“漏洞即挖矿”上线3天 收到漏洞150个交易所漏洞占超60％

文/范芊芊 来源/PANews

截止7月27日，由区块链安全公司BCSEC与PeckShield共同发起的，首创“漏洞即挖矿”的去中心化平台DVP上线仅3天，共收到白帽子提交漏洞达150个。这些漏洞涉及数百家与区块链行业相关的厂商，其中与交易所相关的漏洞数量占比超60%。

漏洞具体集中在设计缺陷、访问控制缺陷、身份凭证窃取、跨站请求伪造、敏感信息泄露等方面。其中包含有一些通用性的设计缺陷，譬如一部分交易所存在可将任意用户密码被攻击者修改的漏洞，还有一些漏洞甚至可以造成整个网站用户的详细信息泄露，给用户资产带来极大的安全隐患。

DVP平台CSO邓焕指出 ，目前我们在积极联系相关交易所厂商，通报漏洞详情，这里也呼吁更多相关的厂商联系DVP平台认领漏洞，并及时做修复处理。

7月24日，BCSEC与PeckShield(派盾)共同研发的全球第一家去中心化匿名众测平台-DVP上线。该平台意在利用区块链技术，建立匿名化的安全众测社区场景，打造去中心化、漏洞即挖矿的平台概念，致力于解决区块链企业安全危机，将连结区块链厂商、安全公司和白帽子等社区参与者，最大化减少漏洞暴露风险，共筑区块链生态安全。

据介绍，DVP平台中还包含面向区块链厂商与白帽子的自动悬赏支付系统。“漏洞即挖矿。”邓焕介绍，厂商需指定安全审计的资产范围和悬赏标准，并将押金存入合约;白帽子在DVP平台可以提交区块链相关漏洞及威胁情报，并随时查看漏洞审核及认领进度，被采用后即可获得相应的奖励。为确保整个流程的公正性，DVP平台会将漏洞信息进行公钥加密，区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。

PeckShield(派盾)是面向全球的业内顶尖区块链安全团队，由前360首席科学家、美国北卡州立大学终身教授蒋旭宪博士创办，团队核心成员为海归博士及清华博士，过去在移动安全方面有深厚的积累，先是2012年，率先进行了全球第一个智能手机上的恶意软件基因组研究，目前该研究成果已被全球超过500所的科研机构和知名跨国公司采用。此后又于2014年首次发现了特斯拉汽车的应用程序安全漏洞。成立PeckShield以来，今年上半年因连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞，而广受业内关注。

BCSEC核心创始团队来自于白帽汇安全研究院，拥有行业最大的漏洞平台创办和运营经验，目前已汇聚了数万名白帽子共同守护行业安全。该团队关注和研究最前沿的漏洞以及相关安全情报资讯,可为区块链社区安全运营提供预警,并持续为区块链安全生态提供行业领先的技术解决方案，目前已对数字钱包、交易所、矿池、智能合约等多个应用场景有深厚研究积累。