7天收到312个漏洞，涉及175个项目方，DVP开启区块链漏洞围剿计划

同互联网一样，区块链是开放而不是封闭的，主打安全的区块链技术是相对的而不是绝对的，区块链安全是共同的而不是孤立的。

8月1日，由区块链安全公司BCSEC与PeckShield共同发起——去中心化漏洞平台DVP(https://det.io/)召开“安全链接计划”发布会，于7月24日正式上线的DVP平台，上线首周已收到白帽子所提供的312个漏洞，涉及175个项目方。

DVP全称Decentralized Vulnerability Platform（去中心化漏洞平台）意在利用区块链技术，建立匿名化的安全众测社区场景，打造去中心化、漏洞即挖矿的平台概念。该平台致力于解决区块链企业安全危机，将连结区块链厂商、安全公司和白帽子等社区参与者，最大化减少漏洞暴露风险，共筑区块链生态安全。

DVP平台CEO吴家志表示，区块链技术还处于发展中阶段，技术仍难以达到天衣无缝，同时，目前多数应用在金融领域，且涉及大量资金，这就意味着，一旦遭到漏洞攻击，就会带来无法挽回的巨额损失。根据BCSEC最新统计数据，目前500家数字货币全球交易所，1644种数字货币，市值总额3448亿元。截至2018年6月,针对数字货币的攻击累计达到100次造成的直接经济损失33亿5千万美元。

吴家志表示，安全问题是区块链企业成长的核心“命脉”，从智能合约代码审计，到节点加固再到渗透测试，无不涉及安全。尤其是智能合约具有“不可篡改”的特性，代码又不可避免的存在一些BUG,这些安全漏洞很容易被黑客利用实施攻击。

 DVP平台ceo吴家志

同时，仍未普及的区块链技术，其安全技术体系更是零散。有数据显示，目前全球有10000+的区块链项目，区块链安全服务公司却只有不到50家。

存在安全隐患的区块链生态自然成为黑客眼中的香饽饽，近年来，一系列安全事件层出不穷，波及范围和资产损失数额也不断增加。BCSEC数据显示，仅今年上半年以来区块链产业损失金额高达10亿美元。以日前曝出的Bancor (BNT)的智能合约安全漏洞为例，其导致价值2350万美元资金被窃取。而此前日本Coincheck交易所价值5亿美元的加密货币被盗，韩国Coinrail交易所也丢失价值4000万美元的加密货币。

吴家志表示，作为新兴产业，区块链产业的从业人员安全意识较为缺乏，导致目前的区块链相关软硬件的安全系数不高，存在大量的安全漏洞；此外，整个区块链生态环节众多，相较之下，相关的安全从业人员力量分散，难以形成合力解决问题。迎接上述挑战需要系统化的解决方案。

DVP平台CSO邓焕表示，DVP平台就是希望能通过将企业和白帽子之间形成利益共同体，促使更多的“白帽子”主动寻找企业漏洞，让企业被动变主动，能及时发现漏洞进行修补，避免遭受更大损失。

邓焕介绍，漏洞即挖矿，促使白帽子和厂商形成利益体。白帽子在DVP平台可以提交区块链相关漏洞及威胁情报。并随时查看漏洞审核及认领进度，获得相应的奖励。同时，为确保整个流程的公正性，DVP平台会将漏洞信息进行公钥加密，区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。

                                                                                 DVP 创始人合影

正因为此，通过社区将重构白帽子与厂商之间的关系，DVP平台一方面将利用区块链的天然的匿名性等特点有效保护“白帽子”，促使全球的白帽子和安全工程师都可以参与进来发掘漏洞，另一方面则是有效扩充企业有限的沟通渠道，降低沟通成本。

事实上，DVP平台上不停增加的漏洞动态，便是平台建立意义的最好佐证。截止7月31日，DVP去中心化漏洞平台上线仅一周时间，“白帽子”所提交的漏洞已多达312个，涉及175个项目方，包括目前的一些智能合约，知名公链，交易所等一系列的项目。

具体来看，经审核后，所提交的漏洞中，高危漏洞达122个占所有漏洞的39.1%，中危漏洞53个，约占17%。其中，包括某智能合约厂商存在重入漏洞，黑客可通过该漏洞从合约中无限提取资金。某大型公链更是存在设计缺陷，可导致此项目大量的公链节点崩溃，甚至可能导致项目方硬分叉。

吴家志认为，随着各种公链价值的不断提升，更多的攻击者将涌入到区块链行业。DVP作为一个去中心化的自治组织，将全方位多维度贯彻执行漏洞的负责任披露，努力实现区块链厂商与白帽子双赢的良性循环。提升区块链整体的安全意识，共同构建更好的区块链生态。