主人家收割山韭,慢雾科学技术

作者: 奥门永利总站网址  发布:2019-08-09

慢雾安全团队,这是由一支拥有十多年一线网络安全攻防实战的安全成员创建,团队曾为 Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力,团队多项成果也曾进入过 Black Hat 等全球黑客大会。慢雾安全团队已经与全球多家知名交易所、数字资产钱包、主链项目合作,为合作伙伴提供安全审计、安全顾问、防御部署及威胁情报分享。

在EOS主网启动之后,会有越来越多的DApp开始在上面运行,那么EOS智能合约安全也会是我们关注的重点。

嘉宾慢雾余弦:啊,好问题。

EOS智能合约我们也在不断地进行研究和实践,以后还有更多分享带给大家,敬请期待。

嘉宾慢雾余弦:一般的区块链从业者,保持空杯心态吧,至少能保护好自己的私钥。

接下来我们会讲以太坊智能合约安全。最近这段时间频繁地有团队爆出智能合约安全问题,例如早期从BEC、SMT爆出的问题,还有最近EDU、BAI的问题。

目前该事件有什么最新进展?慢雾最近又发现了哪些新型且隐秘的攻击手法?

第三,假如说你需要对外提供查询的话,也可以配置iptable来源IP白名单作为限制。

嘉宾慢雾余弦:很聚焦的问题,安全最佳实践早有了,然后上线前请职业的安全团队做个安全审计,不费事。以太坊智能合约 —— 最佳安全开发指南。

图片 1image

阁主大象:我是一名观察者。

嘉宾慢雾余弦:关于 USDT “虚假充值”的事件,目前许多交易所也都发了公告声明说不存在该问题了,存在该问题的交易所也都获取了情报在第一时间修复了,目前应该已经不存在此问题了。

Geth 命令行参数列表:

嘉宾慢雾余弦:确实术业有专攻,有门槛。

同时我们也提供了一份安全审计方案以供节点来进行自我审计,校验自己节点的安全性:

群友:请问,现在交易所那么多 如何看待越来越多的新交易所 至少安全角度而言,会不会只是个空架子?

讲完了上面的几个攻击方法,再重点说一下防御以及加固的方法:

嘉宾慢雾余弦:当大家关心币价的时候,也可以回过头来,琢磨琢磨这些问题。

1.2 以太坊 RPC 攻击手法一览

阁主大于:精辟!基本有些感觉了。

开场语录:

阁主大象:不会得罪人的,因为对手可能还没诞生……

以太坊智能合约 —— 最佳安全开发指南

阁主大象:挖门罗币?感觉诡异,换个话题。

DoraSpeaker

阁主大象:可以,天天来。我最不能解决的问题是小龙虾为什么要去壳,这么麻烦。

DASP在我们慢雾区也有中文版文档,大家可以去搜索一下。由于时间关系,在这次分享中不能与大家展开说明。

Q7

1.3 以太坊 RPC 安全加固方法

嘉宾慢雾余弦:没什么问题是一顿小龙虾解决不了的,如果有,那就两顿。

再有就是,不要将账户信息存放在节点上 (因为如果账户不在节点上,就不会用到unlockAccount )。如此一来,攻击者在通过RPC查询的时候也不会看到账户信息。

阁主大于:第三个问题,历来人们都对拥有超能力的人有更多的质疑,能力越强责任越大,在区块链世界,慢雾科技其实上可以认为是有“超能力”的公司,我想知道,你们是如何约束自身的“超能力”的?有哪些不可违背的行事原则?除了观念和文化上的约束,慢雾科技对内部成员有怎样的实质性约束?

智能合约的准则就是代码即法律。相信The DAO事件和Parity事件大家都有所耳闻。在智能合约的准则下面,默认的是合约在发布之后代码无法进行修改,但可以通过一些分层的设计来进行局部更新。

Q10

导读

嘉宾慢雾余弦:建议其实好多,简单说几个:1. 做好各方面的安全加固;2. 找专业团队做安全审计,把专业的事情交给专业的人来做;3. 共同促进生态安全。

同时我们还发现以太坊生态里的Geth、Parity等的日志没有很好地记录到通过RPC请求的方法及来源IP。在进行溯源的时候,由于这样的日志机制不够完善,我们难以去获取到这些攻击者的信息。

嘉宾慢雾余弦:慢雾背后有一支 Red Team,以攻促防,只有了解攻击者的手法与心理还有这个群体的生存模式,才能真正做好防御。

图片 2

图片 3image

Q0

CVE-2018-11548 EOSIO P2P 拒绝服务漏洞:

阁主大于:很有意思,可否介绍一下慢雾科技的愿景?

