區塊鏈技術資源分享
追尋中本聰先生的腳步
?

區塊鏈為什么怕黑客攻擊_白帽子莫良_區塊鏈黑客_區塊鏈與網絡安全_Blocklike超愛區塊鏈

在區塊鏈的世界里,黑客猶如一團烏云籠罩在行業上空。而與這塊烏云對抗的是一群白帽子,他們的使命是守候疆土,防止黑客入侵。

在黑客的世界里,白帽子是正面的黑客,他們發現計算機或網絡系統里的安全漏洞,往往不會去利用和攻擊,而是幫助修補漏洞,與之相反的則是黑帽子,他們往往利用漏洞發動惡意攻擊。

在這場黑與白的對抗中,雖沒有硝煙,但招招見血。那些守衛在我們身后的白帽子究竟是一群什么樣的人?他們在保衛什么,在堅守什么?今天,Blocklike 超愛區塊鏈和你一起走進白帽子的世界。

大部分白帽子找漏洞出于興趣和責任

這幾天,某三線交易所白帽子烏宇(化名)每天都在死死盯著交易所的流量日志,他發現流量日志里面經常有一些奇奇怪怪的測試代碼,看到這些,他不由得緊張起來,他知道,他的對手黑帽子來了。

白帽子莫良-區塊鏈

根據他的追蹤,黑帽子每天正發出幾百次攻擊,他們正在用測試代碼來測試交易所的漏洞?!傅人麄兣琶谜麄€系統的安全防線后就會排兵布陣發動進攻,有時候甚至可能一招致命?!拐f著,烏宇的汗已經浸濕了上衣,每天大量的流量日志需要檢查,稍有不慎,交易所將承受經濟損失。

烏宇的好友、BYSEC.IO 創始人莫良向 Blocklike 超愛區塊鏈介紹了這其中的奧秘,每個 IP 的訪問記錄和瀏覽軌跡都會保留在流量日志里面,成熟的公司都會用程序化監測手段去尋找異常 IP 和訪問日志,但一家公司初期都是靠人力去逐條審核,這不僅加大了白帽子的工作量,而且對白帽子提出更高的要求,因為他們必須從每天幾萬條日志里發現黑帽子的行蹤,并即時修補漏洞,不給對手留任何進攻機會。

這是耐心和技術水平的比拼,大規模的盜幣事件都是有預謀、有組織的進攻,攻與防都是持久戰。

一旦黑帽子決定發起進攻,那絕對不是小規模盜幣,莫良認為,蓄謀已久的攻擊至少是上億的資金收益黑帽子才會鋌而走險。而一旦交易所被盜幣,安全團隊將被問責。

莫良透露,烏宇所在的交易所前不久剛被盜了 100 個比特幣,現在他們團隊對黑帽子的蹤跡更加謹慎,白帽子們要通過黑帽子僅有的蹤跡去揣測他們的攻擊方式,并提前部署防范。

白帽子和黑帽子,雖然他們看不到對方,但在一次次過招時雙方都能感受到對方的存在。除了在安全公司任職的白帽子,這個群體里現在還有一些職業漏洞捕手,以及業余愛好者。

區塊鏈全職白帽子平均薪資每月 4 到 5 萬,專職白帽子提交漏洞有時候會獲得項目方的懸賞金,但這只是少數。大部分情況白帽子找漏洞僅僅是興趣而責任,并沒有實際的經濟利益。僅僅從收入看,白帽子和黑帽子比起來就是月入一萬和日入一萬的差距。

和黑帽子比起來,我們這些白帽子只是工薪階層。喝酸奶必舔蓋,舔完蓋后舔手指。不善言辭,談道義談文化談理想啥都談不出來。聊到這,莫良雙眼瞇了起來,看了看遠方,嘴角掛著一絲微笑。

莫良創建的 BYSEC.IO 正是一個聚集區塊鏈白帽子的社區,他說,也許我們是在做公益吧,目前我們沒有什么盈利模式,做白帽子社區也不是為了盈利,我們想把這個群體聚起來,實現社區自制,推動整個區塊鏈行業的安全水平。

早期黑客并沒有自己的價值觀,經常在黑白之間游離

黑客群體最早出現在上世紀 90 年代,那時候互聯網在我國剛剛普及。他們游離于各大網站,發現漏洞就時不時秀秀肌肉,有時候會去提醒對方,也有時候會去故意找找茬,那時候的江湖并沒有明顯的黑道、白道。

在莫良看來,早期的互聯網發展非常粗糙,技術水平很低,黑客群體很廣泛,很多黑客都是初中生、高中生這類年輕群體,「互聯網發展水平和黑客水平總體都比較低,那時候的黑客多是兼職,憑興趣而為?!顾f。

雖然是游兵散將,但是黑客們榮譽感很強。莫良說,這就像你擁有了一門獨門秘籍一樣,它有攻擊性有殺傷力,可以做好事也可以做壞事,這給早期的黑客們帶來精神上極大的滿足感。

