《火訊瑯琊榜》第三期首次開啟“雙閣主”模式,以“尋路區(qū)塊鏈”為主題,探索區(qū)塊鏈發(fā)展之路,鋅財經(jīng)作為火訊財經(jīng)的合作伙伴,特意轉載本篇文章。
第三期第一場
大于、大象×慢霧團隊
閣主:
大于,經(jīng)濟學博士、中國計算機學會區(qū)塊鏈專業(yè)委員會委員、區(qū)塊鏈產(chǎn)業(yè)資深研究者。
大象,不愿意透露身份的火訊財經(jīng)聯(lián)合創(chuàng)始人、游離于圈內(nèi)圈外,不明真相的吃瓜群眾、偶爾也明真相的區(qū)塊鏈路人甲。
嘉賓:
慢霧安全團隊,這是由一支擁有十多年一線網(wǎng)絡安全攻防實戰(zhàn)的安全成員創(chuàng)建,團隊曾為 Google、微軟、W3C、公安部、騰訊、阿里、百度等輸出過安全能力,團隊多項成果也曾進入過 Black Hat 等全球黑客大會。慢霧安全團隊已經(jīng)與全球多家知名交易所、數(shù)字資產(chǎn)錢包、主鏈項目合作,為合作伙伴提供安全審計、安全顧問、防御部署及威脅情報分享。
前言
上期閣主孫健開場稱贊雙閣主模式非常應景世界杯的主持模式,一個主攻一個助攻。在傳統(tǒng)節(jié)目“閣主交接儀式”之后,話題正式打開,進入訪談環(huán)節(jié)。
本期嘉賓慢霧團隊自稱是一支慢格調(diào)的安全團隊。“慢霧”這個詞取自《三體》,寓意黑暗森林里的安全區(qū)域。那么究竟信仰“守正出奇”的慢霧賦予星星以安全?還是賦予觀者以能力?或者是維護宇宙的基本平衡呢?
不必過于強調(diào)區(qū)塊鏈技術,恰如神秘的黑客“自帶奇”。因為這個這個世界不存在烏托邦,沒有完美的去中心化。
你還記得關于以太坊黑色情人事件、USDT“虛假充值”事件、日本CoinCheck交易所被盜事件嗎?好奇最新進展嗎?關心區(qū)塊鏈企業(yè)的安全問題嗎?
在這個夜黑風高的夜晚,神秘的黑客先生會展現(xiàn)怎樣的一種“超能力”呢?
以下為訪談實錄整理
▼
上期閣主孫?。?/strong>?@大于@大象 新閣主久仰大名啊。傳授心得是瑯琊榜的老傳統(tǒng),傳新閣主刨根問底大法。這個是我在上一季的心得。對談關鍵是走心,挖出嘉賓最想說的不重要,刨出大家最愛看的,才有趣。
很期待無厘頭的大象和正兒八經(jīng)的大于的混搭。
閣主大于:非常感謝寶貴經(jīng)驗!我們努力!爭取為各位火訊的讀者提供幾道精神大餐!
閣主大象:對,我們的目標是沒有蛀牙,開始吧。
主編趙一丹:感謝老閣主傳授武功心得!現(xiàn)在我宣布,火訊瑯琊榜第三期正式開場!
Q0
閣主大于: 大家晚上好,歡迎收看火訊瑯琊榜第三期在線訪談節(jié)目,我是于佳寧(也就是大于),很榮幸能擔任本期瑯琊榜閣主(之一)。特別歡迎本期瑯琊榜首次受訪嘉賓——慢霧安全團隊。
網(wǎng)絡安全是一個技術性、專業(yè)性很強的領域,天然帶著一定的神秘色彩,在正式訪談開始前,可否請慢霧安全團隊先進行一下自我介紹,說說慢霧是怎樣一個團隊?以前做過什么?現(xiàn)在在做什么?未來還希望做什么?
嘉賓慢霧余弦:慢霧是一支比較喜歡慢格調(diào)的安全團隊,慢霧這個詞來自科幻《三體》,寓意黑暗森林里的安全區(qū)域。過去十多年我們在安全領域做過不少細分領域:政企、云、金融等,現(xiàn)在聚集區(qū)塊鏈生態(tài)安全,獨立一家區(qū)塊鏈生態(tài)安全公司慢霧科技,未來希望跳出安全,創(chuàng)造更大價值。
閣主大于:很有意思,可否介紹一下慢霧科技的愿景?
