360區塊鏈安全高階專家彭峙釀:區塊鏈安全十分迫切 | P.O.D新區勢峰會
編者按:本文來自36氪戰略合作區塊鏈媒體 ofollow,noindex" target="_blank">“Odaily星球日報 ”(公眾號ID:o-daily, APP下載 )
11月28日,由Odaily星球日報聯合36kr主辦的“2018 P.O.D New BlockTrend新區勢區塊鏈峰會”在北京舉行。
會上,360區塊鏈安全高階專家彭峙釀博士發表了《談談區塊鏈安全》的演講。演講中,他舉出了一組資料:2013年到2018年上半年,一共發生了54起嚴重的區塊鏈安全事件,其中2018年上半年安全事件引起的已經達到了27億美元。也舉出了4個例子:2014年交易所Mx Gox被盜案、暗網絲綢之路、Wannacry勒索病毒、EOS編譯器asset模板漏洞。
基於以上資料與案例,彭峙釀指出,由於去中心化的特點,數字貨幣世界已成為洗錢的法外之地;匿名幣與犯罪智慧合約的出現更是進一步助長了黑市交易;同時區塊鏈專案本身也有一些安全問題,總結以上三點,彭峙釀表示,當前區塊鏈安全現在還處於一個非常初級的階段,它仍然有非常多的機會和挑戰。
以下為彭峙釀演講原文:
大家下午好,我叫彭峙釀我來自360核心安全事業部。
作為一個安全從業者,其實我們平時主要的工作就是去研究各種各樣的網路軟體是否存在一些安全漏洞,然後在黑客去利用這一些漏洞之前,來保護我們的使用者。過去半年時間我主要的時間都花在區塊鏈安全上,非常高興今天有機會來這裡和大家分享一下關於區塊鏈安全,我的一些看法。
首先丟擲一個問題,區塊鏈安全是跟風嗎?因為我身邊的朋友說,彭峙釀你做區塊鏈,是不是跟風?是不是騙人的東西?是不是搞區塊鏈的都是傳銷之類的。我經常會被問到這個問題,也是非常的尷尬。同時我本身又是做安全,我也有一些朋友會問你們做安全的是不是就是喜歡跟熱點,人工智慧一火你們就做人工智慧安全,IOT一火就做IOT安全,現在區塊鏈一火你們現在就做區塊鏈的安全。對於這問題,我自己的看法不是這樣,我覺得區塊鏈安全是真真正正有非常大的業務需求。
下面我來講一講我的看法一些論點。
其實區塊鏈我們可以看到它本身是技術,其實光從技術的角度,我不能確定區塊鏈到底能不能解決各種高大上的問題。但是我們回看過去的十年,實際上數字貨幣的出現已經改變了我們的生活。從2008年比特幣剛出現的時候無人問津,到現在有數千億美元的資產沉澱在網路中,礦池、交易所、錢包,非常多的使用者選擇投資數字貨幣或者是使用數字貨幣直接進行交易,所以實際上數字貨幣已經改變了我們的生活,數字貨幣的安全其實是一個非常迫切的需求而不是一個跟風的東西。
這裡有一串資料:2013年到2018年上半年這一段時間一共發生了54起嚴重的區塊鏈安全事件,其中就只有2018年上半年安全事件引起的損失金額就已經達到了27億美元。來到了最喜歡的一個案例,這個案例是2014年的時候當時世界上最大的數字貨幣交易所MT.gox,發生了一件黑客入侵案件,一共被盜走85萬美比特幣,當時這事件就導致Mt.gox這個交易所直接申請破產,他們的CEO入獄,非常多的使用者血本無歸。為什麼這是我最喜歡的案例,因為我就是其中一個使用者之一。2014年的時候我當時還在讀博士,我基本上是把全部身家都拿來買比特幣。一切都很好,除了一件事之外,我把幣都存在這平臺上。
按當時的最高價格來算,85萬比特幣已經接近10億美金了,如果按現在的價值就是更加無法估量了。像這樣的案例其實它並不是說2014年一起,而是從2014年到2018年,每年都發生類似的案例。今年我們從360威脅情報資訊中看到非常多的數字交易所其實已經受到了黑客的攻擊,只不過有的案例可能還沒有到達黑客能夠把數字貨幣轉走的這一步。我們的內部有一個玩笑式的說法:這個世界上只有兩種數字交易貨幣所,一種知道自己被入侵,另外一種是不知道自己被入侵。