「也有時候他們受商業利益趨勢由白轉向黑,就像那些非洲童子軍一樣給錢就上,并沒有自己的價值觀?!?/p>

而真正職業化白帽子群體是在 2010 年左右正式出現,黑客們混沌的價值觀開始變得涇渭分明,

對于黑帽子,最初的理想主義逐漸被金錢的誘惑取代,他們隱身在地下,技術成了他們攫取巨額財富的利器。而白帽子們則選擇了另一條道路,不為金錢而輕易折腰,更不愿意以身試法。莫良在接受采訪時說:「有個黑客賺取巨額財富之后,還開了很多家肯德基和麥當勞?!?/p>

2010 年 5 月,烏云網上線,目標是成為「自由平等的」漏洞報告平臺,白帽子群體自此有了專屬社區。在烏云社區,時常有互聯網公司發起懸賞讓白帽子捕捉漏洞,白帽子們借此能獲取一些經濟收入。

不少白帽子苦笑虧了有了烏云這個「丐幫組織」,他們才能名正言順去「討飯」,如果金主爸爸高興了說不定會賞更多,于是一群白帽子驚呼「發大財了!發大財了!」

與之而來的是互聯網公司的在安全領域的覺醒。

莫良回憶,從 2006 年開始各大互聯網公司安全崗位的比例提升,發展到今天,安全崗位是所有程序員比例的 10% ,職業白帽子大多都在各大互聯網公司里占有重要席位,有著不菲的收入,安全部門成為互聯網公司里的重要部門。

有些知名項目方技術全部外包,有些沒有實力修復白帽子提交的漏洞

「相對于古典互聯網,區塊鏈領域的公司對安全的重視度不高,有時候白帽子還得不到尊重?!沽牡竭@,莫良的情緒有些低落。

前不久,BYSEC.IO 社區里一個白帽子發現了某項目方的漏洞,當團隊和項目方溝通時卻遭到了拒絕,對方一直沒有認領這個漏洞。莫良透露,這個拒絕他們的項目方在業內有一定知名度。

這并不是個例,在莫良的社區里,好心但遭拒絕的情況經常發生,他測算后大約有 20% 的漏洞不會被認領,這確實很挫傷白帽子們的積極性?!改切┰谀硞€公司任職的白帽子,往往不愿意去為其他公司找漏洞?!?/p>

區塊鏈公司的白帽子很多時候只是一個公司不起眼的一角。如果沒出什么安全事故老板會感覺有沒有安全團隊都沒用,如果出了安全事故造成大額損失,老板就問養安全團隊有什么用。作為一個白帽子,莫良深知這些難言之隱。

莫良坦言,今年才是區塊鏈安全元年,一切才剛剛開始。有些區塊鏈公司對白帽子敬而遠之,在他們的眼里黑客都一樣,對于自身系統漏洞更是諱莫如深。

莫良很想為白帽子群體發聲,他更希望通過一己之力讓白帽子群體和區塊鏈公司之間達成某種和解。后面,莫良決定公布那些沒有被認領的漏洞,以此施壓讓項目方改進,當然,漏洞細節會保留。

幾個月前,BEC 在一場合約 bug 中被轉走價值 60 億元的代幣。更夸張的是,危機引發了價格閃崩,整個代幣幾近歸零。

一方面以太坊底層涉及忽略了安全問題,另外一方面很多早期進入區塊鏈領域的程序員水平參差不齊,低水平程序員數量很多,目前最頂級的程序員還是在古典互聯網公司里,這也導致了代幣漏洞的頻發。

莫良認為,大部分項目方和交易所都不知道如何和白帽子相處。

區塊鏈為什么怕黑客攻擊

他們有的對白帽子群體不認同,認為自己的系統沒問題;

有的對技術一竅不通,甚至有些知名的項目方技術團隊都是外包的;

還有的盡管認領了漏洞卻沒有技術實力去修復。

目前,區塊鏈安全正處在裸奔時代,而區塊鏈技術卻是一把雙刃劍。

一方面鏈上交易的匿名性能夠保證私有財產不被轉移,另一方面這又給黑客造成極大便利,司法機關很難立案追查。

莫良認為,區塊鏈技術在彌補由人導致的安全問題同時,無限放大了計算機系統導致的安全問題。

另一方面,一些頭部的交易所都開始看重安全領域,在高管架構里設置了 CSO 一職統籌系統安全。

而大部分區塊鏈公司還在沉睡中,莫良認為,安領域大有可為,比如對于典型安全事件的案例研究,建立外部漏洞收集渠道,定期監測線上產品的防火墻日志等等。不管怎么防護都不為過,只要有新產品發布,或者產品迭代就會有新的漏洞產生,而白帽子則是整個安全鏈條構建中最重要的一環。

主編 / 馮巧婕
選題策劃 / 孟云

區塊鏈安全模型算法協議設計

區塊鏈為什么怕黑客攻擊

 

分享到:更多 ()
0
區塊鏈神吐槽
pi幣注冊流程教程圖解中文版

來評論吐槽 搶沙發

評論前必須登錄!

 

區塊鏈資源分享聯系我

區塊鏈資源分享聯系我首頁更多新聞
做滴滴代驾还是开滴滴那个赚钱