Precio de Bitcoin Precio de Bitcoin
Ctrl+D Precio de Bitcoin
ads

Golden Observation | ¿Esas cosas serias e interesantes sobre la seguridad de blockchain?

Author:

Time:

Desde la aparición de las criptomonedas, los problemas de seguridad nunca se han roto, lo que parece ser algo diferente de la "seguridad" de la cadena de bloques que todo el mundo reconoce. ¿Es este mecanismo criptográfico lo suficientemente seguro? ¿Dónde está el problema principal?

A mediados de octubre, el autor participó en la Cumbre de seguridad de Xi'an SSC, que es un evento de seguridad en la industria de Internet de China, con la seguridad como tema central, y los organizadores y participantes de la conferencia están todos relacionados con la seguridad.

En el foro de seguridad de blockchain de la cumbre, conversamos con el organizador del foro, el equipo de tecnología de tiempo cero, sobre los problemas de seguridad que preocupan especialmente a los usuarios.La seguridad de blockchain es más feroz que los tigres. Pero esta seria pregunta también contiene muchos hechos aparentemente interesantes.

El siguiente es el autoinforme del entrevistado Deng Yongkai, CEO de Zero Hour Technology, y Wang Hang, reportero de Jinse Finance and Economics.

La imagen muestra a Deng Yongkai, CEO de Zero Hour Technology, en su discurso en la Cumbre de Seguridad de Xi'an.

Wang Hang, reportero de Jinse Finance: Vi que el sitio web oficial de Zero Time Technology ahora tiene tres productos, incluidas dos herramientas. ¿Cuándo los hizo?

Deng Yongkai, director ejecutivo de Zero Hour Technology: El primer producto que desarrollamos es una herramienta de detección de automatización de seguridad de contrato inteligente, que ahora está disponible de forma gratuita para los usuarios finales C. Convertimos en herramientas una lógica de auditoría de seguridad básica e importante y las abrimos ; otro Es un firewall basado en EOS DApp y existe en forma de SDK. Después de que el contrato se conecta al SDK, algunas transacciones anormales pueden ser advertidas y bloqueadas.

Para las auditorías de seguridad, las auditorías de seguridad de contratos inteligentes también son similares a las auditorías de seguridad de código fuente de seguridad tradicionales. No es muy confiable confiar completamente en la automatización, porque las reglas de la máquina están muertas y algunas de ellas involucran problemas de lógica comercial. Defectos problemáticos, reglas de automatización no son auditables. Incluso la verificación formal requiere una cierta base para el juicio. Las herramientas automatizadas se pueden utilizar como ayuda, y los problemas relativamente ocultos deben juzgarse manualmente a través de la experiencia.

Miller Tabak + estratega jefe de mercado: la "cruz de la muerte" de Bitcoin no da tanto miedo esta vez: los gráficos técnicos envían una señal siniestra a medida que una ráfaga de noticias que afectan a Bitcoin desencadena una fuerte caída en el precio de Bitcoin. Bitcoin formó una cruz de la muerte, donde el promedio móvil de 50 días cayó por debajo del promedio móvil de 200 días. Es una señal técnica que generalmente se observa de cerca, lo que sugiere que podría haber más dolor en el horizonte. Con Bitcoin cayendo un 40% en los últimos dos meses, muchos analistas han anticipado la formación de una cruz de la muerte. Pero Matt Maley, estratega jefe de mercado de Miller Tabak+ en Nueva York, dijo que dado que el promedio móvil de 200 días sigue aumentando, hay razones para creer que esta cruz de la muerte puede no ser tan aterradora. (Diez de oro) [2021/6/22 23:55:12]

El propósito de nuestra herramienta abierta de detección de contratos inteligentes es permitir a los usuarios cargar el código del contrato para una detección gratuita y obtener un informe de auditoría. Si necesita una auditoría más detallada, puede contactarnos nuevamente y realizar la auditoría junto con el trabajo manual para encontrar problemas de seguridad y evitar la pérdida de activos.

Wang Hang, reportero financiero de Jinse: En general, ¿cómo va su proceso de auditoría?

Deng Yongkai, CEO de Zero Hour Technology: En primer lugar, obtenemos los requisitos de auditoría de los usuarios y los analizamos con la herramienta de auditoría de seguridad interna del equipo. ¿Cuál es el escenario comercial, la escala comercial y la lógica comercial? Luego describa el negocio y luego observe si hay algún problema en el código que sea inconsistente con las funciones descritas. Por ejemplo, si se extraerá, si las monedas se bloquearán, si la configuración de permisos es incorrecta, si habrá emisión adicional y acuñación ilimitada, etc.

Debido a la particularidad del contrato inteligente y la complejidad de la lógica comercial en el proyecto DeFi actual, todas nuestras auditorías de código están sujetas a auditorías cruzadas. Múltiples auditores son auditados de forma cruzada, y se plantea cualquier problema, y ​​luego se revisan mutuamente. Vea si los problemas que auditan se superponen. Diferentes personas tienen diferentes puntos de entrada para la auditación. Por lo tanto, la auditoría cruzada puede encontrar más problemas.

En los últimos 30 minutos el mercado de contratos liquidó $6,85 millones y BTC liquidó $6,37 millones: Según el informe de estadísticas del mercado de contratos, el mercado de contratos en los últimos 30 minutos tiene una liquidación total de $6,85 millones, de los cuales $6,37 millones han sido liquidados en BTC. [2021/4/9 20:02:24]

Wang Hang, reportero financiero de Jinse: ¿Cuáles son las funciones principales de sus clientes comerciales?  

Deng Yongkai, CEO de Zero Hour Technology: La mayoría de los clientes ecológicos de la cadena pública son principalmente plataformas comerciales y proyectos de cadena pública, y los clientes ecológicos de la cadena de alianza se encuentran principalmente en la industria financiera tradicional y en los campos gubernamentales y empresariales, entre los que se encuentra la seguridad de la plataforma de negociación es la más complicada.

Por ejemplo, la plataforma de negociación, desde su propio negocio de productos hasta aplicaciones móviles, sitios web, carteras de activos y sistemas de cuentas, debido a que está centralizada, la mayoría de los problemas de seguridad son los mismos que los de la seguridad tradicional, pero en las carteras y la gestión de activos es bastante especial. En el proceso de servicio de seguridad de la plataforma comercial, además de las pruebas de seguridad empresarial y las pruebas de penetración, también realizaremos ataques de ingeniería social, ataques de phishing, etc. Vale la pena mencionar que la mayoría de los problemas que enfrentamos son relacionados con la seguridad de la oficina.

Entre ellos, el ataque de ingeniería social consiste en detectar la debilidad del objetivo a través de algún medio no convencional. El problema más probable es la red de su oficina. Varios intercambios que hemos auditado han irrumpido en el sistema objetivo a través de la red de la oficina. Hay muchas maneras, en el caso de obtener la autorización del cliente objetivo, por ejemplo, puede ir a la oficina del objetivo, pero muchos intercambios no pueden encontrar su oficina. Después de determinar la ubicación, podemos visitarlos y podemos usar algunos equipos preparados, como cables de datos modificados, ratones y unidades flash USB con nombres, etc. Después de que estos dispositivos se usen inadvertidamente, podemos controlar su red o el host , si estos hosts se pueden conectar a los antecedentes comerciales de la plataforma comercial, o tienen la autoridad para operar la billetera, básicamente pueden controlar los activos de destino y los datos centrales.

Este es un ataque de ingeniería social, que aprovecha los errores humanos y las debilidades de la naturaleza humana. Por ejemplo, si un atacante necesita ingresar al lugar de trabajo, puede confiar en el personal debido a las necesidades comerciales, o falsificar credenciales, control de acceso, etc., y finalmente ingresar a la red de destino.

