Golden Observation ｜ ¿Esas cosas serias e interesantes sobre la seguridad de blockchain?

Desde la aparición de las criptomonedas, los problemas de seguridad nunca se han roto, lo que parece ser algo diferente de la "seguridad" de la cadena de bloques que todo el mundo reconoce. ¿Es este mecanismo criptográfico lo suficientemente seguro? ¿Dónde está el problema principal?

A mediados de octubre, el autor participó en la Cumbre de seguridad de Xi'an SSC, que es un evento de seguridad en la industria de Internet de China, con la seguridad como tema central, y los organizadores y participantes de la conferencia están todos relacionados con la seguridad.

En el foro de seguridad de blockchain de la cumbre, conversamos con el organizador del foro, el equipo de tecnología de tiempo cero, sobre los problemas de seguridad que preocupan especialmente a los usuarios.La seguridad de blockchain es más feroz que los tigres. Pero esta seria pregunta también contiene muchos hechos aparentemente interesantes.

El siguiente es el autoinforme del entrevistado Deng Yongkai, CEO de Zero Hour Technology, y Wang Hang, reportero de Jinse Finance and Economics.

La imagen muestra a Deng Yongkai, CEO de Zero Hour Technology, en su discurso en la Cumbre de Seguridad de Xi'an.

Wang Hang, reportero de Jinse Finance: Vi que el sitio web oficial de Zero Time Technology ahora tiene tres productos, incluidas dos herramientas. ¿Cuándo los hizo?

Deng Yongkai, director ejecutivo de Zero Hour Technology: El primer producto que desarrollamos es una herramienta de detección de automatización de seguridad de contrato inteligente, que ahora está disponible de forma gratuita para los usuarios finales C. Convertimos en herramientas una lógica de auditoría de seguridad básica e importante y las abrimos ; otro Es un firewall basado en EOS DApp y existe en forma de SDK. Después de que el contrato se conecta al SDK, algunas transacciones anormales pueden ser advertidas y bloqueadas.

Para las auditorías de seguridad, las auditorías de seguridad de contratos inteligentes también son similares a las auditorías de seguridad de código fuente de seguridad tradicionales. No es muy confiable confiar completamente en la automatización, porque las reglas de la máquina están muertas y algunas de ellas involucran problemas de lógica comercial. Defectos problemáticos, reglas de automatización no son auditables. Incluso la verificación formal requiere una cierta base para el juicio. Las herramientas automatizadas se pueden utilizar como ayuda, y los problemas relativamente ocultos deben juzgarse manualmente a través de la experiencia.

Ledger Live encontró una falla en la alimentación de precios que causó errores en la visualización de los montos de las cuentas de usuario: el 8 de enero, la billetera de hardware encriptada Ledger tuiteó oficialmente que su aplicación de billetera Ledger Live encontró una falla en la alimentación de precios, lo que resultó en desviaciones en la visualización de las cantidades encriptadas. en cuentas de usuario. Las autoridades dicen que están trabajando para solucionar el problema. [2021/1/8 16:42:32]

El propósito de nuestra herramienta abierta de detección de contratos inteligentes es permitir a los usuarios cargar el código del contrato para una detección gratuita y obtener un informe de auditoría. Si necesita una auditoría más detallada, puede contactarnos nuevamente y realizar la auditoría junto con el trabajo manual para encontrar problemas de seguridad y evitar la pérdida de activos.

Wang Hang, reportero financiero de Jinse: En general, ¿cómo va su proceso de auditoría?

Deng Yongkai, CEO de Zero Hour Technology: En primer lugar, obtenemos los requisitos de auditoría de los usuarios y los analizamos con la herramienta de auditoría de seguridad interna del equipo. ¿Cuál es el escenario comercial, la escala comercial y la lógica comercial? Luego describa el negocio y luego observe si hay algún problema en el código que sea inconsistente con las funciones descritas. Por ejemplo, si se extraerá, si las monedas se bloquearán, si la configuración de permisos es incorrecta, si habrá emisión adicional y acuñación ilimitada, etc.

Debido a la particularidad del contrato inteligente y la complejidad de la lógica comercial en el proyecto DeFi actual, todas nuestras auditorías de código están sujetas a auditorías cruzadas. Múltiples auditores son auditados de forma cruzada, y se plantea cualquier problema, y ​​luego se revisan mutuamente. Vea si los problemas que auditan se superponen. Diferentes personas tienen diferentes puntos de entrada para la auditación. Por lo tanto, la auditoría cruzada puede encontrar más problemas.

