นักวิเคราะห์อาวุโส Hao Fangzhou: การโจมตีด้วยการแฮ็คเริ่มใช้ความคิดทางการเงิน การป้องกันควรรับม
เมื่อวันที่ 5 กันยายน การประชุม POD ซึ่งจัดโดย Odaily และจัดร่วมกันอย่างมีกลยุทธ์โดย 36Kr Group จัดขึ้นที่กรุงปักกิ่ง ในฟอรัมย่อยด้านความปลอดภัยของการประชุมนักวิเคราะห์อาวุโส Hao Fangzhou เปิดตัว "รายงานอุตสาหกรรมบริการความปลอดภัยเทคโนโลยีบล็อกเชนปี 2018" อย่างเป็นทางการและกล่าวปาฐกถาพิเศษ
"รายงานอุตสาหกรรมบริการความปลอดภัยเทคโนโลยีบล็อกเชนปี 2018" วิเคราะห์ปัญหาด้านความปลอดภัยที่สอดคล้องกับสถานการณ์ทางธุรกิจ เช่น การแลกเปลี่ยน สัญญาอัจฉริยะ กระเป๋าเงิน และแหล่งขุดตามลำดับตรรกะของ "การตรวจสอบเหตุการณ์ - วิธีการโจมตี - กลยุทธ์การป้องกัน" และหารือเกี่ยวกับ ปัญหาด้านความปลอดภัยของเทคโนโลยี blockchain ภาพรวมและกรณีธุรกิจของอุตสาหกรรมบริการด้านความปลอดภัยของห่วงโซ่
ในการแบ่งปัน Hao Fangzhou ได้แนะนำข้อค้นพบบางอย่างของสถาบันวิจัย เช่น วิธีการที่แฮ็กเกอร์ใช้เพื่อโจมตีแพลตฟอร์มแบบกระจายศูนย์ ซึ่งแตกต่างจากแพลตฟอร์มแบบรวมศูนย์แบบดั้งเดิมมาก บางครั้งอาศัยความคิดสร้างสรรค์บางอย่าง เขาอ้างถึงในตัวอย่างของ แฮ็กเกอร์โจมตี Binance และ Fomo3D ในปีนี้ แฮ็กเกอร์ยังใช้ความรู้ทางการเงินและจับช่องโหว่ในกลไกการออกแบบพื้นฐาน
จากการวิจัยของเขา อุบัติการณ์สูงของเหตุการณ์ด้านความปลอดภัยของบล็อกเชนนั้นกระจุกตัวอยู่ในชั้นธุรกิจและชั้นสัญญา จากมุมมองของสายธุรกิจ มันคือแพลตฟอร์มการซื้อขายและสัญญาอัจฉริยะ
Hao Fangzhou ยังชี้ให้เห็นว่า "เส้นทางวิวัฒนาการที่เป็นไปได้ของแพลตฟอร์มการซื้อขายแบบรวมศูนย์คือการเปิดรับการกำกับดูแล และในขณะเดียวกันก็เข้าหาสถาบันการเงินแบบดั้งเดิม เช่น ธนาคาร รวมถึงการใช้ชื่อจริงที่ดี การเป็นผู้ดูแลทรัพย์สิน และสร้างทางกายภาพของตนเอง กลไกป้องกัน”
ต่อไปนี้เป็นเนื้อหาทั้งหมดของสุนทรพจน์ ขอให้สนุก:
สวัสดีตอนบ่าย ท่านสุภาพบุรุษและสุภาพสตรี ยินดีต้อนรับสู่เซสชั่นการรักษาความปลอดภัย สถาบันวิจัย Odaily ของเราหวังเสมอว่าจะนำเสนอโลกแห่งบล็อกเชนที่แท้จริงให้กับทุกคนด้วยวิธีที่เป็นธรรมชาติมากขึ้น ชุดที่เราผลิตเรียกว่า "Odaily Graphics" ซึ่งใช้กราฟเพื่อแสดงโครงสร้างอุตสาหกรรม เค้าโครงของบริษัทขนาดใหญ่ การลอกเลียนแบบโค้ด ฯลฯ บางคนเคยเห็นกราฟเหล่านี้ในวงเพื่อน วันนี้ ในนามของสถาบัน ฉันมาที่นี่เพื่อเผยแพร่รายงานอุตสาหกรรมบริการความปลอดภัยเทคโนโลยีบล็อกเชนประจำปี 2018
