专栏首页区块链大本营什么是DVP?一文告诉你如何应对区块链安全危机

什么是DVP?一文告诉你如何应对区块链安全危机

存在安全隐患的区块链生态自然成为黑客眼中的香饽饽,近年来,一系列安全事件层出不穷,波及范围和资产损失数额也不断增加。区块链行业的安全问题也愈发引人注目。

DVP,全称Decentralized Vulnerability Platform(去中心化漏洞平台),作为全球第一家去中心化匿名众测平台,连结区块链厂商、安全公司和白帽子等社区参与者,共筑区块链生态安全。

8月9日晚,PeckShield研发副总吴家志在区块链大本营安全分会群中,为大家分享了一些DVP相关技术知识。

PeckShield研发副总 吴家志

吴家志,美国北卡州立大学计算机博士;PeckShield研发副总;原360 C0RE Team创始成员,并担任团队负责人;原360超级ROOT产品负责人;内核安全专家。曾发现多个有重大影响的安全漏洞,多次荣获谷歌、高通、华为等厂商致谢;目前专注于区块链智能合约安全以及数据分析。

以下内容为吴家志在安全分会群中的语音分享实录,由区块链大本营整理发布,有删改。希望对你有所启发。

责编 | 韩依依

我从2013年开始研究安全相关的问题,主要面向安卓手机系统,至今已经给厂商曝过上百个跟安卓相关的漏洞。这其中我们碰到过不少问题,比如说,有一些手机厂商可能根本联系不上,也可能厂商并不觉得这是一个安全问题,或者他不了解你描述的问题、不知道怎么去修,也可能没有多余的安全人员。

这些问题恰恰体现了漏洞平台的必要性。一方面,漏洞平台能够理解白帽子,包括对问题的描述,和它的危害程度;另一方面,它也可以协助厂商定位问题,配合修复bug,来保证整个系统的安全。

区块链下的安全需求

区块链方向的安全问题,与其他系统安全问题有很大不同。

平常我们经常见到的漏洞,像手机提权或者信息泄漏等,可能会造成你的隐私、照片被泄露。再严重一点,比如说手机里的支付宝、微信钱包的密码被泄露,就会造成金钱上的损失。不过,像支付宝和微信这种中心化的权威机构,还是有办法可以把你的钱找回来的。

但是在区块链中就是另外一种场景了。比如说你在交易所里面的密码被人改了,或是偷渡漏洞,你运行的一个全节点意外把控制接口绑定在0.0.0.0而不是localhost,那么别人只要扫到你这个host,而你刚好解锁了一个账户,他就可以把你账号的钱直接转走,这就跟钱直接丢了没什么两样。

而这种情况下,并没有中心化的机构可以提出申诉,也没有办法把你的钱找回来。所以说,区块链的这种场景中,由安全问题造成的危害极大,因此我们对安全也有着更高的需求。

据我们统计,截至18年6月止,针对数字资产的攻击,累计已超过一百次,直接造成经济损失高达三十三亿五千万美元。上千家交易所,流通数字货币超过一千六百种,其总值在三千五百亿左右。

我们分析,2017年安全事件的迅速增长,可能跟各种代币的价值提升,对应的交易所大量出现有关。进入2018年后,数字资产相关的安全事件也在以更夸张的速度增加。

而这种针对数字资产的安全事件,比如密码丢失、偷渡漏洞等,除了直接损失某些代币或是财产之外,还可能因此影响到市场的行情。比如说之前360找到EOS的史诗级漏洞并公开后,EOS代币价格随之瞬间暴跌。更经典的是四月份的美链事件,瞬间蒸发几个亿。这些都是这种安全事件的影响。

安全服务现状

区块链下到底有哪些安全需求呢?这里我们可以总结为以下四个方面:

  • 智能合约审计方面的安全需求
  • 公链项目代码安全审计的需求
  • 运行公链软件“节点”的加固需求
  • 节点渗透测试的需求

安全圈子就有一句话:攻击只需要一个点,防守你要做一个面。现在全球有超过一万个区块链项目,但是能够提供安全服务的公司还不到五十家。所以说,要想找到一个公司可以覆盖所有的攻击面,把整个防守做起来,其难度可想而知。

