慢雾余弦：区块链安全漏洞引起的资产损失在未来将进一步扩大

查看原文

其他

慢雾余弦：区块链安全漏洞引起的资产损失在未来将进一步扩大

慢雾科技 2020-01-14

Editor's Note

区块链圈有这么一群人处于食物链顶端，却又悄悄“隐藏”在背后。他们中有攻击网络的作恶者，也有安全的守护者。“慢雾”，区块链黑暗森林中的安全区域，给区块链生态带来安全感是慢雾科技持续努力的方向。

The following article comes from 算力智库 Author Ripple

作者：Ripple

编辑：生煎

您正在阅读算力智库第 444 篇原创作品

嘉宾介绍

余弦是区块链安全技术领域的资深专家，是知名黑客，也是慢雾科技联合创始人、Joinsec 创始人、前知道创宇技术副总裁、404团队Leader，中国计算机学会计算机安全专委会委员，曾著有安全领域畅销书《Web前端黑客技术揭秘》。

区块链圈有这么一群人处于食物链顶端，却又悄悄“隐藏”在背后。他们中有攻击网络的作恶者，也有安全的守护者。

初见余弦时，和想象中的黑客并不相同。休闲的穿着，亲和的口吻，给人一种春风化雨的感觉。在余弦身上似乎没有传说中黑客那种拽拽的，酷酷的调调。如果强行要找出些黑客的特征，也就是隔着几米外都清晰可见的黑眼圈。

瑞波我暗自告诫自己不可以貌取人，作为身处一线的顶尖区块链安全黑客，怎会不酷呢？强势抵御地下黑客的盗币行为，给三大交易所提供安全体系的背后大咖，又怎会是平易近人，儒雅随和的人设呢？一定是哥的外貌欺骗了我。嗯，瑞波我对此深以为然。

正是为了带小伙伴们走进这群牛逼又神秘的选手，算力智库家的美女boss才刷脸请出了余弦作为算力波的第一期专访嘉宾。小伙伴们跟着瑞波我以"朝圣”的小心脏走近纯粹的黑客精神，也让安全大佬余弦从安全认证的视角解析加密货币生态安全与未来的投资机遇。

属于黑客的1337

“1337其实就是Leet又称黑客语，这串数字是通过Leet简化变形所得。对黑客来说，这串数字具有纪念意义，就好像1024对于程序员一样”。余弦老师说到。

早期的黑客通过Leet逃避内容的审查、关键字的过滤；写情书或者暗号标记；用Leet注册密码也能保证安全性。更重要的，热爱黑客技术的年轻人都觉得很酷。这是对黑客身份的认同感。

然而随着时代发展，1337不再具有任何的保密性。每个黑客也开始寻找属于自己的独特身份标签。一些为人所知的黑客就有熊猫烧香，匿名者组织等。

图片来源：公开资料

余弦的1337就是他这张类似八爪鱼的头像。

图片来源：余弦

这很难说，余弦的头像与他本人的黑眼圈没有一丝关联。

据余弦回忆，这个头像的灵感源于黑客帝国。这部电影对他少时从事黑客职业有着深远的影响，因而有着特殊的纪念意义。此外，电影中的机械章鱼在余弦眼中更像是一种病毒的象征。病毒作为黑客攻防中一个寻常又危险的事物，也具有黑客文化的代表性。

图片来源：公开资料

余弦以“病毒”作为头像的另一个原因是源自于他对自由的解读。尽管他从事着区块链网络安全这一“正义事业”，但这不代表他要在公众形象前做一个所谓的“正义使者”。他更希望自己是一个亦正亦邪，有血有肉的角色。

“有自我的判断且能立场坚定，这是我所认为的自由。”余弦补充到。

解读慢雾的1337

黑客对身份标签都有着非常自我的见解，慢雾作为黑客聚集的区块链生态安全公司也自然有着属于它的1337。

第一层解读，慢雾这个名字源于另一部科幻巨作——三体，慢雾是黑暗森林里的安全区域。书中其实还有一个很重要的信息，即宇宙是守恒的。慢雾作为区块链网络安全公司对于区块链加密货币这一混沌初开的市场来说有着维护守恒秩序的作用以及建造安全地带的实际意义。私以为，通过区块链网络安全公司来抵御地下黑客的大部分攻击，是加密货币市场所需要的动态平衡。

图片来源：慢雾官网

第二层解读是与地域文化相关。据余弦回忆，三十而立之际的他开始回厦门创业。相比较在北京就职时的感觉，厦门的节奏并不快，慢雾又身处海岛之上。余弦于是在这里品出了慢。不难看出，这源自于余弦享受在厦门创业的过程。

第三层解读，余弦笑着说这与工作性质相关。我们可以理解为有条不紊的慢。在加密货币上的网络安全里，变革非常快，而越是身处其中越是要慢下来。面对茫茫的地下黑客，需要分析，需要提出解决方案，需要对抗，整个程要非常小心谨慎。不然上亿资产会因为一个细微的失误而丢失，三思而后行，做好能跟上加密货币动态发展的安全体系是慢雾的“慢工细活”。

