区块链安全中,技术重要吗?

似乎每次出问题,都是从技术开始的

前些天发生了件事情,原本是件利空,但是很快被比特币上涨的巨浪给覆盖了过去。

事情是这样的:币安受到黑客攻击,目前已经有7000多比特币被窃。

根据币安对外披露的信息,该交易所在5月7日发现了“大规模的安全漏洞”,该漏洞导致黑客能够访问用户应用程序接口密钥(API keys)、双因素身份验证码、以及其他信息。按照安全通知中公布的一笔交易,黑客从币安交易所中取走了价值大约4100万美元的比特币。

不清楚技术没关系,大家都知道,黑客是用技术手段“光明正大”地偷走了币安热钱包里的币。

我经常说,交易所在黑客的眼中,那就是不移动的金矿,让人垂涎欲滴。所以这些年啊,交易所被盗事件可没少发生:

一、2014年全球最大的比特币交易所Mt.Gox,被盗走85万枚比特币,价值120亿美元。门头沟曾是世界上最大的比特币交易所,最后因存款到期无法兑现而宣告倒闭。门头沟一直在日本和美国的法院走破产清算程序,人们到现在还没搞清楚自己的钱去哪儿了。

二、2017年12月,韩国比特币交易所Youbit因遭遇“黑客攻击”,丢失了17%的数字货币,宣布破产。

三、2018年1月,日本最大的加密货币交易所Coincheck遭黑客袭击,价值5.3亿美元的新经币(NEM)被非法转移至其他交易所。新经币市值一度在全球数字货币排名第八,受被盗事件影响,新经币在5小时内暴跌20%,并引发全球数字货币的普跌。

分析这些事件,我们可以发现,交易所面临的安全隐患主要来自以下几方面:

(1)从交易所平台角度来说,因为系统的BUG,可能会导致黑客的攻击,可能是短期行为,也可能是针对交易平台的长期潜伏,集中爆发进而造成财产损失。

(2)热钱包的安全问题。所谓热钱包,指的就是联网状态的钱包,相对的,冷钱包指的就是不联网的钱包。

(3)此外,用户隐私信息也面临着诸多威胁,如:利用安全漏洞进行入侵获取管理权限盗取数据或者利用平台用户的安全意识薄弱,通过钓鱼网站骗取用户隐私信息,还有黑客在交易所平台的运维或开发人员的机器上植入病毒、木马、后门程序来获取用户隐私信息甚至交易所平台的私钥等。

据信,此次币安被盗或由于内网遭黑客长期 APT 渗透:

APT(Advanced Persistent Threat)被称作高级持续性威胁,本质是针对性攻击。是对特定目标进行长期持续性网络攻击的攻击形式, APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。

对于防范网络攻击,以及典型的APT攻击方面,Trias在项目之初,就以安全为根基,构建可信计算为基础的区块链安全网络。

Trias 的目的是要构建一套去中心化的可信计算通用平台,以实现可信赖的软件执行环境,确保正确的软件在正确的输入下都能产生预期的输出;及一套去中心化的可审计溯源的可信软件开发运维体系,保障软件自身的行为可验证、溯源。从而最终保障正确的通用平台硬件环境执行了正确的原生应用程序,实现近区块链2.0智能合约的安全强度。

进一步地,利用通证经济模型,Trias驱动算力与软件生态健康、有序、安全地运转,实现了对可信软件在可信执行环境上的有序调度,最终实现全平台可信可靠的统一编程。

区块链安全中,技术重要吗?

要了解Trias安全体系,先要搞明白什么是TEE。TEE离我们并不遥远,受人追捧的苹果产品,其安全性就是通过TEE来保证的。按照定义,TEE(Trust Execution Environment)可在联网设备中提供一个安全区域,确保敏感数据在隔离、可信的环境中储存、处理并受到保护。比如说,当你触摸ipad的指纹识别器时,手机硬件本身的处理器并不会读取你的相关数据,而是传送给安全区处理。

大家还记得当年iPhone5s刚推出指纹识别的时候,被大量的媒体和专业人士指责不安全和收集用户数据吧?但是在苹果成功之后,众多公司纷纷就跟上了脚步,全面的指纹识别时代到来。

不仅如此非手机公司也纷纷推出了自己的TEE,比如Intel SGX、Intel TXT、TPM、ARM TrustZone等,可以说,TEE为系统的机密性和完整性发挥着巨大的作用。

而Trias在此基础上,提出了异构TEE体系,即支持不同厂家TEE技术的体系,每一个加入Trias网络的节点都必须具备TEE环境,在很大程度上从一开始就大大减少了数据的安全隐患。

区块链安全中,技术重要吗?