供需不平衡:一万多个区块链项目,却只有不到五十家公司能够提供安全服务;且每家公司擅长的点不同。

防守难度大:攻击可能涉及到的面非常广,所以防守时务必要做到非常全面的检测。攻击只需要一个点,防守你要做一个面。单一的公司来做这件事其实也是非常困难的。

服务单次性:这也是持续性的问题。安全公司给你提供的服务,或者说你购买的安全服务,往往都是单次性的,也就是说,它只帮你检测一次。比如说厂商要发布某一个版本代码,安全公司可以针对这版本做一次审计,做一次渗透测试,但并不能预测新的问题会出现在哪里,它可能是一个0day,没有人知道,但可能在一个月之后出现。等你知道的时候,已经被攻破了。所以这个持续性的问题,我们也希望能够通过漏洞平台来解决。

安全众测模式

刚刚我们铺垫了一下整个区块链中各种项目的安全需求,和对应安全服务提供方的情况。在目前整个生态里面正处于一个比较不平衡的状态。所以我们认为,其实区块链的项目非常适合一种模式,叫做安全众测模式

简单来说,这个模式其实就是把你的项目提交到一个平台上面悬赏漏洞,让全球的白帽子或者说是安全工程师、安全专家去找到问题,来获得对应的奖励。

首先它具有人数优势。在平台上会有很多人同时帮你测产品,相比单一公司的某个团队在人数上肯定具有优势。并且,因为他是一个并发的状态,全球的白帽可能都在这平台上,通过平台可以二十四小时多人同时帮你检查这些问题。不同的人擅长的点也不一样,平台上作出的漏洞报告覆盖的面就会很广

那对于厂商项目方来说它的好处是什么呢?

一是节省费用。在这种漏洞平台上基本不用花钱请人帮忙测试。因为测试本身是不用付钱的。而是要找到问题之后,才可能需要给予对应的奖励。

二是持续性。因为你可以长期悬赏你的某些产品,比如在某个网站,如果找到某个等级的漏洞,能够有多少的奖励,平台上的白帽将会长期监控这个网站。

这样的平台其实不是DVP发明的。像这种第三方众测平台,其实以前就有。国外比较有名的是HackerOne。国内也有补天,乌云这样的平台。

前面提到厂商可以通过这种悬赏,漏洞奖励计划,让自己的产品更加安全,这个也不是新的发明的。之前像facebook,microsoft,google,还有像以太坊,EOS这样的区块链项目其实也都使用这种悬赏的方式,让大家找到问题,然后给予奖励。

到这里我们就讲完了“众测平台”大体的一个概念,以及为什么我们说,尤其是区块链项目,特别需要这样的平台。

DVP平台

接下来我们介绍一下,DVP到底是一个什么样的东西。我们的DVP平台,到底跟以前的这种漏洞平台或者众测平台有什么不同呢?

目的

我们的DVP平台想要解决两个问题,一是匿名化的问题,二是奖励发放的问题。

因为很多白帽子其实并不愿意透露自己的个人信息。但是在传统的平台上,你可能会面临这样一个情况,比如说某个厂商要给你奖励,很有可能是法币。然后你总要提供某一个银行的账号,由此也可以追溯到你的个人信息。

但在区块链场景下,这个事情就很容易解决了。比如说,在我们DVP平台上,每一个白帽子就是一个地址。厂商给的奖励也可以用数字资产的方式直接发放。也就是说,白帽子可以做到匿名提交,并且这个奖励的授予也是以匿名方式进行的。

运作流程

这个平台的运作流程,大致可以分成五个阶段。

1. 厂商发布某个项目的悬赏标准和它对应的公钥。比如说找到什么等级的问题给多少奖金,这些需要先公告出来。

2. 白帽找到问题之后,提交漏洞信息,并使用厂商的公钥做加密(非对称加密)。所以包括漏洞细节,以及白帽子认定的漏洞级别等,都会以加密的方式提交给厂商。

3. 厂商再通过只有他拥有的私钥获得详情,进行漏洞判定。我们希望厂商能够自行判定,就可以直接以token的方式奖励白帽。

4. 这些奖励信息,也就是所有的转账记录我们都会直接公示在网上。可以直接用类似etherscan这样的浏览器看到所有信息。我们现在这个阶段,发放奖励的记录也是这样公示的。

