從360首席科學(xué)家到區(qū)塊鏈創(chuàng)業(yè)者,苦鉆代碼、強(qiáng)迫自己看白皮書,原來(lái)這個(gè)圈子都是這么努力的區(qū)塊鏈
在區(qū)塊鏈的創(chuàng)業(yè)圈,人們對(duì)青年才俊偶像派、改變世界理想派以及發(fā)達(dá)致富現(xiàn)實(shí)派從來(lái)不陌生,他們有的是新人,有的是老兵,通常都懷著高尚的「比特幣信仰」和對(duì)自己能力的自信粉墨登場(chǎng)。然而在這樣一個(gè)舞臺(tái)上,有一波人的發(fā)聲最少,卻不容忽視,那就是腳踏實(shí)地實(shí)力派。
在區(qū)塊鏈的創(chuàng)業(yè)圈,人們對(duì)青年才俊偶像派、改變世界理想派以及發(fā)達(dá)致富現(xiàn)實(shí)派從來(lái)不陌生,他們有的是新人,有的是老兵,通常都懷著高尚的「比特幣信仰」和對(duì)自己能力的自信粉墨登場(chǎng)。然而在這樣一個(gè)舞臺(tái)上,有一波人的發(fā)聲最少,卻不容忽視,那就是腳踏實(shí)地實(shí)力派。
這類創(chuàng)業(yè)者往往是技術(shù)出身,經(jīng)歷過(guò)完整的自我提升和技術(shù)驗(yàn)證的階段,并且從自己所擅長(zhǎng)的方向找到了與區(qū)塊鏈結(jié)合的落腳點(diǎn),并以此為基礎(chǔ)開(kāi)展區(qū)塊鏈業(yè)務(wù)。往往一出手就是大手筆。
蔣旭憲可以說(shuō)是實(shí)力派的典型縮影:2001年出國(guó)就讀于美國(guó)普渡(Purdue)大學(xué),主攻系統(tǒng)安全,2006年博士畢業(yè)后先后在美國(guó)喬治梅森大學(xué)和北卡州立大學(xué)任教,并取得終身教職。2013年加入奇虎360成為首席科學(xué)家,是最早發(fā)現(xiàn)Android惡意木馬的人之一。2018年成立了區(qū)塊鏈安全公司PeckShield,這個(gè)成立不到一年只有20多人的團(tuán)隊(duì),先后發(fā)現(xiàn)了BEC、SMT、EDU等多個(gè)重大的智能合約安全漏洞以及EOS的主網(wǎng)映射問(wèn)題和高危賬戶漏洞,并獲得數(shù)千萬(wàn)級(jí)別的天使輪融資。
那么,這位實(shí)力派創(chuàng)業(yè)者有著怎樣的人生經(jīng)歷?又是怎樣與區(qū)塊鏈結(jié)緣?對(duì)于區(qū)塊鏈安全又有哪些思考和忠告?本期人物志就帶你走近蔣旭憲,聽(tīng)他聊聊自己的人生和PeckShield背后的故事。
“區(qū)塊鏈,不符合我的性格”
區(qū)塊鏈大本營(yíng):請(qǐng)談?wù)勛约阂酝慕?jīng)歷。
蔣旭憲:2001年出國(guó),赴美讀書,2006年博士畢業(yè),一直研究計(jì)算機(jī)系統(tǒng)安全,包括惡意木馬入侵檢測(cè)和預(yù)防等。畢業(yè)后在美國(guó)高校任教,當(dāng)時(shí)正是國(guó)內(nèi)PC互聯(lián)網(wǎng)發(fā)展崛起的時(shí)候,百度、360、網(wǎng)易等巨頭開(kāi)始?jí)汛蟆H绻熏F(xiàn)在互聯(lián)網(wǎng)的發(fā)展分為PC互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和區(qū)塊鏈的話,我是完美錯(cuò)過(guò)了PC互聯(lián)網(wǎng)時(shí)代。不過(guò)當(dāng)時(shí)在學(xué)術(shù)界做安全也是蠻high的,因?yàn)榘踩恢笔俏腋信d趣的方向。
區(qū)塊鏈大本營(yíng):錯(cuò)過(guò)了PC互聯(lián)網(wǎng)卻趕上了移動(dòng)互聯(lián)網(wǎng)也不錯(cuò),能講講這個(gè)過(guò)程嗎?