慢雾成名之战的背后

2018年1月，慢雾成立，选择了3月1号正式开张。3月20日披露以太坊黑色情人节事件。紧接着，很多未知的未披露的漏洞都由慢雾首发，至此开始在圈内声名大噪。

（以太坊黑色情人节事件源自于2016年的情人节，攻击者在随后两年的时间里，单盗取的以太币的价值就高达2千万美金，总价更是难以估计。）

图片来源：慢雾区

问及慢雾成名之战的背后，余弦说这首先基于慢雾的威胁情报体系。

图片来源：活动现场

这个体系就好比琅琊榜里以情报闻名琅琊阁。集结的力量有的来自朝堂，有的来自江湖，也有来自市集之中。通过威胁情报的网络来构建一个链上链下安全治理一体化的联合防御体系。

图片来源：慢雾

余弦回忆道，在他们准备披露以太坊黑色情人节之际。曾有地下黑客找到他，希望和慢雾达成合作，表示可以先捞一笔继而披露。甚至提供了一套完整而又保险的洗钱方案。余弦对此一笑置之。

在问及余弦如何面对在这个行业中的诱惑，他反倒抛给了瑞波我一个十分蛊惑人心的问题，“如果有一天你的账户上躺着属于别人的1万枚比特币，你会怎么做？”

对慢雾来说，就曾经发生过这一真实的案例。而慢雾的做法，就是原封不动的还回去。

“我们曾面临很多次诱惑，所幸我们团队的每一个人都抵御住了。有人说黑客是网络食物链的顶端，我却不这么认为。不要作恶是我们慢雾的首要的价值观，其次心理不能穷，最后要对网络安全怀揣一颗敬畏之心。”余弦的口吻难得的严肃起来。

我们知道1万枚比特币的价值，但却很难说出自己的答案。世间百态，千人千面。诚如余弦也坦然，人性难以考验。要知道，地下黑客和网络安全专员都有着同样，甚至更高超的技术。

或许这是因为他们都有着和余弦一样的沉思，“不逾越宇宙法则；不逾越自然法则；不逾越法律；不逾越自己的内心。”

区块链加密货币的过去与未来

据公开资料数据显示，2011-2019年之间，由区块链安全漏洞引起的损失高达84亿美元。其中，交易所是重灾区，占比近一半。

图片来源：SlowMist Hacked 官网

问及余弦如何看待这一数据背后有何种原因时，余弦从两个角度给出了答案。

一方面，交易所的门槛比以往低了很多，而安全防护水平又层次不齐，对于地下黑客来说那就是满地黄金。此外，这一数据的背后体现了了人们对加密货币市场，对区块链的认同。基于这个共识，行业规模扩大，错误也随之放大。余弦甚至预测，未来这一数据增幅还将继续扩大。

对于中心化的交易所而言，会受到传统行业的攻击，如服务器、办公网等，也和公链、智能合约有关。每一环都有可能存在的安全问题。他建议把IT建设的预算中拿出15%-20%作为安全预算，其中包括人员的成本维护，杀毒软件，防火墙的购置等。

“但是这并不代表你配置了这些就一定不会被黑。”余弦紧接着又说到，”抛开攻防博弈成本去看待这个问题是不客观的。你每投入一定的比例，那攻击门槛则相对提高了一个台阶。相对来说你被黑的概率会低很多，但我们这个行业没有人可以给出这样的一个永不被黑的承诺。”

其实，余弦也曾和同行讨论过网络安全要不要有保险。然而在网络安全中，除了外部的因素，还有很多来自内部因素。给骗保提供可乘之机。尤其在区块链及加密货币市场，法律也还在极度初期，网络安全保险也只好暂且存而不论。

图片来源：活动现场

后记

在和余弦离别之际，我们谁也没有想到，就在短短十几分钟后，区块链随着最高决策层的公开支持在中国可能遇到历史以来最好的机会。而初见余弦时，量子霸权的新闻还霸屏着各大社交网络，比特币大跌的哀嚎还仍然回旋在耳边。

短短24小时，有一种很魔幻的感觉。但无论如何，对于区块链的大多数生态来说，像极了余弦那晚乘坐的磁悬浮列车，向着既定的目标与愿景一路飞驰，全速前进。

往期回顾

慢雾科技发布安全监测服务

慢雾：币团(Bituan)最新安全监测报告

KuCoin 入驻慢雾区，发布「安全漏洞与威胁情报赏金计划」

慢雾科技与 BitZ 达成安全战略合作

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾 GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

币乎

https://bihu.com/people/586104

知识星球

https://t.zsxq.com/Q3zNvvF

火星号

http://t.cn/AiRkv4Gz

”FAN某”的离婚财产分割判决书（全文）

”FAN某”的离婚财产分割判决书（全文）

哈里斯女粉搞4B运动、毒杀丈夫，回旋镖能否让美国“血流成河”

比国产光刻机更重要的IPO要来了！

这把绝对高端局，只有中国人才懂