嘉賓慢霧余弦:嗯,愿景我用一張圖文來說,這就是慢霧的愿景,比較低調(diào)。
閣主大于:是賦予星星以安全?還是賦予觀者以能力?或者是維護宇宙的基本平衡?
嘉賓慢霧余弦:如果想了解慢霧更多內(nèi)容,可以后續(xù)看我們的官網(wǎng)。慢霧只想做好一件事:區(qū)塊鏈生態(tài)安全。強調(diào)“生態(tài)”這個詞,是因為我們覺得這里面角色很多,安全是環(huán)環(huán)相扣,甚至唇亡齒寒。
閣主大于:很帥氣的官網(wǎng),清晰明了,值得點開一看,哈哈。
是的,安全問題已經(jīng)不再是某一個參與者單獨的問題,而是要從整體生態(tài)層次予以考慮,好,那我們下面進入正式的訪談。
Q1
閣主大于:第一個問題,區(qū)塊鏈的核心是解決信任問題,而安全事件卻一次次打擊人們的信任,尤其是智能合約安全漏洞帶來的巨額損失。目前區(qū)塊鏈行業(yè)總體安全態(tài)勢是怎樣的?
嘉賓慢霧余弦:你們看到各種正規(guī)軍其實都在陸續(xù)進來,這也包括地下黑客群體(也是我們常說的攻擊者),他們遠比我們想象的職業(yè)。舉個例子,我們今年3月20號披露的一個大事件:以太坊黑色情人節(jié)(大家可以打開我們做的專題頁看看),這個攻擊其實2016年2月14日就發(fā)生了(這也是為什么我們命名這個為以太坊黑色情人節(jié)),持續(xù)了兩年多,自動化盜取了近5萬枚以太幣,幾十億枚各種代幣。技術細節(jié)我們有專門的分析報告,這里就不談了,但是大家仔細琢磨下:為什么持續(xù)了兩年多,直到我們的進來,才完整披露了呢?如果我們沒披露呢?
以太坊黑色情人節(jié)專題頁我發(fā)兩個截圖
閣主大于:這還真是一個令人驚詫的問題。
嘉賓慢霧余弦:然后,似乎有個錯覺,有人說:你們慢霧進來后,各種新型攻擊就層出不窮。就好像柯南每集都會死掉一個人,這不能怪柯南呀,劇情需要呀。
這些人是沒意識到:其實地下黑客正規(guī)軍早進來了,我們的進來也確實是時候,攻防對抗必然會升級。都說幣圈一天、人間一年,我們的攻防對抗當然也是這樣,會越來越激烈,直到一種平衡。
閣主大于:影響范圍如此廣泛,數(shù)額如此巨大,居然還能持續(xù)如此長的時間,可見攻防對抗確實在相當長一段時間內(nèi)處于失衡狀態(tài),黑客的攻擊居然這么久都沒有被監(jiān)測發(fā)現(xiàn),這在網(wǎng)絡安全領域也是難以想象的。
嘉賓慢霧余弦:嗯,這也是我們覺得區(qū)塊鏈這個世界充滿魔力的原因。
閣主大于:那相比于傳統(tǒng)互聯(lián)網(wǎng)的安全態(tài)勢,區(qū)塊鏈安全有哪些新的特點和趨勢?
嘉賓慢霧余弦:當大家關心幣價的時候,也可以回過頭來,琢磨琢磨這些問題。
比起傳統(tǒng)的攻防來說,區(qū)塊鏈生態(tài)會有自己的特別點,比如幣屬性,自帶金融屬性,攻擊者有時候不一定要盜走這個幣,想辦法做空做多就好。
然后這個生態(tài)里做個溯源其實更難,法幣溯源有國家力量,這個生態(tài)這些幣的溯源,沒什么力量,太分散,大家自掃門前雪,偶爾還會看到互相嘲諷。
但是我們得意識到,安全這個東西,是整個生態(tài)的事,攻擊者喜聞樂見幣圈的亂,越亂,他們越喜歡,收割起來毫不留情。有句話是:莊家收割韭菜、地下黑客收割莊家。
閣主大于:那區(qū)塊鏈生態(tài)出現(xiàn)安全問題,最嚴重的情況下會導致什么后果?