蔣旭憲:當(dāng)時(shí)我在高校任教,在遞交tenure材料后,開(kāi)始隨自己性子展開(kāi)一個(gè)全新的研究方向,也是Android系統(tǒng)的安全漏洞問(wèn)題。我從Android 1.0版本(2008年)就開(kāi)始介入了,當(dāng)時(shí)發(fā)現(xiàn)了不少Android的安全問(wèn)題,包括系統(tǒng)本身和底層內(nèi)核的安全漏洞,還有各大移動(dòng)應(yīng)用分發(fā)市場(chǎng)發(fā)現(xiàn)的惡意木馬。后來(lái)有業(yè)界安全人士說(shuō),我在美國(guó)高校的研究團(tuán)隊(duì)在2012年定義了整個(gè)移動(dòng)惡意木馬的元年。
另外,我們把研究發(fā)現(xiàn)的全部移動(dòng)惡意木馬以基因庫(kù)的方式,給全球各大安全公司和科研機(jī)構(gòu)共享,到目前為止,應(yīng)該有400多家公司和教育機(jī)構(gòu)應(yīng)用了我們的數(shù)據(jù)集。
蔣旭憲開(kāi)放的Android惡意木馬基因庫(kù)
區(qū)塊鏈大本營(yíng):所以接著就到企業(yè)里繼續(xù)研究這塊了?
蔣旭憲:是的。因?yàn)楫?dāng)時(shí)覺(jué)得360是大家認(rèn)可的最大的互聯(lián)網(wǎng)安全公司,然后就借著360的平臺(tái),開(kāi)始接觸移動(dòng)互聯(lián)網(wǎng)。在360的時(shí)候,我主要負(fù)責(zé)移動(dòng)端的核心安全能力,包括整個(gè)Android系統(tǒng)和廠商手機(jī)終端的安全漏洞,核心安全能力會(huì)輸送給內(nèi)部的各個(gè)業(yè)務(wù)線。然后我們還做了一個(gè)“加固保”,針對(duì)移動(dòng)端發(fā)現(xiàn)的安全漏洞和風(fēng)險(xiǎn),給移動(dòng)開(kāi)發(fā)者提供免費(fèi)的加固服務(wù),這個(gè)產(chǎn)品的用戶量也是蠻大的,每天的活躍覆蓋設(shè)備都是過(guò)億。可以這么說(shuō),我是從學(xué)校出來(lái)之后,在360才算是真正理解了國(guó)內(nèi)的移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)吧。
區(qū)塊鏈大本營(yíng):聽(tīng)說(shuō)你并不是一下子就接受區(qū)塊鏈的,中間發(fā)生了什么?
蔣旭憲:我在360做了四年半的時(shí)候想出來(lái)創(chuàng)業(yè),在找方向的時(shí)候了解到區(qū)塊鏈。不過(guò)當(dāng)時(shí)整個(gè)行業(yè)魚龍混雜,有很多聲音和泡沫,感覺(jué)很浮躁。老實(shí)說(shuō),我看到這個(gè)情況后,覺(jué)得區(qū)塊鏈不符合我的性格,所以就沒(méi)再關(guān)注。后來(lái)隨著區(qū)塊鏈的聲音越來(lái)越大,我就看了一些項(xiàng)目的白皮書,通過(guò)top-down的方式理解區(qū)塊鏈,當(dāng)時(shí)還是感覺(jué)很不靠譜。
最后是采取了bottom-up的方法,我開(kāi)始靜下心來(lái)仔細(xì)看了幾個(gè)比較代表性的加密貨幣的代碼,包括比特幣和以太坊,從底層開(kāi)始看,然后往上走。然后一看就完全看進(jìn)去了,所以就all in區(qū)塊鏈,也是專注自己感興趣的方向—安全。因?yàn)閰^(qū)塊鏈解決的就是信任問(wèn)題,如果安全沒(méi)做好,信任問(wèn)題根本無(wú)從談起。
區(qū)塊鏈大本營(yíng):一般來(lái)說(shuō),人思維的轉(zhuǎn)變是一個(gè)漸進(jìn)的過(guò)程,你從不看好到all in,這個(gè)過(guò)程中經(jīng)歷了哪些思考?
