什么是DVP？一文告诉你如何应对区块链安全危机

存在安全隐患的区块链生态自然成为黑客眼中的香饽饽，近年来，一系列安全事件层出不穷，波及范围和资产损失数额也不断增加。区块链行业的安全问题也愈发引人注目。

DVP，全称Decentralized Vulnerability Platform(去中心化漏洞平台)，作为全球第一家去中心化匿名众测平台，连结区块链厂商、安全公司和白帽子等社区参与者，共筑区块链生态安全。

8月9日晚，PeckShield研发副总吴家志在区块链大本营安全分会群中，为大家分享了一些DVP相关技术知识。

PeckShield研发副总 吴家志

吴家志，美国北卡州立大学计算机博士；PeckShield研发副总；原360 C0RE Team创始成员，并担任团队负责人；原360超级ROOT产品负责人；内核安全专家。曾发现多个有重大影响的安全漏洞，多次荣获谷歌、高通、华为等厂商致谢；目前专注于区块链智能合约安全以及数据分析。

以下内容为吴家志在安全分会群中的语音分享实录，由区块链大本营整理发布，有删改。希望对你有所启发。

责编 | 韩依依

我从2013年开始研究安全相关的问题，主要面向安卓手机系统，至今已经给厂商曝过上百个跟安卓相关的漏洞。这其中我们碰到过不少问题，比如说，有一些手机厂商可能根本联系不上，也可能厂商并不觉得这是一个安全问题，或者他不了解你描述的问题、不知道怎么去修，也可能没有多余的安全人员。

这些问题恰恰体现了漏洞平台的必要性。一方面，漏洞平台能够理解白帽子，包括对问题的描述，和它的危害程度；另一方面，它也可以协助厂商定位问题，配合修复bug，来保证整个系统的安全。

区块链下的安全需求

区块链方向的安全问题，与其他系统安全问题有很大不同。

平常我们经常见到的漏洞，像手机提权或者信息泄漏等，可能会造成你的隐私、照片被泄露。再严重一点，比如说手机里的支付宝、微信钱包的密码被泄露，就会造成金钱上的损失。不过，像支付宝和微信这种中心化的权威机构，还是有办法可以把你的钱找回来的。

但是在区块链中就是另外一种场景了。比如说你在交易所里面的密码被人改了，或是偷渡漏洞，你运行的一个全节点意外把控制接口绑定在0.0.0.0而不是localhost，那么别人只要扫到你这个host，而你刚好解锁了一个账户，他就可以把你账号的钱直接转走，这就跟钱直接丢了没什么两样。

而这种情况下，并没有中心化的机构可以提出申诉，也没有办法把你的钱找回来。所以说，区块链的这种场景中，由安全问题造成的危害极大，因此我们对安全也有着更高的需求。

据我们统计，截至18年6月止，针对数字资产的攻击，累计已超过一百次，直接造成经济损失高达三十三亿五千万美元。上千家交易所，流通数字货币超过一千六百种，其总值在三千五百亿左右。

我们分析，2017年安全事件的迅速增长，可能跟各种代币的价值提升，对应的交易所大量出现有关。进入2018年后，数字资产相关的安全事件也在以更夸张的速度增加。

而这种针对数字资产的安全事件，比如密码丢失、偷渡漏洞等，除了直接损失某些代币或是财产之外，还可能因此影响到市场的行情。比如说之前360找到EOS的史诗级漏洞并公开后，EOS代币价格随之瞬间暴跌。更经典的是四月份的美链事件，瞬间蒸发几个亿。这些都是这种安全事件的影响。

安全服务现状

区块链下到底有哪些安全需求呢？这里我们可以总结为以下四个方面：

• 智能合约审计方面的安全需求
• 公链项目代码安全审计的需求
• 运行公链软件“节点”的加固需求
• 节点渗透测试的需求

安全圈子就有一句话：攻击只需要一个点，防守你要做一个面。现在全球有超过一万个区块链项目，但是能够提供安全服务的公司还不到五十家。所以说，要想找到一个公司可以覆盖所有的攻击面，把整个防守做起来，其难度可想而知。

供需不平衡：一万多个区块链项目，却只有不到五十家公司能够提供安全服务；且每家公司擅长的点不同。

防守难度大：攻击可能涉及到的面非常广，所以防守时务必要做到非常全面的检测。攻击只需要一个点，防守你要做一个面。单一的公司来做这件事其实也是非常困难的。

服务单次性：这也是持续性的问题。安全公司给你提供的服务，或者说你购买的安全服务，往往都是单次性的，也就是说，它只帮你检测一次。比如说厂商要发布某一个版本代码，安全公司可以针对这版本做一次审计，做一次渗透测试，但并不能预测新的问题会出现在哪里，它可能是一个0day，没有人知道，但可能在一个月之后出现。等你知道的时候，已经被攻破了。所以这个持续性的问题，我们也希望能够通过漏洞平台来解决。

