本篇文章1702字,读完约4分钟

“区块链安全正面临前所未有的挑战。”白帽交换安全研究所所长邓焕8月22日在2018网络安全生态峰会-区块链安全子论坛上表示,现阶段区块链安全面临的挑战来自技术本身,另一方面,更重要的是一些区块链厂商安全意识薄弱。他指出,目前,中小交易所的安全意识还不够,大多数还没有建立起完善的安全防御体系。

白帽汇安全研究院:部分区块链厂商安全意识薄弱

2018年网络安全生态峰会-区块链安全分论坛由阿里发起,并邀请白毛辉安全研究所作为区块链安全分会场的制作方。在论坛上,北京华顺新安科技有限公司首席执行官吴钊、peckshield联合创始人兼工程副总裁李奥、安碧实验室创始人郭宇,认识了于闯404实验室安全研究员朱同庆、连锁科技首席执行官钟庚发等众多业内权威专家,对以太网智能合同和数字交换的安全性进行了深入分析,并共同探讨了如何建立一个安全可靠的区块链技术安全生态系统。

白帽汇安全研究院:部分区块链厂商安全意识薄弱

当前,全球信息领域新一轮科技创新和产业转型不断深化,渗透范围逐渐广泛。在这种背景下,区块链技术发展迅速,其生态系统已经扩展到物联网、云计算、大数据、人工智能等诸多领域。然而,值得注意的是,区块链作为一种新技术,由于技术的演变和复杂性,已经成为它迄今面临的最重要的问题之一。同时,区块链大部分技术应用都是金融项目和产品,其安全性带来的风险是不可估量的。

白帽汇安全研究院:部分区块链厂商安全意识薄弱

“一行代码打倒一个令牌”和“一个漏洞摧毁一种智能合同”,区块链行业的安全风险是巨大的。据邓欢介绍,白帽交易所的bcsec和peckshield联合推出了dvp,这是一个基于区块链技术的分散式漏洞平台。虽然它刚刚运行了整整一个月,但白帽已经提交了1200多个漏洞,涉及509家制造商。其中,严重漏洞1个,高风险漏洞399个,占发现漏洞总数的32.4%。中等风险漏洞252个,低风险漏洞579个,分别占20.5%和47%。

白帽汇安全研究院:部分区块链厂商安全意识薄弱

邓欢指出,这些漏洞不仅存在于一些私人连锁店,也存在于大型公共连锁店。具体而言,大多数漏洞涉及拒绝服务、直接访问系统权限、严重的信息泄漏、未经授权的访问、直接窃取关键业务和其他用户身份信息以及高风险逻辑设计缺陷。

白帽汇安全研究院:部分区块链厂商安全意识薄弱

值得注意的是,邓焕透露,白帽在dvp平台上提交的一个系统的几个一般性漏洞涉及600多个交易所。

邓欢表示,该系统是贝克云在2016年开发的一个开源程序。由于该程序已经被放弃很久了,开发人员没有跟进和维护它。因此,数百个使用该系统的交换机面临着严重的安全威胁。该漏洞可能导致整个交易所的所有信息和数据被泄露。攻击者可以绕过交易所原有的限制,违反规定修改信息,或者擅自删除交易所的数据,危及服务器的安全,给交易所和用户的资金造成严重损失。

白帽汇安全研究院:部分区块链厂商安全意识薄弱

大规模交流的根本原因是缺乏安全风险意识。邓欢表示,dvp平台已经联系并尽快通知了受漏洞影响的交易所,但截至目前,仍有一些交易所不知道上述漏洞的存在。“目前,中小交易所的安全意识还不够。他们中的大多数还没有建立起完善的安全防御体系。许多制造商只是简单地修改了直接购买和操作的一般交换程序。这个模型是以很快的速度建造的。然而,一旦此类计划出现问题,就会影响到大型制造商。”

白帽汇安全研究院:部分区块链厂商安全意识薄弱

对此,链锁科技首席执行官钟根发也表示,除了交易平台系统,许多交易所都忽视了冷钱包的重要性,以致发生意外时措手不及。

钟庚发指出,目前很多项目方为交换机提供充值和兑现的方法,以快速接入交换机,但这些方法大多依赖于节点和地址私钥存储在一起。只有这样,钱包才能监控节点的充值和兑现。然而,节点的发展会暴露出许多未知的漏洞,攻击者可以很容易地获得交换钱包的私钥。类似的事件也发生在eth。

白帽汇安全研究院:部分区块链厂商安全意识薄弱

事实上,英国证券交易委员会的数据显示,仅在2018年上半年,外汇攻击造成的损失就超过了11亿美元。例如,今年6月,bkex(货币交易所)刚刚启动,这暴露了一个重大的安全漏洞,人们怀疑超过10万用户的账户密码被泄露。以色列密码货币交易平台Bancor最近宣布,由于黑客攻击,价值1250万美元的Ethereum从其平台上被盗,价值约1000万美元的bancor密码货币也被盗。

白帽汇安全研究院:部分区块链厂商安全意识薄弱

最后,邓欢表示,为了促进交易所更加注重安全性,dvp平台将根据漏洞数量、响应时间和修复速度设置红黑榜,以帮助投资者识别交易所的安全风险。

标题:白帽汇安全研究院:部分区块链厂商安全意识薄弱

地址:http://www.boaoxuexiao.com/bqxw/8128.html