360 Vulcan团队:入局区块链并不是为了“赶时髦”|金色财经独家专访

在360内部,Vulcan(伏尔甘)团队负责人郑文彬更常用的称谓是MJ。在关注区块链领域之前,Vulcan团队在Pwn2Own、PwnFest等世界大赛中攻破包括Chrome、Edge、Flash、Windows10等多个目标。在2017年的Pwn2own上,Vulcan团队就连续攻下了六个项目冠军,获得了世界总冠军和“破解大师”的桂冠。Vulcan团队于2017年底关注区块链行业,为区块链行业所熟知则始于今年5月底发现了EOS一系列安全漏洞,其中牵头者之一,便是Vulcan团队中的区块链专家彭峙酿博士。

为了更好的贴近了解这一神秘团队,了解黑客眼中的区块链安全,金色财经采访了这两位“超级黑客”。

9XqPqmimxZzMmGX8oG2axdWAMwbSg2bg6FyNCOQj.jpeg

安全:不止是加固与代码审计

对于当前区块链领域的安全现状,MJ认为无论是认知还是投入,都还有很长的路要走。“安全本身是一个范围特别广的概念,除了目前大部分安全公司都在提供的代码审计类服务,如何在攻击发生前就追踪到黑客动作进而阻止攻击的动作更为重要”,郑文彬对金色财经表示,对于区块链行业来说,从全局出发通过已有安全事件推测黑客下一步行动,这种对安全整体态势的预测是下一步更值得关注的方向。

“技术本质上是相通的”,MJ表示,新的系统总会走已有系统的老路,现今还存在的操作系统和浏览器都是经历这么多年来的磨练才构建起了现有的安全体系,既然都是由人写的代码,那不免会重复同样的错误,而无论再新的技术都不会是空中楼阁,一定是基于过往的积累,“因此做区块链领域的安全一定要对传统安全有一定的了解,才能发现这类问题,这时需要所有的区块链安全公司、区块链社群大家共同去努力的一个方向;另一方面,在通有问题之外,每个系统必定也会有自身独特的问题,因此更要去了解区块链和数字货币、交易相关的问题,去了解经济学和博弈论的知识。

区块链安全重灾区:交易所、智能合约、钱包

从EOS到矿池、项目,已有战绩显示彭峙酿对区块链领域漏洞下手可谓稳准狠。在他看来,区块链领域的安全重灾区非常明显:一是交易所,被黑事件层出不穷;二是智能合约,合约币突然归零、合约币被完全控制事件;三是普通用户,用户电脑和手机被盗窃数字货币的木马病毒侵入或者遭遇诈骗和勒索事件每天都在大量的发生。

k8kRkpLtVMkDYnYIdZ5zg3UVl8gi7MCBGXSOihKc.jpeg

“安全问题的本质是黑客在寻找更好下手的目标,没有百分百的安全”,MJ表示,但起码做到80、90分的程度,黑客攻击要付出很大成本时他就会转移目标,这也是为何区块链概念大涨后近期交易所安全问题如此频繁的原因。“从收益角度看,攻击数字货币交易所能够获得更多的资产,因为与银行相比数字货币的匿名性让交易所攻击变得性价比更高。从攻击难度上看,当下数字货币交易所的弱安全性使其成为了黑客眼中的‘软柿子’,这一状态除了要归根到行业整体安全意识不强外,目前交易所还未得到国家层面的认可与安全策略管控也是原因之一。”

建议:加强安全意识,守住安全准则

智能合约的DAPP开发者主要面临的问题是代码在业务逻辑上面的一些问题,即逻辑上可能会有漏洞,针对这一情况,彭峙酿对金色财经表示,项目在开发阶段要遵循安全开发流程。自身不具备安全能力的,需要请外界安全团队帮助进行代码审计。

对普通用户来说,最重要的也是要提高安全意识,在这个基础上通过多关注业内新闻以及补充安全知识去有意识、有能力的选择一些更加安全的交易所以及钱包产品,三是就像安全上网准则一样,区块链用户也有自己的安全准则,首要的是安装防护软件,这样能够将安全率提高很多。

对于跨入区块链安全领域,MJ笑称并不是为了“赶时髦”。“根本的原因是区块链行业本身的影响力变大了,这对我们是很有吸引力的,就像我们在Windows上发现、修补了漏洞可能能够增强几亿、几十亿人正在使用的系统安全性一样,区块链用的人多了、影响力大了,我们就觉得我们应该看一下是否能够在安全方面去影响、帮助很多人。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>