嘉賓慢霧余弦:區(qū)塊鏈生態(tài)安全發(fā)生危險最嚴重的就是團隊資金破產(chǎn)及信譽破產(chǎn)。
但是呢……其實我們是樂觀的,有時候安全這東西也沒那么夸張,一個生態(tài)之所以是生態(tài),就具備生態(tài)的一個屬性:自愈能力其實很強……
閣主大于:從安全角度,您說的生態(tài)的自愈能力應該怎么理解呢?
嘉賓慢霧余弦:受損后會恢復,生態(tài)的容錯性就是這樣。安全這東西,到頭來還是人,人這個物種就是詭辯、聰明、進化。感覺這部分細節(jié)很難在這展開。
我之所以會這樣說,是因為想表明:安全這東西,有時候太神秘化不好。
閣主大于:哈哈,有點感受到安全問題的本質(zhì)了。
面對如此錯綜復雜的區(qū)塊鏈安全形勢,我們目前掌握的相對比較有效的應對方式有哪些?
這個問題很重要,所以追問有點多哈。
嘉賓慢霧余弦:最好的應對方式是:提高安全感,把安全去神秘化,把黑客去神秘化。
閣主大于:在區(qū)塊鏈世界里,意識、共識永遠是很重要的。
嘉賓慢霧余弦:有句話:無知者無畏;其實,知者更無畏。
慢霧的做法是開放:我們的安全做法、我們的安全理念,來自區(qū)塊鏈,最終得回到區(qū)塊鏈,你說的:共識。
閣主大于:您說的這句話我認為很重要,可否再多解釋幾句?(慢霧的做法是開放:我們的安全做法、我們的安全理念,來自區(qū)塊鏈,最終得回到區(qū)塊鏈,你說的:共識。)
群友廠長:基于共識慢霧愿意做白帽,也服務于共識。所以才叫來自區(qū)塊鏈,也回到區(qū)塊鏈。而且開源精神和共識本就是同根同源。
嘉賓慢霧余弦:比如,我們在我們官網(wǎng)開放了我們安全審計的一些做法,還有不少,我們都會陸續(xù)更新。
再比如,我們重度 GitHub 使用者。我們在我們的GitHub上公開了很多解決方案與研究,你們回頭可以看看。我們覺得安全這東西一定要首先解決信任這個大問題、
閣主大于:很深刻,這些都是很寶貴的資料哎,之后我們還要仔細研究和學習。
嘉賓慢霧余弦:如果我們的客戶、我們的伙伴對我們不信任,他們不會和我們合作。如何解決信任:1. 開放開源;2. 口碑傳播。
閣主大于:精辟!基本有些感覺了。
Q2
閣主大于:第二問,國家信息技術安全研究中心主任俞克群曾表示,目前區(qū)塊鏈還處在初級階段,風險不僅來自于外部有意的惡意攻擊,也有可能來自區(qū)塊鏈本身體系內(nèi)生的原因。我想問,區(qū)塊鏈本身體系內(nèi)生風險源是什么?區(qū)塊鏈技術本身存在安全缺陷嗎?
嘉賓慢霧余弦:說實話這個問題上下文我沒了解,區(qū)塊鏈技術本身當然存在安全缺陷呀。沒絕對的安全,這也算是我們做安全的基本共識。
閣主大于:能不能把區(qū)塊鏈本身的安全缺陷再講一講。雖然我想很多朋友可能有所理解,但是理解的有很有可能有偏差,或者不到位。
嘉賓慢霧余弦:好的,我找個我之前發(fā)的文字片段,稍等。研究區(qū)塊鏈安全的可以參考以太坊漏洞賞金計劃。
里面對安全的分類有:
- 協(xié)議安全
- 實現(xiàn)安全,包括:
1. 客戶端協(xié)議實現(xiàn)安全
2. 網(wǎng)絡安全
3. 節(jié)點安全
4. 客戶端應用安全
5. 算法使用安全
6. Solidity 語言安全
7. ENS 安全
然后還有不少已經(jīng)披露的案例可以供參考,拿到賞金不是件難事。這是我們看到知名公鏈以太坊這個區(qū)塊鏈本身的安全缺陷類型。供參考,細節(jié)可以回頭細聊。
閣主大于:對于安全問題,專業(yè)性很強,您覺得,對于一般的區(qū)塊鏈從業(yè)者而言,應該學習關注到什么層次?