蔣旭憲:這個(gè)轉(zhuǎn)變是蠻有意思的。剛開(kāi)始看白皮書我是真的提不起興趣,是硬逼著自己看了100多個(gè)白皮書,不過(guò)真正打動(dòng)我的地方,不是白皮書,而是下面的主鏈,特別是比特幣和以太坊為代表的這些。看了主鏈的代碼后我有以下兩點(diǎn)思考。
第一,主鏈的設(shè)計(jì),讓我第一次覺(jué)得創(chuàng)業(yè)公司跟那些互聯(lián)網(wǎng)巨頭有可能在同一個(gè)起跑線,巨頭的優(yōu)勢(shì)或商業(yè)模式,甚至有可能會(huì)成為他們的障礙。
第二,我本身是程序理工男嘛,我從以太坊的設(shè)計(jì)中看出code is law來(lái),我覺(jué)得這是給理工男的絕佳機(jī)會(huì)。
基于以上兩點(diǎn),我覺(jué)得區(qū)塊鏈值得all in玩一把。
區(qū)塊鏈大本營(yíng):如果用幾個(gè)關(guān)鍵詞來(lái)形容自己,你會(huì)用哪幾個(gè)?
蔣旭憲:我認(rèn)為是專注、創(chuàng)新、激情
“變化是永恒的”
區(qū)塊鏈大本營(yíng):請(qǐng)簡(jiǎn)單介紹一下PeckShield現(xiàn)在的團(tuán)隊(duì)情況。
蔣旭憲:現(xiàn)在我們團(tuán)隊(duì)大概20多個(gè)人,大部分都是技術(shù)人員。整體來(lái)說(shuō),團(tuán)隊(duì)具有前瞻性的全球化國(guó)際視野,包括我個(gè)人在內(nèi),很多成員或者是在國(guó)外拿到博士,或者是在國(guó)內(nèi)一線互聯(lián)網(wǎng)公司有過(guò)多年經(jīng)驗(yàn),算是將學(xué)術(shù)界的前瞻性研究和產(chǎn)業(yè)界解決實(shí)際問(wèn)題的能力做了一個(gè)融合吧。
區(qū)塊鏈大本營(yíng):在區(qū)塊鏈安全業(yè)務(wù)中,你們遇到過(guò)哪些技術(shù)挑戰(zhàn)?
蔣旭憲:我認(rèn)為最大的挑戰(zhàn)在于比黑客更早的發(fā)現(xiàn)安全問(wèn)題,實(shí)現(xiàn)起來(lái)技術(shù)難度很大。另一個(gè)難點(diǎn)在于發(fā)現(xiàn)安全問(wèn)題之后的應(yīng)急響應(yīng)。我發(fā)現(xiàn)區(qū)塊鏈安全應(yīng)急響應(yīng)的環(huán)節(jié)應(yīng)該做成7x24安全服務(wù)。這個(gè)問(wèn)題可能不是技術(shù)性問(wèn)題,但我覺(jué)得這也是我們面臨的挑戰(zhàn)。
區(qū)塊鏈大本營(yíng):現(xiàn)在「斜杠」這個(gè)詞很流行,形容一個(gè)人有很多身份或?qū)傩浴H绻眠@個(gè)標(biāo)準(zhǔn)看,你無(wú)疑也具備很強(qiáng)的「斜杠屬性」,你的身份包括開(kāi)發(fā)者、科學(xué)家、創(chuàng)業(yè)者、教育工作者等,你是如何在這種多身份下保持平衡的?
蔣旭憲:這是個(gè)很好的問(wèn)題。我覺(jué)得我不可能同時(shí)把所有角色做好。比如從高校到企業(yè)這個(gè)決定就相當(dāng)于放棄了高校教育工作者的身份,但因?yàn)樵诟咝Q芯勘緛?lái)就是做系統(tǒng)安全的,所以到企業(yè)后這種轉(zhuǎn)變難度倒是不大。而從企業(yè)到創(chuàng)業(yè),我依賴的是技術(shù)人員的那種第一手感知,我覺(jué)得我還是傾向于技術(shù)人員這一定位的,這一定位有助于我對(duì)行業(yè)發(fā)展的判斷。然后在企業(yè)的人員管理上這個(gè)肯定不是我的強(qiáng)項(xiàng),不過(guò)因?yàn)樽约褐暗谋尘昂蛯?duì)行業(yè)發(fā)展的判斷上的優(yōu)勢(shì),可以互為補(bǔ)充。
區(qū)塊鏈大本營(yíng):從企業(yè)出來(lái)創(chuàng)業(yè),你最大的體會(huì)或感受是什么?
