Vào ngày 5 tháng 9, hội nghị POD do Odaily tổ chức và được đồng tổ chức chiến lược bởi Tập đoàn 36Kr đã được tổ chức tại Bắc Kinh. Trong diễn đàn phụ về bảo mật hội nghị,Nhà phân tích cấp cao Hao Fangzhou đã chính thức phát hành "Báo cáo ngành dịch vụ bảo mật công nghệ chuỗi khối 2018" và có bài phát biểu đặc biệt.

"Báo cáo ngành dịch vụ bảo mật công nghệ chuỗi khối 2018" phân tích các vấn đề bảo mật tương ứng với các tình huống kinh doanh như sàn giao dịch, hợp đồng thông minh, ví và nhóm khai thác theo thứ tự hợp lý của "chiến lược phòng thủ-phương pháp tấn công-đánh giá sự kiện" và thảo luận về các vấn đề bảo mật của công nghệ chuỗi khối Tổng quan và các trường hợp kinh doanh của ngành dịch vụ bảo mật chuỗi.

Trong phần chia sẻ, Hao Fangzhou đã giới thiệu một số phát hiện của viện nghiên cứu, chẳng hạn như phương thức mà tin tặc sử dụng để tấn công nền tảng phi tập trung, rất khác so với nền tảng tập trung truyền thống, đôi khi dựa vào một số tư duy đổi mới, ông trích dẫn Ví dụ về tin tặc tấn công Binance và Fomo3D trong năm nay, tin tặc thậm chí còn sử dụng kiến ​​thức tài chính và nắm bắt các lỗ hổng trong cơ chế thiết kế cơ bản.

Theo nghiên cứu của ông, tỷ lệ xảy ra sự cố bảo mật blockchain cao tập trung ở lớp kinh doanh và lớp hợp đồng, từ góc độ ngành nghề kinh doanh là nền tảng giao dịch và hợp đồng thông minh.

Hao Fangzhou cũng chỉ ra rằng "con đường phát triển khả thi của nền tảng giao dịch tập trung là nắm lấy sự giám sát, đồng thời tiếp cận các tổ chức tài chính truyền thống như ngân hàng, bao gồm thực hiện tốt công việc tên thật, ủy thác và thiết lập cơ sở vật chất của riêng mình. cơ chế bảo vệ."

Sau đây là toàn văn bài phát biểu, mời quý vị thưởng thức:

Chào buổi chiều, thưa quý vị và các bạn, chào mừng đến với phiên an ninh. Viện nghiên cứu Odaily của chúng tôi luôn hy vọng mang đến một thế giới blockchain thực tế hơn cho mọi người theo cách trực quan hơn. Một sê-ri chúng tôi sản xuất có tên là "Đồ họa hàng ngày", sử dụng biểu đồ để hiển thị cấu trúc ngành, cách bố trí của các công ty lớn, đạo văn mã, v.v. Một số người đã nhìn thấy những biểu đồ này trong vòng kết nối bạn bè. Hôm nay, thay mặt cho Viện, tôi có mặt ở đây để phát hành Báo cáo ngành dịch vụ bảo mật công nghệ chuỗi khối năm 2018.

An toàn là một khái niệm tương đối, và đối lập của nó là rủi ro, nhưng hai từ này tương đối trừu tượng, vì vậy chúng tôi hy vọng sẽ biến chúng thành một khái niệm tương tự hơn trong tâm trí chúng ta, vậy an toàn và rủi ro trông như thế nào? Chuyển đổi vai trò giữa tấn công và phòng thủ là cốt lõi trong bóng đá, và cốt lõi này là kiểm soát bóng.

Bây giờ, khi chúng ta dịch bộ logic này sang bảo mật chuỗi khối, chúng ta sẽ thấy rằng cốt lõi là quyền kiểm soát thông tin và tài sản, bảo mật ở giữa được bảo vệ bởi các mỏ và chuỗi, và vòng tròn bên ngoài là tất cả các loại rủi ro. bao gồm rủi ro kỹ thuật, rủi ro chính sách, rủi ro đạo đức, rủi ro đầu cơ, rủi ro hoạt động, v.v. Rủi ro có những đặc điểm nhất định và thường phức tạp ở nhiều điểm, bất ngờ và vô tận, đòi hỏi công tác bảo mật phải toàn diện, đa quy trình và đa liên kết.