接下來是第二個,數字貨幣世界已成為法外之地。因為它不受監管,作為一個去中心化的支付系統,沒有第三方來提供服務,同時也沒有第三方來對所有的交易進行審計,這就會導致黑市或者各種類似洗錢的交易發生。
這個圖片是一個前幾年暗網上非常有名的網站,這網站叫絲綢之路。
我們可以看到,在這個網站上可以買到毒品、軍火、假的證件甚至是假的信用卡等。當然這網站中一般使用者不會去選擇法幣進行交易,我們可以看到它標價都是用比特幣進行交易的。這個網站在2013年的時候已經被美國的FBI給關掉了,當時網站管理員被抓的時候,他的電腦裡面發現了14萬比特幣,在開通兩年的時間內這個網站為全球的毒品交易提供了超過12億美金的支付渠道,所以說它是非常恐怖的一件事情。
絲綢之路這個網站現在已經被封了,但是如果大家平時去上暗網,還會看到有非常多類似這樣的一些網站。它只是冰山一角,最近這幾年包括門羅幣、Zcash這樣的匿名幣出現,都在進一步助長黑市交易。比如門羅幣,錢從哪裡來有多少錢打給誰,你完全不知道,但是這整套系統還是可以完全地執行下去,你在上面做一筆違法交易,沒有人能夠查得到你,這樣給政府和監管部門帶來很大的困難。
同樣,以太坊的智慧合約出現提供了可程式設計的經濟模型,技術都是兩面性的,我也聽說有很多人使用智慧合約犯罪。比如有一個僱主想要獲得僱傭黑客攻破一個公司的網站,黑客跟僱主之間不需要見面也不需要建立一種信任,只需要把所有的操作寫在合約裡面就可以完成,可以看到技術是一把雙刃劍。
再接下來講一個案例,這個圖片大家都看過,就是WannaCry,它是一個蠕蟲病毒,去年5月份在世界範圍內爆發,它用windows作業系統的一個漏洞進行傳播。使用者電腦被感染之後,這病毒會加密使用者電腦中的重要檔案,且彈出這彈窗,說你現在的所有檔案都被加密了,你需要支付300美金的比特幣到我的地址,你支付了我就給你解密。
當時這個病毒傳播的非常瘋狂,包括醫院、學校、銀行或者一些政府部門,因為這個病毒無法工作,本質上黑客是通過這病毒向全世界進行勒索。想象一下如果沒有數字貨幣後面讓它做勒索的事情,他肯定是不敢的。
這個病毒背後還有另外一個故事,這可能是網路安全從業者的人才知道。就是這個病毒其實是網上一個匿名的黑客組織公開的一個windows的漏洞來進行傳播的。這個漏洞,實際上是美國國家安全域性的網路武器庫中的一個工具。黑客組織在公佈這個漏洞之前,先是在網上公佈了部分這個武器庫的資訊。然後告訴大家來給他們支付匿名數字貨幣,他們會定期把這一些美國國家網路武器庫傳送給支付者。可以看到因為數字貨幣的存在,黑客或者說其他犯罪分子甚至連美國安全域性都不怕,所以說數字貨幣在監管上面是存在非常大的問題。
數字貨幣專案本身它也是存在非常多的漏洞,今年我們公司內部啟動了數字貨幣安全研究。我們幾個人花了大概半年的時間,對當紅的一些數字貨幣專案進行了一些安全研究,半年時間內,我們發現了包括以太坊、EOS、門羅幣、NEO、ONT等排名前20的數字貨幣專案的安全漏洞。其中甚至有一些直接能夠很隨意的完成雙花攻擊的嚴重漏洞,一個數字貨幣我能夠花兩次,就是當兩個幣花。在小於半年的時間內,我們拿數字貨幣專案方的獎金已經超過了30萬美金。可想而知,如果黑客提前利用這一些漏洞去做一些破壞,其實會對整個生態造成非常嚴重的影響。
這是一個具體的案例,但因為今天已經比較晚了,所以我就不講技術的細節,大概的意思就是EOS有一個非常關鍵的模組,它五行程式碼裡面有三個漏洞,當時我們把漏洞提交給EOS官方,一個星期之後EOS官方修復了漏洞,但是這一個星期之內這個漏洞被黑客利用竊取了很多EOS的代幣。那更多的關於我們區塊鏈安全相關的研究,大家可以去關注一下我們的技術部落格。http://blogs.360.cn/
下面就是結論,從上面我們可以看到三點,目前區塊鏈安全事件是頻發的,因為區塊鏈技術的誕生,給整個社會也帶來了一些安全隱患;同時區塊鏈專案本身也有一些安全問題。我認為區塊鏈安全現在還處於一個非常初級的階段,它有非常多的機會和挑戰,謝謝。