做了代码安全审计依然失窃,三家区块链安全公司剖析唯链、NULS被盗案

文丨互链脉搏·梁山花荣

未经授权,不得转载!

临近年关,唯链、NULS相继遭遇失窃事件,再次将公链安全难题推向风口浪尖。

12月14日,唯链官方宣布遭遇黑客攻击,被盗走了11亿枚VET, 640万美元不翼而飞;紧接着,一周后,NULS宣布遭遇攻击,200万枚NULS币被黑客转走。

事实上,根据成都链安统计,2019年全球数字资产中由于系统漏洞对区块链造成的损失已超过10亿美元。公链安全隐患难题已然成为整个行业不得不正视的难题。

那么,唯链、NULS在当前时间节点先后遭遇黑客攻击,究竟是纯属巧合还是存在关联?二者都经过第三方代码安全审计,为何还会发生大规模代币被盗事件?国产公链还存在哪些安全漏洞?

针对近期公链被盗事件,互链脉搏邀请到了安比实验室创始人郭宇博士、墨子安全实验室主任、墨客区块链公司首席安全官苗知秋博士以及慢雾科技团队展开专业探讨,破局国产公链安全隐患。

采访嘉宾简介:

郭宇博士,安比实验室创始人,曾在中国科技大学教学计算机科学多年,常年从事关键系统的代码形式化证明理论研究工作。

苗知秋,信息安全专业博士,毕业于中国科学院信息安全国家重点实验室,曾长期在中科院从事信息安全研究工作,在P2P网络安全、物联网安全和区块链安全等方面有较深的研究积累。目前为墨子安全实验室主任、墨客区块链公司首席安全官,并担任多家区块链技术公司和交易所的安全顾问。

慢雾科技,是国内最早专注于区块链生态且具有全球影响力的安全公司,团队成员拥有十多年安全攻防实战经验,曾独立发现并公布多起通用高风险的安全漏洞。

唯链、NULS为何被盗?

互链脉搏:唯链和NULS等都经过了第三方代码安全审计,为什么还会发生大量代币被盗事件?

安比实验室创始人郭宇:二者被盗原因还不一样,得区别对待。前者是由于内部人员未按照安全规范操作,导致钱包私钥保管不当,与代码安全性关联不大。后者则是源于公链底层代码漏洞,但公链代码量巨大并且更新频繁,一次性地代码安全审计并不能保证永远不出安全问题。

慢雾科技团队:代币被盗有很多可能的因素,从唯链和NULS官方发布的公告来看,唯链代币被盗是因为内部财务人员的电脑被黑导致的,NULS是由于链底层代码缺陷导致的。从数字资产的安全管理来看,除了这些方面,还有很多可能的因素导致丢币或被盗币,这也意味着地下黑客有很多的攻击面,建议项目方做好全面的安全保障。

墨子安全实验室苗知秋:从安全从业者的角度来说,这实在没什么可大惊小怪的。普通人可能会对安全工作有一些误解,最常见的一种误解就是,只要经过安全检查,就肯定不会发生安全问题了。

从概念上来说,安全既是动态的,也是相对的,绝对的安全是不存在的,因此在现实中,安全是一项没有尽头的工作。没有哪家安全服务公司敢拍胸脯担保经过他们审计的代码就没有任何安全问题,包括我们在内。我们强烈反对把安全静态化和绝对化的观点,作为专业的安全服务机构,我们所能做的就是尽最大的努力,尽可能降低系统的安全风险,实现在一定时空范围内的安全。

唯链和NULS虽然经过第三方代码安全审计,挖掘了其中存在的一些安全问题,通过必要的整改,弥补发现的安全漏洞,可以有效地提升安全等级,降低运营中的安全风险,但是这并不意味着就此高枕无忧。

打个不太恰当的比喻,我们通过锻炼身体提升身体素质,可以有效降低我们生病的概率,但是没有哪个医生敢打包票说只要锻炼身体就可以从此百病不侵。

唯链和NULS等都经过了第三方代码安全审计,但还是发生了大量代币被盗事件,如果由此否认安全审计的必要性,那当然是荒谬的,就像坚持锻炼身体依然有可能会生病,但没有人可以据此否定锻炼的价值和意义。

唯链和NULS的代币被盗事件确实发人深省,安全从业者应当从其中吸取教训,但如果因此从对安全工作的迷信,转为对安全工作的质疑,甚至认为安全工作没有存在的价值,那就是从一个极端走向另一个极端,是不可取的。

互链脉搏:唯链和NULS被盗事件发生的时间非常接近,为什么在当前时间节点出现接二连三代币被盗事件?