El "Plan de desarrollo de la industria y la tecnología de cadena de bloques de la provincia de Zhejiang (2020-2025)" solicita opiniones del público: según las "Opiniones de implementación sobre la impresión y distribución de las opiniones de implementación sobre la promoción de la aplicación y el desarrollo de la tecnología de cadena de bloques en la provincia de Zhejiang" por 12 departamentos incluyendo el "Aviso" de la Oficina de Información de la Red del Comité Provincial del Partido de Zhejiang, después de una extensa investigación, el Departamento Provincial de Economía y Tecnología de la Información, junto con la Oficina de Información de la Red del Comité Provincial del Partido y la Comisión Provincial de Desarrollo y Reforma, redactaron conjuntamente el "Blockchain Provincial de Zhejiang Plan de Desarrollo Tecnológico e Industrial (2020-2025)”, que ya está abierto al público. Opinión. El período para solicitar comentarios es del 23 de noviembre de 2020 al 29 de noviembre de 2020. El borrador propone que las tareas principales actuales son acelerar el avance de las tecnologías de aplicación central, promover la construcción de la infraestructura de la cadena de bloques, promover la innovación y el desarrollo de la economía digital, promover el desarrollo integral de la sociedad digital, promover el desarrollo profundo de la tecnología digital. gobierno, acelerar la construcción de estándares y sistemas normativos, y promover la construcción de sistemas de formación de talentos, y mejorar la ecología de la industria del bloque. (Departamento de Economía y Tecnología de la Información de la provincia de Zhejiang) [2020/11/28 22:24:10]

Wang Hang, reportero financiero de Jinse: ¿Cuáles son las funciones principales de sus clientes comerciales?  

Deng Yongkai, CEO de Zero Hour Technology: La mayoría de los clientes ecológicos de la cadena pública son principalmente plataformas comerciales y proyectos de cadena pública, y los clientes ecológicos de la cadena de alianza se encuentran principalmente en la industria financiera tradicional y en los campos gubernamentales y empresariales, entre los que se encuentra la seguridad de la plataforma de negociación es la más complicada.

Por ejemplo, la plataforma de negociación, desde su propio negocio de productos hasta aplicaciones móviles, sitios web, carteras de activos y sistemas de cuentas, debido a que está centralizada, la mayoría de los problemas de seguridad son los mismos que los de la seguridad tradicional, pero en las carteras y la gestión de activos es bastante especial. En el proceso de servicio de seguridad de la plataforma comercial, además de las pruebas de seguridad empresarial y las pruebas de penetración, también realizaremos ataques de ingeniería social, ataques de phishing, etc. Vale la pena mencionar que la mayoría de los problemas que enfrentamos son relacionados con la seguridad de la oficina.

Opinión: cada ciclo ascendente en bitcoin tarda más en finalizar: prepárese para ser paciente con bitcoin, dice Dan Tepiero, fundador del fondo de inversión DTAP Capital. Cada ciclo alcista ha tardado más en terminar y ha sido menos extremo, ya que el valor absoluto del dólar ha aumentado considerablemente. Los precios pueden o no colapsar y explotar después de 6 a 12 meses. (Cointelegraph)[2020/8/29]

Entre ellos, el ataque de ingeniería social consiste en detectar la debilidad del objetivo a través de algún medio no convencional. El problema más probable es la red de su oficina. Varios intercambios que hemos auditado han irrumpido en el sistema objetivo a través de la red de la oficina. Hay muchas maneras, en el caso de obtener la autorización del cliente objetivo, por ejemplo, puede ir a la oficina del objetivo, pero muchos intercambios no pueden encontrar su oficina. Después de determinar la ubicación, podemos visitarlos y podemos usar algunos equipos preparados, como cables de datos modificados, ratones y unidades flash USB con nombres, etc. Después de que estos dispositivos se usen inadvertidamente, podemos controlar su red o el host , si estos hosts se pueden conectar a los antecedentes comerciales de la plataforma comercial, o tienen la autoridad para operar la billetera, básicamente pueden controlar los activos de destino y los datos centrales.

Este es un ataque de ingeniería social, que aprovecha los errores humanos y las debilidades de la naturaleza humana. Por ejemplo, si un atacante necesita ingresar al lugar de trabajo, puede confiar en el personal debido a las necesidades comerciales, o falsificar credenciales, control de acceso, etc., y finalmente ingresar a la red de destino.

Hay otras formas, como la falsificación de WiFi, falsificamos un WiFi para permitir que la víctima se conecte, o falsificamos una gran cantidad de puntos de acceso que son los mismos que el WiFi de destino para permitir que la víctima se conecte, o directamente hacemos que el WiFi de destino no funcione, el El propósito es permitir que la víctima se conecte a nuestro WiFi. Cualquiera de las víctimas es falsificada por nosotros. Después de que la víctima ingrese la contraseña, la obtendremos, para que podamos continuar ingresando a la red de destino y robar datos.

Incluso el método de ataque está dirigido a las impresoras. Generalmente, pocas personas prestan atención a las impresoras, pero las impresoras actuales son más inteligentes y almacenarán los archivos impresos y escaneados históricamente durante un período de tiempo, y algunas personas imprimirán las palabras mnemotécnicas. Un caso de demostración es que la impresora del cliente de destino se puede configurar con un buzón y el contenido histórico impreso se enviará al buzón designado de manera unificada.

