慢雾科技余弦:如果遭遇了黑天鹅 风控机制能迅速止损 | “烦请大佬”第三期
浪花财经本期《烦请大佬》邀请的嘉宾是慢雾科技联合创始人余弦,慢雾科技安全团队就像是网络世界里的“黑骑士”——正面的黑客,专门与网络攻击者对抗,保卫着我们的网络安全。
在直播过程中,余弦透露他们安全团队喜欢美食,习惯用自带终端的Mac电脑,会用多个手机和电脑,还说黑客行业江湖气息重......是个real 接地气的黑客大佬无疑。而随着交流的深入,可以发现这位黑客大佬的背后,更多的是专业。
1
密码学安全远小于安全,攻防点很多
在很多人看来,区块链里涉及了各种密码学和加密技术,其安全系数应该是很高的,但事实上,区块链领域的安全问题频发。对此,余弦表示:密码学安全远小于安全,攻防点有很多。
他认为,很多人以为密码学安全就是安全,但其实安全涉及的点是方方面面的。很多知名公链底层的密码学本身是很靠谱的,包括对称/非对称加密、哈希算法、签名机制等等,都是非常可靠的,但是,安全是一个整体,在密码学基础之上的攻防点其实还有非常多。
比如说,以太坊上频发的自动化盗币。
攻击者在以太坊上进行全自动化盗币,其实从2016年2月14日(以太坊很早期的阶段)就开始了,直到现在,仍然在持续。据不完全统计,被盗取的ETH高达5万多枚,而其它代币更是不计其数。
慢雾区专门针对以太坊自动化盗币事件做的威胁展示
(来源:https://4294967296.io/eth214/)
攻击者盗币的主要方法是:先远程调用以太坊节点的 RPC 接口,然后判断是否有钱包解锁,如果有,就自动盗走。
钱包解锁指在以太坊上转币时,我们需要输入密码,那个密码是以太坊 Keystore 文件的密码,解锁了就可以转币。而如果私钥文件放在以太坊节点上,解锁时,节点内存就会有私钥记录,并默认 300 秒过期,所以,攻击者只需要远程调用这个节点的 RPC 接口,在 300 秒过期时间内,就可以把币转走。
而且,以上过程可以完全自动化。而根本问题在于以太坊节点私钥机制有问题,不过,官方认为是特性,而不是漏洞。但因为很多人不知道这种特性,所以屡屡中招。当然,这个问题存在于节点服务器上,所以普通个人不用担心。
除了分享了以太坊自动化盗币个例外,余弦还分享了一张特别有意思的“区块链作恶图”,里面罗列了非常多的黑客攻击区块链(虚拟货币)的方法,值得大家认真研究下。
“区块链作恶图”
余弦表示,2018年,是整个区块链安全生态的元年,也是慢雾科技选择进入区块链行业非常关键的一年,因为在这一年里,发生了太多攻击事件了。而作恶的方式可能有很多种,但我们可以提高安全意识,知己知彼,去规避这些攻击。
2
DApp 爆发后安全危机加剧,风控机制能迅速止损
2017年年底到2018年年初,以太坊、EOS等公链一直处在舆论的焦点,而历经一年的开发周期后,基于公链开发的DApp数量开始逐渐增多。
根据DApp数据统计网站DappReview显示,截止今日(2019年1月12日),基于以太坊开发的DApp共计1497个,单个DApp24小时最高活跃用户为1137;而今年6月底刚刚上线主网的EOS,DApp数量则呈现迅猛增长的态势,目前链上DApp项目有294个,单个DApp24小时最高活跃用户更是高达13070;还有近期动作不少的波场,DApp发展势头也不错,目前链上DApp项目有133个。
各种数据显示,DApp似乎要迎来爆发期,但伴随而来的是频繁的黑客攻击,智能合约安全危机加剧。拿EOS为例,1月3日,黑客两次向EOS竞猜类游戏ggeos游戏发起攻击,导致该游戏网站一度暂停运营;1月9日,黑客对EOS全网实施“撒网式”攻击测试,部分合约中招;1月10日,黑客向EOS竞猜类游戏uugame发起连续攻击,获利数千EOS ,并已转至币安交易所;1月11日,黑客向EOS竞猜类游戏EOS.Win发起连续攻击,同样是获利数千EOS ,并已转至币安交易所......