安全众测模式

刚刚我们铺垫了一下整个区块链中各种项目的安全需求，和对应安全服务提供方的情况。在目前整个生态里面正处于一个比较不平衡的状态。所以我们认为，其实区块链的项目非常适合一种模式，叫做安全众测模式。

简单来说，这个模式其实就是把你的项目提交到一个平台上面悬赏漏洞，让全球的白帽子或者说是安全工程师、安全专家去找到问题，来获得对应的奖励。

首先它具有人数优势。在平台上会有很多人同时帮你测产品，相比单一公司的某个团队在人数上肯定具有优势。并且，因为他是一个并发的状态，全球的白帽可能都在这平台上，通过平台可以二十四小时多人同时帮你检查这些问题。不同的人擅长的点也不一样，平台上作出的漏洞报告覆盖的面就会很广。

那对于厂商项目方来说它的好处是什么呢？

一是节省费用。在这种漏洞平台上基本不用花钱请人帮忙测试。因为测试本身是不用付钱的。而是要找到问题之后，才可能需要给予对应的奖励。

二是持续性。因为你可以长期悬赏你的某些产品，比如在某个网站，如果找到某个等级的漏洞，能够有多少的奖励，平台上的白帽将会长期监控这个网站。

这样的平台其实不是DVP发明的。像这种第三方众测平台，其实以前就有。国外比较有名的是HackerOne。国内也有补天，乌云这样的平台。

前面提到厂商可以通过这种悬赏，漏洞奖励计划，让自己的产品更加安全，这个也不是新的发明的。之前像facebook，microsoft，google，还有像以太坊，EOS这样的区块链项目其实也都使用这种悬赏的方式，让大家找到问题，然后给予奖励。

到这里我们就讲完了“众测平台”大体的一个概念，以及为什么我们说，尤其是区块链项目，特别需要这样的平台。

DVP平台

接下来我们介绍一下，DVP到底是一个什么样的东西。我们的DVP平台，到底跟以前的这种漏洞平台或者众测平台有什么不同呢？

目的

我们的DVP平台想要解决两个问题，一是匿名化的问题，二是奖励发放的问题。

因为很多白帽子其实并不愿意透露自己的个人信息。但是在传统的平台上，你可能会面临这样一个情况，比如说某个厂商要给你奖励，很有可能是法币。然后你总要提供某一个银行的账号，由此也可以追溯到你的个人信息。

但在区块链场景下，这个事情就很容易解决了。比如说，在我们DVP平台上，每一个白帽子就是一个地址。厂商给的奖励也可以用数字资产的方式直接发放。也就是说，白帽子可以做到匿名提交，并且这个奖励的授予也是以匿名方式进行的。

运作流程

这个平台的运作流程，大致可以分成五个阶段。

1. 厂商发布某个项目的悬赏标准和它对应的公钥。比如说找到什么等级的问题给多少奖金，这些需要先公告出来。

2. 白帽找到问题之后，提交漏洞信息，并使用厂商的公钥做加密（非对称加密）。所以包括漏洞细节，以及白帽子认定的漏洞级别等，都会以加密的方式提交给厂商。

3. 厂商再通过只有他拥有的私钥获得详情，进行漏洞判定。我们希望厂商能够自行判定，就可以直接以token的方式奖励白帽。

4. 这些奖励信息，也就是所有的转账记录我们都会直接公示在网上。可以直接用类似etherscan这样的浏览器看到所有信息。我们现在这个阶段，发放奖励的记录也是这样公示的。

5. 存在争议时，仲裁节点通过投票的方式做出裁定。

平台组成

整个平台里面有一个很特别的点，也就是所谓的仲裁节点。我们现在的计划是，先由一些比较知名的安全公司来担任仲裁节点。比如这里面会有PeckShield，会有白帽汇，慢雾，知道创宇，360这些公司，来帮我们更有效的做出仲裁。

