Cosine, fundador de SlowMist: algunas reflexiones sobre el mundo de la cadena de bloques y la seguridad después de 2020

Como conocedor del mundo de la cadena de bloques, tengo algunos pensamientos y los escribo para chatear con mis seguidores. Tres cajas mágicas En la historia del desarrollo de la cadena de bloques, creo que hay tres hitos similares a las cajas mágicas. Dado que es una caja mágica, debe generar suficiente influencia, aunque no necesariamente puede generar suficiente aterrizaje. El primero es Bitcoin, el mundo del consenso de Satoshi Nakamoto. No hace falta decir que Bitcoin/Satoshi Nakamoto ya es la creencia más alta en este mundo. Curiosamente, en la lista de personajes "cypherpunk" en Wikipedia, uno es Satoshi Nakamoto y el otro es Assange. Assange es el fundador de WikiLeaks. Comenzó a operar WikiLeaks a fines de 2006. WikiLeaks es un medio de Internet sin fines de lucro y sin fronteras que permite a las organizaciones, empresas y gobiernos operar bajo el sol al ayudar a personas con información privilegiada. documentos confidenciales y son controvertidos. De todos modos, a muchos países poderosos no les gustan. Al final, estos países no pudieron soportarlo. En 2019, Assange fue arrestado oficialmente... En 2010, Assange vio el desarrollo de Bitcoin. , Es una idea genial anunciar que WikiLeaks aceptará el patrocinio de Bitcoin. A excepción de Bitcoin, los canales de patrocinio de moneda fiduciaria de WikiLeaks están estrictamente bloqueados por la supervisión de varios países, y Bitcoin es difícil de bloquear. En ese momento, Satoshi Nakamoto estaba muy ansioso, pensando que Assange hizo un anuncio de tan alto perfil, lo cual no es bueno para Bitcoin, que solo ha estado en desarrollo durante dos años. Después de todo, ¿cuál es la situación de Bitcoin? ¿WikiLeaks? Satoshi Nakamoto no es idiota, en caso de que uno no tenga cuidado y el Bitcoin que tiene solo 2 años sea asesinado por superpoderes, entonces qué hacer. En ese momento, Satoshi Nakamoto dejó un pasaje: Slow Mist: Ribbon Finance encontró un ataque de DNS y un usuario perdió 16.5 WBTC: News el 24 de junio, Ribbon Finance tuiteó que encontró un ataque de DNS y Slow Mist MistTrack encontró al atacante a través de análisis en cadena Es lo mismo que el atacante de Convex Finance hoy.. La dirección 0xb73261481064f717a63e6f295d917c28385af9aa es la dirección de billetera compartida por el atacante para llamar al contrato malicioso. Al mismo tiempo, el análisis encontró que un usuario de Ribbon Finance perdió 16,5 WBTC en el ataque.La transacción específica es: https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850. [2022/6/24 1:29:35] Hubiera sido bueno recibir esta atención en cualquier otro contexto. WikiLeaks ha pateado el nido de avispas (avispa), y el enjambre se dirige hacia nosotros De: https://bitcointalk.org/index.php?topic=2216.msg29280#msg29280SlowMist: el puente Harmony Horizon fue atacado: según el equipo de seguridad de SlowMist, el puente Harmony Horizon fue pirateado. Según el análisis de SlowMist MistTrack, el atacante (0x0d0...D00) obtuvo una ganancia de más de 100 millones de dólares estadounidenses, incluidos 11 tipos de tokens ERC20, 13 100 ETH, 5000 BNB y 640 000 BUSD, y el atacante transfirió la mayor parte de los tokens en la cadena Ethereum Vaya a dos nuevas direcciones de billetera, intercambie tokens por ETH y luego transfiera todo el ETH a la dirección inicial (0x0d0... D00) La dirección actual (0x0d0... D00) es de aproximadamente 85,837 ETH y todavía no hay transferencia Al mismo tiempo, el ataque No hay operación de transferencia de fondos en la cadena BNB. SlowMist MistTrack monitoreará continuamente la transferencia de fondos robados. [2022/6/24 1:28:30] En 2011, Satoshi Nakamoto desapareció... No podemos especular por qué desapareció, pero es cierto que Bitcoin ha comenzado a desarrollarse fuera de control. Mirando hacia atrás ahora, las olas históricas pasadas de Bitcoin han hecho que Bitcoin sea hoy, y Bitcoin abrió la primera caja mágica en el mundo de las criptomonedas. La segunda caja mágica la abre Ethereum, que introduce el contrato inteligente completo de Turing, de modo que la cadena de bloques no solo puede ejecutar criptomonedas, sino también ejecutar cálculos personalizados, aunque este tipo de cálculo no es tan "inteligente" como se imagina, aunque la