9月5日、Odailyが主催し、36Krグループが戦略的に共催したPODカンファレンスが北京で開催された。カンファレンスのセキュリティサブフォーラムでは、シニアアナリストのハオ・ファンジョウ氏は「2018年ブロックチェーン技術セキュリティサービス産業レポート」を正式に発表し、特別講演を行った。

「ブロックチェーン技術セキュリティサービス業界レポート2018」では、取引所、スマートコントラクト、ウォレット、マイニングプールなどのビジネスシナリオに対応したセキュリティ課題を「事象の検討－攻撃手法－防御戦略」の論理的な順序で分析し、議論しています。ブロックチェーン技術のセキュリティ問題、チェーンセキュリティサービス業界の概要とビジネスケース。

ハオ・ファンジョウ氏は共有の中で、ハッカーが分散型プラットフォームを攻撃するために使用する手法など、研究所の調査結果を紹介した。これは従来の集中型プラットフォームとは大きく異なり、時には革新的な考え方に依存していると氏は例に挙げた。今年、ハッカーがBinanceとFomo3Dを攻撃した際、ハッカーは金融知識を利用し、基礎となる設計メカニズムの抜け穴を把握しました。

同氏の調査によると、ブロックチェーンのセキュリティインシデントの発生率が高いのはビジネス層と契約層に集中しており、ビジネスラインの観点から見ると、それは取引プラットフォームとスマートコントラクトであるという。

Hao Fangzhou氏はまた、「集中型取引プラットフォームの可能な進化の道は、監督を採用すると同時に、実名、信託統治、独自の物理的組織の確立などをうまく行うなど、銀行などの伝統的な金融機関にアプローチすることである」と指摘した。防御機構。"

以下はスピーチの全文です、お楽しみください。

皆様、こんにちは。セキュリティセッションへようこそ。私たちオデイリー研究所は、よりリアルなブロックチェーンの世界をより直感的な方法で皆様にお届けしたいと常に考えてきました。私たちが制作した「Odaily Graphics」というシリーズは、業界構造や大企業の配置、コード盗用などをグラフで表現したもので、友人知人などでこのグラフを見たことがある人もいるでしょう。本日、私は研究所を代表して、2018年ブロックチェーン技術セキュリティサービス業界レポートを発表するためにここに来ました。

安全は相対的な概念であり、その反対はリスクですが、この 2 つの言葉は比較的抽象的であるため、頭の中でより類似した概念に変換したいと考えています。では、安全とリスクはどのようなものでしょうか?攻守の役割の切り替えがサッカーの核であり、その核がボールコントロールである。

さて、この一連のロジックをブロックチェーンのセキュリティに置き換えると、中核は情報と資産の管理であり、真ん中のセキュリティは地雷やチェーンによって保護され、外側の円はあらゆる種類のリスクであることがわかります。これには、技術的リスク、政策的リスク、モラルハザード、投機的リスク、オペレーショナルリスクなどが含まれます。リスクには特定の特性があり、多くの場合、複数のポイントで予期せぬ無限に複合化するため、セキュリティは包括的で、マルチプロセス、マルチリンクである必要があります。

ただし、非常に重要なセキュリティ問題は真剣に考慮されていないことがよくあります。権利と責任は多くの場合不明確であり、基準を定量化するのは難しいため、記事を書くときに、セキュリティ問題はシュレディンガーの安全保障に似ているという質問をよくしますが、これは何を意味しますか?事故が起きて初めてこの問題の深刻さが分かりますが、事故が起きる前は、企業や製品、サービスが安全性の判断が難しい中間状態にあることを知りません。

そうは言っても、ネットワーク セキュリティについて話すとき、誰が攻撃と防御の役割を果たしているかを理解しやすいことを明確にする必要があります。攻撃者は一般的にハッカーです。防御には、政府、企業、サードパーティのセキュリティ会社、およびセキュリティが含まれます。ユーザーが所有するもの。

ここで皆さんに聞きたいのですが、デジタル資産が盗まれることに遭遇したことがある人はいますか。秘密キーを忘れたら、意味がありませんよね? オンライン バンキング、P2P、Alipay など、オンラインで法定通貨資産が盗まれたことがありますか?

