当黑暗森林泛起慢雾,那是顶级黑客的江湖|人物志
慢雾,《三体》中黑暗森林里的安全区域,也是区块链安全公司慢雾科技的名字。
如果说区块链打开了一个全新的世界,那么安全问题就是笼罩在这个世界里的一抹乌云。从区块链兴起似乎就一直伴随着整个行业。不断的考验着人们的信心,或者说「信仰」。
在区块链安全相关公司中,慢雾可以非常特别,由一群热爱技术的黑客创立,整个团队也由众多曾经参加过如Black Hat等黑客大会的人组成,带着浓浓的极客基因。他们热衷于披露不为人知的安全漏洞,并为他们发现的安全事件起一个高冷的名字,比如以太坊黑色情人节等。
虽然营长也曾采访过不少安全团队,但在与慢雾团队的沟通中,营长的感受是这支团队是:区块链里安全做的最好的、做安全的公司里最爱写文章的、爱写文章的公司里最有情怀的。
那么,这支团队的背后有哪些有意思的故事?这些极客又是怎样理解和看待区块链安全?区块链安全的未来,究竟在何方?带着这些问题,营长采访了慢雾安全负责人海贼王,听他讲讲自己的独到的见解。
暗网与区块链
区块链大本营:你什么时候关注到区块链?区块链最吸引你和最让你受不了的地方分别是什么?
海贼王:最早是接触比特币。当时暗网会使用比特币在地下进行一些交易买卖。其实暗网也不是像新闻报道的那样充斥着人性的黑暗面,也有一些自由主义者希望在网络世界打造一套独立身份,隐藏自己的真实信息。
著名暗网交易市场CGMC
而作为最关键的支付环节,比特币恰好提供了这种匿名性,后来比特币被证明并没有想象中的可以完全匿名。所以门罗币、Zcash成了受追捧的匿名加密货币,这些加密货币也是地下黑客的风向标。
我对比特币的理解和大家不一样,有些人搞矿机或者炒币,但我觉得在黑客主义这个方面,得有这个东西。
区块链大本营:你是黑客吗?能具体谈谈什么是黑客主义吗?
海贼王:本身就是黑客,但是黑客分两种:邪恶的和正义的,而我属于后者——正义的黑客,至于黑客精神我理解的就是「守正出奇」,像一个侠客或者剑客一样行走江湖,身上的能力和责任成正比,并且时刻告诉自己不要作恶。
庄家收割韭菜,地下黑客收割庄家
区块链大本营:区块链安全的现状如何?如何看待目前频频爆发的安全事故?
海贼王:区块链生态,当前正处于发展初期,百废待兴的感觉,安全攻防对抗非常之激烈,可预见的未来这种激烈程度会继续增加,因为除了类似慢雾这样的安全正规军加入,地下黑客正规军也越来越多。各种正规军其实都在陆续进来,这也包括地下黑客群体(也是我们常说的攻击者),他们远比我们想象的职业。
举个例子,我们今年3月20号披露的一个大事件:以太坊黑色情人节,这个攻击其实2016年2月14日就发生了(这也是为什么我们命名这个为以太坊黑色情人节),持续了两年多,自动化盗取了近5万枚以太币,几十亿枚各种代币。
「黑色情人节」最新动态
以太坊「黑色情人节」专题页:
https://4294967296.io/eth214/
技术细节我们这里就不谈了,但是大家仔细琢磨下:为什么持续了两年多,直到我们的进来,才完整披露了呢?如果我们没披露呢?
之所以如此,是因为两大原因:
1. 区块链生态自带金融属性,但没有足够的国家力量背书;
2. 区块链生态被盗币后,由于生态存在匿名属性,溯源难。
至于,如何有效的提高区块链安全性,从这个例来说,在区块链的架构设计之初,如技术模型、经济模型、治理模型等,就应该融入安全基因,成型后,需要全方面的职业安全审计,长远的发展需要运用全球安全社区的力量,开放漏洞赏金计划等。
对于这个生态的相关企业来说,看团队发展规划,明确安全负责人,并第三方专业的安全公司进行全方位的安全把关。最终,还得拥抱全球安全社区的力量,业务与安全齐头并进、迭代发展。
区块链大本营:区块链安全涉及到哪些方面?
海贼王:我认为,包括:安全审计、防御部署、地下黑客风向标追踪等。而我们的角色更偏向于Red Team。区块链生态,包括交易所、钱包、矿池等,参与者角色更是复杂,有攻击者、防守方,还有大庄家,一旦有漏洞,黑客随时盗走你的资产。
区块链大本营:今天的「区块链安全」所涉及的方面比以往的移动互联网和Web更多,你认为这是否是区块链安全与之前我们所说的「安全」最本质的区别?如果是,这样的情况会给安全的防御和部署带来哪些独有的挑战?
