Golden Observation ｜ ¿Esas cosas serias e interesantes sobre la seguridad de blockchain?

Desde la aparición de las criptomonedas, los problemas de seguridad nunca se han roto, lo que parece ser algo diferente de la "seguridad" de la cadena de bloques que todo el mundo reconoce. ¿Es este mecanismo criptográfico lo suficientemente seguro? ¿Dónde está el problema principal?

A mediados de octubre, el autor participó en la Cumbre de seguridad de Xi'an SSC, que es un evento de seguridad en la industria de Internet de China, con la seguridad como tema central, y los organizadores y participantes de la conferencia están todos relacionados con la seguridad.

En el foro de seguridad de blockchain de la cumbre, conversamos con el organizador del foro, el equipo de tecnología de tiempo cero, sobre los problemas de seguridad que preocupan especialmente a los usuarios.La seguridad de blockchain es más feroz que los tigres. Pero esta seria pregunta también contiene muchos hechos aparentemente interesantes.

El siguiente es el autoinforme del entrevistado Deng Yongkai, CEO de Zero Hour Technology, y Wang Hang, reportero de Jinse Finance and Economics.

La imagen muestra a Deng Yongkai, CEO de Zero Hour Technology, en su discurso en la Cumbre de Seguridad de Xi'an.

Wang Hang, reportero de Jinse Finance: Vi que el sitio web oficial de Zero Time Technology ahora tiene tres productos, incluidas dos herramientas. ¿Cuándo los hizo?

Deng Yongkai, director ejecutivo de Zero Hour Technology: El primer producto que desarrollamos es una herramienta de detección de automatización de seguridad de contrato inteligente, que ahora está disponible de forma gratuita para los usuarios finales C. Convertimos en herramientas una lógica de auditoría de seguridad básica e importante y las abrimos ; otro Es un firewall basado en EOS DApp y existe en forma de SDK. Después de que el contrato se conecta al SDK, algunas transacciones anormales pueden ser advertidas y bloqueadas.

Golden Evening News | Lista de noticias importantes en la noche del 7 de septiembre: 12:00-21:00 Palabras clave: Hong Kong, El Salvador, Panamá, Rusia

1. Comisión Reguladora de Valores de Hong Kong: en el futuro, el alcance de la supervisión debe ampliarse a los activos virtuales, y las transacciones de criptomonedas sin licencia deben tomar medidas enérgicas;

2. Bitcoin se convirtió oficialmente en moneda de curso legal en El Salvador;

3. El ARKW Fund posee acciones de Grayscale Trust por valor de más de US$338 millones;

4. Exgobernador adjunto del Banco de la Reserva de la India: a favor de gravar las criptomonedas según cómo se adquieran;

5. Diputados panameños proponen proyecto de ley para regular criptomonedas;

6. El gigante de pagos Visa planea brindar servicios de criptomonedas a los bancos tradicionales en Brasil;

7. Kremlin: Rusia no está lista para reconocer Bitcoin;

8. V God propuso la idea del empaque NFT cross-Rollup y la migración de NFT en la segunda capa de transferencia ecológica;

9. Se espera que el intercambio indio CoinSwitch Kuber complete una nueva ronda de financiamiento con una valoración de US $ 2 mil millones;

10. Standard Chartered Bank: Ethereum es más como un "mercado financiero". [2021/9/7 23:07:00]

Para las auditorías de seguridad, las auditorías de seguridad de contratos inteligentes también son similares a las auditorías de seguridad de código fuente de seguridad tradicionales. No es muy confiable confiar completamente en la automatización, porque las reglas de la máquina están muertas y algunas de ellas involucran problemas de lógica comercial. Defectos problemáticos, reglas de automatización no son auditables. Incluso la verificación formal requiere una cierta base para el juicio. Las herramientas automatizadas se pueden utilizar como ayuda, y los problemas relativamente ocultos deben juzgarse manualmente a través de la experiencia.

Golden Noon News | Una lista de desarrollos importantes al mediodía del 9 de julio: 7:00-12:00 Palabras clave: Ethereum, Uniswap, El Salvador

1. ETH agregó más de 5 millones de direcciones únicas en 30 días;

2. ARKK aumentó sus participaciones en Coinbase y disminuyó sus participaciones en ROKU y Tencent Holdings;

3. Cuatro instituciones, incluido el Imperial Commercial Bank, planean establecer un mercado piloto de comercio de carbono en la plataforma desarrollada por ConsenSys basada en Ethereum;

4. El fabricante de máquinas de minería Bitcoin, Canaan Technology, lanzó el chip de IA Kanzhi K510;

5. Ransomwhere está rastreando pagos de rescate en criptomonedas por un total de más de $57.5 millones;

6. Uniswap lanzó una versión alfa de Optimism, el plan de expansión de segunda capa de Ethereum;

7. SushiSwap lanzará la innovadora plataforma NFT Shōyu en el tercer trimestre;

8. Las encuestas muestran que casi el 80% de los salvadoreños no creen en Bitcoin. [2021/7/9 0:39:24]

El propósito de nuestra herramienta abierta de detección de contratos inteligentes es permitir a los usuarios cargar el código del contrato para una detección gratuita y obtener un informe de auditoría. Si necesita una auditoría más detallada, puede contactarnos nuevamente y realizar la auditoría junto con el trabajo manual para encontrar problemas de seguridad y evitar la pérdida de activos.

Transmisión de datos de minería de Jinse Finance | El poder de cómputo de la red de ETH cayó un 2,59% hoy: Jinse Finance informó que, según los datos del grupo de minería de araña:

El poder de cómputo de la red BTC es 134.536EH/s, la dificultad de minería es 19.31T, la altura actual del bloque es 649849 y el ingreso teórico es 0.00000714/T/día.

El poder de cómputo de la red ETH es 249.191TH/s, la dificultad de minería es 3135.61T, la altura actual del bloque es 10928994 y el ingreso teórico es 0.00872011/100MH/día.

La potencia informática de la red BSV es de 1,847 EH/s, la dificultad de extracción es de 0,29 T, la altura del bloque actual es de 654062 y el ingreso teórico es de 0,00048724/T/día.

La potencia informática de la red BCH es 2.565EH/s, la dificultad de extracción es 0.35T, la altura actual del bloque es 654300 y el ingreso teórico es 0.00035089/T/día. [2020/9/25]

Wang Hang, reportero financiero de Jinse: En general, ¿cómo va su proceso de auditoría?

Deng Yongkai, CEO de Zero Hour Technology: En primer lugar, obtenemos los requisitos de auditoría de los usuarios y los analizamos con la herramienta de auditoría de seguridad interna del equipo. ¿Cuál es el escenario comercial, la escala comercial y la lógica comercial? Luego describa el negocio y luego observe si hay algún problema en el código que sea inconsistente con las funciones descritas. Por ejemplo, si se extraerá, si las monedas se bloquearán, si la configuración de permisos es incorrecta, si habrá emisión adicional y acuñación ilimitada, etc.

Transmisión de datos de minería de Jinse Finance | El poder de cómputo de la red de ETH aumentó un 2,58% hoy: Jinse Finance informó que, según los datos del grupo de minería de araña:

La potencia informática de toda la red ETH es de 185,898TH/s, la dificultad de extracción es de 2338,55T, la altura actual del bloque es de 9634276 y el ingreso teórico es de 0,00738919/100MH/día.

El poder de cómputo de la red BTC es 121.781EH/s, la dificultad de minería es 15.49T, la altura actual del bloque es 620866 y el ingreso teórico es 0.00001623/T/día.

La potencia informática de la red BSV es 2.722EH/s, la dificultad de extracción es 0.38T, la altura actual del bloque es 625395 y el ingreso teórico es 0.00066132/T/día. [2020/3/9]

Debido a la particularidad del contrato inteligente y la complejidad de la lógica comercial en el proyecto DeFi actual, todas nuestras auditorías de código están sujetas a auditorías cruzadas. Múltiples auditores son auditados de forma cruzada, y se plantea cualquier problema, y ​​luego se revisan mutuamente. Vea si los problemas que auditan se superponen. Diferentes personas tienen diferentes puntos de entrada para la auditación. Por lo tanto, la auditoría cruzada puede encontrar más problemas.

Wang Hang, reportero financiero de Jinse: ¿Cuáles son las funciones principales de sus clientes comerciales?  

Deng Yongkai, CEO de Zero Hour Technology: La mayoría de los clientes ecológicos de la cadena pública son principalmente plataformas comerciales y proyectos de cadena pública, y los clientes ecológicos de la cadena de alianza se encuentran principalmente en la industria financiera tradicional y en los campos gubernamentales y empresariales, entre los que se encuentra la seguridad de la plataforma de negociación es la más complicada.

Golden Relativity | Huobi Korea lanza Prime de forma independiente. El primer proyecto será Alipay en la industria de la cadena de bloques: Golden Relativity: Treasurer Investigation Agency: El número 12 se estrenará hoy a las 19:00 ~ Huobi Korea lanza Prime de forma independiente. El primer proyecto es el distrito Alipay en el mundo blockchain? El comerciante Tong te llevará a descubrir el misterio. Haga clic en el enlace original para ver la discusión. [2019/4/19]

Por ejemplo, la plataforma de negociación, desde su propio negocio de productos hasta aplicaciones móviles, sitios web, carteras de activos y sistemas de cuentas, debido a que está centralizada, la mayoría de los problemas de seguridad son los mismos que los de la seguridad tradicional, pero en las carteras y la gestión de activos es bastante especial. En el proceso de servicio de seguridad de la plataforma comercial, además de las pruebas de seguridad empresarial y las pruebas de penetración, también realizaremos ataques de ingeniería social, ataques de phishing, etc. Vale la pena mencionar que la mayoría de los problemas que enfrentamos son relacionados con la seguridad de la oficina.

Entre ellos, el ataque de ingeniería social consiste en detectar la debilidad del objetivo a través de algún medio no convencional. El problema más probable es la red de su oficina. Varios intercambios que hemos auditado han irrumpido en el sistema objetivo a través de la red de la oficina. Hay muchas maneras, en el caso de obtener la autorización del cliente objetivo, por ejemplo, puede ir a la oficina del objetivo, pero muchos intercambios no pueden encontrar su oficina. Después de determinar la ubicación, podemos visitarlos y podemos usar algunos equipos preparados, como cables de datos modificados, ratones y unidades flash USB con nombres, etc. Después de que estos dispositivos se usen inadvertidamente, podemos controlar su red o el host , si estos hosts se pueden conectar a los antecedentes comerciales de la plataforma comercial, o tienen la autoridad para operar la billetera, básicamente pueden controlar los activos de destino y los datos centrales.

Este es un ataque de ingeniería social, que aprovecha los errores humanos y las debilidades de la naturaleza humana. Por ejemplo, si un atacante necesita ingresar al lugar de trabajo, puede confiar en el personal debido a las necesidades comerciales, o falsificar credenciales, control de acceso, etc., y finalmente ingresar a la red de destino.

Hay otras formas, como la falsificación de WiFi, falsificamos un WiFi para permitir que la víctima se conecte, o falsificamos una gran cantidad de puntos de acceso que son los mismos que el WiFi de destino para permitir que la víctima se conecte, o directamente hacemos que el WiFi de destino no funcione, el El propósito es permitir que la víctima se conecte a nuestro WiFi. Cualquiera de las víctimas es falsificada por nosotros. Después de que la víctima ingrese la contraseña, la obtendremos, para que podamos continuar ingresando a la red de destino y robar datos.

Incluso el método de ataque está dirigido a las impresoras. Generalmente, pocas personas prestan atención a las impresoras, pero las impresoras actuales son más inteligentes y almacenarán los archivos impresos y escaneados históricamente durante un período de tiempo, y algunas personas imprimirán las palabras mnemotécnicas. Un caso de demostración es que la impresora del cliente de destino se puede configurar con un buzón y el contenido histórico impreso se enviará al buzón designado de manera unificada.

En cuanto a las cuestiones de seguridad de la oficina, el personal técnico puede estar bien, pero el personal administrativo, financiero y comercial puede que básicamente no tenga conciencia de seguridad, no instale software antivirus ni aplique parches, lo que equivale a correr desnudo por la calle. En uno de nuestros casos anteriores, había un virus en la computadora del personal financiero de un cliente, la computadora del personal financiero podía operar la billetera y se robaron más de 900,000 dólares estadounidenses en la billetera.

Por lo tanto, los profesionales de la seguridad siempre tienen una forma de ingresar a la red de destino con autorización para acceder y controlar los datos y activos de destino. En este momento, se requieren requisitos morales extremadamente altos. Deben ser "solo piratas informáticos", y lo somos.

Wang Hang, reportero de Jinse Finance: ¿Cómo puede ser segura una plataforma con negocios comerciales concentrados y activos concentrados como un intercambio?

