9월 5일, Odaily가 주최하고 36Kr Group이 전략적으로 공동 조직한 POD 회의가 베이징에서 열렸습니다. 컨퍼런스 보안 하위 포럼에서,수석 분석가인 Hao Fangzhou는 공식적으로 "2018 블록체인 기술 보안 서비스 산업 보고서"를 발표하고 특별 연설을 했습니다.
"Blockchain Technology Security Service Industry Report 2018"은 "이벤트 검토-공격 방법-방어 전략"의 논리적 순서에 따라 거래소, 스마트 계약, 지갑, 마이닝 풀 등 비즈니스 시나리오에 해당하는 보안 문제를 분석하고 이에 대해 논의합니다. 블록체인 기술의 보안 문제 체인 보안 서비스 산업의 개요 및 비즈니스 사례.
공유에서 Hao Fangzhou는 해커가 분산형 플랫폼을 공격하기 위해 사용하는 방법과 같은 연구 기관의 몇 가지 발견 사항을 소개했습니다. 이는 전통적인 중앙 집중식 플랫폼과 매우 다르며 때로는 일부 혁신적인 사고에 의존합니다. 올해 Binance와 Fomo3D를 공격하는 해커들은 금융 지식을 사용하여 기본 설계 메커니즘의 허점을 파악했습니다.
그의 연구에 따르면 블록체인 보안 사고의 높은 발생률은 비즈니스 계층과 계약 계층에 집중되어 있으며, 비즈니스 라인의 관점에서 보면 거래 플랫폼과 스마트 계약입니다.
Hao Fangzhou는 또한 "중앙 집중식 거래 플랫폼의 가능한 진화 경로는 감독을 수용하는 동시에 은행과 같은 전통적인 금융 기관에 접근하는 것"이라고 지적했습니다. 방어 체계."
다음은 연설의 전체 텍스트입니다. 즐기십시오.
안녕하세요, 신사숙녀 여러분, 보안 세션에 오신 것을 환영합니다. 우리 오데일리 연구소는 항상 모든 사람들에게 보다 직관적인 방식으로 보다 실제적인 블록체인 세계를 제시하기를 희망해 왔습니다. 우리가 제작한 시리즈는 "Odaily Graphics"라고 불리며, 그래프를 사용하여 산업 구조, 대기업의 레이아웃, 코드 표절 등을 보여줍니다. 어떤 사람들은 친구들 사이에서 이 그래프를 본 적이 있습니다. 오늘 저는 연구소를 대표하여 2018년 블록체인 기술 보안 서비스 산업 보고서를 발표하기 위해 이 자리에 섰습니다.
안전은 상대적인 개념이고 그 반대는 위험인데 이 두 단어는 상대적으로 추상적이기 때문에 우리 마음속에서 좀 더 유사한 개념으로 바꾸길 희망하는데 안전과 위험은 어떤 모습일까요? 공격과 수비의 역할 전환이 축구의 핵심이고, 이 핵심이 볼 컨트롤이다.
이제 이 일련의 논리를 블록체인 보안으로 번역하면 핵심은 정보와 자산에 대한 제어이며 중간의 보안은 광산과 체인으로 보호되고 외부 원은 모든 종류의 위험이 있음을 알 수 있습니다. 기술 위험, 정책 위험, 도덕적 위험, 투기 위험, 운영 위험 등이 포함됩니다. 위험에는 특정 특성이 있으며, 종종 예상치 못한 끝이 없는 여러 지점에서 복합화되므로 포괄적인 다중 프로세스 및 다중 링크 보안이 필요합니다.
그러나 매우 중요한 보안 문제는 심각하게 다루어지지 않는 경우가 많습니다.권리와 책임이 불분명한 경우가 많고, 기준을 정량화하기 어려운 경우가 많기 때문에 글을 쓰다 보면 보안 문제가 슈뢰딩거의 보안과 좀 비슷하다는 질문을 자주 하게 됩니다. 사고가 나서야 이 문제의 심각성을 깨닫지만, 사고가 나기 전에는 회사나 제품, 서비스가 안전을 판단하기 어려운 중간 상태에 있다는 것을 알 수 없습니다.
그러나 네트워크 보안에 대해 이야기할 때 누가 공격과 방어의 역할을 하는지 이해하는 것이 더 쉽다는 점을 분명히 해야 합니다.공격자는 일반적으로 해커입니다.방어에는 정부, 기업, 타사 보안 회사 및 사용자.소유.
여기 계신 모든 분들께 묻고 싶습니다. 누군가 디지털 자산이 도난당하는 것을 본 적이 있습니까? 개인 키를 잊어버리면 중요하지 않죠 온라인 뱅킹, P2P 또는 알리페이 등 온라인에서 누군가의 법정 통화 자산을 도난당한 적이 있습니까?
우리는 이것을 본 적이 없습니다. 실제로 디지털 자산의 총 시장 가치가 미화 2,300억 달러를 넘어섰다는 데이터를 통해 알 수 있습니다. Tencent Security와 Zhichuangyu의 상반기 보고서에 따르면 7월 이전에 도난당한 디지털 자산 금액은 거의 11억 달러에 달했습니다.상반기에 잃어버린 동전의 수는 거의 5천분의 1이었습니다.. Kushen의 데이터는 이것보다 높은 것 같습니다.상대적으로 중앙 집중식 시스템이라면 실제로 중앙 집중식 공격 및 방어는 더 엄격한 공격 및 방어 테스트에서 나옵니다.일반적으로 금융 기관의 법적 보증 및 보상이 있습니다.온라인 자산은 종종 따라옵니다. 오프라인 개체를 바인드합니다. 따라서 해커가 인터넷을 직접 공격하는 것은 실제로 매우 어렵지만 오프라인으로 이동하는 것이 더 쉽습니다.