5. 存在争议时,仲裁节点通过投票的方式做出裁定

平台组成

整个平台里面有一个很特别的点,也就是所谓的仲裁节点。我们现在的计划是,先由一些比较知名的安全公司来担任仲裁节点。比如这里面会有PeckShield,会有白帽汇,慢雾,知道创宇,360这些公司,来帮我们更有效的做出仲裁。

所以你可以理解为,整个DVP平台上有四个角色,一个是发现问题的白帽子,一个是悬赏项目的厂商,还有仲裁节点普通节点

我们要做到整个信息在链上是不可篡改的,就必然需要一些节点来帮我们完成这件事情,也就是打包这些信息上链。

打个比方,这些普通节点就好像以太坊里面的全节点。它可以接收附近的广播,然后写入并打包成块,假设他最终能够出块,也就能够上到以太坊的公链上。

产品规划

我们刚刚讲了一下DVP的概念,接下来会讲一下目前DVP平台的产品规划。

第一阶段

现在是在第一个阶段,也就是从18年7月(注:产品发布日期为7月24号)到明年的七月这段期间。这个阶段里面我们希望做出一个类似传统模式的中心化的平台,但是因为我们最终要以区块链的模式运行,所以我们现在只接收跟区块链相关的各种项目。

这个阶段的悬赏都是通过以太币ETH的形式。注册的白帽,就需要提供一个ETH的钱包地址来接收可能的奖赏,转账的记录都会在平台的网站上公示出来,也就是说,都是可以查的。

第二阶段

到明年7月的时候,我们会发布自己的主链。DVP平台会开始以去中心化的方式运营。首先是以非对称加密的模式,确保信息不会泄露。甚至我们平台方在很大的概率下可能都不知道这些漏洞的信息。

第三阶段

主链上线约半年之后,按计划是在2020年年初,我们希望整个漏洞平台可以接收所有的漏洞。希望DVP平台可以取代,比如说,HackerOne,成为一个更好的安全众测平台模式。这不管是对白帽也好,厂商也好,甚至对用户其实都会有很大的帮助。

我们希望任何项目都能够在这个平台上悬赏他们的产品,而且平台是以区块链的模式运营

截至到前天(8月7号)晚上为止,我们总共收到588个漏洞,其中有207个是高危漏洞,115个中危漏洞,266个低危漏洞。里面涉及的项目包括智能合约,知名的公链,还有很大一部分都是来自交易所,共计307家厂商。

我们目前已经发了188个ETH作为奖金,这些漏洞的分布,有44%——将近一半都是设计上的缺陷,逻辑错误等。

奖励机制

我们会以代币的方式,来实现厂商对白帽的奖励。

目前我们使用的是DVP平台币。厂商在入驻平台前,要先存入五万美金等值的平台币作为保证金。通过这个平台币来实现给白帽的奖励。

值得说明的是,对于每一笔支付给白帽的DVP,我们将从中收回10%形成基金,然后在每个自然月的最后一天零点进行结算。其中,该基金的80%将回馈给所有DVP的注册用户,也就是白帽。另外的20%会再次奖励当月的Top100白帽用户。我们目的其实很简单,就是希望更多的白帽来参与这个平台。

这样我们就保证了整个基金的透明化。其实现在在DVP平台的网站上也能看到我们的奖励各自对应到的漏洞,对应的白帽ID。这些钱包地址都是公开的。

Q&A环节:

郭文生 | 成都链安科技:报的第三方的漏洞,如何联系对方并保证漏洞在联系过程中对网站保密?

吴家志:我们讲到我们的这个DVP平台其实是分成三个发展的阶段。

第一个阶段是做一个中心化的平台。在这个阶段之内,其实是类似于以前的补天平台。也就是说,还是通过中心化的一群运营人员去审核这些问题,然后再通知厂商。

到了第二个阶段,也就是明年的这时候,我们会以区块链的方式来运营这个平台。简单来说,厂商在入驻平台的时候,我们会审核他的真实性,再给他一对加密的公钥跟私钥,也就是使用非对称加密的方式。

然后白帽子会用使用厂商的公钥把漏洞信息做加密。加密完之后,这些信息就会上到公链上去。

所以上到公链的信息,第一要保证他是不可篡改的。并且由于这种非对称加密,只有厂商可以用它的私钥去把这个信息解开。也就是说,厂商是唯一能够得到这个信息的人。我们就是通过这种机制来保证漏洞在联系的过程中对网站、对DVP平台是保密的。

郭文生 | 成都链安科技:谁来判断是否是真的漏洞或者是高危的级别?

