麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

有人說區(qū)塊鏈的安全就是資產(chǎn)的安全，即使是數(shù)字貨幣界的億萬富翁，也可能會因為一個安全漏洞瞬時間一貧如洗。

安全問題永遠(yuǎn)是懸在區(qū)塊鏈行業(yè)從業(yè)者頭上的達(dá)摩克利斯之劍，永不可掉以輕心，是重中之重。

8月26日，冉道資本、嗶嗶News、巴比特聯(lián)合加速器、BYSEC、WhaleEx聯(lián)合舉辦第四期主題為“攻防有道”的圓桌論壇，默然公關(guān)劉惠迪主持， BYSEC COO張任偉、區(qū)塊鏈安全專家Seckeep、安恒風(fēng)暴中心的趙連州、WhaleEx的CEO Charlie Zhang應(yīng)邀出席。

BYSEC 張任偉：重視安全，拒絕黑灰產(chǎn)

在區(qū)塊鏈2.0時代，各種代幣泛濫，各種交易所橫生。然而大多數(shù)人都缺乏安全意識，也沒有特殊的防范手段。張任偉戲言，在黑客面前，這些代幣就像一塊裸奔的肥肉，充滿了危險的意味。

論壇伊始，張任偉便向大家介紹了區(qū)塊鏈黑灰產(chǎn)。業(yè)內(nèi)俗稱的黑產(chǎn)其實很廣泛，只要是法律明文規(guī)定禁止的行為都可稱為黑產(chǎn)，“灰產(chǎn)”即為游走在法律邊緣，沒有明確法律規(guī)定的灰色產(chǎn)業(yè)，其行為雖無明確的法律規(guī)章定性為違法犯罪，但對社會有明顯大的危害。

張任偉提到當(dāng)前的代幣案件絕大部分是通過勒索病毒、偷盜代幣、控制挖礦、操控行情以及區(qū)塊鏈傳銷等方式詐取不義之財。

在分享中，張任偉講述以下幾種非法方式：

一：目前很多黑客企圖脅迫用戶或加密文件等方式以達(dá)到勒索的目的，比較猖狂的勒索病毒還屬Wanna Cry，它勒索了大概一百多個比特幣，進(jìn)行了124次接收，通過兩次發(fā)送使得巨額虛擬貨幣化整為零，從而逃避法律的制裁。

二：漏洞盜幣主要有三種：平臺漏洞、智能合約漏洞、公鏈設(shè)計缺陷，其中絕大多數(shù)的區(qū)塊鏈出現(xiàn)安全事故的最主要因素是智能合約漏洞。如果廠商遲遲不修補(bǔ)漏洞，公眾對于漏洞的存在不知情，風(fēng)險會隨著時間的增長迅速膨脹，漏洞一旦爆發(fā)可能會造成更大的危害，波及更大的人群，可能會造成很多人的投資瞬間化為烏有。

三：一則挖礦商無良囤貨，待價而沽；二則挖礦軟件開發(fā)商使用高額算力抽成；三則部分軟件存在惡意挖礦程序。

四：數(shù)字貨幣給傳銷組織提供了一個天然的產(chǎn)品渠道，虛擬幣暴漲之下，即使是空氣幣也會被傳銷組織賦予百倍萬倍的上漲空間，然而更可怕的是所有的韭菜對此深信不疑。

安全專家Seckeep：安全是一場沒有硝煙的戰(zhàn)爭

安全是一個極其復(fù)雜的系統(tǒng)性工程，安全是一場沒有結(jié)果、沒有硝煙的戰(zhàn)爭。安全的最高分是零分，稍微差一點是負(fù)分。安全部門的考核通常是一個公司最頭疼的問題，因為它和別的部門性質(zhì)完全不同，系統(tǒng)安全且內(nèi)部沒有泄露就是最大的產(chǎn)出。

誠然區(qū)塊鏈的設(shè)計中包含了一定的安全考量，但區(qū)塊鏈相關(guān)配套的安全性卻做得非常差。舉例來說高鐵很安全，但如果沒有兩側(cè)的護(hù)欄，談何安全？

一個中心化的交易所其實是傳統(tǒng)電商和區(qū)塊鏈合二為一的產(chǎn)物，它有50%的問題歸屬于傳統(tǒng)安全。以下分享部分安全工作內(nèi)容（只是眾多安全內(nèi)容中的一部分）

一、端安全：市場上有很多app安全廠商，但是很少有廠商能夠針對交互數(shù)據(jù)加密的，此加密不是https協(xié)議層的加密，而是封裝在內(nèi)的數(shù)據(jù)加密，無論app自身如何加固都很難避免黑客通過代理抓包改包的方式進(jìn)行各種滲透攻擊。一旦端的安全能夠保障，那么就能屏蔽99%的攻擊量，而剩下的1%高手攻擊才是安全部門應(yīng)該重點布局防范的?，F(xiàn)實的情況是，很多項目方本末倒置，利用絕大多數(shù)安全資源以防范小黑攻擊，實屬被動。

二、資源安全：DDOS、和短信轟炸都是灰黑產(chǎn)經(jīng)常使用的，只要平臺有流量有價值，他就會攻擊勒索，有些黑客很精明，只詐取小額，因為小額不夠網(wǎng)絡(luò)犯罪立案標(biāo)準(zhǔn)，足以拜托制裁。因此如果不想平臺服務(wù)被打死，就需要在上線前做好ddos和短信轟炸防范措施。

三、最基本的防火墻是必須的。曾經(jīng)兩個月前，網(wǎng)絡(luò)爆出一個很知名的行情與數(shù)據(jù)服務(wù)平臺連防火墻都沒有，當(dāng)然也可能存在防火墻沒開啟白名單策略。針對這種安全級別，即使沒有任何黑客技術(shù)，從網(wǎng)山下載幾個黑客工具，就可以把平臺黑掉。