海贼王:比起传统的攻防来说,区块链生态会有自己的特别点,比如币属性、自带金融属性等。攻击者有时不一定要盗走这个币,只是想办法做空做多就好。
然后这个生态里做个溯源其实更难,法币溯源有国家力量,这个生态这些币的溯源,没什么力量,太分散,大家自扫门前雪,偶尔还会看到互相嘲讽。
但是我们得意识到,安全这个东西,是整个生态的事,攻击者喜闻乐见币圈的乱,越乱,他们越喜欢,收割起来毫不留情。有句话是:庄家收割韭菜,地下黑客收割庄家。
给人安全感,而不是危机感
区块链大本营:请谈谈慢雾科技创建的经过。
海贼王:慢雾团队成员主要来自一些顶级的安全公司,曾经在政企安全、云安全、移动端安全、IoT安全等这些传统网络攻防方面都有很深的沉淀。由于对于互联网安全的深刻执念,使我们认为安全是一以贯之的事情,其中融入了团队的因素与想法。在深入接触区块链之后,我们选择了区块链安全领域,单纯的希望区块链生态是安全的。
区块链大本营:慢雾团队是个怎样的团队?
海贼王:就像前面说的,慢雾团队成员主要来自一线的顶级安全公司,因为区块链生态的安全是方方面面的、成体系的,因此,除了区块链本身的安全之外,其他分支领域的安全也不可或缺。而且慢雾现在的团队管理非常的扁平,这样有利于发展初期小步快跑,快速试错。
区块链大本营:现在区块链安全行业除了慢雾,还有很多其他公司,在安全公司之间,有没有达成一些针对整个安全方面的共识或标准?
海贼王:有的,我们在披露的过程中,输出给了安全生态同行,跟他们之间建立桥梁,这种桥梁就是情报之间的互通有无。大家的客户都可能会受到影响。建立这种桥梁,可以无偿的奉献给大家,快速的修复问题,是有意识形态在里面,我们也确实真真正正的落地的在执行这件事情。
区块链大本营:可以举个具体的例子吗?
海贼王:现在有初步的安全共识的概念,里面会有各种区块链、技术手段,大家都在里面互通有无,达成基本的区块链安全行业的共识。
例如负责任的漏洞披露过程。做安全首先要客观、中立,不能把安全舆论化,不能拿安全作为炒作的工具。
安全团队是给别人安全感,而不是危机感,这非常重要。我们希望能树立起行业的标杆,让整个行业往更好更健康的方向发展。
安全其实没那么玄乎
区块链大本营:你们发现的另你印象深刻的漏洞有哪些?针对这些漏洞,你们会给开发者哪些建议?
海贼王:印象深刻的基本是我们第一时间应急与负责任披露了一些影响整个生态的安全大事件,像是:
以太坊黑色情人节;
以太坊智能合约 BEC 溢出漏洞;
MyEtherWallet 钱包 DNS 劫持事件;
以太坊智能合约 SMT 溢出漏洞;
以太坊智能合约 EDU、BAI 等权限滥用漏洞;
获得 EOS 第一个漏洞 CVE:EOSIO P2P 拒绝服务漏洞;
USDT “假充值”漏洞攻击事件;
以太坊代币“假充值”漏洞攻击事件;
XRP “假充值”漏洞攻击事件;
门罗币“假充值”漏洞攻击事件;
EOS 生态第一个溢出攻击事件。
至于如何应对,还是如上面所说,需要开发者在区块链的架构设计之初,如技术模型、经济模型、治理模型等,就应该融入安全基因,成型后,需要全方面的职业安全审计,长远的发展需要运用全球安全社区的力量,开放漏洞赏金计划等。
区块链大本营:目前安全事件的高发区在哪些环节?这些高发区中,典型的安全事件包括什么?
海贼王:高发区主要包括:节点、链、P2P层面。
我们以往有做过几个研究和披露,包括:
节点RPC案例:攻击者利用以太坊节点Geth/Parity RPC API鉴权缺陷,恶意调用 eth_sendTransaction 盗取代币,持续时间长达两年,单被盗的且还未转出的以太币价值就高达现价 2 千万美金,还有代币种类 164 种,总价值难以估计(很多代币还未上交易所正式发行)。
参考链接:
https://mp.weixin.qq.com/s/Kk2lsoQ1679Gda56Ec-zJg
源码案例:比特现金矿工使用的 Bitcoin-ABC 0.17.0 及以下版本客户端存在一个严重漏洞。事后,官方对代码进行了修正。
在src/script/sighashtype.h
文件第 70 行开始,官方修改了函数名并对 baseType 参数值进行了调整,由
BaseSigHashType(sigHash & 0x1f)
更新为
BaseSigHashType(sigHash & ~(SIGHASH_FORKID | SIGHASH_ANYONECANPAY))
参考链接:
https://mp.weixin.qq.com/s/FWls2ThGLO-y8ze29vngPQ
P2P漏洞案例,EOSIO P2P 拒绝服务漏洞:该漏洞属于 P2P 服务安全设计未完善所导致的阻塞攻击,可以非常小的攻击成本达到瘫痪主节点的目的。
参考链接:
https://github.com/slowmist/papers/blob/master/EOSIO-P2P-Sybil-Attack/zh.md
当然我们研究披露的只是一部分,在整个比特币、以太坊发展过程中出现过很多安全问题,我们通过搜索引擎可以详细的了解。
区块链大本营:区块链生态出现安全问题,最严重的情况下会导致什么后果?