我们在主网上线过程中有对几十个超级节点进行安全检测,同时也输出了多份文档。

嘉宾慢雾余弦:你们看到各种正规军其实都在陆续进来,这也包括地下黑客群体(也是我们常说的攻击者),他们远比我们想象的职业。举个例子,我们今年3月20号披露的一个大事件:以太坊黑色情人节(大家可以打开我们做的专题页看看),这个攻击其实2016年2月14日就发生了(这也是为什么我们命名这个为以太坊黑色情人节),持续了两年多,自动化盗取了近5万枚以太币,几十亿枚各种代币。技术细节我们有专门的分析报告,这里就不谈了,但是大家仔细琢磨下:为什么持续了两年多,直到我们的进来,才完整披露了呢?如果我们没披露呢?

更重要的就是尽可能地不要把这个端口暴露在公网上,可以通过修改监听地址为内网的方法,让RPC在内网进行调用。

Q2

3.1 EOS P2P 拒绝服务漏洞

阁主大象:那继续我的第10问?慢雾现在遇到的几乎所有智能合约的安全问题都是以太坊上的。最近这段时间频繁地有团队爆出智能合约安全问题,例如早期从BEC、SMT爆出的问题,还有最近EDU、BAI的问题。团队该如何做好风控呢?

两起著名的利用智能合约漏洞的事件

阁主大象:哈哈哈,宽恕。

2.2 智能合约漏洞一览

有时候深入挖掘会发现这比魔法还魔法,难怪黑客容易被神秘化。

在EOS官方修复这个漏洞后,我们才在社区披露漏洞的细节和安全问题。这是我们所做的负责任的披露工作。

- 协议安全

3.2 EOS超级节点安全

阁主大于:很深刻,这些都是很宝贵的资料哎,之后我们还要仔细研究和学习。

EOS 超级节点安全执行指南:

嘉宾慢雾余弦:偶尔,我之前反驳过一个人:你对力量一无所知。这也是我们常说的:上帝视角。凡事都得看具体场景。

1.1 以太坊黑色情人节事件回顾与原理剖析

但是我们得意识到,安全这个东西,是整个生态的事,攻击者喜闻乐见币圈的乱,越乱,他们越喜欢,收割起来毫不留情。有句话是:庄家收割韭菜、地下黑客收割庄家。

在披露了“以太坊黑色情人节”之后,我们持续地对RPC进行研究,除了这个发送交易的攻击,还有其他的一些攻击方法,主要就是针对RPC相关的模块,例如:如果RPC里面启用了personal模块,那么就可以通过RPC调用personal_unlockAccount的方法去猜测钱包的账户密码,假如说账户密码是弱口令的话,就可以一次性实现解锁和转账;再一个是比较重要的miner 模块,这是与挖矿相关的。miner模块里有一个方法是通过miner_setEtherbase可以修改挖矿收益的钱包地址。假如说,RPC里面启用了这样的方法,并且节点里面正在进行打包的话,攻击者就可以通过修改挖矿地址来实现劫持矿机。

我题外话说下地下世界现在最有意思的我觉得是门罗币,但是这个题外话回头可以再展开。

DASP的可重入漏洞( Reentrancy Vulnerabilities )也是The DAO攻击的根源,还有的就是权限控制缺失以及拒绝服务、短地址攻击。

  1. 客户端协议实现安全

  2. 网络安全

  3. 节点安全

  4. 客户端应用安全

  5. 算法使用安全

  6. Solidity 语言安全

  7. ENS 安全

EOS 超级节点安全审计方案:

嘉宾慢雾余弦:谢谢。

其实我们发现不少隐秘攻击,有些还不是时候披露,我们一般是先通知合作方,修复后,再想办法合理披露。

拒绝服务漏洞的根源是由于默认的P2P链接数上限是25,同时没有对来源IP进行唯一校验。这样攻击者就可以使用同一个IP来发起成千上万的连接去占满超级节点的连接数。

阁主大于:第二问,国家信息技术安全研究中心主任俞克群曾表示,目前区块链还处在初级阶段,风险不仅来自于外部有意的恶意攻击,也有可能来自区块链本身体系内生的原因。我想问,区块链本身体系内生风险源是什么?区块链技术本身存在安全缺陷吗?

