提示

取消 确认
首页 > 文章详情

专访PeckShield创始人蒋旭宪:没有久攻不破的公链 只有尚未发现的漏洞

文︱艾特

核财经APP1月7日报道 区块链向我们许诺,以分布式和防篡改的方式存储和交换有价值的信息。

而历史提醒我们,新生事物初期的野蛮生长,总是伴随着重大安全教训。纵观整个2018年,出现了BTG遭双花攻击、BEC 智能合约漏洞、EOS“史诗级”漏洞、以太坊“致命报文”、BTC超发漏洞等重大安全事件。事实证明,那一行行的代码,尚不足以保护人类社会已岌岌可危的信任。

“而面对黑客肆虐,资产被盗,公链与DApp应用在被攻破之前,似乎永远不知道它是否安全。” 前360首席科学家、PeckShield创始人兼CEO蒋旭宪博士表示,区块链1.0时代大家对技术本身认知还欠缺成熟,存在双花攻击风险以及私钥被盗的问题;2.0时代随着以太坊平台和大量智能合约的涌现,出现了溢出和阻塞等安全问题;3.0时代随着EOS和TRON等公链的兴起,一些追求高并发TPS的平台开始出现,在落地一些实时性互动的竞猜类应用时,出现了随机数和交易回滚问题等等。

蒋旭宪认为,公链冒出的安全问题,与区块链独特属性相关,特别是在币的承载和币的转移方法上面,成了黑客的天堂。而且,没有久攻不破的公链,只有尚未发现的漏洞。

他强调,区块链领域的安全由来已久,从区块链技术的发展来看,每一个系统以及相关的生态都是非常庞大的,其技术层面也是非常复杂的,把多个技术融合在一起,本身就是很困难的事。安全领域有一个所谓的木桶理论,最短的木板决定了你的安全高度。另外,在用户环节体验设计上,目前来看还有相当高的门槛。用户使用上如果不习惯,就容易犯各种错误。


区块链生态安全亟待加强


核财经:从传统互联网安全换道区块链安全领域,您发现了什么?为什么要做一家区块链安全公司?

蒋旭宪:这反映了我个人的创业思考历程。关于创业的思考由来已久,但很遗憾在国外高校期间,完美的错过了国内的PC互联网阶段。在360期间我主要负责移动端的核心安全能力,算是参与和亲身体会了移动互联网的浪潮。

2017年下半年的时候,区块链行业开始热起来,那时候也是看了很多白皮书,不过市场上更多的是炒币,感觉这个做法根本不符合我的性格,也没有太大的兴趣。相反,当我更多的分析几大公链的底层代码,再结合自己个人的安全背景以及攻防的思维逻辑上去研究,这个层面一下子就吸引了我。

看进去之后,觉得区块链技术确实是一大技术变革,可能会是下一代的互联网核心技术,预计会重构目前的很多行业。同时觉得区块链根本上解决的是信任问题,安全又成了里面最核心的基石。如果安全没做好,信任问题根本无从谈起。所以,我决定All in。


核财经:您认为区块链领域面临的安全问题都有哪些?目前,在区块链行业做安全服务的难点和挑战有哪些?

蒋旭宪:从整个区块链行业的生态来说,我认为,里面的各个环节都碰到了区块链自身独特的安全问题。

我们可以分为横向和纵向来看。横向来说,有交易所、钱包、矿池、合约、DAPP等安全问题;纵向来看,有基础设施、数据层、网络层、共识层、激励层、合约层、业务层等方面的安全问题。

在各个维度上,区块链领域面临的安全服务与挑战也是前所未有的。这里我就不展开说了,但需要特别指出的是,目前区块链上攻击的犯罪成本极低,这会间接放纵安全事件的频发,而安全事件往往是突发的、在区块链上造成的资产损失和影响也是不可逆的。另外,黑客玩的是实打实的数字资产,回报率比传统互联网高很多,而惩罚的技术门槛颇高,力度也是明显不足。从另外一个角度看,比较遗憾的是,目前区块链开发者的安全意识和基础技能还是相对薄弱,不少底层合约代码存在较大的同质性,一旦出现问题就会有连带威胁。


核财经:今年新生了不少做区块链安全服务的公司,这个赛道的整体生态如何?行业寒冬里,您是如何思考在这一领域一展所长的?