Hay otras formas, como la falsificación de WiFi, falsificamos un WiFi para permitir que la víctima se conecte, o falsificamos una gran cantidad de puntos de acceso que son los mismos que el WiFi de destino para permitir que la víctima se conecte, o directamente hacemos que el WiFi de destino no funcione, el El propósito es permitir que la víctima se conecte a nuestro WiFi. Cualquiera de las víctimas es falsificada por nosotros. Después de que la víctima ingrese la contraseña, la obtendremos, para que podamos continuar ingresando a la red de destino y robar datos.

Incluso el método de ataque está dirigido a las impresoras. Generalmente, pocas personas prestan atención a las impresoras, pero las impresoras actuales son más inteligentes y almacenarán los archivos impresos y escaneados históricamente durante un período de tiempo, y algunas personas imprimirán las palabras mnemotécnicas. Un caso de demostración es que la impresora del cliente de destino se puede configurar con un buzón y el contenido histórico impreso se enviará al buzón designado de manera unificada.

En cuanto a las cuestiones de seguridad de la oficina, el personal técnico puede estar bien, pero el personal administrativo, financiero y comercial puede que básicamente no tenga conciencia de seguridad, no instale software antivirus ni aplique parches, lo que equivale a correr desnudo por la calle. En uno de nuestros casos anteriores, había un virus en la computadora del personal financiero de un cliente, la computadora del personal financiero podía operar la billetera y se robaron más de 900,000 dólares estadounidenses en la billetera.

Por lo tanto, los profesionales de la seguridad siempre tienen una forma de ingresar a la red de destino con autorización para acceder y controlar los datos y activos de destino. En este momento, se requieren requisitos morales extremadamente altos. Deben ser "solo piratas informáticos", y lo somos.

Wang Hang, reportero de Jinse Finance: ¿Cómo puede ser segura una plataforma con negocios comerciales concentrados y activos concentrados como un intercambio?

Deng Yongkai, CEO de Zero Hour Technology: El problema de seguridad del intercambio es un aspecto, no un punto único. Solo cuando todo el aspecto comercial es lo más seguro posible, la seguridad general puede mejorarse. El principio del barril es muy obvio. Especialmente después de que se mezclen las características de la ingeniería social y los ataques de phishing, por ejemplo, debe haber mucho personal comercial externo del intercambio, y estos riesgos son inciertos.

También hay muchos tipos de problemas de seguridad. Nuestro equipo ha estado realizando ataques y defensas de seguridad durante tantos años. Las técnicas de ataque de los atacantes están mejorando, nuestras técnicas de protección de seguridad también están mejorando, las técnicas de minería de vulnerabilidades de sombrero blanco están mejorando y los piratas informáticos maliciosos están mejorando. las técnicas están mejorando más rápido. Los piratas informáticos malintencionados pueden incluso comprar una vulnerabilidad de día cero (una nueva vulnerabilidad sin métodos de defensa ni parches) directamente en el mercado clandestino para atravesar directamente algunos sistemas.

Otro aspecto es la gestión de la seguridad de los activos, la configuración de la seguridad de la billetera, el control de riesgos de transacciones y activos, por ejemplo, algunos ataques roban monedas, en tiempos anormales, en el número anormal de transacciones, etc., estos comportamientos anormales requieren un sistema de control de riesgos, alerta temprana. de transacciones anormales, o interceptar transacciones directamente.

Además, para las direcciones de transferencias anormales, también se puede realizar una preselección y se pueden realizar asociaciones de contenido o retratos de direcciones para direcciones sospechosas. Por ejemplo, la dirección de la web oscura, la dirección de los piratas informáticos, la dirección del ransomware, la dirección del lavado de dinero, la dirección de los sitios web de phishing, etc.

Nuestro "Sistema de seguridad de transacciones y activos digitales (Sistema AML)" puede proporcionar API para estas funciones de control de riesgos, y esta interfaz se puede proporcionar a los intercambios. Si dichas direcciones maliciosas generan transacciones, se emitirán alertas tempranas de manera oportuna y cooperarán con el control de riesgo de la bolsa Medidas para proteger activos y transacciones.

