慢雾科学和技术,庄家收割丰本

慢雾的做法是开放:我们的安全做法、我们的安全理念,来自区块链,最终得回到区块链,你说的:共识。

作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。

嘉宾慢雾余弦:安全角度,我们觉得这个生态没谁是漂亮的。但是,相对优质的是有的。而且我们也发现,其实普遍来说,区块链生态里大家已经把安全当成必选项了。

修复方案

嘉宾慢雾余弦: 有必要,这问题真好啊!

以太坊代币交易回执中 status 字段是 0x1 还是 0x0,取决于交易事务执行过程中是否抛出了异常(比如使用了 require/assert/revert/throw 等机制)。当用户调用代币合约的 transfer 函数进行转账时,如果 transfer 函数正常运行未抛出异常,该交易的 status 即是 0x1。

其实我们发现不少隐秘攻击,有些还不是时候披露,我们一般是先通知合作方,修复后,再想办法合理披露。

图片 1image

嘉宾慢雾余弦:嗯,这也是我们觉得区块链这个世界充满魔力的原因。

漏洞细节

群友厂长:好纯洁。

A:我们有健壮的威胁情报网络,捕获到异常时,我们默认直觉会认为这是一种攻击。

你还记得关于以太坊黑色情人事件、USDT“虚假充值”事件、日本CoinCheck交易所被盗事件吗?好奇最新进展吗?关心区块链企业的安全问题吗?

除了判断交易事务 success 之外,还应二次判断充值钱包地址的 balance 是否准确的增加。其实这个二次判断可以通过 Event 事件日志来进行,很多中心化交易所、钱包等服务平台会通过 Event 事件日志来获取转账额度,以此判断转账的准确性。但这里就需要特别注意合约作恶情况,因为 Event 是可以任意编写的,不是强制默认不可篡改的选项:

里面对安全的分类有:

图片 2image

阁主大于:第一个问题,区块链的核心是解决信任问题,而安全事件却一次次打击人们的信任,尤其是智能合约安全漏洞带来的巨额损失。目前区块链行业总体安全态势是怎样的?

如图代码,某些代币合约的 transfer 函数对转账发起人(msg.sender)的余额检查用的是 if 判断方式,当 balances[msg.sender] < _value 时进入 else 逻辑部分并 return false,最终没有抛出异常,我们认为仅 if/else 这种温和的判断方式在 transfer 这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的 transfer 函数会采用 require/assert 方式,如图:

阁主大于:细思极恐。

Q:为什么说披露的不仅仅是漏洞,而是攻击?

群友:问一个可能比较冒昧的问题:慢雾目前是运动员还是裁判员呢?会不会将来两者都会牵涉呢?

A:其实,以我们的风格,我们一般情况下是不会单纯去提漏洞,漏洞这东西,对我们来说太普通,拿漏洞来高调运作不是个好方式。而攻击不一样,攻击是已经发生的,我们必须与攻击者赛跑。披露是一门艺术,没什么是完美的,我们只能尽力做到最好,让这个生态有安全感。

大于,经济学博士、中国计算机学会区块链专业委员会委员、区块链产业资深研究者。

参考示例 TX:

嘉宾慢雾余弦:我们有我们的行事准则,确实,守正出奇是最合适的形容。

Q:为什么慢雾可捕获到这类攻击?

嘉宾慢雾余弦:不,纯洁这个词不适合我们。

A:很纠结,一般来说,这些代币最好的方式是重发,然后新旧代币做好“映射”。因为这类代币如果不这样做,会像个“定时炸弹”,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个“假充值”漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。

很期待无厘头的大象和正儿八经的大于的混搭。

Q:这些代币不重发是否可以?

这里,别偷懒,回头认真看。

图片 3image

但是呢……其实我们是乐观的,有时候安全这东西也没那么夸张,一个生态之所以是生态,就具备生态的一个属性:自愈能力其实很强……

图片 4image

我们披露的基本都是已经有攻击事件发生的,而不是一个单纯的漏洞,单纯漏洞没意思。

Q:至少 3619 份存在“假充值”漏洞风险,这些代币该怎么办?

