实力打脸!DApp生态告诉你EOS不是空气

澳门新葡亰平台9411 5

1、攻击者强于建设者,表现在,大多智能合约在链上公开透明,处于“明处”且目前数字资产价值不菲,惩处机制还不完善,自然成了很多处于“暗处”的黑客首要攻击对象;2、图利还是做事难分辨,表现在,处于生态早期的野蛮生长期,智能合约开发者鱼龙混杂,存在一些空气项目、传销项目乃至卷款跑路的项目,给生态带来极大的信任破坏和透支,只有真正做事的项目安全防御、应急响应、危机善后上才会有正确的态度和应对方式,进而不断积累用户,扩大市场份额。3、区块链技术门槛高却亟需新鲜流量入场,表现在,当前整个区块链行业流量池不够大,普通小白用户进场在下载钱包、保存私钥、转账买卖等基础操作层面尚且有很大障碍,因而各类账号、操作层面的安全问题尚不能杜绝。如果把目前的区块链安全划分为非常安全、安全、令人堪忧、极度危险四个等级的话,现阶段区块链安全是令人堪忧的。区块链生态的主要威胁在于,智能合约和
DApp
生态有个逐步崛起完善的过程,前仆后继踊进了一大批参差不齐的从业者,他们可能会携带大量未知的问题入场,也加剧了安全对于区块链生态的迫切性,需要安全公司的持续护航以及分布在整个区块链生态各个环节的合作伙伴协同努力。事实证明,安全问题或许会伴随区块链生态壮大愈演愈烈,今年年初ETC(以太经典)遭遇的双花攻击事件、以及可致使
EOS 公链瘫痪或“稳赢”所有竞猜类 DApp
的“交易阻塞攻击”(CVE-2019-6199)等等。新年一系列重磅安全事件的来袭,在向我们敲响警钟,新的一年,安全问题同样不容忽视。为了让更多生态从业者认清当前行业安全现状,提升安全意识,并加以必要的安全防御举措。

澳门新葡亰平台9411 1

请加私人号,带领韭菜们入群吃肉(ID:jojo_baijin)备注:简书 

文:赵雪娇

转自 Allen 白话区块链

7月30日,Facebook在最新季度报告中提醒投资人,由于很多因素导致他们可能无法在2020年如期推出Libra数字货币,面临的最大阻力就是监管。

虽说EOS主网还没上,但是DApp生态已经先行一步,很多应用已经磨拳擦掌,准备要在EOS的基础上大干一番,足可见大家对EOS技术的信任和期待,或者说EOS其实就是为DAPP而生。

而最让监管机构担忧的便是Facebook面临的一系列安全问题,如何保障用户的隐私安全,如何防止不法分子入侵…

澳门新葡亰平台9411 2

安全是各行业发展面临的首要问题,但绝对的安全是不存在的,只能通过技术让它更安全而已。

我们都知道,比特币是基于去中心化应用的稀缺产品,它主要的作用是价值存储,所以比特币又有“数字黄金”的美称。而以太坊的主要功能是智能合约,如果把区块链比作手机,那么以太坊就是其中最重要的操作系统之一。

浪潮涌起,泥沙俱下。

小伙伴们或许就要问啦,这么说有以太坊就可以做DApp啦,我们还要EOS干嘛?

近年来,交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗、私钥丢失等安全事件层出不穷。

其实不然,虽然以太坊出现的早,智能合约现在也比较完善,但是其着重点还是在于发token,以太坊就像是一条跑着许多代币和合约的链,任意合约执行时,其实都是在竞争资源。以太坊对于token非常成熟,但是对于DApp还略欠火候。

白帽汇2018年发布区块链安全报告称,每年因区块链安全漏洞造成的损失高达数十亿美元。目前,近80%的攻击损失都是基于业务层面的攻击所造成的,其损失额度从2017年开始呈现出指数上升的趋势,截止到2018年第一季度,所暴露的安全事件就已经造成了8.1亿美元的损失。

道理也很简单:

攻击事件大致可分为四类安全事件:共识机制、智能合约、交易平台和用户自身。攻击者主要选择保护相对薄弱的数据层、网络层、共识层、扩展层和业务层进行攻击。

首先以太坊的工作量算法机制,使得运行速度不会很快,转账还要等半天,用户很快就没有耐心了。

区块链安全与传统互联网安全,既有共性,又有个性,既有交集,也有差异。
墨子区块链安全实验室CEO苗知秋告诉锌链接,区块链安全并不是一个全新的安全范畴,它运用了大量的传统技术。

其次所有的DApp会存在资源的竞争,假设A流量大了,可能B就没那么多流量去支持了,DApp的服务商可无法接受。

所以,区块链安全与传统安全之间,大部分是重叠的,小部分是区块链技术独有的特点。

最后很多项目大多都是基于以太坊去发token融资,最后想要做成DApp,还得回到自己的主链,这难度可要比发token高10倍,这也就是为什么很多项目最后无疾而终了。

从底层代码来说,传统安全与区块链安全大同小异。但是上面的应用层安全,区块链安全带有自身的特性,比如共识机制,使互联网的中心化单点攻击,转变为区块链的大面积攻击。

所以说,其实以太坊现在并不能算是个性能非常好的操作系统。

假设有人要攻击一个网上银行,互联网的方式是入侵某台电脑的服务器、网银地址,修改数据库。

什么是DApp?

