8BTCCI: 18325.93 +1.42% 8BTCVI: 11998.70 +2.67% 24H成交额: ¥4838.59亿 +1.28% 总市值: ¥23334.65亿 +2.40%
攻防有道:如何破局交易所的安全问题?

攻防有道:如何破局交易所的安全问题?

ChainNode直播间 发布在 直播间 视频头条 39085

随着区块链技术在各行业领域的不断应用,一方面,其共识机制、私钥管理、智能合约等存在的技术局限性和面临的安全问题逐渐显现,区块链平台应用等安全事件层出不穷。

另一方面,区块链去中心、自治化的特点给现有网络和数据安全监管手段带来了新的挑战。各类安全事件的频繁发生给区块链在新模式下的应用管理敲响了警钟,区块链安全问题也引发了政产学研等各界的广泛重视。

封面图

5月15日晚七点,新浪微博研发副总经理Tim Yang、火币CTO程显峰、慢雾合伙人兼安全负责人海贼王做客ChainNode直播间(原巴比特直播间),和小喵共同探讨区块链安全的那些事儿。

以下为直播内容精选,完整直播视频请关注一直播【ChainNode直播间(ID:126922114)

交易所频繁被盗的原因是什么?

5月8日凌晨,币安发布公告称,发现了大规模的安全漏洞,黑客能够获得大量用户 API 密钥、2FA 代码以及其他信息,从而盗取加密货币,黑客在区块高度 575012 处从币安比特币热钱包中盗取了 7000 枚比特币。币安称,该笔交易是目前唯一受影响的交易。

据相关数据统计,全球主流的中心化交易所由于遭受“钓鱼”攻击已丢失近万枚BTC。那么,近几年频发的交易所被攻击事件,到底有哪些原因呢?

海贼王认为,“从之前的龙网、韩国交易所等被盗事件分析可以发现,有一些职业的、有国家背景的黑客组织开始进入区块链领域。交易所很难抵挡住这种职业黑客的攻击。”

程显峰则表示,黑客和交易所之间是非对称的对抗关系,他说:“传统安全体系的构建,会考虑经济上的效应,比如用100元去抵抗价值1万元的攻击,就比去抵抗价值1千元的攻击的效应要好。区块链的安全体系则相反,攻击者的攻击成本是低廉的,但获取的利益却是非常高。黑客总能找到脆弱的点进行攻击,这也使得构建安全体系的成本增加。”

实际上,对于交易所来说,很难在交易体验和安全保障两个方面做到完美的兼顾,而“钓鱼”攻击就是目前造成中心化交易所资产损失的元凶之一。程显峰指出,这种攻击方式具有成本低、攻击面广等特点,因此是黑客最主要的攻击方式。

除了“钓鱼”攻击外,交易所还有哪些常见的安全问题呢?

海贼王说:“有些白帽子会在交易所客户端上做测试,比如在网页上给你弄一些异常数据或者构造攻击数据来破坏系统,最简单直接的是假充值,如果交易所没做好风控,充进去多少就可以出来多少,对交易所的杀伤力比较大这种攻击手法。”

针对中小交易所的安全建设,他建议,一是提高交易所的风控能力,以币安为例,当币安监测到异常的大额异常提币时,就会立马冻结该钱包;二是提高技术人员的开发实力,因为“中小交易所的人员流动性较大,新招聘的技术人员不一定很懂区块链的攻击套路,新进来的人员安全意识不足这就会造成安全隐患。”

我们知道,币安被盗事件持续发酵的一个重要原因是“CZ考虑了区块重组”的解决方案,而重组意味着51%攻击分叉。针对分叉问题,Tim Yang以以太坊分叉为例,表达了他的看法,他说:

从今天来看,以太坊的分叉还是存在很大的分歧,并不是被外界广泛接受的。以太坊丢币分叉和币安丢币有本质的区别,以太坊分叉是因为项目自身的设计出现了安全问题,才导致的丢币;币安是因为交易所被黑客攻击,和比特币网络本身没有任何关系,所以如果是因为一家交易所出了问题而想让一条链分叉,区别是很大的。

海贼王则认为,币安被盗事件有利于行业的进步,他指出:“站在安全的角度,不管是交易所被盗,还是链本身出了问题,都能引发我们自身的思考,比如自己有哪里可以提高。这种(被盗的)事情可以让整个社区更加强大, 让整个行业往前走。一个问题的损失可促进行业的进步,我们会感到开心、欣慰。分叉或不分叉,要看谁说了算。”

真正被盗,抑或监守自盗?