Tuy nhiên, các vấn đề bảo mật rất quan trọng thường không được coi trọng.Chúng ta sẽ thấy quyền hạn và trách nhiệm thường không rõ ràng, tiêu chuẩn khó lượng hóa nên khi viết bài chúng tôi thường đặt câu hỏi, cho rằng vấn đề bảo mật hơi giống bảo mật của Schrödinger, điều này có nghĩa là gì? Chỉ khi tai nạn xảy ra, chúng ta mới nhận ra mức độ nghiêm trọng của vấn đề này, nhưng trước khi xảy ra tai nạn, chúng ta không biết rằng một công ty, sản phẩm hoặc dịch vụ đang ở trạng thái trung gian, nơi rất khó để đánh giá mức độ an toàn của chúng.

Nói như vậy, chúng ta cần làm rõ rằng khi nói về an ninh mạng, sẽ dễ hiểu hơn ai là người đóng vai trò tấn công và phòng thủ. người dùng.Sở hữu.

Ở đây tôi muốn hỏi mọi người ở đây, có ai từng gặp phải trường hợp tài sản kỹ thuật số bị đánh cắp chưa. Nếu bạn quên khóa cá nhân, nó sẽ không được tính, phải không?

Chúng tôi chưa bao giờ gặp phải điều này. Trên thực tế, chúng ta có thể thấy từ dữ liệu rằng tổng giá trị thị trường của tài sản kỹ thuật số đã vượt quá 230 tỷ đô la Mỹ. Theo báo cáo của Tencent Security và Zhichuangyu trong nửa đầu năm, trước tháng 7, số lượng tài sản kỹ thuật số bị đánh cắp là gần 1,1 tỷ đô la Mỹ, có nghĩa làTrong nửa đầu năm, số xu bị mất gần năm phần nghìn. Dữ liệu của Kushen có vẻ cao hơn mức này. Nếu nó là một hệ thống tương đối tập trung, thì trên thực tế, cuộc tấn công và phòng thủ tập trung đến từ các cuộc kiểm tra tấn công và phòng thủ nghiêm ngặt hơn. Nói chung, có sự đảm bảo và bồi thường hợp pháp từ các tổ chức tài chính. Tài sản trực tuyến thường tuân theo các đối tượng Ràng buộc ngoại tuyến. Do đó, tin tặc thực sự rất khó tấn công trực tiếp vào Internet, nhưng sẽ dễ dàng hơn khi ngoại tuyến.

Vì thế,

Vì thế,Nếu bạn muốn tấn công chuỗi khối, đôi khi bạn phải dựa vào một số phương tiện sáng tạo.

Ở đây tôi sẽ đưa ra hai ví dụ, ví dụ thứ nhất là "sự cố Binance" vào tháng 3 năm nay, đáng lẽ là vào sáng sớm ngày 7 tháng 3. Rút tiền từ Binance là một phương thức sáng tạo kết hợp công nghệ với một số công cụ tài chính. Ví dụ thứ hai là Fomo3D mà bạn vừa đề cập. Khi điều này kết thúc, nhiều người nghi ngờ rằng hacker sẽ chèn ép những người chơi khác và cuối cùng nhận được một khoản tiền thưởng lớn, đây là một lối chơi kết hợp với cơ chế thiết kế bên dưới. Bởi vì không chỉ có thông tin mà còn có giá trị trên chuỗi, và mã không hoàn hảo, nhiều tổ chức không toàn diện như họ quảng cáo và các chính sách liên quan vẫn tạm thời vắng bóng, gây ra thiệt hại kinh tế lớn một khi chúng sụp đổ.

Sự thiếu an toàn của blockchain một phần xuất phát từ nguyên nhân chủ quan, đó là mọi người chưa quan tâm đúng mức đến nó.Về cơ bản, những nhà đầu tư tham gia thị trường là những người có ít tiền nhàn rỗi, vẫn còn một bộ phận nhỏ những người thực sự bán nhà của họ và tham gia thị trường.

Vậy làm thế nào để bảo vệ nó? Điểm đột phá của cuộc tấn công nói chung là vị trí mà bên phòng thủ xây dựng một pháo đài. Bây giờ chúng ta thấy một bức tranh tương ứng từ năm 2011 đến năm nay và trước tháng 7 năm nay, phân tích bề mặt và điểm tấn công của chuỗi khối.