在区块链里,共识机制是至少要篡改超过51%的节点。因为所有节点都依托于一段代码程序,如果程序本身有漏洞,就可以篡改大面积节点。

既然咱们今天聊的主题是DApp,首先来大概了解下这是个什么东西。App大家都知道,咱们的智能手机里面,会有各种App。那么DApp,其实就是在App前面加了个Decentralization,也就是去中心化App。

一个很典型的事件是美图发布的BEC,出现了溢出漏洞,大量超发,导致BEC瞬间归零。

简单来说,DApp就是前端界面+智能合约,前端就是和用户交互的,你可以选择各种命令,智能合约自然就是和区块链交互了。

相当于一只蚂蚁绊倒了一头大象。 快速入场,火速退场

澳门新葡亰平台9411 ,所以大家可以想象,如果某个区块链“操作系统”上有很多DApp,会发生什么

区块链安全公司的数量多少与区块链行业的发展成正相关。2017年到2018年初,区块链行业处于火热期,很多人挤进来做项目,对安全的需求增多,于是很多区块链安全公司顺势而生,主要有三类:

首先会有很多数据,而且为了保证可靠性,与合约有关的信息都得上链,必然会导致区块链的膨胀。而且每个合约的处理能力都是基于同一个区块链,爆款的DApp可能就是区块链杀手。典型的例子就是Cryptokitties(以太猫),刚出来太火爆,以太坊直接跨了,最后不得不调整猫的出生频率,才能缓解。试想下,再出来个以太狗,以太猪,这还能玩吗?

一个就是传统安全行业转型过来的安全服务商,比如知道创宇、白帽汇;

澳门新葡亰平台9411 3

另一个是安全圈的新力量,因为有了区块链新的场景引发了新的需求也加入进来,比如成都链安;

EOS是怎么玩的?

还有就是互联网安全巨头,比如360。

EOS在设计的时候,主要是朝着DApp应用方向发展的,而不是智能合约。由于EOS区块链底层使用的还是权益证明DPOS的方法,触发DApp的资源分配是根据你手上的EOS代币来决定的。这样就从本质上隔离了各类DApp,可以防止资源竞争和恶意的攻击,把技术问题漂亮地转换成了经济问题。

他们早期以安全研究打开局面,用安全服务、安全开发切入市场,服务主要集中在合约审计、交易所安全、钱包安全、链安全、黑产对抗、威胁预警等领域。

在智能合约的基础框架上,EOS会使用C++语言,然后编译在WASM部署地址上解释运行。相比以太坊的Solidity语言,可能灵活性稍差,但是在合约的执行效率上和后续合约代码的大小上来看,肯定会占些便宜。EOS还可以一直升级预设的DApp框架。

与互联网安全发展相似,区块链安全早期报的漏洞也相对比较少,但随着技术的成熟、业务场景的增长,安全事件也会逐渐增多。

在共识算法上,相比较以太坊的工作量证明,EOS也有绝对的领先优势(关于DPOS的更多信息,可点击查看这篇文章:共识机制里,DPOS可能无法超越,骚年你信不)。DPOS算法可以算是当前最快的共识算法,但是会牺牲一部分的去中心化,并且DPOS基本上杜绝了硬分叉的可能性。

随着业务热点的转移,哪个技术用得越多,安全公司研究的方向也会相应变化。

所以说,DApp的升级和修复,是可以建立在不会硬分叉的前提。以太坊的硬分叉我们都是见识过的,万一你在现有的以太坊上写了个DApp,之后以太坊由于某些原因要分叉,原先的链如果没有算力支持,或者DApp没有按新链的规则进行调整和更新,那有可能你的DApp也就没用了。

2018年,以太坊为首的智能合约是关注的重点,很多人去研究智能合约。

EOS
没有从根本上解决区块膨胀问题,但是允许轻客户端,可以只下载DApp相关部分的区块数据。这样的设计缓解了区块膨胀的问题。

白帽汇联合创始人、安全负责人邓焕告诉锌链接,“智能合约很简单,像以太坊,几百行代码就能写出一个应用,发行一个代币。有的项目发行代币,基于某个模板改几个参数。只要模板有问题,好几种代币就都存在问题。”