apertura de esta caja mágica ha traído mucho caos, pero ahora sabemos: "Oh, la cadena de bloques puede hacer tal cosa". Libra abrió la tercera caja mágica. La gente en el mundo de las criptomonedas está preocupada: "Vaya, resulta que la cadena de bloques se puede jugar así..." Libra, un paquete de monedas estables globales, está dominado por Facebook. Todo el sitio web oficial está lleno de la sensación de revolución de la moneda digital, y la visión es extremadamente dominante: Slow Fog Security Recordatorio: Discord, configuración de permisos de anuncios de canales de Telegram Recordatorio: según SlowMist Security Intelligence, recientemente ha habido proyectos que se han apoderado de cuentas de administración debido a problemas con la configuración de permisos de cuentas de administración de Discord y han lanzado enlaces de phishing a través de canales de anuncios, lo que ha resultado en pérdidas para evento de usuarios de la comunidad. Me gustaría recordarles a todos que presten atención a agregar configuraciones de permisos de canales, administrar anuncios y evitar anuncios de nombres oficiales falsos y problemas de phishing de enlaces de red. [2021/12/24 8:00:42] Establecer una moneda global simple y una infraestructura financiera para servir a miles de millones de personas. Recrear dinero. Reformar la economía mundial. Permitir que las personas de todo el mundo vivan una vida mejor. Después de Libra, todos vieron rápidamente la gran actitud de nuestro país hacia la cadena de bloques: "¡Se debe hacer la cadena de bloques!" Ya... una división Después de que se abren las tres cajas mágicas, hay una división obvia en este mundo: la cadena pública y la alianza cadena. Aunque las criptomonedas en la cadena pública han sido reconocidas hasta cierto punto en algunos países desarrollados y países del tercer mundo, por ejemplo, se reconocen como "propiedad personal" e incluso pueden usarse como monedas de pago legales en un rango pequeño, pero estos son estrictamente En virtud del acto reglamentario, con especial énfasis en la lucha contra el blanqueo de capitales. Pero la criptomoneda es generalmente algo nuevo que se trata con gran vigilancia por el orden mundial existente. Pero la cadena de alianzas es diferente. La cadena de alianzas es la forma preferida del orden mundial existente, porque puede ser autónoma y controlable. Mirando los escenarios de cadenas de alianzas existentes, podemos encontrar una característica común "modelo de permiso". Solo las unidades autorizadas pueden participar en la cadena de alianzas y convertirse en un nodo clave de la cadena de alianzas. La escena correspondiente a la cadena de alianzas debe tener algún tipo de "supersupervisor". Este "supersupervisor" es responsable de monitorear y administrar las actividades del juego de todas las partes en este escenario. Por supuesto, este "supersupervisor" también puede estar descentralizado. Como la "Fiesta Super Supervisión" y la "Fiesta Super Gestión". Ya ves, qué buena cosa es la cadena de alianzas. Por supuesto, también hay muchas situaciones mixtas en la cadena de alianzas, así que no hablaré de ellas. Voz | Tecnología SlowMist Cosine: el atacante usó el mismo número de teléfono móvil para obtener los permisos del usuario objetivo en Coinbase: el fundador de la tecnología SlowMist, Cosine, publicó una publicación sobre el reciente ataque de transferencia de tarjeta SIM en la plataforma de comercio de moneda digital, diciendo que la cuenta de Coinbase de alguien era accedido hace unos días Encontró un SIM Port Attack (ataque de transferencia de tarjeta SIM) y perdió más de 100,000 dólares estadounidenses en moneda digital, lo cual fue muy doloroso. El proceso de ataque es más o menos el siguiente: el atacante obtiene la privacidad del usuario objetivo a través de la ingeniería social y otros medios, y obtiene una nueva tarjeta SIM engañando al operador, y luego obtiene fácilmente los permisos del usuario objetivo en Coinbase a través del mismo teléfono móvil. número. La SIM ha sido transferida, lo cual es muy problemático. Básicamente, muchos de nuestros servicios en línea usan el número de teléfono móvil para una verificación secundaria o verificación de identidad directa. Este es un método de autenticación muy centralizado, y el número de teléfono móvil se convierte en el objetivo del