BYSEC.IO—打响区块链安全反击战的第一枪

在正式开始文章之前先与大家一起回顾一下门头沟事件：

2014年2月，当时全球最大的比特币交易所——MT.Gox，在网站页面宣称停止交易随后即申请破产，称其因被黑客攻击而导致失窃价值约为3.5亿美金的比特币。虽然交易所对外宣称是黑客攻击，但是迄今为止，也没有查到明确的失窃原因，大量用户也未得到应有的赔偿。

再看看近两年，交易所被盗的数据：

根据区块链安全公司CipherTrace最近的一份报告称，仅在2018年上半年，黑客就窃取了价值7.31亿美元（约合人民币48亿元）的加密货币。

2018年2月，意大利加密货币交易所BitGrail宣布其价值1.7亿美元的Nano币被盗，BitGrail创始人拒绝赔偿用户损失。

2018年1月，日本最大的比特币交易所之一Coincheck遭黑客攻击，丢失了价值5亿美元的加密货币。

2017年12月，斯洛文尼亚加密挖矿网站 Nicehash被盗约4700个比特币,价值约6200万美元。

2017年6月，韩国最大交易所Bithumb被盗数十亿韩元，三万用户信息被泄露。

...

...

...

Fcoin合伙人张健在回应安全问题时说，“交易所安全首先是严谨的流程，其次就是对数字资产深刻的理解。很遗憾的是，目前很多从业者，不具备这样的经验。”

对近年发生的区块链安全事件手法的发展做一总结，不难发现，区块链安全攻击已经从单纯的技术层面延申到战略层面，其中不乏段位高、手法高明，头脑又灵光的黑客，常会利用一些金融等外围手段或模式蛊惑市场，等市场意识到时为时已晚。因此，在这个层面讲及时且准确的行业安全预警比第一时间的安全事件应急更为重要，等到后院着火再去救火，早就凉凉了。

区块链作为继互联网之后下一个风口，安全性威胁是其迄今所面临的最重要的问题之一，从底层安全技术研究曝光，到如今越来越多的虚拟货币被盗，交易所被攻击等，可以预见的是随着区块链技术所产生的价值越来越高，所遭受的攻击势必会持续增加。

BYSEC.IO—首家基于区块链⽣态的信息安全社区，由此应运而生。让我们扒开项目的白皮书，仔细研读一下吧！BYSEC.IO采用了自治型社区的架构，由自愿加入平台的白帽黑客安全专家，自发去搜寻并挖掘市面上各种项目的漏洞，但与黑客不同是，之后他们会将挖掘到的漏洞提交给项目方，帮助项目方排除安全隐患而非利用漏洞谋取不正当的利益。上线至今，BYSEC.IO已稳定运行2个月，有一千多位白帽黑客专家入驻，其中包括了守链安全、墨眉科技等知名的安全团队，OKEX、Bit-Z、金色财经等行业翘楚也纷纷向BYSEC.IO抛出了橄榄枝，听起来是不是很酷呢？

那么这么狂拽炫酷的项目，与传统安全厂商相比，又有什么特色和优势呢？

它是一个集成了漏洞平台、漏洞披露、漏洞信息保护、 行业名片、项目评级等功能的漏洞挖掘激励系统。

首先作为一个漏洞平台，它采用封闭式注册的机制，安全人员必须提交至少一个有效的区块链项目漏洞才能成功入驻BYSEC.IO社区。社区委员会将对项目漏洞进行评审，确定漏洞危害等级，并联系有关项目方认领漏洞。社区将引入的通证激励机制，漏洞通过审核后，提交者会获得对应的Token奖励。此外需要注意的是BYSEC.IO本身

是个公益社区，在帮助项目方认领漏洞的过程中，不会主动向项目方收取费用。

其次，它是一个漏洞披露平台，为避免漏洞无人认领或者项目方消极应对，社区设计了一套机制，高危漏洞在提交后的10天内，中危漏洞在提交后的45天内，项目方仍然没有认领和处理，就会触发平台的安全红线。社区将对这些漏洞进行脱敏处理，在评估其潜在危害程度后将漏洞信息以安全快讯的形式发送给行业媒体，通过各媒体将危害预警发布到全网，以减小可能造成的损失。

另一方面，社区在发挥其漏洞披露功能同时也十分注重漏洞信息的保护，社区将对漏洞数据进行等级保护，对用户使用和应用展示进行严格的授权控制，禁⽌展示机密信息及未脱敏信息。对于需展示信息的场景采用防爬虫安全保护技术，阻断爬虫对敏感信息的爬取。 另外，社区还将采用256位SSL的加密技术对敏感漏洞信息进⾏加密，确保其免受未经授权访问的威胁。

第三，BYSEC.IO社区还将作为一个安全专家评级平台，依据安全专家、安全团队和区块链项目方在社区内的行为表现，以社区独创的行为加权算法，从多个维度对每个安全专家进行评估和量化，为每位社区成员制作“区块链行业名片”。社区将为所有的项目方提供智能安全量化分析，精确匹配安全专家和安全团队，提供最佳的安全服务方案。

第四，BYSEC.IO社区也是一个项目评级平台，将会定期发起针对区块链项目的测评活动。 由持有社区Token的用户投票选择要测评的区块链项目，社区委员会邀请社区内的安全专家和安全团队，或独立的第三方安全团队来对项目进行测评。每期测评活动结束，将由社区委员会发布测评报告。整个测评过程将受到同样由持有社区Token的用户选举产生的第三⽅机构的监督，保证项目评级的可信度。

第五，BYSEC.IO社区是一个安全媒体联盟平台，将组建一个安全媒体联盟，由100多家行业 内外媒体成员组成，联盟的定位是做区块链安全生态的代⾔人，成为区块链⾏业威胁情报最重要的出口。

总结一下，BYSEC.IO—首家基于区块链⽣态的信息安全社区，最终将通过引入共识激励机制，充分调动社区协作的力量，通力把BYSEC.IO社区打造成区块链第一安全品牌，实现安全专家和项目方合作共赢的良性循环。围绕BYSEC.IO社区的核心功能，社区还将着力建设一个多元化的社区生态，让更多的普通用户也能参与到社区生态中来，真的是十分值得期待呢！

社区官网：https://bysec.io