私たちはこのようなことに遭遇したことがありません。実際、データからデジタル資産の総市場価値が 2,300 億米ドルを超えていることがわかります。 Tencent Security と Zhichuangyu の報告書によると、今年上半期 (7 月まで) に盗まれたデジタル資産の額は約 11 億米ドルでした。今年上半期に失われたコインの数はほぼ1000分の5でした。 Kushen のデータはこれより高いようです。比較的集中型のシステムの場合、実際には、集中型の攻撃と防御は、より厳格な攻撃と防御のテストから得られます。一般に、法的保証と金融機関からの補償があります。オンライン資産は、多くの場合、それに続きます。バインドオフラインオブジェクト。したがって、ハッカーがインターネットを直接攻撃することは実際には非常に困難ですが、オフラインにすることは簡単です。

それで、

それで、ブロックチェーンを攻撃したい場合は、革新的な手段に頼らなければならない場合があります。

ここで 2 つの例を挙げます。1 つ目は、今年 3 月の「バイナンス事件」です。それは 3 月 7 日の早朝のはずです。バイナンスからの出金は、テクノロジーといくつかの金融ツールを組み合わせた革新的な手段です。 2 番目の例は、今おっしゃった Fomo3D です。これが終わると、ハッカーが他のプレイヤーを絞り出し、最終的に多額のボーナスを獲得するのではないかと多くの人が疑っていますが、これは基本的な設計メカニズムと組み合わされたゲームプレイです。チェーン上には情報だけでなく価値も存在し、コードは完璧ではないため、多くの機関は宣伝しているほど包括的ではなく、関連する政策は依然として一時的に欠如しており、一旦崩壊すると巨額の経済的損失を引き起こします。

ブロックチェーンの安全性の不安の一部は、人々がブロックチェーンに十分な注意を払っていないという主観的な理由から来ていますが、基本的に市場に参入する投資家は少しお金に余裕のある人であり、まだ少数の人々がいます。実際に家を売って市場に参入します。

では、どうやって保護すればよいのでしょうか？攻撃の突破口は通常、防御側が要塞を築いている位置です。。ここでは、2011 年から今年までと、今年 7 月以前のブロックチェーンの攻撃対象領域とポイントの分析をそれぞれ示しています。

技術アーキテクチャによれば、ビジネス層と契約層が最も大きな影響を受ける領域です。ビジネスシナリオによれば、取引プラットフォームとスマートコントラクトは事故が頻繁に発生する場所です。

読者の便宜を図るため、分類する際にはセキュリティサービス会社の視点を参考にし、また業界のニーズやビジネスシナリオに応じて議論します。

そこで本レポートでは、取引所、スマートコントラクト、ウォレット、マイニングプールなどのビジネスシナリオに対応したブロックチェーン技術のセキュリティ課題を「イベントレビューから攻撃手法、防御戦略まで」の論理的な順序で分析しています。

レポートのこの部分の情報量は比較的多いため、ここでは 2 つの小さなポイントのみを取り上げて簡単に共有します。

まずは交換についてお話しましょう。分散型取引所の参入は、集中型取引所のセキュリティ上の課題を解決することを目的としています。彼らの次の焦点は、エクスペリエンスを向上させ、より多くのトラフィックを獲得することです。集中型取引所の進化の方向性は、銀行などの従来の金融機関に近く、実名、KYC、カストディ、コールドおよびホット分離ソリューション、その他の物理的防御において適切に機能する必要があります。

スマートコントラクトについて話しましょう。スマート コントラクトは一度実行されると変更できないため、コード監査と形式的検証がますます重要になっています。パブリック チェーンの場合は、基盤となる設計とトークン エコノミーで発生する可能性のあるセキュリティ問題も考慮する必要があるため、事前にセキュリティ チームに相談することをお勧めします。また、セキュリティサービスがブロックチェーンプロジェクトに早期に関与することもトレンドになるだろう。

報告書にはさらに多くの結論がありますが、ここでは詳しく説明しません。

レポートの最後では、ブロックチェーン技術セキュリティサービス業界の概況と代表的な企業を整理します。

誰もが独自の視点と専門分野を持っていることがわかりました。形式的な検証とリリースされた自動検出エンジンに焦点を当てている企業もあれば、環境に優しいセキュリティとプライバシーに焦点を当てている企業もあり、コールド ウォレットとしてスタートした多くの企業は秘密キーのセキュリティ ストレージ ソリューションを専門としています。また、分散化のアイデアを使用してオタクを惹きつけ、コミュニティを構築し、一緒にバグをチェックして修正するプロジェクトもあります。

ブロックチェーンセキュリティサービスの代表的な企業10社の中から代表的な事例5社をピックアップし、リーダーの経験や意見も交えてインタビュー・分析を実施しました。

最後に、私たちのインタビューに応じ、知恵を提供し、レポートの指導をしてくださった Kushen、Slow Mist、Zhichuangyu、PeckShield、360、CertiK、Warp Speed Future、Security Chain、Bepel に感謝の意を表します。また、このレポートの筆頭著者である私の同僚であるアナリストの Li Xueting 氏にも感謝したいと思います。

さらなる研究レポート、イラスト、ニュースレポート、プロジェクト紹介、詳細な記事も準備中です。皆さん、ありがとうございました！