半年损失25亿美元，智能合约的漏洞像筛子一样多！

作者 | 连翘

编辑 | 紫苏

来源 | 起风财经（ID：QFCJ2018）

最近几天，有一位名叫约翰·迈克菲的美国人陷入了麻烦。

7月份时，他推出一款比特币钱包Bitfi，宣称是世界上第一个坚不可摧的硬件钱包，并宣布谁能破解这款钱包，将奖励10万美金。

不到一周，Bitfi 钱包就被人攻破了，然而迈克菲开始含糊其词。8月31日，又一名黑客公布了痛锤Bitfi的更多细节。迈克菲慌了，称“我司会对所有问题作出全面的公开声明，包括赏金支付方案，时间就在下周。”

迈克菲之所以死要面子，是因为他来头太大，他是全球家喻户晓的迈克菲杀毒软件的创始人，迈克菲本人还曾与特朗普同台竞选美国总统，现在秒被打脸，肯定要拼死抵抗。

不过我们也可看出，区块链的安全性堪忧，这样大牌公司设计出来的钱包也会被轻易破解。实际上，比特币和区块链从诞生那一刻起，就一直是黑客眼中的肥肉，交易所频频被攻，智能合约漏洞百出。随着区块链应用项目的增加，区块链安全问题愈加迫切。

2018年上半年区块链安全事件损失超20亿美元

白帽汇安全研究院BCSEC是一家专注区块链安全生态的机构，创始人赵武之前是360网站安全部门总监。白帽汇最近发布了对区块链安全趋势的评估报告，从报告图表中可以看出，2017到2018年，区块链安全问题陡增。

图表显示，到今年8月份为止，区块链在全球已经造成超过20亿美元的损失。其中在区块链项目最火爆的4月份损失最多，超过11亿美元。

而且从易受攻击的点来看，交易平台和智能合约最易被攻击。

从智能合约到代码审计，从节点加固再到渗透测试，安全问题一直都困扰着从业者。

白帽汇联合创始人邓焕称，目前区块链易受攻击的主要原因是专业的区块链人才太少，更多的业务先行，在设计业务时安全的细节考虑的并不完善，而且项目背后的技术不扎实，产生大量漏洞。

目前“全球从事做智能合约审计的才数千人，真正能做公链安全审计的全球不超过百人。”他透露。与此同时，全球有一万多家区块链机构，这有限的人才分散到各机构中是杯水车薪。

因此，目前区块链行业需要大量安全人员。网络安全公司位于整个互联网的最顶端，目前全国做区块链安全的公司只有五六家，全球也不足百家。

“根本忙不过来。”邓焕说，“厂家的智能合约有了漏洞，需要发布新的合约，然后做映射处理。否则就坐以待毙，因为在链上是无法更改的。”

目前在区块链安全领域，也还没出现成熟的安全类产品，更多的是依托于人工来提供安全服务的方式。

但是，即使聘请了一家公司做安全，每家公司技术人员擅长的领域也不一样，无法对项目进行360度的防护，只要出现一个严重问题就足以击溃整个区块链网络。要百分百地覆盖各个脆弱点，就需要尽可能多的团队进行集思广益。对绝大部分公司来说，聘请这么多团队并不现实。

目前市面上已经有了hackerOne、补天之类的中心化漏洞平台，这些平台连接了白帽子(网络安全研究者)与互联网厂商，通过厂商付费收集漏洞的方式，激发白帽子帮助企业发现并修复漏洞的积极性。

但在中心化平台上，由平台和厂商对漏洞进行独裁，白帽子无法保障自己的权益，厂商和白帽子的隐私也容易被泄露，而且中心化的平台也可以被权力机构任意关停。

基于此，白帽汇联合另一家安全公司派盾科技，发起了一个名为DVP的社区，DVP全称是Decentralized Vulnerability Platform（去中心化漏洞平台），结合目前区块链的特性来构建一条让厂商与白帽子连接的桥梁，全球的白帽子可以在平台上提交漏洞，各厂家可自行认领，厂家也可在平台上悬赏。

“漏洞即挖矿。”邓焕介绍，厂商需指定安全审计的资产范围和悬赏标准，并将押金存入合约;白帽子在DVP平台可以提交区块链相关漏洞及威胁情报，并随时查看漏洞审核及认领进度，被采用后即可获得相应的奖励。

为确保整个流程的公正性，DVP平台会将漏洞信息进行公钥加密，区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。