蒋旭宪:区块链行业目前还处在早期,区块链安全亦是如此。为此,现在说整体生态还为时尚早,不过可以看出不同安全公司的切入点,大概有以下几种:一是链上数据分析和安全预警;二是形式化验证和机器证明;三是安全众测和威胁情报共享;四是传统互联网的安全业务转型。当然,未来还会有新的安全方向和公司不停的冒出来,包括数字资产的反洗钱(AML)。

随着区块链行业寒冬的到来,也会有不少安全公司被淘汰或者选择转型。我认为要想在安全服务这个赛道掌握核心竞争优势,关键要看:一是能否实时感知行业生态各个环节的运转动态,敏锐洞察可能出现的安全风险状况,并能准确的提供必要的预警和防范;二是能否切实解决生态中存在的安全问题,对行业生态的合作伙伴(钱包、交易所、DApp等)提供有感知的,且愿意付费的产品和服务。


正视公链安全漏洞问题


核财经:从1.0的比特币,到2.0的以太坊,再到3.0的百链竞发时代,公链成了黑客攻击的所谓天堂。那么,在您看来公链的安全问题主要有哪些?

蒋旭宪:区块链1.0时代大家对技术本身认知还欠缺成熟,存在双花攻击风险以及私钥被盗的问题;2.0时代随着以太坊平台和大量智能合约的涌现,出现了溢出和阻塞等安全问题;3.0时代随着EOS和TRON等公链的兴起,一些追求高并发TPS的平台开始出现,在落地一些实时性互动的竞猜类应用时,出现了随机数和交易回滚问题等问题。

总之,随着区块链生态的持续发展和逐渐繁荣,一些安全问题也会随之升级,并和业务场景息息相关,黑客实施攻击的手段和形式也趋于多样化。但根本上来说,对公链的核心要求还是需要提供高可靠性、低延迟、和高吞吐量的保障,可以支撑成千上万的各类区块链DApp应用。


核财经:2018年里,我印象中有两起重大安全事件,即5月29日360爆出EOS“史诗级”漏洞和6月15日PeckShield宣布发现以太坊上一个高危安全漏洞,可导致当前60%的以太坊节点瞬间崩溃。您如何看待这些被披露的安全问题的?

蒋旭宪:360披露的“史诗级”漏洞问题,从严谨安全的层面可能会有一定程度的争议,尤其是“史诗级”的媒体渲染,让不明真相的人感到了恐慌。当时的争议在于,安全公司披露和项目方出现了一些摩擦,造成了广泛的行业影响。不过从另一个角度看,当时360选择在EOS主网上线前披露漏洞,确实让大家认识到区块链底层公链存在的严重安全问题。

PeckShield发现以太坊上的一个高危安全漏洞,也就是“致命报文”(Ethereum Packet of Death — EPoD)。EPoD可导致60%以上节点瞬间崩溃的问题,其实在6月初就已经发现并和以太坊基金会取得联系,协助其展开修复,真正披露是在6月底,确认该漏洞已经彻底修复后才对外披露的。

我认为,对于一个并未产生危害的严重漏洞,媒体披露的角度会过于夸大其危害性,从而警醒媒体受众加强安全认识,这无可厚非。但作为安全公司, 我们可以尽量确保安全问题已经修复完之后再在合适时机进行披露,避免造成不必要的负面影响。


核财经:2018年称之为公链元年,您如何评价过去一年公链项目的安全问题的?

蒋旭宪:其实,回顾整个2018年公链安全问题来看,在生态的各个环节都出现了比较重大的安全事件,包括BTC、ETH、EOS、BCH等。这些公链上的安全问题从某种程度上可以完全摧毁整个公链。我认为,这里面影响最大的还是BTC的超发漏洞。虽然大部分媒体可能并不知晓这个漏洞的细节,该漏洞也没引起广泛的媒体传播,这是因为在这个BTC超发漏洞的处理上,包括研究人员的负责任披露、BTC核心团队的应急响应、最后相关的媒体报道,都是非常专业和值得称道的。但我们知晓这个漏洞的时候还是吓了一跳,也在内部认为这是2018年影响最大的漏洞,即使没有广泛的媒体报道。

每个公链漏洞都有它的特殊性,比如说以太坊的“致命报文”、EOS节点的“远程代码执行”等等这些安全问题,我认为都在各自公链上有它的独特性,但也有某种共通性。另外任一公链层面的安全漏洞,因为会影响到上面运行的所有DApp应用,所以他们的重要性必须给予足够的重视和关注。


DApp被薅公链亦成殇


核财经:公链的核心价值是应用,如您所说,公链层面的安全能影响上面所有的应用。为此,其自身应该采取哪些措施,以保护DApp应用的安全性?