Theo kiến ​​trúc kỹ thuật, lớp kinh doanh và lớp hợp đồng là những khu vực bị ảnh hưởng nặng nề nhất. Theo kịch bản kinh doanh, nền tảng giao dịch & hợp đồng thông minh là nơi thường xuyên xảy ra tai nạn.

Để thuận tiện cho độc giả, chúng tôi đề cập đến quan điểm của các công ty dịch vụ bảo vệ khi phân loại, đồng thời thảo luận theo nhu cầu của ngành và kịch bản kinh doanh.

Do đó, báo cáo phân tích các vấn đề bảo mật công nghệ chuỗi khối tương ứng với các kịch bản kinh doanh như sàn giao dịch, hợp đồng thông minh, ví và nhóm khai thác theo thứ tự logic "từ đánh giá sự kiện, đến phương pháp tấn công và chiến lược phòng thủ".

Lượng thông tin trong phần báo cáo này tương đối nhiều nên tôi chỉ chọn ra hai điểm nhỏ để chia sẻ ngắn gọn ở đây:

Trước tiên hãy nói về trao đổi.Sự gia nhập của các sàn giao dịch phi tập trung nhằm vào các điểm yếu bảo mật của các sàn giao dịch tập trung. Trọng tâm tiếp theo của họ là cải thiện trải nghiệm và nhận được nhiều lưu lượng truy cập hơn. Hướng phát triển của các sàn giao dịch tập trung phải gần với các tổ chức tài chính truyền thống như ngân hàng và thực hiện tốt công việc về tên thật, KYC, lưu ký, các giải pháp cách ly lạnh và nóng và các biện pháp phòng vệ vật lý khác.

Hãy nói về hợp đồng thông minh.Sau khi hợp đồng thông minh được chạy, nó không thể được sửa đổi, vì vậy việc kiểm tra mã và xác minh chính thức ngày càng trở nên quan trọng hơn. Đối với các chuỗi công khai, bạn cũng phải xem xét các vấn đề bảo mật có thể phát sinh trong thiết kế cơ bản và nền kinh tế mã thông báo. Tốt nhất là nên tham khảo trước với nhóm bảo mật. Nó cũng sẽ trở thành xu hướng cho các dịch vụ bảo mật tham gia vào các dự án blockchain sớm hơn.

Có nhiều kết luận trong báo cáo, sẽ không được mở rộng ở đây.

Trong phần cuối của báo cáo, chúng tôi sắp xếp tình hình chung và các công ty tiêu biểu của ngành dịch vụ bảo mật công nghệ chuỗi khối.

Người ta thấy rằng mọi người đều có quan điểm và lĩnh vực chuyên môn riêng. Một số tập trung vào xác minh chính thức và phát hành các công cụ phát hiện tự động; một số tập trung vào bảo mật sinh thái và quyền riêng tư; nhiều công ty khởi đầu là ví lạnh chuyên về các giải pháp lưu trữ bảo mật khóa cá nhân; Có cũng là các dự án sử dụng ý tưởng phân quyền để thu hút các chuyên viên máy tính, xây dựng cộng đồng và cùng nhau kiểm tra và sửa lỗi.

Chúng tôi đã chọn ra 5 trường hợp điển hình trong số 10 công ty tiêu biểu về dịch vụ bảo mật blockchain, đồng thời tiến hành phỏng vấn và phân tích, phần này cũng bao gồm kinh nghiệm và ý kiến ​​của các nhà lãnh đạo.

Cuối cùng, tôi muốn cảm ơn Kushen, Slow Mist, Zhichuangyu, PeckShield, 360, CertiK, Warp Speed ​​​​Future, Security Chain và Bepel đã chấp nhận các cuộc phỏng vấn của chúng tôi, hỗ trợ trí tuệ và cung cấp hướng dẫn cho báo cáo. Tôi cũng xin cảm ơn đồng nghiệp của tôi, tác giả chính của báo cáo này, nhà phân tích Li Xueting.

Tôi cũng sẽ đưa ra một thông báo nhỏ, nhiều báo cáo nghiên cứu, minh họa, báo cáo tin tức, giới thiệu dự án và các bài viết chuyên sâu đang được thực hiện. cảm ơn tất cả!