阁主大于:您说的这句话我认为很重要,可否再多解释几句?(慢雾的做法是开放:我们的安全做法、我们的安全理念,来自区块链,最终得回到区块链,你说的:共识。)

emit Transfer(from, to, value); // value 等参数可以任意定义

我一直给团队共识我们的红线,我们在招人时尤其注意这个,价值观是第一需要考虑的,然后才是其他。还有,我们也和公安相关部门有合作,在自我约束这方面,我们非常严肃。

A:我们不会做点名披露的事。

Q4

Q:为什么我们采取这种披露方式?

阁主大于:在区块链世界里,意识、共识永远是很重要的。

我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如 TxReceipt Status 是 success(即上文提的 status 为 0x1 的情况) 就以为充币成功,就可能存在“假充值”漏洞。如图:

阁主大于:影响范围如此广泛,数额如此巨大,居然还能持续如此长的时间,可见攻防对抗确实在相当长一段时间内处于失衡状态,黑客的攻击居然这么久都没有被监测发现,这在网络安全领域也是难以想象的。

后记 Q&A

嘉宾慢雾余弦:最好的应对方式是:提高安全感,把安全去神秘化,把黑客去神秘化。

作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。

Q2

Q:有哪些交易所、钱包遭受过“假充值”漏洞的攻击?

阁主大象:我是一名观察者。

A:本质是与攻击者赛跑,但是这个生态太大,我们的力量不可能覆盖全面,只能尽我们所能去覆盖,比如我们第一时间通知了我们的客户,然后是慢雾区伙伴的客户,再然后是关注这个生态的安全同行的客户,最终不得不披露出细节。

比起传统的攻防来说,区块链生态会有自己的特别点,比如币属性,自带金融属性,攻击者有时候不一定要盗走这个币,想办法做空做多就好。

Q:除了 USDT、以太坊代币存在“假充值”漏洞风险,还有其他什么链也存在?

阁主大于:精辟!基本有些感觉了。

A:恐怕没人会公开提,我们也不会点名。

- 协议安全

披露时间线

嘉宾慢雾余弦:暗网其实是个很泛的概念,里面有太多大大小小的组织或个人,霍炬这篇科普文章:写得很好,推荐之后看看。

Q:有哪些知名代币存在“假充值”漏洞?

嘉宾慢雾余弦:受损后会恢复,生态的容错性就是这样。安全这东西,到头来还是人,人这个物种就是诡辩、聪明、进化。感觉这部分细节很难在这展开。

A:也许可以,但不完美。不选择重发的代币要么很快是发布主网就做“映射”的,要么得做好通知所有对接该代币的平台方的持续性工作。

阁主大象:这就是两难悖论。

本文引自慢雾区公众号文章"以太坊代币“假充值"漏洞细节披露及修复方案"

嘉宾慢雾余弦:区块链落地的真正未来,其实,我并不觉得区块链技术有什么需要特别去强调的,我们应该看人类的未来,比如生产关系与生产力,大趋势来看(不考虑黑天鹅事件),生产关系肯定是越来越好(比如区块链技术让信任成本尽可能降低),生产力越来越强。

嘉宾慢雾余弦:如果想了解慢雾更多内容,可以后续看我们的官网。慢雾只想做好一件事:区块链生态安全。强调“生态”这个词,是因为我们觉得这里面角色很多,安全是环环相扣,甚至唇亡齿寒。

图片 5

前言

2018/6/28 慢雾区情报,USDT “假充值”漏洞攻击事件披露

2018/7/1 慢雾安全团队开始分析知名公链是否存在类似问题

2018/7/7 慢雾安全团队捕获并确认以太坊相关代币“假充值”漏洞攻击事件

2018/7/8 慢雾安全团队分析此次影响可能会大于 USDT “假充值”漏洞攻击事件,并迅速通知相关客户及慢雾区伙伴

2018/7/9 慢雾区对外发出第一次预警

2018/7/10 慢雾安全团队把细节同步给至少 10 家区块链生态安全同行

2018/7/11 细节报告正式公开

自由提问环节

A:暂时不做披露,但相信我们,“假充值”漏洞已经成为区块链生态里不可忽视的一种漏洞类型。这是慢雾安全团队在漏洞与攻击发现史上非常重要的一笔。

嘉宾慢雾余弦:然后,似乎有个错觉,有人说:你们慢雾进来后,各种新型攻击就层出不穷。就好像柯南每集都会死掉一个人,这不能怪柯南呀,剧情需要呀。

以太坊代币“假充值”漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,我们的不完全统计就有 3619 份存在“假充值”漏洞风险,其中不乏知名代币。相关项目方应尽快自查。由于这不仅仅是一个漏洞那么简单,这已经是真实在发生的攻击!出于影响,我们采取了负责任的披露过程,这次攻击事件的披露前后相关时间线大致如下:

嘉宾慢雾余弦:好问题。非议多得很,比如前面说的以太坊黑色情人节事件,我们披露后,有人就留言我:你们盗了不少币了吧?披露是不是想混淆视听?你们为什么不盗币,披露干什么...