安比实验室创始人郭宇:这个时间点接近可能只是巧合。但显然,各公链早就是黑客眼中的“金库”,只要稍有纰漏就可能被攻击,未来肯定还会爆出更多的攻击事件。

慢雾科技团队:应该只是巧合,时间挨在一起了。从整个区块链行业历史上发生的被黑事件来看,频繁的时候每天都会发生区块链安全事件,整个行业从底层、应用层、用户层面临着诸多安全问题,众多基础设施没有把安全考虑的很全面,需要整个行业不断改进、提升。

墨子安全实验室苗知秋:时间上应该没什么特殊的,两者之间存在关联的可能性也不大,毕竟明显不同的两种攻击手法。其实由于数字资产的诱惑,区块链是安全攻击的高发领域,几乎每时每刻都在发生各种各样的安全事件,不是只有当前这个时点才出现接二连三的代币被盗事件,只是有些报道出来了,有些没有报道出来而已。

鉴于安全事件对项目方的声誉影响较大,一般的项目方对涉及的安全事件会尽可能低调处理,因此大多数安全事件并不为外人所知。唯链和NULS的事件是属于影响较大,金额巨大,又前后脚发生,因此格外引人注目。

当然,我们也不能排除黑客团队年底冲业绩的可能。

公链还存在哪些安全漏洞,如何防范?

互链脉搏:中国技术团队公链还存在哪些安全风险或漏洞?针对这些问题,目前有哪些解决方案?

安比实验室创始人郭宇:公链本身就是一项十分复杂的系统工程,智能合约、节点程序、通讯协议、共识算法,任何一方面出现问题都可能影响巨大。此外,公链内部人员的安全意识也是关键。目前看来,密码学安全的问题还没有充分暴露。并没有完美的解决方案,各方唯有加强安全投入,才能降低安全风险。

慢雾科技团队:公链安全漏洞普遍存在,不仅是国产公链,可能相比之下国产公链安全审计的粒度不够细,测试不足。对于核心算法,比如共识算法、密码学算法等,尽量使用学术界证明过的算法,或者已经广泛工程校验过的代码库。

墨子安全实验室苗知秋:这个问题不太好回答,目前全球区块链技术互动很频繁,因为很难说哪些问题是国产公链所特有的。但是针对目前一些常见的安全事件,可以看出一些问题高发点,需要引起项目格外的高度重视:如区块链底层的共识机制、激励机制、通信安全、身份鉴别、私钥保护等,智能合约层的安全审计,以及日常运营中对工作人员特别是敏感岗位人员的安全管理等。

互链脉搏:您对于中国技术团队公链的安全保障有哪些建议?

安比实验室创始人郭宇:安全投入必须长期坚持不放松。加强开发人员和内部其他人员的安全教育,规范安全流程,同时引入外部安全力量。此外,还应该加强社区建设和安全悬赏力度。

慢雾科技团队:第一,持续对代码进行完整的测试和模块审计,尽量使用成熟的算法。

第二,发布公链赏金漏洞,当黑客发现安全问题时有一个反馈的渠道,如果没有这样的一个渠道黑客会更倾向于利用漏洞攻击公链,而不是想办法去联系项目方反馈问题。

墨子安全实验室苗知秋:我有以下10点建议。

1. 提升安全意识,杜绝侥幸心理;

2. 涉及数字资产的保护和管理,不可将区块链行业等同于普通的IT行业,必须切实增加安全方面的资源投入,提升项目安全等级;

3. 对安全工作要专门编列预算,不可随意削减。鉴于区块链领域的特殊性,宁可精简功能,不可削减安全投入;

4. 鉴于安全工作的特殊性,不建议开发团队同时承担安全职责,建议自行组建专门的安全团队,或者聘请第三方安全团队提供专业的安全服务,并结合“赏金计划”等尽可能发现潜在的安全问题;

5. 对于项目中需要使用的开源代码,要进行严格的核验和审计,不可轻信来源不明的代码;

6. 关注区块链领域的安全事件和最新动态,重视安全情报的搜集和分析,前车之鉴,弥足珍贵;

7. 以数字资产安全为核心,高度重视区块链中的安全问题高发区域,如共识机制、激励机制、通信安全、身份鉴别、权限管理、敏感信息的生成和保护等,需要加强保护;

8. 不谋全局者不足谋一域,不谋万世者不足谋一时。公链研发也是一个系统性工程,应当具有系统思维。系统化思维之下的公链更容易得到安全保障;

9. 三分技术,七分管理。制定完善的信息安全管理制度,加强对相关人员的管理,敏感岗位增加多重制约机制;

10. 重视安全应急响应工作,针对可能发生的安全事件,平时做好安全预案,并定时演练,凡事预则立不预则废,避免临时抱佛脚。


 推荐阅读 

蔡维德:Facebook发行的稳定币Libra是美元继续称霸的工具

Libra只是出了白皮书 中国央行的数字货币研究所已经做了落地试点

北雄安南佛山:区块链政务应用C位城市出线,区块链市政应用四级梯队盘点

孙宇晨真的有道歉吗?逐句解读孙宇晨避重就轻的“致歉信”

央行、外管局带头 中国巧用贸易优势+区块链构筑人民币支付体系

中国高校区块链名师名录出炉 ——高考区块链志愿填报指南

抄袭者末日已近:数秦、纸贵、安妮、百度,四大区块链版权产品测评

冯鑫、雷军、王峰、蒋涛、傅盛等金山系老将,已将区块链拼成完整生态图

开白/进入学习群,添加微信:jinli4399

商务合作,添加微信:hulianmaiboruby

请备注来意,谢谢!

你可能感兴趣的:(做了代码安全审计依然失窃,三家区块链安全公司剖析唯链、NULS被盗案)