蔣旭憲:最大的感受就是變化是永恒的。人們常說(shuō)「幣圈一日人間一年」,有很多數(shù)據(jù)和信息,你需要不斷去判斷下一步的走向,然后做出調(diào)整。這是我感受比較深的一塊。
這跟大公司的環(huán)境不太一樣。在大公司里工作是相對(duì)生活在舒適區(qū)里面,然后做些成熟的業(yè)務(wù)或有些科研屬性的東西。但在區(qū)塊鏈領(lǐng)域創(chuàng)業(yè),市場(chǎng)動(dòng)態(tài)的捕捉還是蠻關(guān)鍵的。因?yàn)樵趨^(qū)塊鏈中,不斷會(huì)有新的東西冒出來(lái),包括游戲規(guī)則、玩法,還有生態(tài)中各個(gè)環(huán)節(jié)的變化。還是那句話,變化是永恒的。
區(qū)塊鏈大本營(yíng):你怎么看待目前區(qū)塊鏈安全領(lǐng)域的其他公司?目前在安全領(lǐng)域的公司定位上有哪些區(qū)別?
蔣旭憲:因?yàn)楝F(xiàn)在區(qū)塊鏈行業(yè)還處在早期,區(qū)塊鏈安全也是如此,現(xiàn)在說(shuō)各個(gè)公司形成了自己的定位還為時(shí)尚早。不過(guò)可以看到行業(yè)內(nèi)不同公司的切入點(diǎn),大概有以下幾種:
1.鏈上數(shù)據(jù)分析和安全預(yù)警;
2.形式化驗(yàn)證和機(jī)器證明;
3.情報(bào)共享;
4.傳統(tǒng)互聯(lián)網(wǎng)轉(zhuǎn)型。
當(dāng)然,新的安全方向和公司也會(huì)不停的冒出來(lái)。
當(dāng)我們?cè)谡務(wù)搮^(qū)塊鏈安全,我們到底在談?wù)撌裁矗?/span>
區(qū)塊鏈大本營(yíng):我們現(xiàn)在所談的「區(qū)塊鏈安全」這個(gè)概念,跟PC互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)時(shí)代談到的安全,本質(zhì)上有哪些不同?
蔣旭憲:這也是我們最近在不斷反思的一個(gè)問(wèn)題,就是從PC時(shí)代到區(qū)塊鏈時(shí)代,安全的概念有沒(méi)有發(fā)生變化?
在PC時(shí)代,更多的可能是主機(jī)安全和網(wǎng)站服務(wù)器的安全。最開(kāi)始的時(shí)候服務(wù)器各端口都是打開(kāi)的,現(xiàn)在服務(wù)器的大部分不必要的端口都會(huì)關(guān)掉,這是一種安全方面的發(fā)展。
到了移動(dòng)互聯(lián)網(wǎng)時(shí)代,在上述基礎(chǔ)上又多了一些非常獨(dú)特的安全場(chǎng)景,比如在數(shù)據(jù)的隱私保護(hù)上。因?yàn)槭謾C(jī)里有各種傳感器,包括GPS、通訊錄、錄音、運(yùn)動(dòng)數(shù)據(jù)等。所以歐盟有個(gè)GDPR法案(《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,簡(jiǎn)稱GDPR)),就是針對(duì)移動(dòng)互聯(lián)網(wǎng)的個(gè)人數(shù)據(jù)的隱私保護(hù)提出來(lái)的。
而區(qū)塊鏈又是一個(gè)非常獨(dú)特的不一樣時(shí)代,因?yàn)樗喈?dāng)于把用戶的數(shù)字資產(chǎn)或者是錢直接放到了鏈上,所以在安全和隱私保護(hù)上跟前者都不一樣,可以說(shuō)是提出了更高的要求。
一方面是一旦發(fā)生安全問(wèn)題,造成的后果相當(dāng)嚴(yán)重,比如之前的美鏈BEC的漏洞,被爆出后整個(gè)近70億市值斷崖式下跌。
而另一方面是數(shù)字資產(chǎn)本身也有隱私保護(hù)上的需求, 但同時(shí)這會(huì)帶來(lái)另一個(gè)新問(wèn)題。比如去年的WannaCry大行其道,它利用數(shù)字資產(chǎn)隱私保護(hù)的匿名性控制加密了好多數(shù)據(jù),然后做了一個(gè)勒索軟件,直接進(jìn)行比特幣或其他幣種的勒索。這在以前是不太可能實(shí)現(xiàn)的。這一點(diǎn)帶來(lái)的威脅也是非常值得思考的。
區(qū)塊鏈大本營(yíng):這樣看來(lái),安全是否會(huì)成為阻礙區(qū)塊鏈發(fā)展的一個(gè)因素?