En cuanto a las cuestiones de seguridad de la oficina, el personal técnico puede estar bien, pero el personal administrativo, financiero y comercial puede que básicamente no tenga conciencia de seguridad, no instale software antivirus ni aplique parches, lo que equivale a correr desnudo por la calle. En uno de nuestros casos anteriores, había un virus en la computadora del personal financiero de un cliente, la computadora del personal financiero podía operar la billetera y se robaron más de 900,000 dólares estadounidenses en la billetera.

Por lo tanto, los profesionales de la seguridad siempre tienen una forma de ingresar a la red de destino con autorización para acceder y controlar los datos y activos de destino. En este momento, se requieren requisitos morales extremadamente altos. Deben ser "solo piratas informáticos", y lo somos.

Wang Hang, reportero de Jinse Finance: ¿Cómo puede ser segura una plataforma con negocios comerciales concentrados y activos concentrados como un intercambio?

Deng Yongkai, CEO de Zero Hour Technology: El problema de seguridad del intercambio es un aspecto, no un punto único. Solo cuando todo el aspecto comercial es lo más seguro posible, la seguridad general puede mejorarse. El principio del barril es muy obvio. Especialmente después de que se mezclen las características de la ingeniería social y los ataques de phishing, por ejemplo, debe haber mucho personal comercial externo del intercambio, y estos riesgos son inciertos.

También hay muchos tipos de problemas de seguridad. Nuestro equipo ha estado realizando ataques y defensas de seguridad durante tantos años. Las técnicas de ataque de los atacantes están mejorando, nuestras técnicas de protección de seguridad también están mejorando, las técnicas de minería de vulnerabilidades de sombrero blanco están mejorando y los piratas informáticos maliciosos están mejorando. las técnicas están mejorando más rápido. Los piratas informáticos malintencionados pueden incluso comprar una vulnerabilidad de día cero (una nueva vulnerabilidad sin métodos de defensa ni parches) directamente en el mercado clandestino para atravesar directamente algunos sistemas.

Otro aspecto es la gestión de la seguridad de los activos, la configuración de la seguridad de la billetera, el control de riesgos de transacciones y activos, por ejemplo, algunos ataques roban monedas, en tiempos anormales, en el número anormal de transacciones, etc., estos comportamientos anormales requieren un sistema de control de riesgos, alerta temprana. de transacciones anormales, o interceptar transacciones directamente.

Además, para las direcciones de transferencias anormales, también se puede realizar una preselección y se pueden realizar asociaciones de contenido o retratos de direcciones para direcciones sospechosas. Por ejemplo, la dirección de la web oscura, la dirección de los piratas informáticos, la dirección del ransomware, la dirección del lavado de dinero, la dirección de los sitios web de phishing, etc.

Nuestro "Sistema de seguridad de transacciones y activos digitales (Sistema AML)" puede proporcionar API para estas funciones de control de riesgos, y esta interfaz se puede proporcionar a los intercambios. Si dichas direcciones maliciosas generan transacciones, se emitirán alertas tempranas de manera oportuna y cooperarán con el control de riesgo de la bolsa Medidas para proteger activos y transacciones.

El reportero de Golden Finance, Wang Hang: ¿Hay alguna diferencia en la comprensión de la seguridad de la cadena pública?

Deng Yongkai, CEO de Zero Hour Technology: En circunstancias normales, el código de la cadena pública es de código abierto y puede haber problemas con el código abierto. Por ejemplo, todos en la comunidad pueden contribuir con el código. Cuando se envía un código y se coloca en la sucursal, el paquete oficial se incluirá en la sucursal. Sí, después de empaquetarlo, pero este código es una puerta trasera muy oculta. En este momento, se introdujo una bomba de tiempo en el proyecto, y todos los activos pueden ser transferido después de medio año.

Por ejemplo, en julio de este año, el incidente de robo de monedas del proyecto RVN, con tres líneas de código por valor de 40 millones de yuanes, es un incidente de seguridad típico causado por el código abierto y la falta de conciencia de seguridad.

Los temas de seguridad son un tema muy diverso y complejo, especialmente en el campo de la cadena de bloques, que es aún más complejo. Fortalecer la conciencia de seguridad de todos es algo muy importante, y todas las lagunas son causadas por humanos.

Wang Hang, reportero de Golden Finance: Finalmente, hable sobre los principios de la auditoría de seguridad de blockchain.

Deng Yongkai, CEO de Zero Hour Technology: En primer lugar, el primer punto es la responsabilidad y la confianza. Los clientes confían en el equipo de seguridad para encontrar problemas de seguridad sin afectar su propio negocio. El equipo de seguridad debe ser responsable de las necesidades del cliente, encontrar tantos problemas como sea posible y proponga un programa de soluciones de seguridad para ayudar con la restauración.

Las personas en el campo de la seguridad son todas rectas. Si no tiene un sentido de la justicia, no puede ser un sombrero blanco calificado (solo técnico de seguridad). Debe apegarse al principio en todo momento para garantizar que el equipo cumpla No hagas cosas malas y conviértete en un Buda con un pensamiento. Un pensamiento se convierte en un demonio.

Tags：

DOGE