嘉賓慢霧余弦:一般的區(qū)塊鏈從業(yè)者,保持空杯心態(tài)吧,至少能保護好自己的私鑰。
閣主大于:哈哈,這個建議很中肯,不過做到也不那么容易啊。
嘉賓慢霧余弦:技多不壓身,大家會看到越來越多攻擊手法被披露,至少保持理解為什么會這樣。比如前面說的以太坊黑色情人節(jié)事件,為什么為什么為什么會發(fā)生?
閣主大于:是的,這個概念的理解還是很重要的,即使不能從代碼層面理解,也要有這種意識,不過好像學習起來真的挺難,沒有看到相對通俗但又權威系統(tǒng)的學習材料。
嘉賓慢霧余弦:本質(zhì)就是以太坊全節(jié)點的私鑰機制與相關端口開放的綜合攻擊手法的工程化問題……
有時候深入挖掘會發(fā)現(xiàn)這比魔法還魔法,難怪黑客容易被神秘化。
閣主大于:雖然之前做了很多功課,但是看這個概念,說實話還是不太明白。
嘉賓慢霧余弦:確實術業(yè)有專攻,有門檻。
閣主大于:我覺得以后真的有必要搞一些通俗易懂的區(qū)塊鏈安全科普材料,至少讓大家有基本的認識,才能達成共識。
Q3
閣主大于:第三個問題,歷來人們都對擁有超能力的人有更多的質(zhì)疑,能力越強責任越大,在區(qū)塊鏈世界,慢霧科技其實上可以認為是有“超能力”的公司,我想知道,你們是如何約束自身的“超能力”的?有哪些不可違背的行事原則?除了觀念和文化上的約束,慢霧科技對內(nèi)部成員有怎樣的實質(zhì)性約束?
嘉賓慢霧余弦: 有必要,這問題真好??!
我覺得這首先是價值觀問題了,我們是職業(yè)做安全,過去十多年,圈子是有口碑的,而且我們很明白該遵守什么規(guī)則,比如我們國家有網(wǎng)絡安全法。
我一直給團隊共識我們的紅線,我們在招人時尤其注意這個,價值觀是第一需要考慮的,然后才是其他。還有,我們也和公安相關部門有合作,在自我約束這方面,我們非常嚴肅。
我總說:確認過眼神,我們一起干事,還不止確認過眼神。
我也總說:守正出奇。比如,黑客這個身份,自帶奇……
但是你得守正,價值觀一致,還得敬畏法律,敬畏規(guī)則。
群友廠長:好純潔。
閣主大于:文化+制度+監(jiān)管。
嘉賓慢霧余弦:不,純潔這個詞不適合我們。
閣主大于:守正應該是出奇的前提。那讓您選一個詞來描述慢霧,你會選擇什么詞?
嘉賓慢霧余弦:好吧,想不到。
閣主大于:其實如果讓我來想的話,好像也沒有比“守正出奇”更加合適的詞了。
嘉賓慢霧余弦:是這樣,我們也不會提白帽這個詞。
閣主大于:白帽這個概念已經(jīng)越來越深入人心了。
嘉賓慢霧余弦:我們有我們的行事準則,確實,守正出奇是最合適的形容。
Q4
閣主大于:第四問,您曾經(jīng)說“這個社會不存在完美的去中心化,不存在烏托邦,去中心化+中心化才是區(qū)塊鏈落地的真正未來?!蹦J為完全的去中心化不可能嗎?去中心化+中心化指得是一種新的共識機制,還是一種治理機制?
嘉賓慢霧余弦:嗯。完全去中心化不可能,因為人性,我高中就看《自私的基因》,里面描述了人性非常底層的本質(zhì)行為:利己與利他。
閣主大于:能再具體解釋一下嗎?