그래서,
그래서,블록체인을 공격하려면 때로는 혁신적인 수단에 의존해야 합니다.
여기서 두 가지 예를 들겠습니다. 첫 번째는 올해 3월의 "바이낸스 사건"입니다. 3월 7일 이른 아침이 되어야 합니다. 바이낸스에서 출금하는 것은 기술과 일부 금융 도구를 결합하는 혁신적인 수단입니다. 두 번째 예는 방금 언급한 Fomo3D입니다. 이것이 끝나면 많은 사람들은 해커가 다른 플레이어를 짜내고 마침내 큰 보너스를 받을 것이라고 의심합니다.이것은 기본 설계 메커니즘과 결합된 게임 플레이입니다. 정보뿐만 아니라 가치도 체인에 있고 코드가 완벽하지 않기 때문에 많은 기관이 광고만큼 포괄적이지 않고 관련 정책이 여전히 일시적으로 부재하여 일단 떨어지면 막대한 경제적 손실을 초래합니다.
블록체인의 불안정성 중 일부는 주관적인 이유, 즉 사람들이 충분한 관심을 기울이지 않는다는 것입니다.기본적으로 시장에 진입하는 투자자는 약간의 여유 자금이 있는 사람들이며 여전히 실제로 집을 팔고 시장에 진입합니다.
그래서 그것을 보호하는 방법? 공격의 돌파구는 일반적으로 방어가 요새를 구축하는 위치입니다. 이제 우리는 각각 2011년부터 올해까지 그리고 올해 7월 이전에 블록체인의 공격 표면과 지점에 대한 분석을 그림으로 봅니다.
기술 아키텍처에 따르면 비즈니스 계층 및 계약 계층이 가장 큰 타격을 받는 영역입니다. 비즈니스 시나리오에 따르면 거래 플랫폼 및 스마트 계약은 사고가 자주 발생하는 곳입니다.
독자의 편의를 위해 분류할 때 보안 서비스 회사의 관점을 참조하고 산업 요구 및 비즈니스 시나리오에 따라 논의합니다.
따라서 보고서는 거래소, 스마트 컨트랙트, 월렛, 마이닝 풀 등 비즈니스 시나리오에 해당하는 블록체인 기술 보안 이슈를 "이벤트 검토부터 공격 방법, 방어 전략"이라는 논리적인 순서로 분석한다.
보고서의 이 부분에 있는 정보의 양이 상대적으로 많기 때문에 여기에서 간단히 공유할 두 가지 작은 사항만 선택합니다.
교환에 대해 먼저 알아보겠습니다.탈중앙화 거래소의 진입은 중앙화 거래소의 보안 문제를 겨냥한 것입니다. 그들의 다음 초점은 경험을 개선하고 더 많은 트래픽을 얻는 것입니다. 중앙 집중식 거래소의 진화 방향은 은행과 같은 전통적인 금융 기관에 가깝고 실명, KYC, 양육권, 콜드 및 핫 격리 솔루션 및 기타 물리적 방어에서 잘 작동해야 합니다.
스마트 계약에 대해 이야기해 봅시다.스마트 계약은 일단 실행되면 수정할 수 없으므로 코드 감사 및 공식 검증이 점점 더 중요해지고 있습니다. 퍼블릭 체인의 경우 기본 설계 및 토큰 경제에서 발생할 수 있는 보안 문제도 고려해야 하며 사전에 보안 팀과 상의하는 것이 가장 좋습니다. 또한 보안 서비스가 블록체인 프로젝트에 더 일찍 참여하는 추세가 될 것입니다.
보고서에는 더 많은 결론이 있으며 여기에서 확장되지 않습니다.
보고서의 마지막 부분에서는 블록체인 기술 보안 서비스 산업의 일반적인 상황과 일반적인 회사를 정리했습니다.
모두 각자의 관점과 전문 분야가 있는 것으로 나타났습니다.일부는 형식 검증에 중점을 두고 자동 탐지 엔진을 출시했으며,일부는 생태 보안 및 개인 정보 보호에 중점을 두었습니다.콜드 월렛으로 시작한 많은 회사는 개인 키 보안 스토리지 솔루션을 전문으로 합니다. 또한 탈중앙화 아이디어를 사용하여 괴짜를 유치하고 커뮤니티를 구축하며 함께 버그를 확인하고 수정하는 프로젝트도 있습니다.
포함된 블록체인 보안 서비스의 대표 10개 기업 중 대표적인 사례 5개를 선정하여 인터뷰 및 분석을 진행하였으며, 이 부분에는 리더들의 경험과 의견도 포함되어 있습니다.
마지막으로 인터뷰를 수락하고 지혜로운 지원을 제공하고 보고서에 대한 지침을 제공한 Kushen, Slow Mist, Zhichuangyu, PeckShield, 360, CertiK, Warp Speed Future, Security Chain 및 Bepel에게 감사드립니다. 또한 이 보고서의 주 저자이자 분석가인 Li Xueting에게도 감사드립니다.
나는 또한 작은 발표를 할 것입니다.더 많은 연구 보고서, 삽화, 뉴스 보고서, 프로젝트 소개 및 심층 기사가 진행 중입니다. 다들 감사 해요!