ความปลอดภัยเป็นแนวคิดที่สัมพันธ์กัน และตรงข้ามกันคือความเสี่ยง แต่สองคำนี้ค่อนข้างเป็นนามธรรม ดังนั้นเราหวังว่าจะเปลี่ยนแนวคิดเหล่านี้ให้เป็นแนวคิดที่คล้ายกันมากขึ้นในความคิดของเรา แล้วความปลอดภัยและความเสี่ยงมีลักษณะอย่างไร การสลับบทบาทระหว่างฝ่ายรุกและฝ่ายรับเป็นแกนหลักในฟุตบอล และแกนหลักนี้คือการควบคุมบอล
ตอนนี้ เมื่อเราแปลตรรกะชุดนี้เป็นการรักษาความปลอดภัยของบล็อกเชน เราจะพบว่า แกนหลักคือการควบคุมข้อมูลและทรัพย์สิน ความปลอดภัย ตรงกลางได้รับการปกป้องด้วยทุ่นระเบิดและโซ่ และวงนอก คือความเสี่ยงทุกประเภท เหล่านี้ รวมถึงความเสี่ยงทางเทคนิค ความเสี่ยงด้านนโยบาย ความเสี่ยงด้านศีลธรรม ความเสี่ยงด้านการเก็งกำไร ความเสี่ยงด้านปฏิบัติการ และอื่นๆ ความเสี่ยงมีลักษณะบางอย่าง และมักจะรวมกันในหลายจุด คาดไม่ถึงและไม่มีที่สิ้นสุด ซึ่งจำเป็นต้องมีการรักษาความปลอดภัยที่ครอบคลุม หลายกระบวนการ และหลายลิงค์
อย่างไรก็ตาม ปัญหาด้านความปลอดภัยที่สำคัญมักไม่ได้รับการเอาใจใส่อย่างจริงจังเราจะพบว่าสิทธิและความรับผิดชอบมักไม่ชัดเจนและมาตรฐานก็วัดได้ยาก ดังนั้น เมื่อเราเขียนบทความเรามักจะถามคำถามโดยบอกว่าปัญหาด้านความปลอดภัยก็เหมือนกับความปลอดภัยของชโรดิงเงอร์ หมายความว่าอย่างไร เฉพาะเมื่อเกิดอุบัติเหตุเท่านั้นที่เราตระหนักว่าปัญหานี้ร้ายแรงเพียงใด แต่ก่อนเกิดอุบัติเหตุ เราไม่รู้ว่าบริษัท สินค้า หรือบริการอยู่ในสถานะขั้นกลางซึ่งยากต่อการตัดสินความปลอดภัย
ต้องบอกว่าเราต้องทำให้ชัดเจนว่าเมื่อเราพูดถึงความปลอดภัยของเครือข่าย มันง่ายกว่าที่จะเข้าใจว่าใครมีบทบาทในการโจมตีและการป้องกัน โดยทั่วไปแล้วผู้โจมตีคือแฮ็กเกอร์ การป้องกันรวมถึงรัฐบาล องค์กร บริษัทรักษาความปลอดภัยบุคคลที่สาม และ ผู้ใช้ เป็นเจ้าของ
อยากถามทุกคนในนี้ว่ามีใครเคยเจอทรัพย์สินดิจิทัลโดนขโมยบ้าง หากคุณลืมรหัสส่วนตัวจะไม่นับรวม ใช่ไหม ทรัพย์สินสกุลเงินตามกฎหมายของใครก็ตามถูกขโมยทางออนไลน์ไม่ว่าจะเป็นธนาคารออนไลน์ P2P หรือ Alipay หรือไม่
เราไม่เคยเจอสิ่งนี้ จากข้อมูลพบว่ามูลค่าตลาดรวมของสินทรัพย์ดิจิทัลมีมูลค่าเกิน 230,000 ล้านดอลลาร์สหรัฐ ตามรายงานของ Tencent Security และ Zhichuangyu ในช่วงครึ่งแรกของปีก่อนเดือนกรกฎาคม จำนวนทรัพย์สินดิจิทัลที่ถูกขโมยเกือบ 1.1 พันล้านดอลลาร์สหรัฐ ซึ่งหมายความว่าในช่วงครึ่งปีแรก จำนวนเหรียญที่หายไปเกือบห้าพันเหรียญ. ข้อมูลของ Kushen ดูเหมือนจะสูงกว่านี้ หากเป็นระบบที่ค่อนข้างรวมศูนย์ อันที่จริง การโจมตีและป้องกันแบบรวมศูนย์มาจากการทดสอบการโจมตีและการป้องกันที่เข้มงวดกว่า โดยทั่วไป มีการรับประกันทางกฎหมายและการชดเชยจากสถาบันการเงิน สินทรัพย์ออนไลน์มักจะตามมา การผูกวัตถุออฟไลน์ ดังนั้นจึงเป็นเรื่องยากมากที่แฮ็กเกอร์จะโจมตีอินเทอร์เน็ตโดยตรง แต่การออฟไลน์จะง่ายกว่า
ดังนั้น,
ดังนั้น,หากคุณต้องการโจมตี blockchain บางครั้งคุณต้องพึ่งพาวิธีการที่เป็นนวัตกรรมใหม่
ฉันจะยกตัวอย่าง 2 ตัวอย่าง เรื่องแรกคือ "เหตุการณ์ Binance" ในเดือนมีนาคมปีนี้ซึ่งควรจะเป็นในช่วงเช้าตรู่ของวันที่ 7 มีนาคม การถอนออกจาก Binance เป็นวิธีการใหม่ในการรวมเทคโนโลยีเข้ากับเครื่องมือทางการเงินบางอย่าง ตัวอย่างที่สองคือ Fomo3D ที่คุณเพิ่งกล่าวถึง หลายคนสงสัยว่าแฮ็คเกอร์จะบีบผู้เล่นคนอื่น ๆ และได้รับโบนัสก้อนโตในที่สุด นี่คือเกมเพลย์ที่ผสมผสานกับกลไกการออกแบบพื้นฐาน เนื่องจากไม่ได้มีแค่ข้อมูลเท่านั้น แต่ยังมีมูลค่าในห่วงโซ่ และโค้ดยังไม่สมบูรณ์ สถาบันหลายแห่งจึงไม่ครอบคลุมเท่าที่โฆษณาไว้ และนโยบายที่เกี่ยวข้องก็ยังขาดหายไปชั่วคราว ทำให้เกิดการสูญเสียทางเศรษฐกิจครั้งใหญ่หากล้มเลิก
ส่วนหนึ่งของความไม่ปลอดภัยของ blockchain มาจากเหตุผลส่วนตัว กล่าวคือ ผู้คนไม่ให้ความสนใจกับมันมากพอ โดยพื้นฐานแล้ว นักลงทุนที่เข้าสู่ตลาดคือผู้ที่มีเงินสำรองน้อย และยังมีผู้คนจำนวนน้อยที่ ขายบ้านและเข้าตลาดจริงๆ
แล้วจะป้องกันได้อย่างไร? จุดแตกหักของการโจมตีโดยทั่วไปคือตำแหน่งที่ฝ่ายป้องกันสร้างป้อมปราการ. ตอนนี้เราเห็นภาพตามลำดับตั้งแต่ปี 2011 ถึงปีนี้และก่อนเดือนกรกฎาคมของปีนี้ การวิเคราะห์พื้นผิวการโจมตีและจุดของบล็อกเชน
ตามสถาปัตยกรรมทางเทคนิค ชั้นธุรกิจและชั้นสัญญาเป็นพื้นที่ที่ได้รับผลกระทบหนักที่สุด ตามสถานการณ์ทางธุรกิจ แพลตฟอร์มการซื้อขายและสัญญาอัจฉริยะเป็นสถานที่ที่เกิดอุบัติเหตุบ่อยครั้ง
เพื่อความสะดวกของผู้อ่าน เราจะอ้างอิงถึงมุมมองของบริษัทที่ให้บริการด้านความปลอดภัยเมื่อจำแนกประเภท และหารือเกี่ยวกับความต้องการของอุตสาหกรรมและสถานการณ์ทางธุรกิจ
ดังนั้น รายงานจะวิเคราะห์ปัญหาด้านความปลอดภัยของเทคโนโลยีบล็อกเชนที่สอดคล้องกับสถานการณ์ทางธุรกิจ เช่น การแลกเปลี่ยน สัญญาอัจฉริยะ กระเป๋าเงิน และกลุ่มการขุดตามลำดับตรรกะของ "จากการตรวจสอบเหตุการณ์ วิธีการโจมตี และกลยุทธ์การป้องกัน"
