http://www.duoduozao.com

高雪峰:区块链企业安全不能仅靠安全公司

高雪峰:区块链企业安全不能仅靠安全公司


 

区块链安全问题从何而来

 

前华为首席区块链专家、CyberVein技术顾问黄连金在日前谈及360发现EOS漏洞时曾有四点表态:1.安全是动态的,不是静态的;2、代码是人写的,没有百分之百的安全;3、智能合约的安全非常重要。它一旦通过共识确立就很难更改,同时智能合约还是锁定资产的;4.安全需要多方面考虑,不能顾此失彼。

 

毋庸置疑,作为一种技术,区块链代码有漏洞十分正常,而近期一系列安全事件让行业认识到此前安全意识的缺失。“安全意识不高现象不止存在于区块链行业,这与人性中的侥幸心理有关”,高雪峰对金色财经表示,在安全问题上,投入与产出一般不可能成正比,有投入不代表问题能解决,更有可能的是一年投入下来却没有发生安全问题,这样的话从业务角度就有可能产生侥幸心理——这钱不投也可以。“作为一个新兴行业,区块链发展速度可谓日新月异,很多新加入的创业者们对如何保证项目安全并不了解,这也是当下安全问题频发的一个原因。”

 

意识缺位,安全漏洞成区块链软肋

 

高雪峰对金色财经披露了一组数据:360对20款全球主流数字钱包进行了安全测试后发现,80%的钱包都存在不同程度的安全问题,可导致助记词、交易密码被黑客获取,攻击者破解用户交易密码等危害;全球目前有1万多家大大小小的交易所,基本没有整体的安全防护策略,交易系统没有经过安全审计、缺少安全加固是常见问题。“主流的大型交易所相对来说安全防护较为完善,而一些还在起步阶段的区块链公司在去全方面投入还不是很多,因此常常变成黑客“照顾”的对象。

 

从2017年至今,已爆出的交易所遭到攻击事件不下十起,带来BTC价格跌幅最高接近腰斩,“安全是相对的,没有绝对的安全,但如果一点防护措施都不做,那么就降低了攻击成本,被攻击的概率就会增加”,针对近期频发的交易所安全问题,区块链安全公司数字彗星创始人张东谊对金色财经表示,只要做了防护措施就会提升攻击成本,变得相对安全,“企业应该做好边界安全,提升入侵检测和应急响应的能力”。

 

今年5月,比特黄金遭到51%攻击,这项触及了数字货币根本的危机让整个行业都感受到了威胁。比特黄金在公告中称“我们不会是最后一个被攻击的币种”更是给整个区块链行业敲响了安全警钟。高雪峰对金色财经表示,除了交易所面临的盗币安全风险、钱包系统面临的用户私钥泄漏和丢失外,区块链系统也面临着恶意信息上链的问题。随着区块链的快速发展与智能合约的出现,智能合约成了以太坊时代安全问题多发地,或许会导致恶意转币、造币等危害。

 

大安全时代,如何保护区块链安全

 

“安全意识基本都是靠事件驱动”,从另一层面看安全事件会促使整个行业关注到安全问题,在高雪峰看来,近期安全事件频发或许是对行业安全意识的一次集体教育。

 

区块链企业或者项目该如何保障自身安全?“如果单靠360这类外部安全公司,无法从根本上保护区块链企业的安全,企业需要打造属于自己的安全团队”,高雪峰对金色财经记者表示,区块链行业有自己的特殊性,区块链行业企业的业务相对来说比较深入,想要做好安全就要深入观察业务,但这与企业业务逻辑的保密性之间是有冲突的。“因此区块链企业必须要配备自己的安全团队,只有在项目团队本身具备一定安全能力的基础上,双方配合协作,像360这样的外部安全公司才能更好的协助他们将安全做得更好。”

 

张东谊对金色财经表示,安全是个非常庞大的系统架构,其中包括系统安全、网络安全、代码安全、通信安全、中间件安全、业务安全等,很多区块链企业并没有意识到这一点,对于区块链企业的安全防护,张东谊建议着重关注使用专业的代码审计服务、熟悉安全编码规范实行严进宽出规则、密码算法的安全性、以及多人代码审核、内部测评小组、外部专家评测,白帽黑客激励机制四个方面。

 

对于数字资产拥有者的安全防护来说,高雪峰从三个方面给出了建议:一是学会保护自己的私钥,二是学会保存数字资产,冷热钱包以及交易所按照一定比例合理分配,三是提高自己安全意识,防止被钓鱼网站攻击等。

 

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。