蔣旭憲:是的。這里我想說(shuō)一下,互聯(lián)網(wǎng)的思維模式,包括產(chǎn)品的快速迭代和小步快跑,這一思維在區(qū)塊鏈行業(yè)不僅不適用,而且有害。相反,更多的應(yīng)該是從開(kāi)始的時(shí)候就把安全考慮進(jìn)去。如果能做到,我并不認(rèn)為安全是區(qū)塊鏈發(fā)展的阻礙,只是說(shuō)整個(gè)生態(tài)的要求已經(jīng)不一樣了。
區(qū)塊鏈大本營(yíng):你認(rèn)為區(qū)塊鏈安全的發(fā)展,會(huì)經(jīng)歷哪幾個(gè)階段?
蔣旭憲:按照我的理解,我認(rèn)為會(huì)經(jīng)歷三個(gè)階段。
第一個(gè)階段是無(wú)知階段,就是大家都意識(shí)不到安全問(wèn)題的存在。比如去年下半年ICO特別瘋狂,甚至包括某些基于POW的小公鏈存在51%算力攻擊,但大家都忽視了。
第二個(gè)階段是喚醒階段。喚醒最多的肯定是項(xiàng)目方,他們被喚醒了;你看現(xiàn)在各大交易所和項(xiàng)目方的智能合約還是時(shí)常被攻擊或曝出安全漏洞,這也提醒我們正處在這個(gè)階段。
第三個(gè)階段就是警覺(jué)階段。區(qū)塊鏈相關(guān)企業(yè)會(huì)主動(dòng)意識(shí)到安全問(wèn)題的重要性, 主動(dòng)的去找安全解決方案。當(dāng)然,安全問(wèn)題最好還是由專業(yè)的安全公司來(lái)提供服務(wù),幫助主鏈的設(shè)計(jì)、審計(jì)項(xiàng)目方的智能合約、和提升交易所和礦池的安全等。
區(qū)塊鏈大本營(yíng):現(xiàn)在很多人有種恐懼,就是很擔(dān)心安全會(huì)變成一個(gè)「道高一尺魔高一丈」的狀態(tài),修復(fù)一個(gè)漏洞,就會(huì)迎來(lái)一個(gè)新的攻擊,你怎么看?
蔣旭憲:我認(rèn)為這樣的看法過(guò)于悲觀。安全的提升少不了攻防的階段,在安全的很多領(lǐng)域中,包括漏洞的挖掘、利用和預(yù)防,本質(zhì)上來(lái)說(shuō)都是攻防問(wèn)題。我認(rèn)為我們現(xiàn)在正在往好的方向走,大家不該因?yàn)榘踩珕?wèn)題對(duì)區(qū)塊鏈?zhǔn)バ判模驗(yàn)閰^(qū)塊鏈本身是要建立共識(shí)和信任機(jī)制,而安全問(wèn)題是基石。安全問(wèn)題的曝光和解決,也會(huì)推動(dòng)行業(yè)的進(jìn)步。
被忽略的攻擊重災(zāi)區(qū)
區(qū)塊鏈安全:從安全角度,你怎么看待如今的兩大主鏈以太坊和EOS?