当不满足条件时会直接抛出异常,中断合约后续指令的执行,或者也可以使用 EIP 20 推荐的 if/else revert/throw 函数组合机制来显现抛出异常,如图:

我之所以会这样说,是因为想表明:安全这东西,有时候太神秘化不好。

但是你得守正,价值观一致,还得敬畏法律,敬畏规则。

阁主大象:刚才我问了第八问,再追问一句,号称是可以追溯来源的加密货币真的没有办法将这些“赃款”锁定吗?

嘉宾慢雾余弦:比如,我们在我们官网开放了我们安全审计的一些做法,还有不少,我们都会陆续更新。

嘉宾慢雾余弦:门罗币不小心创造了个网络和平世界,因为其CPU/GPU算力友好,对抗职业矿机(比如ASIC芯片)。且门罗是最早的一批,算是匿名币的龙头。地下黑客入侵大量服务器,以前是勒索、窃取机密,现在大规模做CPU挖矿。比如一段代码:(由于代码太长……已略)

群友:请问,现在交易所那么多 如何看待越来越多的新交易所 至少安全角度而言,会不会只是个空架子?

  1. 客户端协议实现安全

  2. 网络安全

  3. 节点安全

  4. 客户端应用安全

  5. 算法使用安全

  6. Solidity 语言安全

  7. ENS 安全

阁主大于:很深刻,这些都是很宝贵的资料哎,之后我们还要仔细研究和学习。

嘉宾慢雾余弦:知道创宇是我老东家。我在老东家做了9年安全,负责安全能力。是的,他们很强。我觉得区块链生态有它极大的魅力,可玩性其实很高很高,现在谈对手,太早。

再比如,我们重度 GitHub 使用者。我们在我们的GitHub上公开了很多解决方案与研究,你们回头可以看看。我们觉得安全这东西一定要首先解决信任这个大问题、

阁主大象:讲讲嘛,不要吊大家胃口……

嘉宾慢雾余弦:好的,我找个我之前发的文字片段,稍等。研究区块链安全的可以参考以太坊漏洞赏金计划。

阁主:

阁主大象:这是科普……

阁主大象:第十一问,这是我的个人爱好,以权谋私一下。我也很喜欢看《三体》,对水滴印象很深,水滴既是监视者又是攻击者,让人细思极恐。在区块链的发展中存在这样的角色么?

群友刘韩:知道创宇、armors应该在行业都是比较领先的吧。

嘉宾慢雾余弦:嗯,很神奇的世界。

我也总说:守正出奇。比如,黑客这个身份,自带奇……

嘉宾慢雾余弦:慢雾的使命是给这个区块链生态带来安全感。愿景前面也通过了。慢雾是个慢格调的公司,不喜欢竞争。

然后还有不少已经披露的案例可以供参考,拿到赏金不是件难事。这是我们看到知名公链以太坊这个区块链本身的安全缺陷类型。供参考,细节可以回头细聊。

阁主大于:我觉得以后真的有必要搞一些通俗易懂的区块链安全科普材料,至少让大家有基本的认识,才能达成共识。

比如这个 #预警# 新型攻击手法披露:以太坊黑色情人节事件里已经出现的隐蔽攻击方式!

阁主大于:其实如果让我来想的话,好像也没有比“守正出奇”更加合适的词了。

当时我朋友圈发了段文字:我们一般不披露那些还没出现攻击事件的情报。比如单纯漏洞这玩意,挤挤总会有的,多重磅都可以搞个出来,没什么好说,但只要是事件,就代表已经发生,披露我们尽最大努力走负责任路线。我们在给甲方做安全时,会全面带入我们的情报网络,这种价值,似乎还不好量化,但懂的人,会很感激我们。

Q0

阁主大于:文化 制度 监管。

嘉宾慢雾余弦:本质就是以太坊全节点的私钥机制与相关端口开放的综合攻击手法的工程化问题……

阁主大于:第三个问题,历来人们都对拥有超能力的人有更多的质疑,能力越强责任越大,在区块链世界,慢雾科技其实上可以认为是有“超能力”的公司,我想知道,你们是如何约束自身的“超能力”的?有哪些不可违背的行事原则?除了观念和文化上的约束,慢雾科技对内部成员有怎样的实质性约束?