吴家志:在第一个阶段,我们平台方当然还是会加入去判断。到了第二个阶段的话,我们希望厂商跟白帽之间可以直接达成一个协议,让他们自己评定是什么样的级别,只要双方同意就OK了。

而出现争议的时候,我们会引入一个仲裁机制。也就是说,在我们DVP最终公链上面,会有多个仲裁节点,例如是一百个仲裁节点,然后在出现争议的时候会由厂商提交仲裁的需求,然后仲裁节点以投票的方式来决定仲裁的结果。

我们觉得这是一个区块链应有的一种运作方式。所以我们不会说某一个仲裁节点或者厂商能够判定这个漏洞的真伪。这种比较有争议的事,实际上会以投票机制来做。

郭文生 | 成都链安科技:系统全面安全审计如何保证?

吴家志:这个事情我觉得是很难保证的。因为你只能长期悬赏某一个项目,在这个平台上,如果你能持续提供奖金的话,那也持续会有人来帮你检测问题、提交漏洞报告,但要说“保证”,其实我觉得是很困难的。

王启泽|启明星辰|秘书:DVP如何做到漏洞不被泄漏?

吴家志:这个问题刚刚我们讲过。以现在这个阶段,其实我们是做不到的,因为我们现在还是一个中心化的平台。所以必然会有一群人在平台运营方要审核这些漏洞——既然是人,所以还是有泄露的可能性

到了第二个阶段,也就是非对称加密后上链的这种机制,我们才可以确保这些漏洞不会泄露。

这个快讯是我们刚才弄好的,是我们最近收到的一些比较通用型的漏洞,会涉及到好多的交易所。我们知道很多交易所代码是来自同样的厂商,所以会变成一个通杀的漏洞。

王启泽|启明星辰|秘书:白帽子的奖金会不会随着币值波动而波动?

吴家志:对。白帽的奖金确实会随着币值波动而波动。毕竟这个DVP的平台币是会上交易所的,所以它会根据市场的行情有所波动。

郭文生 | 成都链安科技:为什么不直接使用以太坊做个DAPP解决这个问题呢?

吴家志:这个问题问的很好。我们其实现在还在这个DVP公链的设计阶段。确实也有可能直接复用现有的公链机制来做。

郭文生 | 成都链安科技:直接用ETH付费?

吴家志:对,但是ETH其实也存在市场波动的问题,所以应该这个问题是解决不了。(笑)

Heige | knownsec:漏洞评估怎么去中心化?

吴家志:在DVP的公链上,白帽跟厂商之间的协调存在争议时,会提交仲裁。仲裁节点可能是几十甚至上百家这种安全公司,可以提交他们的仲裁结果,最终会形成一个共识,来完成这个评估。

Heige | knownsec:厂商很多时候没有能力。

郭文生 | 成都链安科技:相当于DVP建立了一个白帽和厂家之间的V**:)

吴家志:对,所以这些仲裁节点,我们可能会请安全公司来担任,来协助这些厂商。如果他没有能力的话,也直接可以提出仲裁。

Heige | knownsec:仲裁,也是中心化。

郭文生 | 成都链安科技:可以把所有安全公司加入到这个平台,但主要是激励问题:)

吴家志:对。其实我们有在设计这种经济模型。因为仲裁节点也要付出他的心血去做,去看这些报告,然后才能做出仲裁,所以我们会有一个经济模型去奖励这些仲裁节点

郭文生 | 成都链安科技:激励少了,仲裁节点收益少是个问题:)

Heige | knownsec:不是奖励,而是要考虑风险。这个还是中心化,跟去中心化还是背离的。

王启泽|启明星辰|秘书:仲裁节点看报告也可能会泄漏问题。

郭文生 | 成都链安科技:大量的假漏洞报告,浪费厂家或仲裁节点的精力,是否给激励?