ataque. .debilidad Ha habido muchos casos de este ataque en China antes, y las estrategias de control de riesgos de los operadores son cada vez más poderosas, pero siempre hay formas de eludir la estrategia. Esta forma es principalmente ingeniería social, por supuesto, la combinación de otras No se descartan formas. No es que no confíe en los operadores o servicios centralizados, pero este importante activo, todos deberían ser más cautelosos ¿Debería haber un método de almacenamiento más seguro para grandes cantidades de moneda digital? ¿No deberían las estrategias de control de riesgos de seguridad de las plataformas relevantes ser más reflexivas sobre cómo mejorarlas? [2019/5/27] La ​​ecología de la cadena pública menciona específicamente la ecología de la cadena pública, la ecología de la cadena de alianza no tiene nada que mencionar, deja que las balas vuelen más y luego habla de eso:-) Como es una cadena pública, es el blockchain pública del mundo, el desarrollo bárbaro es su gen más grande, cómo supervisar esto de manera efectiva es un gran tema, que no se discutirá aquí. Aquí hay una breve lista de lo que creo que es interesante en el mundo de la cadena pública, que actualmente es una demanda rígida a pequeña escala. Noticias | SlowMist Zone dijo que la principal vulnerabilidad de Augur es un ataque típico de piratería front-end: según SlowMist Zone, la plataforma de mercado de predicción descentralizada reportada anteriormente Augur estuvo expuesta a un problema de vulnerabilidad importante que es un ataque típico de piratería front-end . Este tipo de ataque depende de algunas condiciones, por ejemplo, el atacante necesita preparar un enlace de página (no el enlace de Augur), y no importa qué método se puede usar para permitir que los usuarios que han instalado Augur visiten, y luego el usuario necesita para reiniciar la aplicación Augur, a fin de formar ataques posteriores. Dado que la dirección del nodo Augur configurada en la aplicación Augur se reemplazó en este momento, el ataque posterior es esencialmente un ataque MITM (man-in-the-middle), que de hecho puede hacer muchas cosas malas en teoría. El equipo de seguridad de SlowMist recuerda lo siguiente: Este es un método común de ataques entre dominios privados en los ataques de piratería front-end, y otras partes del proyecto también deben prestar atención. [8/8/2018] Requisitos de pago: las criptomonedas con un amplio consenso mundial, como Bitcoin, Monero y Ethereum, se pueden usar para el pago y la liquidación en ciertos escenarios, incluidas las monedas estables que se ejecutan en ellas. ) DApp, esta es actualmente una buena aplicación a pequeña escala en Ethereum, pero gira principalmente en torno a los préstamos hipotecarios, pero está tratando de aprender de la escena financiera mundial existente y se esfuerza por mejorar las necesidades de entretenimiento en la escena descentralizada: Algunas DApps de juegos competitivos , como los que se ejecutan en Ethereum, EOS y Tron, tienen alta calidad, aunque en comparación con la escena de juegos existente en el mundo, hay muy pocos jugadores y muy pocos requisitos de privacidad: Web3.0, usuarios Para dominar la clave privada es para dominar los activos y los derechos de privacidad. Para decirlo sin rodeos, Web3.0 puede permitir a las personas "gobernar sus propios asuntos" mejor. Creo que esta es una dirección a largo plazo muy significativa, pero la velocidad del avance no será rápida. Requisitos: Este es el caso en cualquier mundo, "Si no se especula con las cosas, habrá menos motivación", razón por la cual hay tantos intercambios de criptomonedas, que también dan lugar a muchos requisitos de almacenamiento caóticos: Hay muchas personas como A mí, que me gusta, la criptomoneda se mantendrá durante mucho tiempo, por lo que debe almacenarse de forma segura, y la billetera de criptomonedas está llena de demanda de potencia informática: ya sea PoW, PoS/DPoS, etc., la esencia es tener " poder de cómputo" es decir tener "poder de cómputo" El derecho a producir bloques, es decir, el derecho a acuñar monedas. Por supuesto, los "derechos de acuñación de monedas" no dependen necesariamente del "poder de cómputo". Por ejemplo, USDT/TUSD/USDC/GUSD/PAX y otras monedas estables cifradas son de naturaleza muy centralizada. Por ejemplo, los piratas informáticos que han dominado ciertos