对此,余弦认为:
“DApp 大爆发的一个有趣现象是DApp天天被黑。原因有两个:
1. 毕竟不同项目的研发水平是参差不齐的;
2. 攻击者把攻击都自动化了,来回扫描、自动打击、自动盗币、自动洗钱。
而此时,作为一家安全公司重点要做的是什么?当然是解决问题呀,比如从架构到研发到测试网测试再到主网上线运营,项目方需要一条龙安全解决方案,核心解决的问题就一个:
别被黑,如果遭遇了黑天鹅,风控机制能迅速止损。”
风控机制能迅速止损,这就是区块链安全公司存在的一个重大意义。他们可以围绕区块链威胁情报体系,为全球各大交易所、钱包、公链、智能合约提供因地制宜的安全解决方案。及时发现威胁,并快速阻止攻击。
而对于区块链企业本身来说,余弦认为构建安全基础设施(安全体系)对于防范攻击也是非常有效的。一般包括三方面:
①是建立公司内部安全团队;
②是跟第三方安全公司合作;
③是与整个安全社区合作。
其中保证内部人员的安全是所有的关键,因为一切的攻击归根结底都是人与人之间的博弈,所以很多攻击很可能会发生在公司内部。那么在管控上,公司需要对内部人员的权限作一些划分,以保证安全。另外,因为网络犯罪成本比较低,抓一个网络犯罪的成本很高,所以,攻击可能随时会发生,而企业需要具有在风控上快速响应的能力。
3
做到断舍离,攻击远离我
对于我们普通人来说,区块链攻击相对还是比较少见的,但网络攻击、钓鱼攻击却很常见。对于这,余弦建议我们掌握一个习惯——断舍离。
断舍离,代表着,你不需要的,你就不要去做。比如在电脑里面装一大堆的软件,浏览器访问一大堆可能根本没必要上的网址,还有手机上装一大堆不应该装的、或者根本不常用的手机App,都不可取。
很多人在选择手机时往往会选用大品牌,包括iPhone、华为这些。其中一个重要原因就是目前手机的整个生态还不能做得比较封闭,而大品牌的手机往往会在App审核上比较严格,这保证了一定的安全。
但苹果电脑并不是这样,它自带终端,用户为了方便,在安装一些软件时(很多不一定是从App Store上下载的),即使有密码二次授权的要求,用户也是随手就输入了密码,安装非常顺利。但苹果电脑上几乎没什么用户会安装杀毒软件,这导致一旦用户不小心安装了带有木马的软件根本发现不了。苹果电脑并不像大家想象的那样安全,这点是需要多留意的。
另外,在电脑的隐私配置里做好认真的隐私配置,安装个知名杀毒软件,最好安装国际大品牌的软件等等,也利于防范一些攻击。同时,还应该掌握一些网络安全的基本知识,比如说,打开一个网址,检查是否有安全标志HTTPS,域名是否完全一样。
最后,余弦还提到:建议把用户资产做分离存放,这是个好习惯。
4
黑客VS门罗币,余弦眼中的暗网世界
以前,很多黑客勒索都是要比特币,但现在越来越多黑客改要门罗币之类的匿名币,余弦认为这个转变的发生很大程度上与暗网相关。
2010年,比特币刚出来的时候,维基解密(维基解密是一个国际性非营利的媒体组织,专门公开来自匿名来源和网络泄露的文档)创建者阿桑奇就宣布支持比特币,之后各大暗网也引入比特币,所以比特币在当时得到了广泛的应用。但后来,知名大型暗网“丝绸之路”多次被FBI端掉,这让人们开始深刻意识到比特币是不够匿名的,在转账时,比特币的来源地址、目标地址、金额都是可以看到的。
而门罗币的匿名度则相对比特币要高得多,它有一些相关的隐私保护的机制与协议,可以实现在门罗币上进行转账时,看不到来源地址、目标地址、金额等信息,这意味着别人无法在链上进行追踪溯源,大大提高了其匿名程度。而这正好是暗网需要的特性,所以门罗币大受暗网欢迎。
另外,门罗币挖矿是CPU与GPU友好的,对抗ASIC。所以在暗网的世界里,很多人会写一些蠕虫,去感染别人的设备,像服务器、高性能的IOT设备、电脑等,让其成为挖矿节点,利用别人的算力来挖门罗币。
所以,虽然在交易支付上,暗网市场里排第一还是比特币,但在交易支付之外,在恶意挖矿及整个暗网生态里,门罗币是最受欢迎的,是暗网的第一币王。
而说到暗网,这个神秘的地方,余弦觉得,暗网不是为罪恶而生的,里面也有正面的东西。
其实暗网并不会像很多媒体写的那么罪恶,暗网不是为罪恶而生的,只是在暗网的发展过程中,很多人利用暗网来做恶,包括毒品交易、毁三观等东西。而暗网既然是“暗”就意味着里面的很多东西没必要暴露在公众面前,不过,不公开并不代表这些东西就是恶的。
在暗网里,有些公司会专门为特别在意隐私和自由的群体,提供一些服务。比如Google,Google是一家特别正能量的公司,它有一个计划叫拼图计划,里面就有一些特别的项目,为了让隐私更自由的项目。而暗网里其实有很多像Google拼图这样的计划。
5
陀螺结语
在余弦看来,暗网并不全是邪恶的,里面也会有正能量的东西存在。这不免让我联想到虚拟货币与区块链,因为现在的虚拟货币和区块链,和暗网一样,被相当一部分人片面地解读成是一个“不好”的东西,而忽略了他们本身正面的一面。
而正如特别在意隐私和自由的群体需要暗网一样,如攻击频发的区块链行业需要慢雾这样的安全团队一样,虚拟货币与区块链的出现,必然是在满足这个世界发展过程中某一阶段,某一部分群体,某一部分领域的需要。
