7天收到312个漏洞,涉及175个项目方,DVP开启区块链漏洞围剿计划
同互联网一样,区块链是开放而不是封闭的,主打安全的区块链技术是相对的而不是绝对的,区块链安全是共同的而不是孤立的。
8月1日,由区块链安全公司BCSEC与PeckShield共同发起——去中心化漏洞平台DVP(https://dvpnet.io/)召开“安全链接计划”发布会,于7月24日正式上线的DVP平台,上线首周已收到白帽子所提供的312个漏洞,涉及175个项目方。
DVP全称Decentralized Vulnerability Platform(去中心化漏洞平台)意在利用区块链技术,建立匿名化的安全众测社区场景,打造去中心化、漏洞即挖矿的平台概念。该平台致力于解决区块链企业安全危机,将连结区块链厂商、安全公司和白帽子等社区参与者,最大化减少漏洞暴露风险,共筑区块链生态安全。
DVP平台CEO吴家志表示,区块链技术还处于发展中阶段,技术仍难以达到天衣无缝,同时,目前多数应用在金融领域,且涉及大量资金,这就意味着,一旦遭到漏洞攻击,就会带来无法挽回的巨额损失。根据BCSEC最新统计数据,目前500家数字货币全球交易所,1644种数字货币,市值总额3448亿元。截至2018年6月,针对数字货币的攻击累计达到100次造成的直接经济损失33亿5千万美元。
吴家志表示,安全问题是区块链企业成长的核心“命脉”,从智能合约代码审计,到节点加固再到渗透测试,无不涉及安全。尤其是智能合约具有“不可篡改”的特性,代码又不可避免的存在一些BUG,这些安全漏洞很容易被黑客利用实施攻击。
DVP平台ceo吴家志
同时,仍未普及的区块链技术,其安全技术体系更是零散。有数据显示,目前全球有10000+的区块链项目,区块链安全服务公司却只有不到50家。
存在安全隐患的区块链生态自然成为黑客眼中的香饽饽,近年来,一系列安全事件层出不穷,波及范围和资产损失数额也不断增加。BCSEC数据显示,仅今年上半年以来区块链产业损失金额高达10亿美元。以日前曝出的Bancor (BNT)的智能合约安全漏洞为例,其导致价值2350万美元资金被窃取。而此前日本Coincheck交易所价值5亿美元的加密货币被盗,韩国Coinrail交易所也丢失价值4000万美元的加密货币。
吴家志表示,作为新兴产业,区块链产业的从业人员安全意识较为缺乏,导致目前的区块链相关软硬件的安全系数不高,存在大量的安全漏洞;此外,整个区块链生态环节众多,相较之下,相关的安全从业人员力量分散,难以形成合力解决问题。迎接上述挑战需要系统化的解决方案。
DVP平台CSO邓焕表示,DVP平台就是希望能通过将企业和白帽子之间形成利益共同体,促使更多的“白帽子”主动寻找企业漏洞,让企业被动变主动,能及时发现漏洞进行修补,避免遭受更大损失。
邓焕介绍,漏洞即挖矿,促使白帽子和厂商形成利益体。白帽子在DVP平台可以提交区块链相关漏洞及威胁情报。并随时查看漏洞审核及认领进度,获得相应的奖励。同时,为确保整个流程的公正性,DVP平台会将漏洞信息进行公钥加密,区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。
DVP 创始人合影
正因为此,通过社区将重构白帽子与厂商之间的关系,DVP平台一方面将利用区块链的天然的匿名性等特点有效保护“白帽子”,促使全球的白帽子和安全工程师都可以参与进来发掘漏洞,另一方面则是有效扩充企业有限的沟通渠道,降低沟通成本。
事实上,DVP平台上不停增加的漏洞动态,便是平台建立意义的最好佐证。截止7月31日,DVP去中心化漏洞平台上线仅一周时间,“白帽子”所提交的漏洞已多达312个,涉及175个项目方,包括目前的一些智能合约,知名公链,交易所等一系列的项目。
具体来看,经审核后,所提交的漏洞中,高危漏洞达122个占所有漏洞的39.1%,中危漏洞53个,约占17%。其中,包括某智能合约厂商存在重入漏洞,黑客可通过该漏洞从合约中无限提取资金。某大型公链更是存在设计缺陷,可导致此项目大量的公链节点崩溃,甚至可能导致项目方硬分叉。
吴家志认为,随着各种公链价值的不断提升,更多的攻击者将涌入到区块链行业。DVP作为一个去中心化的自治组织,将全方位多维度贯彻执行漏洞的负责任披露,努力实现区块链厂商与白帽子双赢的良性循环。提升区块链整体的安全意识,共同构建更好的区块链生态。
最新评论