái)路不明的插件、郵件、鏈接;

6.大額數(shù)字貨幣資產(chǎn)盡量轉(zhuǎn)到知名可靠的冷錢包。

區(qū)塊鏈安全問(wèn)題4大成因

在DVP CEO Daniel看來(lái)，區(qū)塊鏈安全問(wèn)題的產(chǎn)生，有很多原因。

一是開(kāi)源特性：區(qū)塊鏈通過(guò)開(kāi)源作為構(gòu)建信任的一個(gè)核心要素，但開(kāi)源也導(dǎo)致了漏洞更容易曝露，更容易受到攻擊。

二是安全投入不足：區(qū)塊鏈處于行業(yè)發(fā)展的早期，行業(yè)對(duì)底層技術(shù)開(kāi)發(fā)的投入和重視先行于在安全方面的投入。

三是行業(yè)安全資源缺乏：相比傳統(tǒng)互聯(lián)網(wǎng)和IT領(lǐng)域，從事區(qū)塊鏈行業(yè)的安全人員仍然是少數(shù)。即使頭部項(xiàng)目也難以獲得足夠資源構(gòu)建覆蓋全面的安全團(tuán)隊(duì);

四是安全意識(shí)不足：眾多項(xiàng)目在生態(tài)和技術(shù)擴(kuò)展上沒(méi)有把構(gòu)建完整的安全防護(hù)體系作為首要的任務(wù)。用戶對(duì)區(qū)塊鏈產(chǎn)品使用的安全方面認(rèn)識(shí)不夠。

具體來(lái)講，從整個(gè)互聯(lián)網(wǎng)情況來(lái)看，過(guò)去幾年安全人員的復(fù)合增長(zhǎng)率約為6%，但需求的增長(zhǎng)實(shí)際上是15%。到2021年，全球大概會(huì)有350萬(wàn)個(gè)安全崗位無(wú)法被填滿，其中存在很大的缺口。從區(qū)塊鏈行業(yè)角度來(lái)看，更是如此。新的區(qū)塊鏈項(xiàng)目超過(guò)萬(wàn)家，但是真正提供安全服務(wù)的不到50家，且魚龍混雜。

劍橋大學(xué)另類金融研究中心(CCAF)做了一個(gè)關(guān)于區(qū)塊鏈數(shù)字資產(chǎn)的調(diào)研，它的數(shù)據(jù)很有典型示范意義。從人數(shù)占比來(lái)講，大型區(qū)塊鏈企業(yè)安全人員占比在6-10%，小型企業(yè)占比11-20%。從安全投入預(yù)算來(lái)看，安全預(yù)算大概占總預(yù)算的11-20%。

根據(jù)調(diào)查，只有接近50%的小型區(qū)塊鏈企業(yè)進(jìn)行年度外部安全審計(jì)。而大型企業(yè)中，這一比例僅有29%，這可能是因?yàn)樗麄冇凶孕湃プ鰞?nèi)部安全審計(jì)。

有趣的是，大量的調(diào)查對(duì)象對(duì)審計(jì)頻次的問(wèn)題選擇“不適用”或“不予回答” 這也體現(xiàn)出項(xiàng)目方在對(duì)外公開(kāi)性上的疑慮。整體而言，對(duì)內(nèi)部及外部安全審計(jì)情況披露的意愿非常低，最高的為存貯類約30%會(huì)披露外部審計(jì)的情況;最低的為交易所類，僅8%。

區(qū)塊鏈安全模式的進(jìn)化

對(duì)于項(xiàng)目來(lái)講，可以自建安全團(tuán)隊(duì)，優(yōu)點(diǎn)是響應(yīng)迅速，可控程度高。缺點(diǎn)也顯而易見(jiàn)，就是安全覆蓋面低，維護(hù)成本也比較高。因此出現(xiàn)了一些新的趨勢(shì)。

比如中心化漏洞懸賞平臺(tái)，大企業(yè)和政府機(jī)構(gòu)也慢慢開(kāi)始接受這種模式，美國(guó)國(guó)防部迄今為止，至少已經(jīng)有4次在三大中心化安全平臺(tái)上發(fā)布賞金項(xiàng)目。這種模式的好處是，每個(gè)平臺(tái)里會(huì)有很多白帽黑客，所以安全覆蓋面會(huì)更廣。而且白帽子挖到漏洞才會(huì)有獎(jiǎng)勵(lì)，所以收益成本比較高。但由于是一個(gè)中心化主導(dǎo)的平臺(tái)，白帽利益如何得到保護(hù)?這是一個(gè)問(wèn)題。

而DVP的邏輯是建立一個(gè)更加去中心化的平臺(tái)，因?yàn)樯鐓^(qū)的建立，覆蓋面會(huì)更廣，參與人員多角度眾測(cè)，提供的安全報(bào)告會(huì)更全面、質(zhì)量會(huì)更高。另外，在廠商訴求和白帽子利益的平衡方面，也更容易做到平衡。一方面通過(guò)不對(duì)稱加密通訊的方式，保證漏洞的機(jī)密不會(huì)被泄漏，另一方面通過(guò)區(qū)塊鏈智能合約的設(shè)計(jì)，可以把白帽子的利益鎖定在其中，以及通過(guò)經(jīng)濟(jì)模型設(shè)計(jì)，可以對(duì)白帽子有更好的激勵(lì)。

具體來(lái)說(shuō)，一是采用新型激勵(lì)模式，“業(yè)務(wù)即挖礦，漏洞即挖礦”，當(dāng)整個(gè)業(yè)務(wù)流程完成后，做出貢獻(xiàn)的白帽子將獲得一定獎(jiǎng)勵(lì);二是由具有安全能力的廠商組成的治理節(jié)點(diǎn)，和由生態(tài)共建者組成的普通節(jié)點(diǎn)，通過(guò)質(zhì)押的方式參加網(wǎng)絡(luò)的維護(hù)和管理;三是各類社區(qū)的參與者，通過(guò)社區(qū)行為貢獻(xiàn)的形式，獲取一部分DVP通證獎(jiǎng)勵(lì)，形成良好的治理結(jié)構(gòu) 。

一年以來(lái)，DVP，已經(jīng)建立了一個(gè)完善的安全協(xié)作生態(tài)。目前有超過(guò)14000名注冊(cè)白帽子，覆蓋廠商1490家，注冊(cè)廠商162家，有效挖掘漏洞4312個(gè)，為白帽子發(fā)放ETH獎(jiǎng)勵(lì)超過(guò)1170個(gè)、DVP獎(jiǎng)勵(lì)超過(guò)100萬(wàn)，避免行業(yè)潛在損失超過(guò)百億人民幣。

DVP即將開(kāi)啟“區(qū)塊鏈安全進(jìn)化論”全球行活動(dòng)，凝聚全球白帽黑客社群力量。此外，鑒于交易所安全的嚴(yán)峻形勢(shì)，“區(qū)塊鏈安全進(jìn)化論”系列活動(dòng)將追加一輪“TOP交易所漏洞大賽”，增設(shè)價(jià)值數(shù)萬(wàn)RMB的獎(jiǎng)勵(lì)，旨在幫助頂尖交易所快速查找漏洞，保護(hù)廣大用戶資產(chǎn)。

關(guān)鍵詞： 數(shù)字貨幣 安全損失 信息漏洞