El reportero de Golden Finance, Wang Hang: ¿Hay alguna diferencia en la comprensión de la seguridad de la cadena pública?

Deng Yongkai, CEO de Zero Hour Technology: En circunstancias normales, el código de la cadena pública es de código abierto y puede haber problemas con el código abierto. Por ejemplo, todos en la comunidad pueden contribuir con el código. Cuando se envía un código y se coloca en la sucursal, el paquete oficial se incluirá en la sucursal. Sí, después de empaquetarlo, pero este código es una puerta trasera muy oculta. En este momento, se introdujo una bomba de tiempo en el proyecto, y todos los activos pueden ser transferido después de medio año.

Por ejemplo, en julio de este año, el incidente de robo de monedas del proyecto RVN, con tres líneas de código por valor de 40 millones de yuanes, es un incidente de seguridad típico causado por el código abierto y la falta de conciencia de seguridad.

Los temas de seguridad son un tema muy diverso y complejo, especialmente en el campo de la cadena de bloques, que es aún más complejo. Fortalecer la conciencia de seguridad de todos es algo muy importante, y todas las lagunas son causadas por humanos.

Wang Hang, reportero de Golden Finance: Finalmente, hable sobre los principios de la auditoría de seguridad de blockchain.

Deng Yongkai, CEO de Zero Hour Technology: En primer lugar, el primer punto es la responsabilidad y la confianza. Los clientes confían en el equipo de seguridad para encontrar problemas de seguridad sin afectar su propio negocio. El equipo de seguridad debe ser responsable de las necesidades del cliente, encontrar tantos problemas como sea posible y proponga un programa de soluciones de seguridad para ayudar con la restauración.

Las personas en el campo de la seguridad son todas rectas. Si no tiene un sentido de la justicia, no puede ser un sombrero blanco calificado (solo técnico de seguridad). Debe apegarse al principio en todo momento para garantizar que el equipo cumpla No hagas cosas malas y conviértete en un Buda con un pensamiento. Un pensamiento se convierte en un demonio.

Tags:

Binance App Download
Golden Outpost | Proyecto de privacidad NuCypher lanzado en la red principal, bloqueó más de 350 000 ETH

El 15 de octubre, el proyecto de infraestructura de privacidad NuCypher anunció en Twitter que la red principal se lanzó a tiempo según lo planeado. En la imagen de arriba.

Observación dorada | Cuando la estación seca encuentra un nuevo máximo en los precios de las divisas, el dilema y la elección de los mineros

Miles de kilómetros de viaje después de muchas crisis, con un solo propósito: sobrevivir.La electricidad es la característica más obvia de la industria minera de encriptación.

Primer lanzamiento | ¿Cuántos secretos esconde Filecoin?

Este artículo mencionará la parte de las dudas de todos durante este período, cuántos secretos todavía no nos ha conocido el proyecto FileCoin.Antes de conectarse, estaba nublado y nebuloso.

Golden Observation | ¿Esas cosas serias e interesantes sobre la seguridad de blockchain?

Desde la aparición de las criptomonedas, los problemas de seguridad nunca se han roto.

El volumen de transacciones del sobre rojo en RMB digital es de 8,76 millones.La billetera digital aún se puede usar después de la prueba piloto

Pasaron 10 días desde el registro de la cita hasta ganar la lotería y luego usar los sobres rojos. A las 24:00 del 18 de octubre.

DeFi Weekly|DeFi puede reiniciar una ronda de mercado alcista en diciembre

Volumen de negociación de 24 horas en intercambios descentralizados: $309.

Gu Yanxi: Reflexione sobre la estrategia de moneda estable de Libra

La reciente declaración del G7 sobre las monedas estables globales una vez más ha llamado la atención del mercado sobre Libra. Obviamente.

ads