我们从RPC的安全攻防开始说起。通常,在区块链上都会有RPC。关于以太坊的RPC,我们之前在披露“以太坊黑色情人节”的时候进行过深入的研究分析,发现其中有不少问题。

嘉宾慢雾余弦:区块链落地的真正未来,其实,我并不觉得区块链技术有什么需要特别去强调的,我们应该看人类的未来,比如生产关系与生产力,大趋势来看(不考虑黑天鹅事件),生产关系肯定是越来越好(比如区块链技术让信任成本尽可能降低),生产力越来越强。

3.3 EOS 智能合约安全

然后这个生态里做个溯源其实更难,法币溯源有国家力量,这个生态这些币的溯源,没什么力量,太分散,大家自扫门前雪,偶尔还会看到互相嘲讽。

阁主大于:哈哈,有点感受到安全问题的本质了。

图片 4image

阁主大于:第四问,您曾经说“这个社会不存在完美的去中心化,不存在乌托邦,去中心化 中心化才是区块链落地的真正未来。”您认为完全的去中心化不可能吗?去中心化 中心化指得是一种新的共识机制,还是一种治理机制?

我也总说:守正出奇。比如,黑客这个身份,自带奇……

在分享开始之前,先来给大家介绍我们慢雾科技:“慢雾”,来源于三体,代表黑暗森林中的安全区域。慢雾科技专注于区块链生态安全,核心能力包括安全审计、安全顾问、防御部署、以及地下黑客风向标追踪。我们目前已经为全球多家交易所、钱包、智能合约做了安全审计和防御部署,同时相信大家也有从各个媒体上关注到,我们与区块链行业内众多团队达成了战略合作。

阁主大于:这还真是一个令人惊诧的问题。

图片 5

阁主大象:第十一问,这是我的个人爱好,以权谋私一下。我也很喜欢看《三体》,对水滴印象很深,水滴既是监视者又是攻击者,让人细思极恐。在区块链的发展中存在这样的角色么?

下面我们简单聊聊EOS方面的安全,最近EOS主网上线也是一个大家关注的热门话题。

这里,别偷懒,回头认真看。

区块链生态中恶意攻击事件频发?冲击过后我们还应当如何搭建安全堡垒?安全是区块链行业发展背后的坚实力量,技术则是在攻防战争中矛与盾的力量转化。这里有一份以技术为导向的不完全安全指南,看一线网络安全攻防实战的团队如何做到负责任的披露,希望能够引领更多公链安全修习者共筑更为强大与健壮的数字未来。我们也许难以辩明黑暗丛林中的猎人,有人选择打开了潘多拉的魔盒,还应有人点燃寓意希望的圣火。

作为观察者,我观察到您有一条发在朋友圈的信息:“我们说慢雾无对手,有投资人估计当我们神经病,现在这个环境,没点格局及想象力还真就别出来做事了……不用给我们假设对手,小龙虾都没吃过两顿的你觉得能谈出个鬼?一个电话就自以为无敌的,不见……”这句话的感觉,不好说低调,更像是在说“燕雀安知鸿鹄之志”,所以你觉得如果要成为你的对手,需要哪些条件?

EOS合约在溢出及权限设计方面和以太坊是类似的。在规避溢出方面,C 也提供了一些基础的函数库来规避溢出。

比起传统的攻防来说,区块链生态会有自己的特别点,比如币属性,自带金融属性,攻击者有时候不一定要盗走这个币,想办法做空做多就好。

《火讯琅琊榜》第三期首次开启“双阁主”模式,以“寻路区块链”为主题,继续带你探索区块链发展之路。

在全节点的使用方面,尽可能把签名的过程拿到钱包里,或者选择不在全节点上进行操作,可以使用web3的 sendTransaction 和 sendRawTransaction 发送私钥签名过的 transaction。

我总说:确认过眼神,我们一起干事,还不止确认过眼神。

以太坊黑色情人节专题跟踪:

这些人是没意识到:其实地下黑客正规军早进来了,我们的进来也确实是时候,攻防对抗必然会升级。都说币圈一天、人间一年,我们的攻防对抗当然也是这样,会越来越激烈,直到一种平衡。

这次给大家带来的分享内容是我们慢雾科技目前所做的一些公链安全研究。主要内容有三个方面:首先是以太坊RPC安全;第二个是以太坊智能合约安全,目前在这方面已经频繁爆出了许多问题;最后则是我们慢雾最近做的EOS安全研究。

群友:问一个可能比较冒昧的问题:慢雾目前是运动员还是裁判员呢?会不会将来两者都会牵涉呢?