嘉賓慢霧余弦:區(qū)塊鏈落地的真正未來,其實,我并不覺得區(qū)塊鏈技術有什么需要特別去強調(diào)的,我們應該看人類的未來,比如生產(chǎn)關系與生產(chǎn)力,大趨勢來看(不考慮黑天鵝事件),生產(chǎn)關系肯定是越來越好(比如區(qū)塊鏈技術讓信任成本盡可能降低),生產(chǎn)力越來越強。
區(qū)塊鏈并沒什么特別,就好像我一直說黑客沒什么特別。我想表達的是:我們不必過于強調(diào)。對了,別忘了:區(qū)塊鏈可不僅僅是技術,還有經(jīng)濟和政治。
閣主大于:我很同意,技術永遠是中性的,只能推動既有趨勢而不能根本改變。
所以說,技術只能強化原有的產(chǎn)業(yè)邏輯和趨勢,比如如果能通過分布式協(xié)作增加效率,那使用區(qū)塊鏈一定是很好的。但是恐怕不能用技術憑空創(chuàng)造出來不存在的趨勢。
好,我提問的部分就到這里。接下來請另外一位閣主大象提問,也就是要從一本正經(jīng)切換到輕松愉快模式了。雙閣主的模式,嘉賓很辛苦,觀眾很嗨皮。
Q5
閣主大象:我是一名觀察者。
作為觀察者,我觀察到您有一條發(fā)在朋友圈的信息:“我們說慢霧無對手,有投資人估計當我們神經(jīng)病,現(xiàn)在這個環(huán)境,沒點格局及想象力還真就別出來做事了……不用給我們假設對手,小龍蝦都沒吃過兩頓的你覺得能談出個鬼?一個電話就自以為無敵的,不見……”這句話的感覺,不好說低調(diào),更像是在說“燕雀安知鴻鵠之志”,所以你覺得如果要成為你的對手,需要哪些條件?
嘉賓慢霧余弦:得罪人。
閣主大象:不會得罪人的,因為對手可能還沒誕生……
嘉賓慢霧余弦:這句話其實有當時的心境。
這個生態(tài)才剛開始熱鬧,就天天喊打喊殺的,任何事業(yè)想做好都需要有個馬拉松心態(tài)。
火訊財經(jīng)創(chuàng)始人龍典:最近看了一個電影:《我是誰:沒有絕對安全的系統(tǒng)》感覺黑客特別厲害。
嘉賓慢霧余弦:慢霧的使命是給這個區(qū)塊鏈生態(tài)帶來安全感。愿景前面也通過了。慢霧是個慢格調(diào)的公司,不喜歡競爭。
《我是誰:沒有絕對安全的系統(tǒng)》這部電影拍的不錯。
群友劉韓:知道創(chuàng)宇、armors應該在行業(yè)都是比較領先的吧。
嘉賓慢霧余弦:知道創(chuàng)宇是我老東家。我在老東家做了9年安全,負責安全能力。是的,他們很強。我覺得區(qū)塊鏈生態(tài)有它極大的魅力,可玩性其實很高很高,現(xiàn)在談對手,太早。
Q6
閣主大象:剛才有講到要去神秘化,我們知道暗網(wǎng)是最神秘的組織,匿名交易者在這上面交易毒品、假身份證、火藥還有黑客軟件等被法律禁止的物品。 人們通過加密的隱身軟件才能進入這個普通搜索引擎不能發(fā)現(xiàn)的空間,一切交易都通過執(zhí)法人員監(jiān)管不到的虛擬貨幣隱秘進行。可以給大家科普一下,你們所認識的暗網(wǎng)嗎?
嘉賓慢霧余弦:暗網(wǎng)其實是個很泛的概念,里面有太多大大小小的組織或個人,霍炬這篇科普文章:寫得很好,推薦之后看看。
我題外話說下地下世界現(xiàn)在最有意思的我覺得是門羅幣,但是這個題外話回頭可以再展開。
閣主大象:講講嘛,不要吊大家胃口……
嘉賓慢霧余弦:門羅幣不小心創(chuàng)造了個網(wǎng)絡和平世界,因為其CPU/GPU算力友好,對抗職業(yè)礦機(比如ASIC芯片)。且門羅是最早的一批,算是匿名幣的龍頭。地下黑客入侵大量服務器,以前是勒索、竊取機密,現(xiàn)在大規(guī)模做CPU挖礦。比如一段代碼:(由于代碼太長……已略)
閣主大象:這是科普……
嘉賓慢霧余弦:這里的蠕蟲修補了相關漏洞入口,殺掉了蠕蟲對手,安全加固了相關機制,然后它僅挖礦……不少企業(yè)入侵事件的發(fā)現(xiàn)不是因為發(fā)現(xiàn)蠕蟲,而是發(fā)現(xiàn)服務器或主機卡了……這些蠕蟲挖的主要就是門羅。
這樣的挖礦收益高呀,更好的蠕蟲還會合理利用服務器資源,讓你還不一定發(fā)現(xiàn)得了。好了 先科普這點。
閣主大象:挖門羅幣?感覺詭異,換個話題。
嘉賓慢霧余弦:嗯,很神奇的世界。
Q7
閣主大象:說回您自己,6月28日晚間,慢霧科技在官方微博上表示,發(fā)現(xiàn)交易所在進行USDT充值交易確認時存在邏輯缺陷,導致“假充值真交易”。對此,okex和 LBank等平臺相繼做出回應表示,他們已針對該漏洞做出了排查,兩家平臺均不存在以上漏洞;但由于LBank無法保證其他交易平臺及USDT 整體的安全性,所以決定暫時關閉USDT充值。
目前該事件有什么最新進展?慢霧最近又發(fā)現(xiàn)了哪些新型且隱秘的攻擊手法?