四、WAF必不可少。WAF是一類在安全性和易用性之間做左右平衡的系統(tǒng)，規(guī)則過嚴(yán)肯定導(dǎo)致正常業(yè)務(wù)被誤殺，規(guī)則過松就沒有任何價值了。所以waf是必須要部署的，但是也必須要有一個專人負(fù)責(zé)waf規(guī)則的量身定制和及時更新（例如：針對spring、struts2的0day，就需要第一時間增加規(guī)則）。

五、建立語言級防火墻rasp。這是一道最新的安全防護(hù)體系，它是在語言層面做防護(hù)，能彌補(bǔ)WAF的不足。

六、主機(jī)防護(hù)。當(dāng)黑客進(jìn)入主機(jī)系統(tǒng)時，主機(jī)要有敏感的神經(jīng)感知和自動阻斷策略。很多公司的主機(jī)防護(hù)做得都不盡如人意，因為公司給安全部門的系統(tǒng)權(quán)限太低，再好的主機(jī)防護(hù)技術(shù)，在沒有系統(tǒng)高權(quán)限的情況下，做不了多少事情，只能眼看黑客行兇確無力阻擊。

七、數(shù)據(jù)庫審計。很多企業(yè)雖然有數(shù)據(jù)庫審計，但是所有的審計日志調(diào)出來，只看到有人執(zhí)行了SQL語句，至于這條SQL語句涉及的關(guān)鍵數(shù)據(jù)ID很多都沒有記錄。一旦發(fā)生安全事件，并不能鎖定某個人。當(dāng)然細(xì)粒度的強(qiáng)審計需要很大的存儲資源，有可能審計數(shù)據(jù)比生產(chǎn)系統(tǒng)源數(shù)據(jù)還要大。

安恒風(fēng)暴中心趙連州：放大鏡下的區(qū)塊鏈產(chǎn)業(yè)無所遁逃

據(jù)了解，目前市場上共有13547家加密數(shù)字貨幣交易所，這些交易所在風(fēng)口中激流勇進(jìn)，極大地吸引了黑客的注意。

據(jù)不完全數(shù)據(jù)統(tǒng)計，數(shù)字貨幣因黑客攻擊累計造成的直接經(jīng)濟(jì)損失達(dá)33億5千萬美元。根據(jù)這個趨勢，攻擊事件會越來越頻繁。

現(xiàn)在的區(qū)塊鏈產(chǎn)業(yè)被放在一個放大鏡下，只要存在一些微小的問題，馬上都會被放大，造成了強(qiáng)大攻擊影響。無論多么小的漏洞，但凡被發(fā)現(xiàn)，都是造成難以估量的影響。

WhaleEx Charlie Zhang：去中心化交易所的安全探究

實際上中心化交易所與傳統(tǒng)的金融交易沒差別，因為本身是中心化的系統(tǒng)，而且是互聯(lián)網(wǎng)系統(tǒng)，所以中心化交易所的安全措施和傳統(tǒng)金融差不多。

一個交易所分為四個組成部分，分別為券商（用戶入口）、上交所|深交所（撮合）、中證登（清算）、銀行（資產(chǎn)托管）。在傳統(tǒng)的股票交易所里面，中證登和銀行充當(dāng)著一個安全管家的角色，它們確保每一筆交易的資產(chǎn)安全。而在區(qū)塊鏈中心化交易所中，這四個部分由中心化交易所充當(dāng)，大家在中心化交易所中完成注冊、交易、撮合、充值等操作。

如何在用戶資產(chǎn)相關(guān)的清算和托管這兩個層面實現(xiàn)去中心化呢？鯨交所做了一些嘗試。

一、用戶入口的去中心化。鯨交所開放WhaleEX全球新伙伴計劃，通過流量進(jìn)行引流。

二、清算和資產(chǎn)托管實現(xiàn)去中心化。智能合約和股票市場中銀行角色相同，在EOS上用戶每轉(zhuǎn)一筆賬，合約都會自動記賬。賬本完全由代碼控制，沒有人為地增發(fā)和銷毀。

三、交易層面的去中心化。鯨交所為每個用戶在每個設(shè)備上創(chuàng)造了一把私鑰。這把私鑰主要用于簽發(fā)交易。每次撮合都需要交易雙方簽名和交易所簽名，才能夠完成一次資產(chǎn)的轉(zhuǎn)移，確保用戶資產(chǎn)完全由用戶自己控制。

四、資產(chǎn)提現(xiàn)的去中心化。如果用戶的私鑰泄露了怎么辦？因此用戶在提現(xiàn)時，需要綁定自己的EOS賬戶。這也就意味著用戶充值只能充值到原來的地址，而地址本身的私鑰掌握在用戶手里。即使是交易所的私鑰被盜了，也不會盜取到私鑰，因此最大程度保護(hù)了用戶的資產(chǎn)。

區(qū)塊鏈剛剛興起，但是安全問題卻屢曝不止，幾乎成為眾矢之的。區(qū)塊鏈的本質(zhì)是去中心化，重新構(gòu)筑信任的藩籬，如果基本的安全問題都未能解決，所構(gòu)筑的藩籬也不過是想象中的保護(hù)層，隨時幻滅與傾覆。

當(dāng)前，區(qū)塊鏈還是新興行業(yè)，處于起步階段，它的安全問題可能比傳統(tǒng)互聯(lián)網(wǎng)安全更加復(fù)雜與棘手，區(qū)塊鏈從業(yè)者在具備安全意識的基礎(chǔ)上，及時關(guān)注區(qū)塊鏈行業(yè)新出現(xiàn)的安全隱患，創(chuàng)新開拓安全防范手段也是必要的。