蒋旭宪:这个问题我们内部有不少讨论。2018年暑假的时候,Fomo3D游戏火爆,当时攻击者做了一个阻塞攻击之后,把奖金池里面的钱全取走了。类似的攻击也出现在了其它Fomo3D类游戏,比如LastWin。这种阻塞攻击利用的就是公链本身设计的某一个特定环节。而且修复这些漏洞的成本也是很高。本质上说,2017年底的以太猫和2018年中的Fomo3D游戏,暴露了底层以太坊公链技术存在的不足,也就是TPS和响应时间等方面都不够理想。从保护DApp的角度看,期待以太坊公链2.0以及其它竞争公链在自身设计上,应该有一种机制能够防止这些所谓的阻塞攻击。

在EOS的公链,为了有效支持DApp应用,有一个有趣的设计,那就是延迟交易。这一点上,我觉得EOS还是值得赞赏的。通过延迟交易,DApp可以用一个未来的数据来充当随机数,这样就能够形成一个比较可靠的随机数生成,保证了谁也没法预测。这个也是目前各种EOS竞猜类DApp游戏当中,大部分都采用的随机数机制。


核财经:上个月,BetDice因交易漏洞损失近20万EOS。在EOS上,盗币事件屡被诟病,您对此有过哪些关注?为何EOS公链上的盗币事件如此频发?

蒋旭宪:这确实是个很严重的问题。我们内部梳理过EOS上线以来发生的所有安全事件,包括背后的漏洞原理分析、攻击流程的还原、攻击者的定位、获利情况、和最后不正当获利的资金流向等。分析其过程:一是有助于我们更好理解当前行业的现状;二是理解攻击者的能力,有助于我们更好去检测、阻截这些攻击者。也只有这样,我们才能更好的保护DApp开发者和用户。

但为什么现在EOS盗币事件这么频繁?我认为,一是EOS在某些方面的设计,虽然使得这些DApp的开发门槛相对较低,能吸引更多的开发者进来,但由于,它确实是一种新鲜的编程和运行环境,开发者对其认知程度,包括相关的安全考量和影响,我认为还需要时间沉淀。目前的现状是,在某些开发者和开发环节上确实难免会出现疏漏,在单点上也是容易被攻击者利用和攻破。

现在EOS公链上,更多的是竞猜类游戏,而竞猜类游戏又特别容易汇聚资产。有资产之后,资产会对黑客有更大的吸引力。攻击者一进来,就造成目前看到盗币新闻比较频发的问题。必须承认,目前的攻防现状上,攻击者是走在安全防守者的前面,他们甚至比防守者更快定位到哪些有安全漏洞或者安全问题的DApp。

最后,我们发现,在梳理攻击者最终所得的赃款流向的时候,特别是努力帮助开发者追回资金的时候,我们发现黑客的犯罪成本很低,因为目前适用的法律法规还不完善。在EOS上,虽然有ECAF的社区治理机制,但在时间的响应、流程上,我认为还有很大的空间可以改善。


核财经:现在,许多基于公链开发的DApp项目方都会担心会安全问题。从安全角度来讲,你认为DApp项目方应该如何提高自身的安全系数?

蒋旭宪:很多开发者在开发相关DApp的时候,或许因为沿袭了以前在传统互联网或移动互联网的开发模式,为了尽快推动业务上线,在安全方面没有第一时间重视,在安全应急响应流程上也是缺失。

我一直强调在区块链行业,安全一定要先行,而且需要在业务里面第一时间考虑进去。开发者在设计DApp的时候,在整体架构上就需要有安全意识和相应的安全模块。比如在开始设计合约的时候,如果出现了安全问题,应该会有怎样的应急流程和具体的响应机制。我认为好多DApp开发者根本就没思考过这个问题。一旦出了问题,他们可能就懵了。另外,DApp开发者术业有专攻,建议项目方和专业的安全团队建立有效地互动,包括合约上线之前的审计、遭遇攻击事件时的应急响应等等。最后尽量利用社区的力量,用社区的经验避免自己去踩同行以前踩过的坑。同时,也希望把发现的安全问题尽量回馈给社区,让社区都知道有类似的问题。我接触过很多类似的安全事件,别人踩的坑下一个项目方又去踩了一次,这让DApp开发者更加伤痕累累,我认为这个成本是有点高的,也没有必要。

责任编辑: 深核

声明:核财经登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。

推荐阅读

相关新闻