如何写出安全的智能合约呢?一个推荐是参考OpenZeppelin的框架,同时ConsenSys也总结了以往的智能合约漏洞,并给出开发方面的安全建议。

嘉宾慢雾余弦:最好的应对方式是:提高安全感,把安全去神秘化,把黑客去神秘化。

我们在披露了 “以太坊黑色情人节”之后,还建立了专题网站,对这样的攻击行为进行持续跟踪和监控。在我们的专题网站中,能够看到被盗取的币和Token数量都在不断增加。

我们披露的基本都是已经有攻击事件发生的,而不是一个单纯的漏洞,单纯漏洞没意思。

分享主题:EOS和以太坊等公链安全研究分享时间:2018.6.16 20:00 -21:00分享人:慢雾科技安全研究员keywolf,“以太坊黑色情人节”事件披露者之一。

阁主大于:其实如果让我来想的话,好像也没有比“守正出奇”更加合适的词了。

图片 6image

所以说,技术只能强化原有的产业逻辑和趋势,比如如果能通过分布式协作增加效率,那使用区块链一定是很好的。但是恐怕不能用技术凭空创造出来不存在的趋势。

接着讲的是智能合约的漏洞。上面的DASP网站里有去中心化应用安全问题的TOP10,其实大家在近期了解到的智能合约问题上,比较多的是溢出和逻辑设计方面的缺陷。

图片 7

2.1 智能合约准则(code is law)

我一直给团队共识我们的红线,我们在招人时尤其注意这个,价值观是第一需要考虑的,然后才是其他。还有,我们也和公安相关部门有合作,在自我约束这方面,我们非常严肃。

自由提问环节

Billions of Tokens Theft Case cause by ETH Ecological Defects:

阁主大象:这是科普……

在这边给大家简单介绍一下攻击过程:攻击者会在全球扫描8545以太坊RPC端口,以及8546 WebSocket RPC 端口,频繁查询账户列表及账户余额,同时获取区块高度;第二步是在得到服务器的IP及端口列表之后,不断重复调用sendTransaction的方法将余额转出到攻击者自己的钱包,一个关键点在于,如果正好碰上节点的用户在机器上对自己的钱包执行unlockAccount时,在默认的300秒时间内,攻击者从RPC调用的时候就不再需要密码,就能够对这个交易转出进行签名,这样就可以把这个节点里面的ETH或者Token转到攻击者钱包。

嘉宾慢雾余弦:不一定,比如智能合约代币如果加了锁机制,那可以,但这样你们不觉得很可怕?项目方权限也太大了吧?

The DAO 攻击、黑客攻击Parity事件

嘉宾慢雾余弦:好吧,想不到。

2.3 如何写安全的智能合约

嘉宾慢雾余弦:然后,似乎有个错觉,有人说:你们慢雾进来后,各种新型攻击就层出不穷。就好像柯南每集都会死掉一个人,这不能怪柯南呀,剧情需要呀。

在研究过程中我们发现了P2P拒绝服务的漏洞,发现并验证这个问题之后,我们也进行了负责任的披露,将问题提交给EOS官方,同时也申请了CVE。

再比如,我们重度 GitHub 使用者。我们在我们的GitHub上公开了很多解决方案与研究,你们回头可以看看。我们觉得安全这东西一定要首先解决信任这个大问题、

3月20号,我们发布了《以太坊生态缺陷导致的一起亿级代币盗窃大案》这篇文章。在披露过程中我们发现,攻击目前仍在持续,并且这样的一个盗币行为造成的损失已高达2000多万美金。

当时我朋友圈发了段文字:我们一般不披露那些还没出现攻击事件的情报。比如单纯漏洞这玩意,挤挤总会有的,多重磅都可以搞个出来,没什么好说,但只要是事件,就代表已经发生,披露我们尽最大努力走负责任路线。我们在给甲方做安全时,会全面带入我们的情报网络,这种价值,似乎还不好量化,但懂的人,会很感激我们。

以太坊 RPC 功能列表:

阁主大于:第一个问题,区块链的核心是解决信任问题,而安全事件却一次次打击人们的信任,尤其是智能合约安全漏洞带来的巨额损失。目前区块链行业总体安全态势是怎样的?