ข้อมูลในส่วนนี้ของรายงานมีจำนวนค่อนข้างมาก ดังนั้นฉันจึงเลือกเพียงสองประเด็นเล็กๆ เพื่อแบ่งปันสั้นๆ ที่นี่:
เรามาพูดถึงการแลกเปลี่ยนกันก่อนการเข้ามาของการแลกเปลี่ยนแบบกระจายอำนาจมุ่งเป้าไปที่ปัญหาด้านความปลอดภัยของการแลกเปลี่ยนแบบรวมศูนย์ เป้าหมายต่อไปของพวกเขาคือการปรับปรุงประสบการณ์และรับการเข้าชมมากขึ้น ทิศทางวิวัฒนาการของการแลกเปลี่ยนแบบรวมศูนย์ควรอยู่ใกล้กับสถาบันการเงินแบบดั้งเดิม เช่น ธนาคาร และทำงานได้ดีในชื่อจริง KYC การดูแล โซลูชันการแยกเย็นและร้อน และการป้องกันทางกายภาพอื่น ๆ
พูดคุยเกี่ยวกับสัญญาอัจฉริยะเมื่อรันสัญญาอัจฉริยะแล้ว จะไม่สามารถแก้ไขได้ ดังนั้นการตรวจสอบโค้ดและการตรวจสอบอย่างเป็นทางการจึงมีความสำคัญมากขึ้นเรื่อยๆ สำหรับเครือข่ายสาธารณะ คุณต้องพิจารณาปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นในการออกแบบพื้นฐานและเศรษฐกิจโทเค็น ทางที่ดีควรปรึกษาทีมรักษาความปลอดภัยล่วงหน้า นอกจากนี้ยังจะกลายเป็นเทรนด์สำหรับบริการรักษาความปลอดภัยที่จะมีส่วนร่วมในโครงการบล็อกเชนก่อนหน้านี้
มีข้อสรุปเพิ่มเติมในรายงานซึ่งจะไม่ขยายความในที่นี้
ในส่วนสุดท้ายของรายงาน เราได้กล่าวถึงสถานการณ์ทั่วไปและบริษัททั่วไปของอุตสาหกรรมบริการความปลอดภัยด้านเทคโนโลยีบล็อกเชน
พบว่าทุกคนมีมุมมองและความเชี่ยวชาญของตนเอง บางบริษัทเน้นที่การตรวจสอบอย่างเป็นทางการและปล่อยเครื่องมือตรวจจับอัตโนมัติ บางบริษัทเน้นไปที่ความปลอดภัยทางนิเวศวิทยาและความเป็นส่วนตัว หลายบริษัทที่เริ่มต้นจาก Cold Wallet เชี่ยวชาญในโซลูชันการจัดเก็บข้อมูลความปลอดภัยคีย์ส่วนตัว มี ยังมีโครงการที่ใช้แนวคิดของการกระจายอำนาจเพื่อดึงดูด geeks สร้างชุมชน และตรวจสอบและแก้ไขจุดบกพร่องร่วมกัน
เราเลือกกรณีทั่วไป 5 กรณีจาก 10 บริษัทตัวแทนของบริการรักษาความปลอดภัยบล็อกเชนที่รวมอยู่และทำการสัมภาษณ์และวิเคราะห์ ส่วนนี้รวมถึงประสบการณ์และความคิดเห็นที่ผู้นำออกมา
สุดท้ายนี้ ฉันขอขอบคุณ Kushen, Slow Mist, Zhichuangyu, PeckShield, 360, CertiK, Warp Speed Future, Security Chain และ Bepel ที่ตอบรับการสัมภาษณ์ของเรา ให้การสนับสนุนด้านภูมิปัญญา และให้คำแนะนำสำหรับรายงาน ฉันขอขอบคุณเพื่อนร่วมงานของฉัน ผู้เขียนหลักของรายงานนี้ นักวิเคราะห์ Li Xueting
ฉันจะประกาศเล็ก ๆ น้อย ๆ รายงานการวิจัย ภาพประกอบ รายงานข่าว การแนะนำโครงการและบทความเชิงลึกเพิ่มเติมกำลังดำเนินการอยู่ ขอบคุณทุกคน!
