“宇宙就是一座黑暗森林,每个文明都是带枪的猎人,像幽灵般潜行于林间,轻轻拨开挡路的树枝,竭力不让脚步发出一点儿声音,连呼吸都必须小心翼翼。
他必须小心,因为林中到处都有与他一样潜行的猎人,如果他发现了别的生命,能做的只有一件事,开枪消灭之。”——三体
前记
2016年2月14日发生了以太坊史上最大的盗币行为。这一天史称为“黑**人节”事件。在事件发生至今2年多的时间里,以太坊盗币问题并没有得到很好的解决,仅从 2018 年 1 月 1 日至今,就发生了数千起成功的盗币攻击。
区块链的生态安全已经危机四伏。严重的影响到了行业的发展。不过行业内还是有利用自己强大的计算机技术来维护区块链内的公平正义的白帽子,慢雾科技就是其中之一。作为行业内最知名的区块链安全公司之一,慢雾科技致力于维护行业的生态安全。
2018 年 3 月 20 日,慢雾科技披露以太坊黑**人节盗币事件,曝光长达两年之久的自动化盗币行为,其造成的损失达近 5 万多枚以太币及数量巨大的各类代币,依托慢雾科技独有的墨子(MOOZ)系统和蜜罐分析技术,可以对全网自动化盗币攻击进行捕获、识别。
为此,慢雾科技上线了“以太坊黑**人节”专题页面,对这一隐患进行持续追踪与披露。
我们与慢雾科技CEO ABY进行深度对话,从他口中得知这个行业的安全问
题已刻不容缓。与我们每个人都息息相关。
慢雾简述
厦门慢雾科技有限公司,专注区块链生态安全,总部位于厦门,由一支拥有十多年一线网络安全攻防实践的团队创建。团队成员曾为 Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力,团队成员多项成果也曾进入过 Black Hat 等全球黑客大会。
慢雾科技的核心能力包括:安全审计、安全顾问、防御部署、威胁情报等。慢雾科技已经为全球多家交易所、钱包、智能合约等做了安全审计与防御部署,并通过独有的地下黑客风向标追踪引擎,持续为合作公司及国家相关部门提供威胁情报。
安全审计、安全顾问、防御部署、威胁情报等
问题频发的假充值
1:最近频繁报出以太坊假充值,影响对象至少包括相关中心化交易所、中心化钱包、代币合约等,但代币合约统计有3619份存在假充值、漏洞风险,其中不乏知名代币,这种假充值一直频繁发生的原因是什么?
ABY:我们在6月28日披露了USDT假充值的漏洞,然后在7月9日披露的3619份基于以太坊的假充值,相当于是第二版。
USDT是Tether公司发行的一种稳定币,出现假充值的原因主要是交易所没有验证USDT里面的valid字段。当客户到交易所充值USDT币的时候,只是简单的检查了链上有没有这个交易,就把钱充进来了,但是这笔交易是失败的。
打个比方来说吧,一个人去银行存钱,但是我们只知道他是去了银行,到底存没存钱是不清楚的。这样就有假充值的可能。
2:出现问题是因为需要判断的操作很复杂吗?
ABY:其实一点都不复杂,并且USDT官方帐号有做说明,只是某些交易所的安全开发人员或者技术开发人员,没有注意到这个点。
他们可能按照之前其他一些币种的检验方式照做,但是USDT它有自己的一套机制。用固有思维去判断这件事情,没有深思每一个链或币背后的判断机制,结果出了问题。
3:在出现问题之后,交易所要验证相应字段了吗?
ABY:对。USDT的CTO也有联系我们,我们把相关问题推送给了他们。他们认为这个不一定是漏洞,可能是交易所没有做完善的判断,并且他们之后也提醒了这些交易所一定要判断这个字段,在技术中也强调了这个东西。
交易所在充USDT币的时候一定要去看这个字段,已经变成了行业的标准。
从内到外的预防机制
4:现在假充值和漏洞风险的问题非常严重,没有根治的办法。交易所有相关的预防措施吗?
ABY:交易所对安全的需求比较高,非常看重安全问题。安全的核心在于人,而最好的安全管理组织架构是项目方有自己的安全负责人,与外部的第三方安全团队合作,共同维护,不能单纯依赖第三方,也不能没有第三方,安全这件事一定事从内到外的结合。
现在整个区块链其实是很完整的安全,包括内、外部的风控。但是攻击项目方的手段是五花八门的,不是单一的攻击,可以从很多纬度去攻击。攻击者可以同时在不同的交易所挂做空或做多单,形成套利差,手段很多样。
5:最开始发现了假充值的问题,达成了整个行业的共识,现在开始防范了吗?
ABY:对。在区块链方方面面都可能频繁出现像USDT假充值的类似情况,因为它是新生行业,很多规范标准没有完善,也没办法要求技术人员完全按照官方的提示去判断。
USDT事件之后才曝光了ETH3619份代币合约存在漏洞风险,并且关乎到智能合约交易所、中心化钱包的问题。我们披露了USDT之后,应该深思以太坊是否也可能出现类似的这种问题。以太坊的机制和USDT是类似的。比如正常在以太坊上面转帐,如果发现余额不足,会提示异常。
以太坊本质上跟USDT的逻辑特别像,它会稍微复杂一点。黑客会拿余额不足的帐号去转帐,如果智能合约有缺陷,同时交易所检验不到位,两者都达成条件的情况下,就可以进行攻击、假充值了。
6:会造成以太坊上面的很多代币很大的损失吗?