自币安发布公告承认被盗之后,社区便出现了各种阴谋论,币安监守自盗、币安提前部署空单爆多单、币安自导自演。

前火币网CTO、BHex创始人巨建华在微信朋友圈表示,这已经是币安第二次发生同样问题了,现在交易所的业务结构的主要问题在于,资产被盗,也不能证明不是自己在监守自盗。只要托管清算和撮合交易、券商这3层业务不分开,这种事情会持续发生。

在没有太多证据支持的前提下胡乱猜测,是没有意义的。”程显峰首先表达了对这种阴谋论的看法,海贼王也持同样的观点,他说:“世界上只有两方知道这件事的真相,一个是黑客,另一个是被盗的交易所,其他人只能是猜测和事后分析。对于用户来说只要交易所有补偿的机制,有能力承担这个责任就行了。”

现实没有想象中那样简单,人性总是不可预测。去年4月13日,有外媒报道称,印度加密货币交易所Coinsecure被盗近350万美元比特币,该公司创始人兼CEO Mohit Kalra怀疑是交易所首席安全官Amitabh Saxena监守自盗,他是唯一具有该交易所主要钱包私人密钥的高层。

如果是内部的人作案,那怎么办?”Tim Yang提出了自己的困惑。

海贼王曾经参与调查过此类案件,他认为,对内部人作案的情况,如果交易所有风控和行为监控,可以查看服务器历史登陆记录,分析节点的转账记录就可以找到一些蛛丝马迹。另外,要做好权限分离和做到权限最小化,就是“规定什么样的人可能接触到私钥,比如最主要的人是CTO和核心运维人员,他们能接触到服务器。但服务器的数据是加密的,即使开发人员拿到代码,也拿不到私钥。”

海贼王坦言,“对三大交易所来说,他们最害怕的不一定是来自外部的攻击,而是内部的威胁。如果有人给客服或开发人员发送钓鱼文件,在电脑上执行,然后中了病毒或者木马的话,这对交易所的伤害还是很大的。”

有人说,没有被盗过的交易所,不是好交易所。也有人说,越好的交易所就会遭遇越高级的黑客,只要将被盗损失控制在可承受范围内就是好交易所。那么现实中,是否存在被黑客攻击,但交易所没有对外披露的情况呢?程显峰认为,

“实际上,并没有数据说明这个问题。遭受黑客攻击是高发事件,但大部分是用户本身的问题,用户应该更注重保护自己的安全。随着技术的提高,交易所的安全能力也在不断增强,因此相对来说也就更安全。”

去中心化交易所是否更安全?

数字货币交易所为数字资产提供了流动性,按其中心化的程度作区分,可将交易所分为中心化交易所、去中心化交易所和钱包三种形态。

中心化交易所和去中心化交易所最大的区别在于资金托管方式和交易流程方面。中心化交易所的资金托管、交易撮合、结算清算等均由交易所来完成,而去中心化交易所资产由用户控制,只承担交易撮合、链上资产清结算等环节。

与中心化交易所相比,去中心化交易所虽然在资金流量和用户基数上无法匹敌,但是其拥有高安全性、隐私保护属性以及通过智能合约进行点对点处理等种种优势。

谈及对中心化交易所和去中心化交易所的看法时,海贼王和程显峰都从用户安全的角度阐释了自己的看法。海贼王认为,未来(市场)既需要中心化交易所也需要去中心化交易所,他说:

“从安全的角度,去中心化交易所是把安全的问题交给了用户,所以对用户来说,安全意识是最重要的。中心化交易所的好处是帮用户保管了币,为用户承担了风险。未来小白用户进场,需要中心化交易所的客服之类的人,教他如何去操作。而当用户变聪明之后,去中心化交易所可能就更受他们的欢迎。”

程显峰表示,“大家在选择交易所的时候,可以算一算流动性成本。如果中心化交易所的流动性成本更低,那就选择中心化交易所。去中心化交易所把风险推给了用户,但用户很难构建自己的安全体系,解决自己的安全问题。如何降低用户构建安全体系的成本,是我们技术人员做要的事情。”

在被问及火币有没有做去中心化交易所的打算时,程显峰表示,目前在密切关注这个方向,“在考虑范围内,至于(去中心化交易所)能不能给用户带来真实的价值,这是做不做这个事情的出发点,现在来看,大部分的用户还是习惯现有的服务体系。”

去中心化交易所会出现合约方面的安全问题吗?”Tim Yang问道。

海贼王对这个问题作出了肯定的回答,他表示,曾经有非常重视安全的去中心化交易所团队专门飞到厦门(慢雾科技公司所在地),面对面交流讨论安全问题。因此他也建议,去中心化交易所上线前,有必要做安全审计。