在TEE的基础上,Trias引入了信任传递网,让具备TEE环境的节点能够互相验证对方的可信度,并将结果通过Gossip协议在其他节点间传播。这样一来,所有TEE共识节点就能形成一个信誉关系网,并由此反复迭代,筛选出“最难撒谎的点”,为其分发智能合约程序,形成健壮高效的运行环境。

这样做的好处很多。首先,支持多种TEE技术,为要加入的网络的节点提供了便利。也就是说,想要成为Trias的节点,只要具备其中一种TEE环境即可,没有特定类型的限制,同时又避免了对单一TEE技术的过分依赖。其次,通过Gossip协议在显著提升传播效率之余,同时构建起小世界网络,选出值得信任的优质节点,又提高了共识效率。

当然,对于安全来讲,技术的保障只是一环,我们相信币安的技术应该也不会太差。

币圈很多交易所其实都或多或少被盗过被攻击过,只不过大部分都被交易所自己补了上来,这已经不是秘密了。而很多项目其实没被攻击,是因为项目方技术比交易所好吗?倒也不尽然,利润使然才是真。

对于区块链行业来讲,技术是最关键的一环,也是投资者最不关心的一环。当我们在谈论技术的时候,我们在谈论什么?其实是技术上的革新能否成为币价上涨的利好。如果大家都认可技术能够成为币价上涨的推动力的时候,技术才真正名副其实的是区块链项目最为关键的一环。

在之前的牛市熊市转换中并不是这样的,“团队在做事”成了最为嘲讽的一句话。

而这些在今年明显有所改观了,技术好的项目得到了更多的认可,也得到了价值回归。相信在下一轮牛市中,技术好的项目将会更好的脱颖而出。

生成图片
7

发表评论

区块链安全中,技术重要吗?

星期一 2019-05-13 20:01:43

前些天发生了件事情,原本是件利空,但是很快被比特币上涨的巨浪给覆盖了过去。

事情是这样的:币安受到黑客攻击,目前已经有7000多比特币被窃。

根据币安对外披露的信息,该交易所在5月7日发现了“大规模的安全漏洞”,该漏洞导致黑客能够访问用户应用程序接口密钥(API keys)、双因素身份验证码、以及其他信息。按照安全通知中公布的一笔交易,黑客从币安交易所中取走了价值大约4100万美元的比特币。

不清楚技术没关系,大家都知道,黑客是用技术手段“光明正大”地偷走了币安热钱包里的币。

我经常说,交易所在黑客的眼中,那就是不移动的金矿,让人垂涎欲滴。所以这些年啊,交易所被盗事件可没少发生:

一、2014年全球最大的比特币交易所Mt.Gox,被盗走85万枚比特币,价值120亿美元。门头沟曾是世界上最大的比特币交易所,最后因存款到期无法兑现而宣告倒闭。门头沟一直在日本和美国的法院走破产清算程序,人们到现在还没搞清楚自己的钱去哪儿了。

二、2017年12月,韩国比特币交易所Youbit因遭遇“黑客攻击”,丢失了17%的数字货币,宣布破产。

三、2018年1月,日本最大的加密货币交易所Coincheck遭黑客袭击,价值5.3亿美元的新经币(NEM)被非法转移至其他交易所。新经币市值一度在全球数字货币排名第八,受被盗事件影响,新经币在5小时内暴跌20%,并引发全球数字货币的普跌。

分析这些事件,我们可以发现,交易所面临的安全隐患主要来自以下几方面:

(1)从交易所平台角度来说,因为系统的BUG,可能会导致黑客的攻击,可能是短期行为,也可能是针对交易平台的长期潜伏,集中爆发进而造成财产损失。

(2)热钱包的安全问题。所谓热钱包,指的就是联网状态的钱包,相对的,冷钱包指的就是不联网的钱包。

(3)此外,用户隐私信息也面临着诸多威胁,如:利用安全漏洞进行入侵获取管理权限盗取数据或者利用平台用户的安全意识薄弱,通过钓鱼网站骗取用户隐私信息,还有黑客在交易所平台的运维或开发人员的机器上植入病毒、木马、后门程序来获取用户隐私信息甚至交易所平台的私钥等。