以太坊生态缺陷导致的一起亿级代币盗窃大案:

嘉宾慢雾余弦:嗯,很神奇的世界。

DoraSpeaker是DoraHacks旗下的内容分享栏目,会围绕hackathon主题,引进属于时代的各种技术领域最资深的行业专家和学者为DoraHacker们带来分享。

这样的挖矿收益高呀,更好的蠕虫还会合理利用服务器资源,让你还不一定发现得了。好了 先科普这点。

嘉宾慢雾余弦:嗯。完全去中心化不可能,因为人性,我高中就看《自私的基因》,里面描述了人性非常底层的本质行为:利己与利他。

针对攻击面来说,一个是修改端口。尽量不要用默认的RPC API端口,避免别人进行全网扫描的时候发现这样的端口。

阁主大于:那相比于传统互联网的安全态势,区块链安全有哪些新的特点和趋势?

图片 8

这个生态才刚开始热闹,就天天喊打喊杀的,任何事业想做好都需要有个马拉松心态。

我们针对EOS共识算法以及节点的配置出具了一份《EOS 超级节点安全执行指南》,在RPC安全、配置安全、网络安全、DDoS 防御和主机安全以及威胁情报方面进行了深入的研究思考,并且整理了这样一份安全执行指南输出到社区里:

上期阁主孙健开场称赞双阁主模式非常应景世界杯的主持模式,一个主攻一个助攻。在传统节目“阁主交接仪式”之后,话题正式打开,进入访谈环节。

阁主大于:文化 制度 监管。

由于时间有限,没有办法展开详细说明,接下来会给大家介绍相关的推荐内容及文档链接,以供参阅、研究。下面我们开始进入正题吧。

嘉宾慢雾余弦:如果想了解慢雾更多内容,可以后续看我们的官网。慢雾只想做好一件事:区块链生态安全。强调“生态”这个词,是因为我们觉得这里面角色很多,安全是环环相扣,甚至唇亡齿寒。

嘉宾慢雾余弦:慢雾的使命是给这个区块链生态带来安全感。愿景前面也通过了。慢雾是个慢格调的公司,不喜欢竞争。

阁主:

阁主大于:是的,这个概念的理解还是很重要的,即使不能从代码层面理解,也要有这种意识,不过好像学习起来真的挺难,没有看到相对通俗但又权威系统的学习材料。

两本好书:《自私的基因》,《乌合之众》。

Q8

阁主大象:刚才我问了第八问,再追问一句,号称是可以追溯来源的加密货币真的没有办法将这些“赃款”锁定吗?

阁主大象:说回您自己,6月28日晚间,慢雾科技在官方微博上表示,发现交易所在进行USDT充值交易确认时存在逻辑缺陷,导致“假充值真交易”。对此,okex和 LBank等平台相继做出回应表示,他们已针对该漏洞做出了排查,两家平台均不存在以上漏洞;但由于LBank无法保证其他交易平台及USDT 整体的安全性,所以决定暂时关闭USDT充值。

我们没什么不能容忍的,因为我们深刻明白这个世界就是如此;-)

慢雾的做法是开放:我们的安全做法、我们的安全理念,来自区块链,最终得回到区块链,你说的:共识。

嘉宾慢雾余弦:慢雾是一支比较喜欢慢格调的安全团队,慢雾这个词来自科幻《三体》,寓意黑暗森林里的安全区域。过去十多年我们在安全领域做过不少细分领域:政企、云、金融等,现在聚集区块链生态安全,独立一家区块链生态安全公司慢雾科技,未来希望跳出安全,创造更大价值。

阁主大于:非常感谢宝贵经验!我们努力!争取为各位火讯的读者提供几道精神大餐!

嘉宾慢雾余弦:如果我们的客户、我们的伙伴对我们不信任,他们不会和我们合作。如何解决信任:1. 开放开源;2. 口碑传播。

我觉得这首先是价值观问题了,我们是职业做安全,过去十多年,圈子是有口碑的,而且我们很明白该遵守什么规则,比如我们国家有网络安全法。

群友币圈小吴:问题以后越来越多。那么实际上,中心化也未必是坏事。

我之所以会这样说,是因为想表明:安全这东西,有时候太神秘化不好。

区块链并没什么特别,就好像我一直说黑客没什么特别。我想表达的是:我们不必过于强调。对了,别忘了:区块链可不仅仅是技术,还有经济和政治。

阁主大于:很帅气的官网,清晰明了,值得点开一看,哈哈。

大象,不愿意透露身份的火讯财经联合创始人、游离于圈内圈外,不明真相的吃瓜群众、偶尔也明真相的区块链路人甲。

比如这个 #预警# 新型攻击手法披露:以太坊黑色情人节事件里已经出现的隐蔽攻击方式!

大于、大象×慢雾团队

本文由奥门永利官网误乐域发布于奥门永利总站网址,转载请注明出处:主人家收割山韭,慢雾科学技术

关键词: