7天收到312個(gè)漏洞，涉及175個(gè)項(xiàng)目方 DVP開啟區(qū)塊鏈漏洞圍剿計(jì)劃

同互聯(lián)網(wǎng)一樣，區(qū)塊鏈?zhǔn)情_放而不是封閉的，主打安全的區(qū)塊鏈技術(shù)是相對(duì)的而不是絕對(duì)的，區(qū)塊鏈安全是共同的而不是孤立的。

極客網(wǎng)·區(qū)塊鏈 8月1日，由區(qū)塊鏈安全公司BCSEC與PeckShield共同發(fā)起——去中心化漏洞平臺(tái)DVP召開“安全鏈接計(jì)劃”發(fā)布會(huì)，于7月24日正式上線的DVP平臺(tái)，上線首周已收到白帽子所提供的312個(gè)漏洞，涉及175個(gè)項(xiàng)目方。

DVP全稱Decentralized Vulnerability Platform（去中心化漏洞平臺(tái)）意在利用區(qū)塊鏈技術(shù)，建立匿名化的安全眾測(cè)社區(qū)場(chǎng)景，打造去中心化、漏洞即挖礦的平臺(tái)概念。該平臺(tái)致力于解決區(qū)塊鏈企業(yè)安全危機(jī)，將連結(jié)區(qū)塊鏈廠商、安全公司和白帽子等社區(qū)參與者，最大化減少漏洞暴露風(fēng)險(xiǎn)，共筑區(qū)塊鏈生態(tài)安全。

DVP平臺(tái)CEO吳家志表示，區(qū)塊鏈技術(shù)還處于發(fā)展中階段，技術(shù)仍難以達(dá)到天衣無縫，同時(shí)，目前多數(shù)應(yīng)用在金融領(lǐng)域，且涉及大量資金，這就意味著，一旦遭到漏洞攻擊，就會(huì)帶來無法挽回的巨額損失。根據(jù)BCSEC最新統(tǒng)計(jì)數(shù)據(jù)，目前500家數(shù)字貨幣全球交易所，1644種數(shù)字貨幣，市值總額3448億元。截至2018年6月,針對(duì)數(shù)字貨幣的攻擊累計(jì)達(dá)到100次造成的直接經(jīng)濟(jì)損失33億5千萬美元。

吳家志表示，安全問題是區(qū)塊鏈企業(yè)成長(zhǎng)的核心“命脈”，從智能合約代碼審計(jì)，到節(jié)點(diǎn)加固再到滲透測(cè)試，無不涉及安全。尤其是智能合約具有“不可篡改”的特性，代碼又不可避免的存在一些BUG,這些安全漏洞很容易被黑客利用實(shí)施攻擊。

同時(shí)，仍未普及的區(qū)塊鏈技術(shù)，其安全技術(shù)體系更是零散。有數(shù)據(jù)顯示，目前全球有10000+的區(qū)塊鏈項(xiàng)目，區(qū)塊鏈安全服務(wù)公司卻只有不到50家。

存在安全隱患的區(qū)塊鏈生態(tài)自然成為黑客眼中的香餑餑，近年來，一系列安全事件層出不窮，波及范圍和資產(chǎn)損失數(shù)額也不斷增加。BCSEC數(shù)據(jù)顯示，僅今年上半年以來區(qū)塊鏈產(chǎn)業(yè)損失金額高達(dá)10億美元。以日前曝出的Bancor (BNT)的智能合約安全漏洞為例，其導(dǎo)致價(jià)值2350萬美元資金被竊取。而此前日本Coincheck交易所價(jià)值5億美元的加密貨幣被盜，韓國Coinrail交易所也丟失價(jià)值4000萬美元的加密貨幣。

吳家志表示，作為新興產(chǎn)業(yè)，區(qū)塊鏈產(chǎn)業(yè)的從業(yè)人員安全意識(shí)較為缺乏，導(dǎo)致目前的區(qū)塊鏈相關(guān)軟硬件的安全系數(shù)不高，存在大量的安全漏洞；此外，整個(gè)區(qū)塊鏈生態(tài)環(huán)節(jié)眾多，相較之下，相關(guān)的安全從業(yè)人員力量分散，難以形成合力解決問題。迎接上述挑戰(zhàn)需要系統(tǒng)化的解決方案。 

DVP平臺(tái)CSO鄧煥表示，DVP平臺(tái)就是希望能通過將企業(yè)和白帽子之間形成利益共同體，促使更多的“白帽子”主動(dòng)尋找企業(yè)漏洞，讓企業(yè)被動(dòng)變主動(dòng)，能及時(shí)發(fā)現(xiàn)漏洞進(jìn)行修補(bǔ)，避免遭受更大損失。

鄧煥介紹，漏洞即挖礦，促使白帽子和廠商形成利益體。白帽子在DVP平臺(tái)可以提交區(qū)塊鏈相關(guān)漏洞及威脅情報(bào)。并隨時(shí)查看漏洞審核及認(rèn)領(lǐng)進(jìn)度，獲得相應(yīng)的獎(jiǎng)勵(lì)。同時(shí)，為確保整個(gè)流程的公正性，DVP平臺(tái)會(huì)將漏洞信息進(jìn)行公鑰加密，區(qū)塊鏈廠商可以通過私鑰解密得到報(bào)告內(nèi)容詳情。當(dāng)確認(rèn)此漏洞無誤并采用后,懸賞獎(jiǎng)勵(lì)將自動(dòng)打入該漏洞提交者的地址。

正因?yàn)榇?，通過社區(qū)將重構(gòu)白帽子與廠商之間的關(guān)系，DVP平臺(tái)一方面將利用區(qū)塊鏈的天然的匿名性等特點(diǎn)有效保護(hù)“白帽子”，促使全球的白帽子和安全工程師都可以參與進(jìn)來發(fā)掘漏洞，另一方面則是有效擴(kuò)充企業(yè)有限的溝通渠道，降低溝通成本。

事實(shí)上，DVP平臺(tái)上不停增加的漏洞動(dòng)態(tài)，便是平臺(tái)建立意義的最好佐證。截止7月31日，DVP去中心化漏洞平臺(tái)上線僅一周時(shí)間，“白帽子”所提交的漏洞已多達(dá)312個(gè)，涉及175個(gè)項(xiàng)目方，包括目前的一些智能合約，知名公鏈，交易所等一系列的項(xiàng)目。

具體來看，經(jīng)審核后，所提交的漏洞中，高危漏洞達(dá)122個(gè)占所有漏洞的39.1%，中危漏洞53個(gè)，約占17%。其中，包括某智能合約廠商存在重入漏洞，黑客可通過該漏洞從合約中無限提取資金。某大型公鏈更是存在設(shè)計(jì)缺陷，可導(dǎo)致此項(xiàng)目大量的公鏈節(jié)點(diǎn)崩潰，甚至可能導(dǎo)致項(xiàng)目方硬分叉。

吳家志認(rèn)為，隨著各種公鏈價(jià)值的不斷提升，更多的攻擊者將涌入到區(qū)塊鏈行業(yè)。DVP作為一個(gè)去中心化的自治組織，將全方位多維度貫徹執(zhí)行漏洞的負(fù)責(zé)任披露，努力實(shí)現(xiàn)區(qū)塊鏈廠商與白帽子雙贏的良性循環(huán)。提升區(qū)塊鏈整體的安全意識(shí)，共同構(gòu)建更好的區(qū)塊鏈生態(tài)。

發(fā)起方背景：

PeckShield（派盾）是面向全球的業(yè)內(nèi)頂尖區(qū)塊鏈安全團(tuán)隊(duì)，由前360首席科學(xué)家、美國北卡州立大學(xué)終身教授蔣旭憲博士創(chuàng)辦，團(tuán)隊(duì)核心成員為海歸博士及清華博士，過去在移動(dòng)安全方面有深厚的積累，先是2012年，率先進(jìn)行了全球第一個(gè)智能手機(jī)上的惡意軟件基因組研究，目前該研究成果已被全球超過500所的科研機(jī)構(gòu)和知名跨國公司采用。此后又于2014年首次發(fā)現(xiàn)了特斯拉汽車的應(yīng)用程序安全漏洞。成立PeckShield以來，今年上半年因連續(xù)發(fā)現(xiàn)并命名了BEC、SMT、EDU等智能合約的重大安全漏洞，而廣受業(yè)內(nèi)關(guān)注。

BCSEC核心創(chuàng)始團(tuán)隊(duì)來自于白帽匯安全研究院，擁有行業(yè)最大的漏洞平臺(tái)創(chuàng)辦和運(yùn)營經(jīng)驗(yàn)，目前已匯聚了數(shù)萬名白帽子共同守護(hù)行業(yè)安全。該團(tuán)隊(duì)關(guān)注和研究最前沿的漏洞以及相關(guān)安全情報(bào)資訊,可為區(qū)塊鏈社區(qū)安全運(yùn)營提供預(yù)警,并持續(xù)為區(qū)塊鏈安全生態(tài)提供行業(yè)領(lǐng)先的技術(shù)解決方案，目前已對(duì)數(shù)字錢包、交易所、礦池、智能合約等多個(gè)應(yīng)用場(chǎng)景有深厚研究積累。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。