余弦:区块链安全攻防对抗是持续的,未来还会加剧

image.png

余弦 | 访谈嘉宾

蚂蚁币众小姐姐、金色财经、链得得、币快报 | 访谈主持

本期简讯

10月28日20:00,慢雾科技创始人余弦做客“纷智共识机·百家访谈”第十七期,与蚂蚁币众小姐姐、金色财经客座主持展开共识对话。本次访谈在“528-FINWISE香港纷智峰会嘉宾”微信群发起,由蚂蚁节点联盟同步转播2000+微信社群,粤港澳大湾区媒体联盟及百家媒体全程报道。

余弦是区块链安全技术领域的资深专家,是知道创宇技术副总裁、慢雾科技创始人。在访谈中,余弦站在区块链安全技术领域的前沿,以独特的技术思维为我们分享了区块链领域的安全风险、未来数字货币的支付与技术创新、区块链安全公司在未来行业生态如何完善、慢雾科技的核心竞争力和未来发展规划等话题的精彩观点。他表示,区块链安全攻防对抗是持续的,未来还会加剧。

以下为访谈详录

01

来自蚂蚁的提问:近几天习大大发表关于加快推动区块链技术和产业创新发展的相关讲话,在行业内外引发了强大震动。您认为中央发出的支持区块链发展的信号将使整个行业发生什么根本性变化?

余弦:国家支持区块链的发展是一个很明确的态度,我们还没很深度地研究到底能带来行业的根本性变化。这里有些观点可供参考。

第一点:意味着正规军将进场,这已经是可预见的大势所趋。很快就会感受到势如破竹,联盟链的场景将会疯狂出现,虽然大多数是概念新型。不过,这和我们所处的公链世界关系不大。

第二点:国家法定的数字货币即将出现,不过这和区块链的关系或许不大,还需再观望。

第三点:安全监管会逐步成熟起来,对我们所处的世界会有很大的影响,长远来看是个好事。

第四点:区块链本源的精神会在全球更加根深蒂固,对整个加密货币世界会影响越来越深远。这跟我们现在所处的加密世界,或者说公链世界,关系是息息相关的。

02

来自金色财经的提问:2019 年发生了很多区块链安全事件,造成了高达几十亿美金的损失。请问区块链领域的安全风险主要有哪些?作为区块链安全领域的资深专家,您怎么看待这个现象?未来区块链的生态安全将如何得到整体提升?

余弦:我们做了历史上所有被披露的相关事件统计,被黑的主要类型大概有这几种:交易所、公链、智能合约、Dapp、钱包。历史上区块链相关被黑的总损失金额大概有84亿美金,单独看交易所这个模块就有40多亿,占了接近总量的一半。

被黑的手法,简单来说一部分是跟链上的威胁有关,有一大部分是跟链下的威胁有关。我们说到链下威胁的时候,往往指的是传统的网络攻防;链上的就是包括智能合约所覆盖的相关内容。

我们理解的攻防对抗是持续的,未来还会加剧。如何提高整个安全性?首先,安全必须是基础设施,开始阶段就要植入安全的基因,要有安全的全局观,也就是整个安全体系的建设与发展的思维。这一块可能讲起来比较简单,但是实际上做起来难度会非常大。

刚才提到的安全全局观:就是要把安全体系构建起来。一般情况下涉及几个方面:项目方的人员、办公网、研发过程、运维过程,以及整个运营环节的安全过程,还包括对外业务,比如说生产网上的,里里外外的防御。

现在我们面对的加密货币行业,不止链下的攻防,还有很多是跟区块链智能合约相关的链上威胁,是非常整体的,需要整个风控和整个安全体系的设计才能解决这些问题。

03

来自链得得的提问:交易所安全一直是行业重点关注的安全领域,系统被黑、资产被盗的事件让用户对交易所的安全存有疑虑,站在技术角度,您认为交易所的安全问题如何有效防患,目前的安全技术是否已经成熟?