为了方便不同数字货币的奖励计划，DVP准备制定一套虚拟的积分体系（类似于通证）。在生态正式形成之前，目前DVP平台针对发现漏洞的白帽子奖励一定量的ETH。

一个月发现1200多个漏洞

DVP平台运营一段时间后，邓焕吃惊地发现漏洞太多了，“像筛子一样。”他形容道。

平台于2018年7月24日上线，目前平台上有一万多名白帽子。截至8月20日，共收到白帽子提供的1231个漏洞。其中，中危漏洞252个，高危漏洞399个，严重漏洞1个，涉及509个项目厂商。

漏洞主要来自交易所、钱包、公链等项目，其中不乏以太坊、唯链这样的知名区块链平台。

哪怕是比特王交易所、币虎网这样的知名平台，也存在许多风险极高的漏洞。

邓焕表示，严重漏洞一般会导致拒绝服务、直接获取系统权限、严重级别信息泄露，可造成严重经济损失。高危漏洞多是越权访问，能直接盗取关键业务中的用户身份信息，有高风险逻辑设计缺陷。首次曝光的黑榜中的交易所均存在资产损失风险，盗用篡改风险，隐私泄露风险。

他还透露，许多交易所漏洞在通报后久未修复。其中风险排名第2的比特王，仅27日一日，其交易成交额便可达1.6亿人民币，此外，coin88等平台更是完全无法联系到，也无法向其进行漏洞通报，这对投资者来说风险极大。

区块链最大的安全问题来自人性

虽然区块链技术现在面临种种威胁，但开发者将大量精力投入到了比较底层的算法安全上，目前区块链技术看上去仍是难以撼动。

通过近段时间的安全事件，邓焕发现安全问题其实越来越趋向于用户、平台层面，区块链的安全问题已经延伸到了传统的网络安全、基础设施、移动信息安全等问题，其中最明显的就是社会工程学攻击问题，严重性甚至超过了技术攻击。

社会工程学攻击，就是黑客利用人性的弱点和习惯，套取人们的关键信息，进而牟利。世界第一黑客凯文•米特尼克在《欺骗的艺术》中曾提到，人为因素才是安全的软肋。

很多公司在信息安全上投入重金，最终导致数据泄露的原因却在人本身。对黑客来说，通过网络远程渗透破解获得数据，可能是最为麻烦的方法。而通过人际交流的方式获得信息的非技术渗透手段却有效， 而且效率很高。

“最近还有人冒充我们创始人赵武的微信，跟财务要资料。”邓焕说。

今年3月份时，北京市海淀区某互联网科技公司员工利用职务便利，通过使用管理员权限盗取该公司100个比特币。

同样是今年3月，西安张某丢失了上亿元的虚拟货币，三名犯罪嫌疑人都曾是国内知名网络科技公司工作人员。

面试时套话、职务便利、扮成专业顾问给电脑远程协助、甚至美人计等，都有可能成为社会工程学攻击的手段。也许不知不觉间，你就把拍了自己私钥的照片转发给对方了。

白帽子到底是怎样的一群人？

在很多人心目中，白帽子是很神秘的群体，其实他们只是一群热爱技术的极客。白帽汇的创始人赵武就曾是“中国黑客榜中榜”上榜的人物，现在是一万多名白帽子的“带头大哥”。邓焕本人则是更多通过自学的方式进入到了信息安全领域。

近几年，由于网络安全事件频发，白帽子们有了用武之地，但是也容易受到质疑。几个月前，360发现EOS的漏洞时，BM称360的行为是在制造恐慌。而普通白帽子向厂商提交漏洞时，也会被质疑为了钱。实际上多数情况下，白帽子们找漏洞是为了在实践中提高水平。

目前国内顶级安全人才年收入可达百万，但大部分人跟做“黑产”的黑客的收入相比仍是天差地别，几乎每个水平较高的白帽子，都受到过来自黑产的诱惑，但多数人都拒绝了。

对此，另一位业内安全专家也曾表示，“安全白帽子的价值一直以来被严重低估，拿着和能力、产出不匹配的收益。而黑客攻击获取的回报远远高于白帽子。当技术人员发现一个安全漏洞，可能更多人愿意选择当黑客去为自己牟利，而不是维护正义的白帽子。而没有安全，何谈区块链?”

所以，如何更好地体现白帽子的价值，无论对于厂商还是对于白帽子本人来说都至关重要。期待DVP平台能利用区块链等技术来改善白帽子与厂商之间的关系，未来形成一个真正自治的安全生态社区。

来源

https://mp.weixin.qq.com/s/ivLUMLuHIYqCMMLnllY2jw