嘉賓慢霧余弦:關于 USDT “虛假充值”的事件,目前許多交易所也都發(fā)了公告聲明說不存在該問題了,存在該問題的交易所也都獲取了情報在第一時間修復了,目前應該已經(jīng)不存在此問題了。
我們披露的基本都是已經(jīng)有攻擊事件發(fā)生的,而不是一個單純的漏洞,單純漏洞沒意思。
當時我朋友圈發(fā)了段文字:我們一般不披露那些還沒出現(xiàn)攻擊事件的情報。比如單純漏洞這玩意,擠擠總會有的,多重磅都可以搞個出來,沒什么好說,但只要是事件,就代表已經(jīng)發(fā)生,披露我們盡最大努力走負責任路線。我們在給甲方做安全時,會全面帶入我們的情報網(wǎng)絡,這種價值,似乎還不好量化,但懂的人,會很感激我們。
其實我們發(fā)現(xiàn)不少隱秘攻擊,有些還不是時候披露,我們一般是先通知合作方,修復后,再想辦法合理披露。
比如這個 #預警# 新型攻擊手法披露:以太坊黑色情人節(jié)事件里已經(jīng)出現(xiàn)的隱蔽攻擊方式!
一次次顛覆許多人的認知。這個過程挺有趣的,就像破案,抽絲剝繭……但是你們知道,不是什么都可以立馬公開談,因為即使我們看看本群500人,有攻擊者嗎?你們覺得?你們回頭加我微信,你又能知道我就是我?
群友幣圈小吳:問題以后越來越多。那么實際上,中心化也未必是壞事。
閣主大于:細思極恐。
Q8
閣主大象:這讓我想起早前比較大的新聞,今年年初日本CoinCheck交易所被盜近5億美元的新經(jīng)幣(XEM),當時新經(jīng)幣的開發(fā)團隊開發(fā)了自動標記系統(tǒng),用來追蹤所有CoinCheck被盜資金。但是,最終被盜的新經(jīng)幣還是被黑客清洗干凈了。安全已然成為區(qū)塊鏈行業(yè)必須重視的話題,那么區(qū)塊鏈企業(yè)自身應該采取哪些措施應對高發(fā)的區(qū)塊鏈安全問題呢?
嘉賓慢霧余弦:建議其實好多,簡單說幾個:1. 做好各方面的安全加固;2. 找專業(yè)團隊做安全審計,把專業(yè)的事情交給專業(yè)的人來做;3. 共同促進生態(tài)安全。
閣主大象:剛才我問了第八問,再追問一句,號稱是可以追溯來源的加密貨幣真的沒有辦法將這些“贓款”鎖定嗎?
嘉賓慢霧余弦:不一定,比如智能合約代幣如果加了鎖機制,那可以,但這樣你們不覺得很可怕?項目方權限也太大了吧?
閣主大象:這就是兩難悖論。
Q9
閣主大象:EOS主網(wǎng)上線前夕,360安全團隊公布了EOS的“史詩級”安全漏洞,我們當然相信360團隊認真負責地公布漏洞的態(tài)度。但是部分EOS支持者卻認為360做空EOS,周鴻祎借勢入局。我想請問余弦先生,作為一個擁有“超能力”的黑客,一個“守正出奇”的黑客,在區(qū)塊鏈行業(yè)從事安全工作遭遇過哪些非議?其中您最不能容忍的指責是什么?
嘉賓慢霧余弦:好問題。非議多得很,比如前面說的以太坊黑色情人節(jié)事件,我們披露后,有人就留言我:你們盜了不少幣了吧?披露是不是想混淆視聽?你們?yōu)槭裁床槐I幣,披露干什么...
