首页
论坛
专栏
课程

【传统安全x区块链】人物专访第二期.DVP去中心化漏洞平台安全负责人:邓焕

roysue
3
2018-10-15 16:36 537

比特币和区块链从诞生那一刻起,就一直是黑客眼中的肥肉,交易所频频被攻,智能合约漏洞百出。随着区块链应用项目的增加,区块链安全问题愈加迫切。

 

白帽汇最近发布了对区块链安全趋势的评估报告,从报告图表中可以看出,2017到2018年,区块链安全问题陡增。

 

 

 

图表显示,到今年8月份为止,区块链在全球已经造成超过20亿美元的损失。其中在区块链项目最火爆的4月份损失最多,超过11亿美元。而且从易受攻击的点来看,交易平台和智能合约最易被攻击。从智能合约到代码审计,从节点加固再到渗透测试,安全问题一直都困扰着从业者。

 

白帽汇联合创始人 邓焕 称,目前区块链易受攻击的主要原因是专业的区块链人才太少,更多的业务先行,在设计业务时安全的细节考虑的并不完善,而且项目背后的技术不扎实,产生大量漏洞。目前 “全球从事做智能合约审计的才数千人,真正能做公链安全审计的全球不超过百人。” 他透露。与此同时,全球有一万多家区块链机构,这有限的人才分散到各机构中是杯水车薪。因此,目前区块链行业需要大量安全人员。网络安全公司位于整个互联网的最顶端,目前全国做区块链安全的公司只有五六家,全球也不足百家。

 

目前在区块链安全领域,也还没出现成熟的安全类产品,更多的是依托于人工来提供安全服务的方式。

 

但是,即使聘请了一家公司做安全,每家公司技术人员擅长的领域也不一样,无法对项目进行360度的防护, 只要出现一个严重问题就足以击溃整个区块链网络。要百分百地覆盖各个脆弱点,就需要尽可能多的团队进行集思广益。 对绝大部分公司来说,聘请这么多团队并不现实。目前市面上已经有了hackerOne、补天之类的中心化漏洞平台,这些平台连接了白帽子(网络安全研究者)与互联网厂商,通过厂商付费收集漏洞的方式,激发白帽子帮助企业发现并修复漏洞的积极性。但在中心化平台上,由平台和厂商对漏洞进行独裁,白帽子无法保障自己的权益,厂商和白帽子的隐私也容易被泄露,而且中心化的平台也可以被权力机构任意关停。基于此,白帽汇联合另一家安全公司派盾科技,发起了一个名为DVP的社区,DVP全称是Decentralized Vulnerability Platform(去中心化漏洞平台),结合目前区块链的特性来构建一条让厂商与白帽子连接的桥梁,全球的白帽子可以在平台上提交漏洞,各厂家可自行认领,厂家也可在平台上悬赏。

 

“漏洞即挖矿。” 这是DVP提出的方案,厂商需指定安全审计的资产范围和悬赏标准,并将押金存入合约;白帽子在DVP平台可以提交区块链相关漏洞及威胁情报,并随时查看漏洞审核及认领进度,被采用后即可获得相应的奖励。

 

平台于2018年7月24日上线,目前平台上有一万多名白帽子。截至8月20日,共收到白帽子提供的1231个漏洞。其中,中危漏洞252个,高危漏洞399个,严重漏洞1个,涉及509个项目厂商。漏洞主要来自交易所、钱包、公链等项目,其中不乏以太坊、唯链这样的知名区块链平台。

 

10月17日,【传统安全x区块链】栏目力邀DVP安全负责人邓焕,为我们零距离地介绍他们推出的累乌云模式——区块链众测平台DVP!还等什么呢,赶紧扫码入群吧!

 





[推荐]看雪企服平台,提供APP等级保护加固等安全服务!

最后于 2018-10-15 16:37 被roysue编辑 ,原因:
最新回复 (0)
返回