余弦:目前来说,整个行业尤其是交易所尚处于比较初级的阶段,行业主要都覆盖在金融行业安全的建设。现在大家的业务跑得太快,安全人才缺失,整个安全体系缺少建设。

关于交易所安全,我们最近出了一些相关方案。比如针对交易所整个安全监测的方向上,把交易所安全分为六个模块:业务基线、生产网  服务器、应用、私钥、办公网,这六大点里面又能拆成36个小项,只有把所有的点都做得很优秀,才能提高整个交易所,安全体系水平。

但是不意味着,这些项都做了,交易所就能绝对的安全。因为我们知道所有业务都在快速发展、变化,安全也是这样的,这就是为什么我们要做安全监测,因为它就是一个动态的过程。

即使能够确保及时地做安全监测,也不能觉得整个安全体系就是完美的,能抵挡所有的攻击。因为站在我们的角度,攻防是成本的对抗。你投入了多少成本,那攻击者的攻击行为所获利如果超过你的成本,那么对于攻击者来说能获得的更多,他就愿意攻击。

如果攻击者消耗成本非常之高,或者他想要的收益不高,而咱们的安全防护让他会觉得整个的投入产出比很低的情况下,他就不会攻击。

04

来自币快报的提问:今年很多交易所推出了期货合约的业务,杠杆也在不断增大。从技术角度来看,这些业务“安全”吗?

余弦:不能说这些技术实现层面有多特别,其实背后的技术细节都差不多,只是设计的逻辑上有差异。

从简单的指标上来看,它更需要安全,尤其是安全风控,因为在这个业务里,流动的钱或者数字货币有很多。这一块如果稍微有一些误差、问题,比如我们发现过的精度、并发上,压力没有承受住,可能导致其他的异常。

比如熊市里快速的瀑布,如果风控没有做好的话,可能会造成预期之外的损失,对用户造成困扰,当然对平台本身也会造成很多数据上的困扰。

交易所的业务都是钱和币相关的,量也很大,所以安全上的投入应该要更在意。我们是很难去直接下定论,这些业务到底安不安全,或者安全系数如何,但是所有人都会有感知,这是高风险的业务。

05

来自蚂蚁的提问:厦门慢雾是国内知名的安全审计公司,国内专注安全审计的企业还有很多,例如链安、PeckShield等,请问相较于其他企业,慢雾的核心竞争力在哪儿?慢雾的未来发展规划是什么?

余弦:慢雾的核心竞争力在于,它是唯一一家集链上链下攻防成体系的一家安全公司。从交易所、钱包、链、智能合约,都有丰富的积累与经验,口碑也是业内实打实的。

我自身也是攻防出身,到现在还是在攻防对抗的一线,虽然要带领整个公司的发展,但是有些东西,无论技术本身,还是黑客文化,都是骨子里的。慢雾科技终将成为区块链生态建设的基础设施。

06

来自蚂蚁的提问:中央高度关注区块链,相信未来的监管政策也会逐渐规范化。请问作为一家区块链安全公司,该如何拥抱监管?区块链安全公司在未来的行业生态中,将扮演什么角色?

余弦:从成立开始我们就已经在拥抱监管了。我们给相关单位作了区块链安全培训,区块链攻防相关培训和合作,包括最近几个月,网信办有备案的区块链企业,我们也配合相关单位作了一些抽样安全检查工作。

安全公司,在数字货币或者区块链行业,在过去现在未来,都会是一个比较中立的角色,它也扮演着权威安全背书的角色,不仅是现在谈的网络安全,还包括信息,合规安全等等。

07

来自蚂蚁的提问:全球在区块链领域的竞争格局日渐拉开,扎克伯格在Libra听证会上指出了支付和技术创新在应对全球竞争的重要性。如果未来数字货币支付在全球普及,作为区块链安全公司,能在安全护航上提供哪些服务与支持?

余弦:我们也很期待,未来有一天,数字货币支付在全球普及,最后还跟比特币有关联。如果到了那个场景,我觉得有两大块可以去做:

第一块:基建安全,有大量的基础设施要做。其实区块链相关的整个安全模型,包括交易所的安全体系,实际上是分为很多的模块。基建这一块需要有大量的公司配合起来,其中有一部分就是安全公司。

第二块:反洗钱。除了基建安全以外,安全的风控中有很重要的一部分是资金流动的安全,即反洗钱。这肯定是未来的一个重点。这里的反洗钱,跟传统的链下的,传统世界的反洗钱包括征信等整个体系不太一样,涉及很多链上的恶意地址分析追踪,阻拦。

余弦•访谈总结 

整个大势可以感知到未来越来越多的玩家会进入这个行业。但是行业整个发展水平以及安全建设,对标传统或者非区块链世界的行业还非常早期,整个安全体系尚处于初期,未来整个攻防可能还会继续加剧。原因很简单,现在整个发展水平还没跟上,而且有更多的角色会加入到这个行业中来。

对于每一个人,都需要对自己个人资产,做安全保护的提升,要使用有足够安全实力的产品,不要把大额资金放到中心化的平台上,而应该放在自己的钱包里,钱包储存的位置,比如电脑、手机等硬件,不要安装不相关的软件,尤其是破解的软件,更不能对手机做root,越狱这些危险的操作。