我們沒什么不能容忍的,因為我們深刻明白這個世界就是如此;-)
兩本好書:《自私的基因》,《烏合之眾》。
閣主大象:哈哈哈,寬恕。
嘉賓慢霧余弦:沒什么問題是一頓小龍蝦解決不了的,如果有,那就兩頓。
閣主大象:可以,天天來。我最不能解決的問題是小龍蝦為什么要去殼,這么麻煩。
Q10
閣主大象:那繼續(xù)我的第10問?慢霧現(xiàn)在遇到的幾乎所有智能合約的安全問題都是以太坊上的。最近這段時間頻繁地有團隊爆出智能合約安全問題,例如早期從BEC、SMT爆出的問題,還有最近EDU、BAI的問題。團隊該如何做好風控呢?
嘉賓慢霧余弦:很聚焦的問題,安全最佳實踐早有了,然后上線前請職業(yè)的安全團隊做個安全審計,不費事。以太坊智能合約 —— 最佳安全開發(fā)指南。
這里,別偷懶,回頭認真看。
Q11
閣主大象:第十一問,這是我的個人愛好,以權謀私一下。我也很喜歡看《三體》,對水滴印象很深,水滴既是監(jiān)視者又是攻擊者,讓人細思極恐。在區(qū)塊鏈的發(fā)展中存在這樣的角色么?
嘉賓慢霧余弦:偶爾,我之前反駁過一個人:你對力量一無所知。這也是我們常說的:上帝視角。凡事都得看具體場景。
閣主大象:補充一句,在我問慢霧科技是干什么的時候,有人回答我,慢霧既是監(jiān)視者又是守衛(wèi)者……
嘉賓慢霧余弦:謝謝。
閣主大象:一共十一問,OK,我的問題結束。
嘉賓慢霧余弦:慢霧背后有一支 Red Team,以攻促防,只有了解攻擊者的手法與心理還有這個群體的生存模式,才能真正做好防御。
自由提問環(huán)節(jié)
群友:請問,現(xiàn)在交易所那么多 如何看待越來越多的新交易所 至少安全角度而言,會不會只是個空架子?
嘉賓慢霧余弦:安全角度,我們覺得這個生態(tài)沒誰是漂亮的。但是,相對優(yōu)質(zhì)的是有的。而且我們也發(fā)現(xiàn),其實普遍來說,區(qū)塊鏈生態(tài)里大家已經(jīng)把安全當成必選項了。
群友:能承受這么大的DDOS攻擊和數(shù)據(jù)量嗎,競爭對手惡意攻擊讓這個生態(tài)更混亂了還是清楚劣質(zhì)交易所呢?
嘉賓慢霧余弦:客觀說,絕大多數(shù)安全性堪憂,擋不住職業(yè)攻擊者。整體來說一切的生態(tài)發(fā)展都是從混亂到正規(guī)。
未來可期。我建議大家搞好自家安全時,也多促進整個生態(tài)的安全感,這方面需要一些共識。比如:1. 不夸大恐嚇式宣傳;2. 不拿安全當黑公關能力去踩對手。大家共同努力吧,也歡迎監(jiān)督我們。謝謝,我準備吃小龍蝦去了……
群友:問一個可能比較冒昧的問題:慢霧目前是運動員還是裁判員呢?會不會將來兩者都會牽涉呢?
嘉賓慢霧余弦:啊,好問題。
我們努力做好區(qū)塊鏈生態(tài)安全這一件事,我上面說的內(nèi)容,也歡迎監(jiān)督。我知道中立其實很難很難很難,但是我們努力。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 華為研發(fā)中心入駐上海青浦致小鎮(zhèn)房租大漲,帶動周邊租房市場熱潮
- 華為員工涌入蘇滬兩地,房東狂歡:租金幾近翻倍,跨省租房成新常態(tài)
- 制造業(yè)巨頭空客計劃裁員2500人,應對航天業(yè)務虧損與供應鏈挑戰(zhàn)
- 科技創(chuàng)新引領產(chǎn)業(yè)發(fā)展:江陰市與清華大學攜手推進重大科技項目
- 美國或再升級出口管制:考慮限制AI芯片對中東出口
- 劉強東章澤天報案:京東發(fā)言人證實夫婦倆遭有組織造謠,警方已介入
- 東方甄選擬15億出售教育業(yè)務
- 虧764億上熱搜 蔚來裁員10%,銷量跌出前三
- IBM設立5億元AI創(chuàng)投基金
- 聯(lián)想發(fā)布 ThinkStation P8工作站
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。