海贼王:区块链生态安全发生危险最严重的就是团队资金破产及信誉破产。但是呢……其实我们是乐观的,有时候安全这东西也没那么夸张,一个生态之所以是生态,就具备生态的一个属性:即自愈能力其实很强……受损后会恢复,生态的容错性就是这样。安全这东西,到头来还是人,人这个物种就是诡辩、聪明、进化。感觉这部分细节如果展开就偏题了。
区块链大本营:目前to C的用户教育最适合的方式是什么?是否有to C的安全小tip或社区可以分享?
海贼王:我的建议是,一般的区块链从业者,就保持空杯心态吧,至少能保护好自己的私钥。技多不压身,大家会看到越来越多攻击手法被披露,至少保持理解为什么会这样。比如前面说的以太坊黑色情人节事件,为什么为什么为什么会发生?
区块链大本营:慢雾的成长中,遇到过最大的技术挑战有哪些?你们是如何解决的?
海贼王:挑战的话其实还是有的,比如区块链的速度很快很容易就跟不上车了,一旦跟不上就容易形成知识和认知的断层,要解决的话除了花时间去学习还真的没有其他方法了,我始终觉得只要你花了时间总会有收获的。
黑客的「守正出奇」
区块链大本营:你们是怎样吸引人才的?你们招人有哪些原则?
海贼王:其实招人一直都是一件很难的事情对于创业公司,但是对于我们来说倒不是那么难,我们的话吸引人才主要是靠自身的黑客文化的魅力和本身选择了一条与众不同的道路,一路总会遇到不少志同道合的小伙伴,在他们能力不足的时候我们会在合适的时间去引导他们,无论是技术上还是在在价值观上,当我们觉得他能足以独当一面的时候就会吸纳他到团队中来,这样的话其实也减少了团队新成员的磨合时间,对于我们来说也是团队战斗力能那么强的原因,因为我们每个人都足够强,足以独当一面。
至于招人的原则,我觉得首先是价值观,我们是一支拥有十多年一线网络安全攻防实战的团队,我们很明白该遵守什么规则,比如我们国家有网络安全法,这是我们团队的共识也是我们的红线,所以我们在招人时会尤其注意这个。所以,价值观是首先要考虑的东西,
然后才是其他的一些东西。在自我约束这方面,我们是非常严肃的,像前段时间我们刚被重庆公安网安总队邀请过去分享区块链技术与攻防对抗。我们常说一个词就是「守正出奇」,黑客这个身份,自带「奇」,所以你更要「守正」。总结一下就是,价值观要一致,要有敬畏之心。
区块链大本营:圈里人人都爱谈「信仰」,你们的信仰是什么?
海贼王:我们希望通过发生在区块链安全领域的诸多事件,以及时刻活跃在第一线的技术核心们,让区块链企业及从业者更加注重生态安全的重要性。将我们团队的一些理念传达给更多的人,认识到安全的重要性,以及一些处理态度、标准,安全行业达标,进而达成共识。
归结起来就是,「取之区块链,回归区块链」。只有这样去做,才能给这个生态带来真正的安全感,这也是慢雾的使命。
区块链大本营:最后,请对CSDN的读者说几句寄语。
海贼王:当一个新时代开启的时候不要内心去直接拒绝,尝试去了解去学习新的技能和知识,因为大家都能看懂的时候已经没有更多的机会了,立足于技术本身保持空杯心态去学习去了解,机会总会有的。
--【完】--
知识分享营:
9月20日,区块链大本营(blockchain_camp)为你分享:
张健区块链书籍《区块链:定义未来金融与经济新格局》
链接地址:
https://pan.baidu.com/s/1yajDlxSh1amlib4lmZAR4g
想获取更多区块链资源?明晚8点,不见不散!
一纸招贤纳士令,网罗天下译人才
还等什么,快到碗里来!
如果你符合上述条件,请将简历发至邮箱:koujc@csdn.net ;或添加微信CSDN_qkldby,备注“编译”,小编会第一时间回复你呦!
最新热文:
大力戳↑↑↑ 加入区块链大本营读者⑦号群
(群满加微信 qk15732632926 入群)
(内容转载请联系微信:qk15732632926)
(商务合作请联系微信:fengyan-1101)