乌镇·区块链安全被提上新高度,如何守护安全边界?
11月9日,在由巴比特主办的“2019世界区块链大会·乌镇”分论坛——“区块链大事件:新热点与探索者”现场,慢雾科技合伙人兼安全产品负责人 Keywolf、成都链安科技创始人兼CEO杨霞、Matrixport托管业务负责人吴梦夏、BigONE COO 程君、比特派合伙人王超围绕“不安全,何以安天下?”进行了圆桌讨论,虎符联合创始人兼CMO 陈小海担任支持。
随着区块链生态的不断发展,发生安全事故的场所也从最初的交易所、钱包,到后来的各种Dapp、DeFi平台。攻击手段层出不穷,从黑客攻击、钓鱼攻击、恶意代码植入等不一而足。围绕用户资产安全,区块链世界无时无刻不在上演着一场场令人触目惊心的安全攻防战。
在圆桌讨论中,来自区块链安全公司、交易所、钱包商、托管机构的各方代表,围绕区块链的安全,展开深入讨论。以下为圆桌讨论内容,巴比特整理:
区块链安全被提上新高度
陈小海: 大家都知道,中央政治局在10月24日的第18次集体学习会议上,国家领导人以区块链主题做出了很多指导,特别是在区块链安全领域,强调要推动区块链安全有序发展(全文链接: https://www.8btc.com/article/501634 )。
请各位嘉宾站在你们行业的角度,怎么理解区块链安全?当这个风向标出来之后,各位在自己的行业中会做哪些安全布局?
Keywolf: 区块链学习会议里面提到很多关于区块链如何安全有序地发展,我觉得这离不开相关政策或者说规范的出台。我们之前也有跟很多事业单位、政府部门进行相应的探讨,我们在2018年的时候就进入了工信部第一批的产业发展白皮书,之后我们也跟重庆网安总队、中国电信集团、国防科大、福建省区块链发展基金会等进行交流,同时我们是粤港澳大湾区区块链与网络安全技术联合实验室五大安全单位之一。我们也跟很多区块链从业者向上递交从业者很多的心声,包括整个行业的现状以及整个发展的方向。
我觉得,未来这方面相应的政策出台肯定也会在适当的时候进行相应的公布,这样能引导整个区块链行业的生态项目方,使我们能够健康、安全地不断发展,遵照我们对应的标准向前发展,使区块链行业迎来更好的春天。
杨霞 :区块链是非常重要的基础设施,安全是其中非常重要的一环,因为涉及大量的资产和数据交易。如何建立自主可控、自主创新的安全保障体系?我们公司在这方面做了非常多的努力:
第一,我们做的一站式的区块链安全平台全部是自主创新的,已经申请了十多个专利。在专门从事区块链的公司里面,我们应该算排第一。
第二,在标准制定方面,我们参加工信部国家区块链安全标准的撰写,作为安全公司来说,也是我们非常有义务要以做的事情。
第三,在行业间,因为这次学习提到促进行业健康发展,减少行业的风险。这里面的安全不仅是技术本身的安全,而是更大范围的社会安全。在这方面,我们建立了强大的链上资产追踪系统,可以协助公安部门调查数字货币敲诈勒索或者盗窃的案件,为政府和行业健康发展发出正能量的声音。
吴梦夏: 我在这个讲话中主要读到的信息是说国家肯定会通过技术手段和法律框架管好区块链。我认为区块链本身是一个非常强大的工具,首先它是一个去中心化或者去绝对中心化的治理架构,它通过建立一个共识机制或者激励机制,完成去中心化治理。这本身是一个很好的工具,但是我觉得国家在这个文中传达了非常重要的精神,就是说监管会在治理架构里面占据一个非常主要的角色。
程君: 其实这次学习提到推动区块链安全有序发展,讲的是自上而下统一思想,势必就会有各种部门的政策出台,包括制度设计、法律合规上的设计,政府服务也要有一些创新。所以对于我们来讲,我们要自下而上想一想应该怎么做。我们应该做长期有价值的事情,短期的行为就不要做,不要做割用户的事情,不要做发假币的事情。任何一个行业的发展跟政策的监管是相互影响的,也就是说如果这个行业很激进,从业人员很兴奋、很刺激,可能会迎来一刀切式的监管;相反,如果这个行业的从业人员都比较稳妥,也能够把自己的个人利益和行业发展的长期利益相结合,那就可能会迎来比较宽松的环境和政策。所以我觉得不合把合规问题全部抛给政府,而是要从自身开始,这是我对行业的理解。
王超: 我认为首先最应该关注的不是安全,而是有一句话叫做“探索未来发展规律”,既然要探索,肯定有走的对的地方,也有走的不对的地方,安全在后面。我们首先要探索,但在探索中要把安全边界设定好,包括金融安全、监管安全、外汇安全,包括未来国际市场去进行的金融竞争的安全。作为从业者,我们肯定要把自身做好的东西做起来,配合文件一起推动行业的发展。
8个月损失金额超33亿美金,安全公司如何构建防护网?