时事热点

小喵:近日比特币出现如此强势的行情,有人认为是中美贸易战的激化,也有人认为是共识大会的召开获得了极大的曝光,还有人认为是减半前的行情波动,你们认为这波行情是如何被推动的?
Tim Yang:实际上交易所的数据最准确,我们知道,财富是呈金字塔型,少数的人占据了大部分的财富,微博上更多的是被割的韭菜,他们的看法不一定准确。我一般都不会看他们的舆论的,如果按照舆论来推测币价,这是很初级的做法。

程显峰:我们做交易所是没有自己观点的,但是可以引用第三方的看法。大家可以去看传统的金融媒体,最近几个月的新闻报道,就会发现一个特点是传统金融机构对比特币的关注在明显地上升。大家可以关注市场的这种改变。

海贼王:从安全的角度就是投资有风险、入市需谨慎,现在涨这么多,千万不要去追高,追高死的快。

小喵:近日有消息爆出“微软正推出一个基于比特币网络的去中心化身份识别开源协议Ion,将提供去中心化身份验证功能”,各位如何看待去中心化身份认证的应用场景?
程显峰:身份关联的问题还是属于传统安全领域的,有三个模型,一是“你知道什么”,比如你知道别人的密码;二是你知道别人手机上的验证码;三是你携带什么,比如指纹、虹膜等等。实际上,关于这几种身份认证的方式都有缺陷。前两种都可能被偷窃,第三种是不可以替换。我们需要突破这三种模型,看能不能找到第四种,和身份的关联能强的时候强,能弱的时候弱。但目前还没有看到有所突破,微软的这种尝试挺好的。

Tim Yang:我觉得DID去中心化身份验证是未来互联网系统中非常重要的基础设施。我记得微软在2018年的一个会议上就宣布做DID,那时候我就非常看好。将来比如滴滴打车,可能就不需要用手机号注册了,用DID的身份就行了。未来的想象空间很大。但是,这个东西比较超前,要想在一两年内落地是很有挑战的,因为没有丰富的生态来支持。微软这样的公司可以来做做。

小喵:各位有没有看好的区块链应用场景?
Tim Yang:现在比较看好DeFi去中心化金融,目前(区块链)和金融打交道的应用场景,最有可能先搬到区块链上,落地的可能性也最大。

程显峰:未来区块链应用的爆发应该是在区块链本身内部,而不是把传统业务搬到区块链上。

海贼王:我有关注一些大机构,比如沃尔玛、Facebook等等,他们在区块链领域的太多,像食品供应链等等,都是很好的应用场景。

快问快答

观众:为什么海贼王老师不露脸?难道黑客都是这样神秘吗?
海贼王:做安全的嘛,经常会曝出一些漏洞,导致挡了一部分人的财路。如果经常露脸,可能一出门就被人认出来了。程总刚才说了,做技术的肯定要跑得快嘛。(哈哈哈)
观众:你们觉得工作和创业的区别是什么?
海贼王:慢雾创立以来,大家都非常的拼,基本是有了上班,就没下班。我们不是“996”,而是“007”。一部分原因是对技术的追求和热爱,另一部分是作为成年人,总有一些自己喜欢的事情,和肩负的责任,不管别人逼不逼你,做自己喜欢的事情是很幸福的。工作和生活能平衡好,这是最牛逼的。

程显峰:我们也是在一个创业公司里,工作的节奏也很快,但是我们很享受整个过程。能处在如此飞速发展的行业里,是人生中很难得的经历。

Tim Yang:我不是在创业环境,算了(不回答)。

观众:如果有一张机票,那你会立马去哪里?去见谁?
 程显峰:我没有太想去的地方。

Tim Yang:工程师经常挂在嘴边的一句话:买一张机票,想去泰国海滩,写代码。

 海贼王:不用去泰国哈,来慢雾吧,我们在厦门海边,过条马路就是海。我还可以带你吃海鲜的。

观众:给普通投资者提一个建议?
 程显峰:一定要注意风险控制,投资最重要的是保住本金。不要在乎什么暴富的故事,从我们看到的实际情况来说,很少有人能暴富的。看上去道理很简单,实际做到的人少之又少。大家不要有太多赌博的心态。

海贼王:不要只看到贼吃肉(没看过贼挨打),一个币涨了20%、30%,要看到2018年跌下来的时候,大家还是要谨慎。程总刚才说的就是金玉良言。

Tim Yang:大家对非主流币的投资要谨慎,从技术的角度,那些非主流币的项目,真正好的项目很少,目前投机性比较重,长期风险还是挺高。

文案整理:李小平

评论
登录 账号发表你的看法,还没有账号?立即免费 注册