所以你可以理解为，整个DVP平台上有四个角色，一个是发现问题的白帽子，一个是悬赏项目的厂商，还有仲裁节点和普通节点。

我们要做到整个信息在链上是不可篡改的，就必然需要一些节点来帮我们完成这件事情，也就是打包这些信息上链。

打个比方，这些普通节点就好像以太坊里面的全节点。它可以接收附近的广播，然后写入并打包成块，假设他最终能够出块，也就能够上到以太坊的公链上。

产品规划

我们刚刚讲了一下DVP的概念，接下来会讲一下目前DVP平台的产品规划。

第一阶段

现在是在第一个阶段，也就是从18年7月（注：产品发布日期为7月24号）到明年的七月这段期间。这个阶段里面我们希望做出一个类似传统模式的中心化的平台，但是因为我们最终要以区块链的模式运行，所以我们现在只接收跟区块链相关的各种项目。

这个阶段的悬赏都是通过以太币ETH的形式。注册的白帽，就需要提供一个ETH的钱包地址来接收可能的奖赏，转账的记录都会在平台的网站上公示出来，也就是说，都是可以查的。

第二阶段

到明年7月的时候，我们会发布自己的主链。DVP平台会开始以去中心化的方式运营。首先是以非对称加密的模式，确保信息不会泄露。甚至我们平台方在很大的概率下可能都不知道这些漏洞的信息。

第三阶段

主链上线约半年之后，按计划是在2020年年初，我们希望整个漏洞平台可以接收所有的漏洞。希望DVP平台可以取代，比如说，HackerOne，成为一个更好的安全众测平台模式。这不管是对白帽也好，厂商也好，甚至对用户其实都会有很大的帮助。

我们希望任何项目都能够在这个平台上悬赏他们的产品，而且平台是以区块链的模式运营。

截至到前天（8月7号）晚上为止，我们总共收到588个漏洞，其中有207个是高危漏洞，115个中危漏洞，266个低危漏洞。里面涉及的项目包括智能合约，知名的公链，还有很大一部分都是来自交易所，共计307家厂商。

我们目前已经发了188个ETH作为奖金，这些漏洞的分布，有44%——将近一半都是设计上的缺陷，逻辑错误等。

奖励机制

我们会以代币的方式，来实现厂商对白帽的奖励。

目前我们使用的是DVP平台币。厂商在入驻平台前，要先存入五万美金等值的平台币作为保证金。通过这个平台币来实现给白帽的奖励。

值得说明的是，对于每一笔支付给白帽的DVP，我们将从中收回10%形成基金，然后在每个自然月的最后一天零点进行结算。其中，该基金的80%将回馈给所有DVP的注册用户，也就是白帽。另外的20%会再次奖励当月的Top100白帽用户。我们目的其实很简单，就是希望更多的白帽来参与这个平台。

这样我们就保证了整个基金的透明化。其实现在在DVP平台的网站上也能看到我们的奖励各自对应到的漏洞，对应的白帽ID。这些钱包地址都是公开的。

Q&A环节：

郭文生 | 成都链安科技：报的第三方的漏洞，如何联系对方并保证漏洞在联系过程中对网站保密？

吴家志：我们讲到我们的这个DVP平台其实是分成三个发展的阶段。

第一个阶段是做一个中心化的平台。在这个阶段之内，其实是类似于以前的补天平台。也就是说，还是通过中心化的一群运营人员去审核这些问题，然后再通知厂商。

到了第二个阶段，也就是明年的这时候，我们会以区块链的方式来运营这个平台。简单来说，厂商在入驻平台的时候，我们会审核他的真实性，再给他一对加密的公钥跟私钥，也就是使用非对称加密的方式。

然后白帽子会用使用厂商的公钥把漏洞信息做加密。加密完之后，这些信息就会上到公链上去。

所以上到公链的信息，第一要保证他是不可篡改的。并且由于这种非对称加密，只有厂商可以用它的私钥去把这个信息解开。也就是说，厂商是唯一能够得到这个信息的人。我们就是通过这种机制来保证漏洞在联系的过程中对网站、对DVP平台是保密的。

郭文生 | 成都链安科技：谁来判断是否是真的漏洞或者是高危的级别？

吴家志：在第一个阶段，我们平台方当然还是会加入去判断。到了第二个阶段的话，我们希望厂商跟白帽之间可以直接达成一个协议，让他们自己评定是什么样的级别，只要双方同意就OK了。

而出现争议的时候，我们会引入一个仲裁机制。也就是说，在我们DVP最终公链上面，会有多个仲裁节点，例如是一百个仲裁节点，然后在出现争议的时候会由厂商提交仲裁的需求，然后仲裁节点以投票的方式来决定仲裁的结果。

我们觉得这是一个区块链应有的一种运作方式。所以我们不会说某一个仲裁节点或者厂商能够判定这个漏洞的真伪。这种比较有争议的事，实际上会以投票机制来做。

郭文生 | 成都链安科技：系统全面安全审计如何保证？

吴家志：这个事情我觉得是很难保证的。因为你只能长期悬赏某一个项目，在这个平台上，如果你能持续提供奖金的话，那也持续会有人来帮你检测问题、提交漏洞报告，但要说“保证”，其实我觉得是很困难的。

王启泽|启明星辰|秘书：DVP如何做到漏洞不被泄漏?