陈小海: 接下来针对行业的问题,对每位进行提问。从今年1月份到8月份,区块链行业因安全事故引起的资产损失多达33亿美元,这个数字在本来就体量不大的数字资产加密的行业里很震惊。所以站在区块链安全行业公司的角度看,怎为什么当下有这么多安全漏洞存在问题?从自身行业来讲,会在这些环节当中做什么?
Keywolf: 区块链早期的时候,生态发展的有点快速,很多项目方更多关注的是自己平台的业务量、用户量、交易量等增长情况,但其实在很多底层的基础功能或者说平台里面的某些模块,没有跟上业务的发展,就会导致假充值的漏洞或者以太坊黑色情人节的漏洞,我们发布这些漏洞的时候,都附带非常详细的漏洞修复方法和最佳的安全实践。
同时,针对EOS生态,我们也发布了很多关于EOS智能合约的安全漏洞文档,详细讲解漏洞的原理以及代码应该怎么写才不会有漏洞的最佳安全实践,同时我们也提供了一款链上智能合约防火墙。
我们也持续做好安全基础设施,为整个区块链生态上的项目提供安全的力量,不仅是对交易所、钱包、公链、矿场、矿池等等,我们都积累了非常多的从业安全经验,也不断把经验转化为标准的产品,以比较低的门槛回馈给整个行业的客户。
杨霞: 我们每个月都有专门面向区块链的安全月报,比如这个月有哪些安全漏洞、哪些安全事件发生、有多少安全损失出现。
针对安全漏洞的防护,不是谁想做就做的,我做了十几年,但还是没有做好,因为安全的范围太广了。我们面向区块链应用,建立一站式的全生态全生命周期的安全平台,从区块链应用开发,我们研制面向多个区块平台开发的IDE,率先研制面向智能合约自动的产品,还有代码的检测,再加上我们做的鹰眼的感知,运行时能进行安全的监。面向交易所,我们又建立了完善的安全防御体系。安全的话题很长远,对安全公司,除了技术层面之外,我们还要做的事情是帮助这个行业健康发展,多发一些正能量的声音,让大家意识到这个行业的安全不仅仅是技术安全本身,还要做好自律。
安全投入占IT费用20%以上,资产是否万无一失?
陈小海: 由于和比特大陆的关系,Matrixport是颇受关注的项目。我们之前也有看到Matrixport对外宣布的安全方案,类似企业网银,热存储、冷存储,这些安全防御方案应该算极度安全,所以请吴总给大家解读一下怎么看待极度,极度和绝对是不是还有很长的距离?
吴梦夏: 极度安全并不意味着绝对的安全。从我们的角度来讲,极度体现在几个方面:一个方面,大家也知道Matrixport是最早从比特大陆分出来的,现在Matrixport托管方案最早是比特大陆内部做自有资产托管的方案。在高峰时期,比特大陆自身有几十亿美金的数字资产托管,这是非常有挑战的事情。我们在业界看过一些方案,但不太满意,所以我们准备自建一套方案。所以我们是基于当时对自有资金的重视,不计成本投入了这么一套基础设施的建设。而现在,我们希望能够把这套基础设施输出给另外其他的从业人员,大家不需要再重复建设,因为我们自己建设过来,也知道这中间的投入,无论是金钱的投入,更多是时间和专业能力上的投入有多少。
另外一块,是公司对安全极度重视。我们公司对安全的投入大概占整个IT方面建设投入的接近25%。我们有业界最高级别的加密机,用了多签的技术。同时我们在三大洲有冷存储中心,它的机房都是防电子攻击,7×24小时有安保人员,一般的地震或者水灾都不会影响到大型的数据中心的运作。
再有一块,安全很多时候是一个意识、很多时候是一个文化的建设。我们公司每双周都有基于真实的安全事故的范例演示,并对员工做安全培训。
总的来说,从设备安全、运营安全、信息安全,我们对产品设计了整个端到端的安全流程。
陈小海: 交易所算是安全的重灾区,比如盗币和用户信息泄露,会频繁出现在大众视野中。包括前段时间杨总提到某知名大所依然没有逃过黑客的攻击。所以BigONE从交易所的角度,你们在交易所安全运营方面怎么做防范?