tipos de vulnerabilidades también pueden tener " derechos de acuñación", pero los "derechos de acuñación" del hacker no durarán mucho, y no es fácil que este tipo de lagunas tengan alrededor de estos 7 puntos en las principales cadenas públicas del mundo, y puede haber algunos , empecemos con esto. La integración y la evolución de estos requisitos me hacen esperar con ansias el mundo de la cadena de bloques después de 2020. La evolución de la cadena pública dará a luz a un grupo de verdadera privacidad, libertad y seguridad, la evolución de la cadena pública resolverá ciertos límites de confianza entre países, razas y grupos. Bueno, es un poco grande decirlo, pero será así. Hablar de seguridad en el mundo de las cadenas públicas de seguridad es una fuerte demanda, se puede considerar que este es un nuevo tipo de dirección de seguridad financiera, todas las nuevas órdenes son "cruzar el río palpando las piedras", por seguridad, además de siguiendo el "sentir las piedras" "Cruzar el río" no tiene una directriz especialmente clara. Pero creo que esto es interesante, la dirección es lo suficientemente nueva, el espacio es lo suficientemente grande y el equipo de seguridad puede expandir el territorio. La seguridad está unida a la ecología. Cada punto de la ecología de la cadena pública mencionada anteriormente tiene necesidades de seguridad absolutas. Además del ataque y la defensa de la seguridad de la red tradicional, más es el ataque y la defensa de la seguridad de la propia cadena pública. Llamamos a estas dos partes "seguridad fuera de la cadena y seguridad en la cadena". Con respecto a la importancia de la seguridad en el mundo blockchain, puedes ver mi artículo anterior, así que no explicaré mucho aquí. La seguridad es una de las infraestructuras del ecosistema blockchain, sin importar la cadena pública o la cadena de alianza. Pero desde el punto de vista de los negocios que solo se necesitan, la seguridad es una gran necesidad en el mundo de las cadenas públicas, y puede nacer una empresa de seguridad blockchain lo suficientemente poderosa; la seguridad es una "demanda falsa" en el mundo de las cadenas de alianzas, y las empresas de seguridad en este mundo y en El sentido de la existencia en el orden mundial existente es similar, lo habrá, no es que no haya mercado, pero falta gravemente imaginación. Un punto más sobre la seguridad de la cadena de alianzas: hay demasiados escenarios de la cadena de alianzas, y la seguridad está muy rezagada y no ha experimentado suficientes pruebas de confrontación de seguridad como muchos escenarios de la cadena pública. Una de las entradas de ataque y defensa de seguridad más aterradoras es el "superregulador", que puede determinar directamente la vida o la muerte de una cadena de alianzas. Una cosa que tengo que decir: los derivados de valores construidos sobre la infraestructura de seguridad son el verdadero gran mercado. El mundo necesita escenarios de pago seguros, escenarios financieros seguros, escenarios de entretenimiento seguros, escenarios de privacidad seguros, escenarios de especulación monetaria segura, escenarios de almacenamiento seguro, escenarios de poder informático seguro, etc. La escena ya no es un requisito puro de defensa y ataque de seguridad, sino un requisito derivado basado en la seguridad. Aquí, hemos dividido la seguridad en dos partes: productos de seguridad y derivados de seguridad. El producto de seguridad en sí tiene mucho espacio para la creación, algunas creaciones únicas de seguridad en la cadena y seguridad fuera de la cadena: la capa en la cadena puede tener su propio escaneo de vulnerabilidades, firewall, anti-lavado de dinero, etc., y el los componentes centrales deben realizarse en la cadena, como en la capa de contrato inteligente, se puede realizar algún trabajo en la capa de usuario del contrato inteligente y la capa del sistema del contrato inteligente. Hay más espacio para la creación en el nivel fuera de la cadena, que puede tener su propio escaneo de vulnerabilidades, análisis de amenazas, análisis de eventos, firewall, antilavado de dinero, etc. Los componentes principales se implementan fuera de la cadena y las políticas de seguridad relevantes son implementado a través de varias entradas de la cadena de bloques, como RPC, P2P, máquina virtual de contrato inteligente, etc

Tags：

MANA