Deng Yongkai, CEO de Zero Hour Technology: El problema de seguridad del intercambio es un aspecto, no un punto único. Solo cuando todo el aspecto comercial es lo más seguro posible, la seguridad general puede mejorarse. El principio del barril es muy obvio. Especialmente después de que se mezclen las características de la ingeniería social y los ataques de phishing, por ejemplo, debe haber mucho personal comercial externo del intercambio, y estos riesgos son inciertos.

También hay muchos tipos de problemas de seguridad. Nuestro equipo ha estado realizando ataques y defensas de seguridad durante tantos años. Las técnicas de ataque de los atacantes están mejorando, nuestras técnicas de protección de seguridad también están mejorando, las técnicas de minería de vulnerabilidades de sombrero blanco están mejorando y los piratas informáticos maliciosos están mejorando. las técnicas están mejorando más rápido. Los piratas informáticos malintencionados pueden incluso comprar una vulnerabilidad de día cero (una nueva vulnerabilidad sin métodos de defensa ni parches) directamente en el mercado clandestino para atravesar directamente algunos sistemas.

Otro aspecto es la gestión de la seguridad de los activos, la configuración de la seguridad de la billetera, el control de riesgos de transacciones y activos, por ejemplo, algunos ataques roban monedas, en tiempos anormales, en el número anormal de transacciones, etc., estos comportamientos anormales requieren un sistema de control de riesgos, alerta temprana. de transacciones anormales, o interceptar transacciones directamente.

Además, para las direcciones de transferencias anormales, también se puede realizar una preselección y se pueden realizar asociaciones de contenido o retratos de direcciones para direcciones sospechosas. Por ejemplo, la dirección de la web oscura, la dirección de los piratas informáticos, la dirección del ransomware, la dirección del lavado de dinero, la dirección de los sitios web de phishing, etc.

Nuestro "Sistema de seguridad de transacciones y activos digitales (Sistema AML)" puede proporcionar API para estas funciones de control de riesgos, y esta interfaz se puede proporcionar a los intercambios. Si dichas direcciones maliciosas generan transacciones, se emitirán alertas tempranas de manera oportuna y cooperarán con el control de riesgo de la bolsa Medidas para proteger activos y transacciones.

El reportero de Golden Finance, Wang Hang: ¿Hay alguna diferencia en la comprensión de la seguridad de la cadena pública?

Deng Yongkai, CEO de Zero Hour Technology: En circunstancias normales, el código de la cadena pública es de código abierto y puede haber problemas con el código abierto. Por ejemplo, todos en la comunidad pueden contribuir con el código. Cuando se envía un código y se coloca en la sucursal, el paquete oficial se incluirá en la sucursal. Sí, después de empaquetarlo, pero este código es una puerta trasera muy oculta. En este momento, se introdujo una bomba de tiempo en el proyecto, y todos los activos pueden ser transferido después de medio año.

Por ejemplo, en julio de este año, el incidente de robo de monedas del proyecto RVN, con tres líneas de código por valor de 40 millones de yuanes, es un incidente de seguridad típico causado por el código abierto y la falta de conciencia de seguridad.

Los temas de seguridad son un tema muy diverso y complejo, especialmente en el campo de la cadena de bloques, que es aún más complejo. Fortalecer la conciencia de seguridad de todos es algo muy importante, y todas las lagunas son causadas por humanos.

Wang Hang, reportero de Golden Finance: Finalmente, hable sobre los principios de la auditoría de seguridad de blockchain.

Deng Yongkai, CEO de Zero Hour Technology: En primer lugar, el primer punto es la responsabilidad y la confianza. Los clientes confían en el equipo de seguridad para encontrar problemas de seguridad sin afectar su propio negocio. El equipo de seguridad debe ser responsable de las necesidades del cliente, encontrar tantos problemas como sea posible y proponga un programa de soluciones de seguridad para ayudar con la restauración.

Las personas en el campo de la seguridad son todas rectas. Si no tiene un sentido de la justicia, no puede ser un sombrero blanco calificado (solo técnico de seguridad). Debe apegarse al principio en todo momento para garantizar que el equipo cumpla No hagas cosas malas y conviértete en un Buda con un pensamiento. Un pensamiento se convierte en un demonio.

Tags：

Mejor intercambio de Ethereum