程君: 其实对于交易所来说,安全是一条生命线,它是我们安身立命最底层的技术,是一个底线。所以我们对交易所的安全,一直是小心谨慎,如履薄冰。我们在安全的投入占到整个IT费用超过20%以上。
交易所遇到很多的安全攻击,常见的包括黑客利用合约代码进行攻击、假充值攻击,还有是利用工作人员的邮箱或者说工作人员设备进行木马植入的攻击。
我们所要做的是八个字:内外结合、标本兼治。“内”就是我们自己有一套很完善的风险风控体系,这套风控体系从人员培训到整个设备、到整个业务的流程,所有的都比较严格地推进和执行。
我们会和很多外部的第三方合作机构合作,比如说我们一直都在跟慢雾进行合作,慢雾在前一阵子对BigONE进行了安全方面的检测,而且出具了监测报告,涉及到六大项29类业务,包括DNS、DOS攻击、云数据库等等,我们29项全部优秀,这也是对我们自己这么长时间一直坚持在安全上的态度的认可。
陈小海: 比特派对外宣称从未出现任何一件安全事故,不知道是不是真的从来没有发生过,还是说有发生过但被隐藏了?
王超: 我们对外宣称6年0安全事故,关键词:6年。本身做钱包6年还活着的没有几家,6年没有发生安全事故,全世界范围几乎没有。
比特派钱包是去中心化钱包或者叫非托管钱包,如果被攻击出了问题,不具备被掩盖的可能性。再有是用户量,国际上有一个钱包用户量也非常大,2014年12月更新代码的时候出了一个BUG,两个半小时BUG被修复了,但仅仅两个半小时就有1000多个比特币地址受影响,私钥被破解,丢了200多币。我们自身对于钱包安全投入非常高,这里面既有我们内部的投入,也有跟一些顶尖的安全公司合作。安全无止境,行业在快速发展,一是要自己加强学习和投入,再是紧跟趋势多合作,这里面没有任何小事。
资金盘频发,如何建立安全机制?
陈小海 :2019年是资金盘聚集的一年,特别是在上半年。在座的有安全领域的,也有资产托管的,也有做交易所、钱包的,如果你们遇到这类问题,会做哪些对应的策略?
Keywolf: 这一块,我们和杨教授也有做相应的追踪,作为一家安全公司也有这样的职责和义务所在。对于这样的社会型的资金盘或者是类似恶意行为,我们会进行安全拦劫。我们做了慢雾AML系统,通过和交易所的合作,这个系统里面也收集了交易所的钱包地址。因为拦截这件事情,交易所是数字货币转化为法币的资金通道。通过我们这样一套系统和交易所的合作,我们能够对资产转移进行一定的追踪,同时我们能够准确识别他是不是去了某一个交易所或者某一个中心化的钱包。我们也会跟执法机关合作,帮用户追回被诈骗的以太坊资产。
杨霞 :我们的AML系统运营非常长的时间,已经跟全球头部几十家交易所合作了,他们跟我们形成了联动。比如说我们已经协助公安做了很多的协助调查的事情,大概有将近20起的事情,其中包括BTC、USDT、以太坊主流的币种追踪。我们能做的事情是他们把地址告诉我们,我们通过系统查出资金在哪里,最终追溯在哪个交易所,然后交易所跟我们合作,配合公安进行取证,就能直接定位到是某一个人。其实这里的难点是BTC,但我们的数据分析能力能最终定位到最终的资金出口,而且通过跟公安多次调查取证来看,我们的精确度非常高。
吴梦夏 :一个公司选择接什么样的客户,一是短期来讲可能是商业逐利行为,中期来讲是公司的风险偏好的表达,长期来看是这个公司的自身价值观。所以我们也遇到类似的项目找到我们做托管,我们基本上都会委婉地拒绝,好在公司在这个圈子里做了多年,在接项目之前能够做比较好的甄别和防范,避免服务这样的客户。
程君: 总结起来是三点:事前、事中、事后。事前,比如我们接入慢雾的系统,我们对异常的地址和我们判断有风险的地址进行监控。事中利用我们自己的风控系统,对用户画像进行精准定位,判断他在这个过程中是不是有风险;事后我们有KYC信息系统,我们接入face++系统,对用户所有信息全部实名保留,以方便未来配合警方的最终调查。
王超: 我觉得整个行业无论是从业者还是用户,对安全的重视远远不够,还是呼吁大家重视。
陈小海:安全是一个永久的话题。基于安全,区块链世界里无时无刻不在上演着一场场没有硝烟的战争。在安全这条道路上,还有很长的路要走。