目前该事件有什么最新进展?慢雾最近又发现了哪些新型且隐秘的攻击手法?

是的,安全问题已经不再是某一个参与者单独的问题,而是要从整体生态层次予以考虑,好,那我们下面进入正式的访谈。

我们努力做好区块链生态安全这一件事,我上面说的内容,也欢迎监督。我知道中立其实很难很难很难,但是我们努力。

阁主大于: 大家晚上好,欢迎收看火讯琅琊榜第三期在线访谈节目,我是于佳宁(也就是大于),很荣幸能担任本期琅琊榜阁主(之一)。特别欢迎本期琅琊榜首次受访嘉宾——慢雾安全团队。

阁主大于:我很同意,技术永远是中性的,只能推动既有趋势而不能根本改变。

嘉宾慢雾余弦:当大家关心币价的时候,也可以回过头来,琢磨琢磨这些问题。

在这个夜黑风高的夜晚,神秘的黑客先生会展现怎样的一种“超能力”呢?

图片 6

阁主大于:能不能把区块链本身的安全缺陷再讲一讲。虽然我想很多朋友可能有所理解,但是理解的有很有可能有偏差,或者不到位。

嘉宾慢雾余弦:一般的区块链从业者,保持空杯心态吧,至少能保护好自己的私钥。

Q10

嘉宾慢雾余弦:没什么问题是一顿小龙虾解决不了的,如果有,那就两顿。

大于、大象×慢雾团队

Q3

这样的挖矿收益高呀,更好的蠕虫还会合理利用服务器资源,让你还不一定发现得了。好了 先科普这点。

嘉宾慢雾余弦:如果我们的客户、我们的伙伴对我们不信任,他们不会和我们合作。如何解决信任:1. 开放开源;2. 口碑传播。

但是我们得意识到,安全这个东西,是整个生态的事,攻击者喜闻乐见币圈的乱,越乱,他们越喜欢,收割起来毫不留情。有句话是:庄家收割韭菜、地下黑客收割庄家。

《我是谁:没有绝对安全的系统》这部电影拍的不错。

阁主大象:哈哈哈,宽恕。

嘉宾慢雾余弦:区块链生态安全发生危险最严重的就是团队资金破产及信誉破产。

阁主大象:EOS主网上线前夕,360安全团队公布了EOS的“史诗级”安全漏洞,我们当然相信360团队认真负责地公布漏洞的态度。但是部分EOS支持者却认为360做空EOS,周鸿祎借势入局。我想请问余弦先生,作为一个拥有“超能力”的黑客,一个“守正出奇”的黑客,在区块链行业从事安全工作遭遇过哪些非议?其中您最不能容忍的指责是什么?

阁主大于:第四问,您曾经说“这个社会不存在完美的去中心化,不存在乌托邦,去中心化 中心化才是区块链落地的真正未来。”您认为完全的去中心化不可能吗?去中心化 中心化指得是一种新的共识机制,还是一种治理机制?

嘉宾慢雾余弦:说实话这个问题上下文我没了解,区块链技术本身当然存在安全缺陷呀。没绝对的安全,这也算是我们做安全的基本共识。

这些人是没意识到:其实地下黑客正规军早进来了,我们的进来也确实是时候,攻防对抗必然会升级。都说币圈一天、人间一年,我们的攻防对抗当然也是这样,会越来越激烈,直到一种平衡。

阁主大于:守正应该是出奇的前提。那让您选一个词来描述慢雾,你会选择什么词?

第三期第一场

有时候深入挖掘会发现这比魔法还魔法,难怪黑客容易被神秘化。

好,我提问的部分就到这里。接下来请另外一位阁主大象提问,也就是要从一本正经切换到轻松愉快模式了。双阁主的模式,嘉宾很辛苦,观众很嗨皮。

本文由新葡萄京娱乐在线赌场发布于澳门新葡萄赌场娱乐,转载请注明出处:慢雾科学和技术,庄家收割丰本

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。