蔣旭憲:如果我們看一下以太坊的發(fā)展歷程,應(yīng)該是在2016年4、5月份到10月份之間,遭受了影響比較大的安全攻擊。一個(gè)就是TheDao智能合約的安全漏洞,引起了整個(gè)以太坊的硬分叉;之后在2016年的7、8月份,又發(fā)生了所謂的以太坊主鏈的拒絕服務(wù)攻擊。我認(rèn)為主要是那個(gè)時(shí)候以太坊gas的設(shè)計(jì)還不是很完備,有人可以用很低的成本創(chuàng)建成百上千鏈上的以太坊賬號(hào),引起巨大的資源浪費(fèi)。其間社區(qū)也推出了包括EIP150和Spurious Dragon等基于硬分叉的解決方案。
整個(gè)過(guò)程花了以太坊核心團(tuán)隊(duì)和社區(qū)大約5個(gè)月的實(shí)踐才走出這種低谷。我認(rèn)為這個(gè)過(guò)程考驗(yàn)了整個(gè)社區(qū)的核心開(kāi)發(fā)團(tuán)隊(duì),對(duì)它的長(zhǎng)遠(yuǎn)發(fā)展有很大的幫助,證明了這個(gè)平臺(tái)在安全事故發(fā)生的時(shí)候有自愈能力。包括基金會(huì)、核心開(kāi)發(fā)成員、社區(qū)等各個(gè)環(huán)節(jié),是有生命力的。
而EOS剛剛建成,公開(kāi)暴露的問(wèn)題可能相對(duì)還比較少。我們?cè)?月中旬也分析過(guò)EOS,它本身有主網(wǎng)映射過(guò)低的問(wèn)題,這也是反映出了EOS的社群里面,有EOS token的用戶參與度可能不高。 這在EOS主網(wǎng)上線后投票不積極也是得到了驗(yàn)證。
在社區(qū)治理方式上EOS采用的是DPoS機(jī)制,但這個(gè)機(jī)制是否有效,我認(rèn)為還有待觀察。另外,之前EOS漏洞的Bounty Program,開(kāi)始的時(shí)期是每個(gè)高危漏洞1萬(wàn)美元,但現(xiàn)在降到100美元。這也從一個(gè)側(cè)面反映出EOS團(tuán)隊(duì)對(duì)于安全的態(tài)度,應(yīng)該引起思考。
區(qū)塊鏈大本營(yíng):你之前說(shuō)區(qū)塊鏈的安全問(wèn)題已滲透到各個(gè)環(huán)節(jié),不過(guò)現(xiàn)在被爆出來(lái)的經(jīng)常是合約漏洞,除合約之外,還有哪些安全問(wèn)題的高發(fā)區(qū)?
蔣旭憲:我們把這個(gè)問(wèn)題分為橫向和縱向來(lái)看。
橫向包括:
交易所;
礦池;
錢包;
合約;
分布式應(yīng)用。
這些環(huán)節(jié)里智能合約爆出的問(wèn)題比較多,包括BEC、EDU等。交易所每半年不到的時(shí)間就會(huì)有一次大的攻擊被曝出來(lái),礦池的問(wèn)題大多來(lái)自51%攻擊,比如比特黃金。由于現(xiàn)在很多鏈開(kāi)始從PoW向PoS或DPoS轉(zhuǎn)型,過(guò)去用于挖礦的那些礦機(jī)就沒(méi)有了用武之地,有些算力租用服務(wù)可能會(huì)被用來(lái)做別的用途,比如51%攻擊。所以我預(yù)計(jì),橫向維度里的安全問(wèn)題會(huì)更多發(fā)。
縱向維度包括:
基礎(chǔ)設(shè)施;
數(shù)據(jù)層;
網(wǎng)絡(luò)層;
共識(shí)層;
激勵(lì)層;
合約層;
業(yè)務(wù)層。
現(xiàn)在75%的攻擊來(lái)自于合約層和業(yè)務(wù)層。但是如果往更底層看,比如共識(shí)和算法攻擊,包括P2P網(wǎng)絡(luò)節(jié)點(diǎn)和加密算法,這些問(wèn)題會(huì)影響整個(gè)生態(tài)。比如最近曝出的以太坊「致命報(bào)文」漏洞,攻擊者通過(guò)發(fā)送一個(gè)惡意報(bào)文即可向有漏洞geth節(jié)點(diǎn)發(fā)動(dòng)攻擊,可瞬間導(dǎo)致以太坊三分之二的節(jié)點(diǎn)停擺。
區(qū)塊鏈大本營(yíng):面對(duì)這樣的情況,開(kāi)發(fā)者應(yīng)該怎么做?
蔣旭憲:開(kāi)發(fā)者看到這么多不安全因素可能會(huì)覺(jué)得無(wú)所適從,其實(shí)也沒(méi)那么復(fù)雜。首先是在項(xiàng)目推進(jìn)的時(shí)候,要重視上鏈前安全審計(jì)的必要性,俗話說(shuō)磨刀不誤砍柴工嘛;其次也要做好應(yīng)急響應(yīng)計(jì)劃;最后,如果可以,盡量要基于大的公鏈去做。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