吴家志:确实是个问题,我们后面会把这些问题考虑进去。

Heige | knownsec:原则上,你的仲裁节点越多,风险越大。

吴家志:是的,从信息泄漏的角度可以这样理解。

Heige | knownsec:节点越多、风险越大,这个跟去中心化是一个悖论。

吴家志:我相信厂商的能力也能慢慢起來的,仲裁的情況能够少一点。或许厂商担心信息泄露,那也可能就不入驻平台了。用脚选择,也是有可能的。

郭文生 | 成都链安科技:先找公司做全面审计,然后利用DVP做补充和持续漏洞发现,还是可以考虑的,然后厂家发现漏洞后找审计公司进行评估。

Heige | knownsec:厂商能力ok,评估的标准是不一样的,怎么实现大家对“矿”的价值认定?

吴家志:是的。成熟的项目方肯定会先做一轮审计的。

郭文生 | 成都链安科技:个人觉得单纯靠一种方案解决所有问题肯定是不现实的。

吴家志:那是厂商跟白帽之间的协议。

Heige | knownsec:漏洞及矿,这个概念最大的问题,是怎么确认你的矿,及你矿的价值?

吴家志:我们当然也会提供一些参考价格。

Heige | knownsec:各家评判,没有唯一的共识标准。

吴家志:确实是,我们只提供通道,让他们协调。这方面我想做一个反馈机制进去,例如存在某个厂商对于漏洞的评价偏离平均值太多,直接提交仲裁。

郭文生 | 成都链安科技:完全去中心和中心化现在大家实际上都没有想好,很多都是需要根据实际情况进行折中的:)

吴家志:这方面确实还没设计好。

本文分享自微信公众号 - 区块链大本营(blockchain_camp)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-08-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 虎口夺食! 打破Facebook谷歌垄断, MIT大神和他的区块链数据库传奇! |人物志

    Bruce Pon,坐标德国柏林。BigchainDB联合创始人、CEO,区块链早期创业者之一。

    区块链大本营
  • 吴忌寒入选福布斯2019最年轻亿万富豪榜;黑客已将价值近千万EOS偷跑 | 1分钟链圈

    【开发零知识证明公司 StarkWare 推出可替代闪电网络的支付技术「StarkPay」】

    区块链大本营
  • 媒体巨头进军区块链!纽约时报将用区块链技术打击假新闻

    在这个信息爆炸的时代,除了官媒外,还有许多无良媒体、无章法的自媒体总是想方设法吸引人们眼球,群众企图听到真实的声音居然是件不容易的事情,假新闻的危害性也愈加显著...

    区块链大本营
  • 恪守区块链技术开发专业化 先达区块链立身行业规范

    区块链技术开发的热潮持续到2018年,各界人群已对此有了更深的了解!很多人都想通过区块链技术开发市场,希望谋求新的“生存之道”!但是寻找多家公司后,面对开发资质...

    区块链开发先驱者
  • 如何学习区块链

    Tiny熊
  • 区块链技术开发良好基础 先达区块链推进优质服务

    区块链技术开发随着业界呼声一浪高过一浪,参与其中的做事业的人也越来越多!在这个热点技术领域,很多人都想通过区块链技术切入市场谋求价值利益。但市面诸多开发公司实力...

    区块链开发先驱者
  • 你通过区块链获得免费的东西

    在过去的一年中,我遇到了很多区块链'概念证明',它们考虑了现有的商业想法或挑战,并将特定的技术设计(区块链)应用于解决方案。通常的问题/解决方案决策过程已经开始...

    天空
  • DATUM和BigchainDB

    2017年12月14日OKEx上线DAT币。该币的官方网站是datum.org。通过阅读其白皮书,发现该币的技术实现依赖一个叫做BigchainDB的技术,号称...

    企鹅号小编
  • 1分钟链圈 | 吴忌寒:“人工智能+区块链”将是未来不可错过的重要发展方向

    这里是 9 月 11 日的每日1句话新闻晚报,只需1分钟,看看全球最热、最新的区块链新闻。

    区块链大本营
  • 斯坦福领跑全球区块链教育,文科生比理科生更有兴趣学习

    2014年,纽约大学斯特恩商学院金融学系主任 David Yermack 首次开设区块链和金融服务课程时,仅仅有35名学生报名,比校内其他选修课平均报名人数还少...

    区块链大本营

扫码关注云+社区

领取腾讯云代金券