据信,此次币安被盗或由于内网遭黑客长期 APT 渗透:

APT(Advanced Persistent Threat)被称作高级持续性威胁,本质是针对性攻击。是对特定目标进行长期持续性网络攻击的攻击形式, APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。

对于防范网络攻击,以及典型的APT攻击方面,Trias在项目之初,就以安全为根基,构建可信计算为基础的区块链安全网络。

Trias 的目的是要构建一套去中心化的可信计算通用平台,以实现可信赖的软件执行环境,确保正确的软件在正确的输入下都能产生预期的输出;及一套去中心化的可审计溯源的可信软件开发运维体系,保障软件自身的行为可验证、溯源。从而最终保障正确的通用平台硬件环境执行了正确的原生应用程序,实现近区块链2.0智能合约的安全强度。

进一步地,利用通证经济模型,Trias驱动算力与软件生态健康、有序、安全地运转,实现了对可信软件在可信执行环境上的有序调度,最终实现全平台可信可靠的统一编程。

区块链安全中,技术重要吗?

要了解Trias安全体系,先要搞明白什么是TEE。TEE离我们并不遥远,受人追捧的苹果产品,其安全性就是通过TEE来保证的。按照定义,TEE(Trust Execution Environment)可在联网设备中提供一个安全区域,确保敏感数据在隔离、可信的环境中储存、处理并受到保护。比如说,当你触摸ipad的指纹识别器时,手机硬件本身的处理器并不会读取你的相关数据,而是传送给安全区处理。

大家还记得当年iPhone5s刚推出指纹识别的时候,被大量的媒体和专业人士指责不安全和收集用户数据吧?但是在苹果成功之后,众多公司纷纷就跟上了脚步,全面的指纹识别时代到来。

不仅如此非手机公司也纷纷推出了自己的TEE,比如Intel SGX、Intel TXT、TPM、ARM TrustZone等,可以说,TEE为系统的机密性和完整性发挥着巨大的作用。

而Trias在此基础上,提出了异构TEE体系,即支持不同厂家TEE技术的体系,每一个加入Trias网络的节点都必须具备TEE环境,在很大程度上从一开始就大大减少了数据的安全隐患。

区块链安全中,技术重要吗?

在TEE的基础上,Trias引入了信任传递网,让具备TEE环境的节点能够互相验证对方的可信度,并将结果通过Gossip协议在其他节点间传播。这样一来,所有TEE共识节点就能形成一个信誉关系网,并由此反复迭代,筛选出“最难撒谎的点”,为其分发智能合约程序,形成健壮高效的运行环境。

这样做的好处很多。首先,支持多种TEE技术,为要加入的网络的节点提供了便利。也就是说,想要成为Trias的节点,只要具备其中一种TEE环境即可,没有特定类型的限制,同时又避免了对单一TEE技术的过分依赖。其次,通过Gossip协议在显著提升传播效率之余,同时构建起小世界网络,选出值得信任的优质节点,又提高了共识效率。

当然,对于安全来讲,技术的保障只是一环,我们相信币安的技术应该也不会太差。

币圈很多交易所其实都或多或少被盗过被攻击过,只不过大部分都被交易所自己补了上来,这已经不是秘密了。而很多项目其实没被攻击,是因为项目方技术比交易所好吗?倒也不尽然,利润使然才是真。

对于区块链行业来讲,技术是最关键的一环,也是投资者最不关心的一环。当我们在谈论技术的时候,我们在谈论什么?其实是技术上的革新能否成为币价上涨的利好。如果大家都认可技术能够成为币价上涨的推动力的时候,技术才真正名副其实的是区块链项目最为关键的一环。

在之前的牛市熊市转换中并不是这样的,“团队在做事”成了最为嘲讽的一句话。

而这些在今年明显有所改观了,技术好的项目得到了更多的认可,也得到了价值回归。相信在下一轮牛市中,技术好的项目将会更好的脱颖而出。