吴家志：这个问题刚刚我们讲过。以现在这个阶段，其实我们是做不到的，因为我们现在还是一个中心化的平台。所以必然会有一群人在平台运营方要审核这些漏洞——既然是人，所以还是有泄露的可能性。

到了第二个阶段，也就是非对称加密后上链的这种机制，我们才可以确保这些漏洞不会泄露。

这个快讯是我们刚才弄好的，是我们最近收到的一些比较通用型的漏洞，会涉及到好多的交易所。我们知道很多交易所代码是来自同样的厂商，所以会变成一个通杀的漏洞。

王启泽|启明星辰|秘书：白帽子的奖金会不会随着币值波动而波动？

吴家志：对。白帽的奖金确实会随着币值波动而波动。毕竟这个DVP的平台币是会上交易所的，所以它会根据市场的行情有所波动。

郭文生 | 成都链安科技：为什么不直接使用以太坊做个DAPP解决这个问题呢？

吴家志：这个问题问的很好。我们其实现在还在这个DVP公链的设计阶段。确实也有可能直接复用现有的公链机制来做。

郭文生 | 成都链安科技：直接用ETH付费？

吴家志：对，但是ETH其实也存在市场波动的问题，所以应该这个问题是解决不了。（笑）

Heige | knownsec：漏洞评估怎么去中心化？

吴家志：在DVP的公链上，白帽跟厂商之间的协调存在争议时，会提交仲裁。仲裁节点可能是几十甚至上百家这种安全公司，可以提交他们的仲裁结果，最终会形成一个共识，来完成这个评估。

Heige | knownsec：厂商很多时候没有能力。

郭文生 | 成都链安科技：相当于DVP建立了一个白帽和厂家之间的V**：）

吴家志：对，所以这些仲裁节点，我们可能会请安全公司来担任，来协助这些厂商。如果他没有能力的话，也直接可以提出仲裁。

Heige | knownsec：仲裁，也是中心化。

郭文生 | 成都链安科技：可以把所有安全公司加入到这个平台，但主要是激励问题：）

吴家志：对。其实我们有在设计这种经济模型。因为仲裁节点也要付出他的心血去做，去看这些报告，然后才能做出仲裁，所以我们会有一个经济模型去奖励这些仲裁节点。

郭文生 | 成都链安科技：激励少了，仲裁节点收益少是个问题：）

Heige | knownsec：不是奖励，而是要考虑风险。这个还是中心化，跟去中心化还是背离的。

王启泽|启明星辰|秘书：仲裁节点看报告也可能会泄漏问题。

郭文生 | 成都链安科技：大量的假漏洞报告，浪费厂家或仲裁节点的精力，是否给激励？

吴家志：确实是个问题，我们后面会把这些问题考虑进去。

Heige | knownsec：原则上，你的仲裁节点越多，风险越大。

吴家志：是的，从信息泄漏的角度可以这样理解。

Heige | knownsec：节点越多、风险越大，这个跟去中心化是一个悖论。

吴家志：我相信厂商的能力也能慢慢起來的，仲裁的情況能够少一点。或许厂商担心信息泄露，那也可能就不入驻平台了。用脚选择，也是有可能的。

郭文生 | 成都链安科技：先找公司做全面审计，然后利用DVP做补充和持续漏洞发现，还是可以考虑的，然后厂家发现漏洞后找审计公司进行评估。

Heige | knownsec：厂商能力ok，评估的标准是不一样的，怎么实现大家对“矿”的价值认定？

吴家志：是的。成熟的项目方肯定会先做一轮审计的。

郭文生 | 成都链安科技：个人觉得单纯靠一种方案解决所有问题肯定是不现实的。

吴家志：那是厂商跟白帽之间的协议。

Heige | knownsec：漏洞及矿，这个概念最大的问题，是怎么确认你的矿，及你矿的价值？

吴家志：我们当然也会提供一些参考价格。

Heige | knownsec：各家评判，没有唯一的共识标准。

吴家志：确实是，我们只提供通道，让他们协调。这方面我想做一个反馈机制进去，例如存在某个厂商对于漏洞的评价偏离平均值太多，直接提交仲裁。

郭文生 | 成都链安科技：完全去中心和中心化现在大家实际上都没有想好，很多都是需要根据实际情况进行折中的：）

吴家志：这方面确实还没设计好。