ABY:对。这件事情的影响非常广,我们也尽量做到非常负责任的披露。尽自己能力把漏洞情报共享,基本涵盖了整个圈子里的交易所钱包。
我们首先披露给客户,披露之后才慢慢的去预警,让没办法传达到的客户接收到信息,之后留三天时间给大家去自查并修补漏洞。因为是真实发生的攻击,我们是在抢时间和攻击方赛跑。进行这一轮之后,才披露这个漏洞并公布细节,附带解决建议。
解析两起事件的攻击方式
7:2016.2.14以太坊发生了大额代币被盗,这一天也被定为“以太坊黑**人节”,这件事过去了两年多还在持续,并且有越演越烈的趋势。目前最新的一例被盗 Token就发生在 7 月 4 日。该事件又出现了新的隐藏攻击方式,这两起事件中的攻击方式相同吗?
ABY:本质上两个事件的攻击模式完全不一样。我们在3月份发布的披露黑**人节事件,涉及到了以太坊的节点,它的RPC端口是开放的,端口开放会出现一些问题。当这个节点被解锁的时候,有一个300秒的密码权限,一旦登陆就可以有五分钟让别人想干嘛就干嘛,会很不安全。这是这件事情的根本原因,是以太坊生态的一个缺陷。
缺陷能用我们的解决方案侧面修复,官方并没有给出相应补丁。黑**人节造成的影响非常大,到现在为止,还有地址被盗几百个以太坊,被盗的不是单纯的ETH币,而是整个ERC20,所有ERC20用的都是以太坊这个节点。
8:黑**人节的攻击方式是最新的吗?
ABY:不是。在2016年,这个黑客已经做了整套自动化的处理,成本并不高。但是这个缺陷在这两年时间里还是没有得到很好的解决。我们披露黑**人节事件后,得到了行业比较大的回响,很多人遵循了我们给予的修复意见,对节点安全配置进行了优化。比如禁用RPC端口,去避免这个问题。
后来我们一直在监控盗币情况,它并没有停止。我们和慢雾区伙伴沟通发现,这个黑客在unlockAccount默认的300秒免密操作窗口当中,写了非常多的转帐内容。假设我的钱包是空的,看到了慢雾发的这篇文章,就禁用了RPC,便觉得钱包安全了,其实不然,那个黑客就这么想的,不管帐号里面有没有钱,等到他找到端口就埋无数个圈套,把里面的钱都转走。
9:所有的攻击都在不停的变化,根本原因是以太坊自身问题吗?
ABY:我们归类为以太坊本身的缺陷,但是每个系统都会有一些缺陷。现在披露的过程,都是真实攻击的,想让这件事提醒我们能覆盖到的所有人,赶紧把这件事情积极的修补好,免去攻击。如果我们不去做这件事情的话,这些问题可能会愈演愈烈,希望整个圈子是有安全感的,并且大家都能做好防护。
10:从2016年被盗到最近几天才出现的这些问题,有没有其他危害整个生态或者行业的类似的攻击行为?
ABY:其他的攻击行为都是一段一段的,以太坊黑**人节我们不把它称为漏洞,而是称为缺陷。是因为缺陷不一定要补它,但是漏洞可以很快的把它修补好,有的漏洞修补好,就相对的解决了。
但是,有的称之为缺陷,是因为它是天生的,是需要付出更多的努力,让维护的人更加了解解决方案。
建立安全行业的共识准则
11:慢雾科技是许多头部交易所信赖的合作伙伴,他们自身都没有安全审计吗?
ABY:他们是非常注重安全的,也有自己的专业且庞大的安全团队,跟我们建立了密切的情报沟通。我前面有提到,安全这件事情是从内而外的合作,才能全面的防护。
12:现在整个区块链行业除了慢雾,还有其他的安全公司,你们有没有达成整个区块链安全方面的共识?有没有标准?
ABY:有的,我们在披露的过程中,输出给了安全生态同行,跟他们之间建立桥梁,这种桥梁就是情报之间的互通有无。大家的客户都可能会受到影响,建立这种桥梁,可以无偿的奉献给大家,快速的修复问题,是有意识形态在里面,我们也确实真真正正的落地的在执行这件事情。
13:共识的准则具体是什么样?
ABY:现在有初步的安全共识的概念,里面会有各种区块链、技术手段,大家都在里面互通有无,达成基本的区块链安全行业的共识。
不能说标准,基础的行业安全共识是有的。例如负责任的漏洞披露过程。做安全首先要客观、中立,不能把安全舆论化,不能拿安全作为炒作的工具。
安全团队是给别人安全感,而不是危机感,这非常重要。我们希望能树立起行业的标杆,让整个行业往更好更健康的方向发展。
初心未变 慢雾使命
寻求初心:慢雾科技注重安全的初心是什么?
ABY:我们从业十几年了,对安全都比较有兴趣,觉得它可能是我们应该做的一件事情,有太多其他的因素和想法,包括我们团队做区块链也有一段时间了,团队里面大家交流的多一点,也达成共识,希望区块链生态是安全的,就去做,没有其他太多的东西,很纯粹很简单。
希望通过采访能把我说的事件传播给整个圈子,让圈子的人更加注重生态安全的重要性。给大家一些建议,传播给更多的人,了解到这个事件的重要性,以及我们团队的一些处理态度、标准,安全行业达标,要有共识。我们希望更多志同道合的人参与进来,取之区块链,回归区块链。只有这样去做,才能给这个生态带来真正的安全感,这也是慢雾的使命。
https://yyk.familydoctor.com.cn/21222/newslist_1_1.html
https://yyk.familydoctor.com.cn/21222/schedule/