可以说,比特币带来了数字货币以及智能合约的雏形,以太坊则是将智能合约落地,EOS则是带来
DApp 的平台。但是这三者并不冲突,所对应的需求也并非完全相同。

随着切入点越来越深,被爆出来很多链上的设计理念、业务逻辑存在问题。首先在合约或者经济模型设计会存在漏洞,被人利用。此外,底层的安全问题也会逐渐增多。

EOS的DApp生态

玩家多了,自然会产生泡沫。知道创宇CTO兼COO杨冀龙告诉锌链接,在市场行情好的时候,存在大量的恶意竞争。比如,合约审计服务甚至出现了打价格战,导致安全产品和服务的价值非常廉价。另外,割韭菜的项目非常多,“一些所谓的安全需求方可能根本不关心他们的安全问题,而只是想发钱买个安全背书”。
泡沫一年之内就被戳破了。2018年,数字货币市场总市值从年初的4889亿美元,下跌至12月13日的1081亿美元,减少了77.89%。

正是由于我们分析的EOS对于DApp的好处,许多公司也开始逐渐接受EOS,并且将它作为底层系统,来开发DApp。下面我们就一起来看看,现在EOS生态中有哪些DApp?

区块链行业开始萎缩,买单的人越来越少,市场上只剩下5、6个头部玩家。一些新型安全创业团队已经销声匿迹,大部分安全公司也减少了对应的投入或者考虑转型。

1、Orchale Chain (欧链)

慢慢地,进来的人发现区块链整个生态和实际应用要发展起来,还有很长的路要走。不做实事的团队,没法在短期内获得收益。如果做实际项目,比如金融、溯源等,可能短期内无法快速落地,需要投入比较长的时间,有些人就打了退堂鼓。

欧链号称是全球第一个在EOS生态圈上构筑的应用,它是一个基于EOS平台的去中心化Oracle(预言机)技术平台,采用自主的PoRD机制,将现实世界数据引入区块链,并将此作为基础设施为其他区块链应用提供服务,其主要目标是“让世界和区块链连接起来”。

邓焕告诉锌链接,当时的现象是,很多区块链公司快速入场,又快速退场。整个行业一定是业务先行,市值撑起来才会有安全需求。否则,项目方自己都养活不了,安全公司更没办法生存。

2、EOSFINEX

重视不足,区块链安全发展缓慢

EOSFINEX是EOS和Bitfinex合作的去中心化交易所。EOSfinex将EOS技术的可扩展性和速度与Bitfinex业务的专业技术相结合,实现“上链”交易,旨在为数字资产交易提供一个快速,透明和可靠的平台。

前段时间,币安被盗7000个BTC事件。邓焕认为,现阶段存在比较大的问题,是行业内对安全的重视不足,连头部企业也不例外,更别说中小型企业,问题就更多了。在这样一个环境下,区块链安全公司的发展是很缓慢的。

3、UIP 未来版权

在业务落地过程中,杨冀龙也遇到这些难点。

未来版权(UIP)是基于EOS打造的文娱版权智能交易平台。EOS提供的支持百万级商业交易的区块链解决方案,可以完美解决文娱版权保护与价值变现的传统痛点,基于区块链可溯源、难篡改等特性,保护每一个艺术工作者及其创造的IP,打造全球文娱版权智能交易平台。

首先,市场监管不明朗,公司之前做了很多事情都是摸着石头过河。随着今年年初《区块链信息服务备案管理办法》的出台,在监管方面还是需要与监管机构进行积极沟通。

4、CYBEX 塞贝

其次,市场波动太大。从2018年初币价创下新高,到2018年底集体抱团过冬,大部分区块链从业者都经历了冰火两重天,导致有部分项目做到一半就停了。

CYBEX是一个旨在提高加密资产流动性的去中心化交易所,相较于如今市场中的中心化交易所,CYBEX为加密资产提供了更多的透明性与安全性,CYBEX使用基于石墨烯程序的LMAX高速撮合引擎实现每秒数百万次的交易撮合能力。系统节点将通过DPOS共识提供高效安全的区块链打包服务。未来,随着EOS的采用会得到更高的可扩展性。

第三,没有统一的标准,无法像成熟的技术领域一样,有完备的规范参考。各个区块链安全团队都是从自己的角度提出对安全的理解,帮助客户做服务,难以保证服务质量。

其他还有非常多的DApp是基于EOS研发,例如工业物联网分布式网络iiot,
下一代电子商务拍卖平台TokenMarket,POS数字货币时代的余额宝Bystake,基于EOS的科幻游戏The
SFEOS
Game等等其他应用。相信随着EOS主网即将上线,更多的DApp会相继在EOS架构的基础上蓬勃发展。

为了解决这个问题,知道创宇联了区块链产业链上下游以及相关监管部门,结合各自的经验和积累,提出了一些安全评估标准,例如《智能合约审计Checklist》以及硬件钱包评级标准等,同时也参与到相关行业标准的制定中。但区块链安全毕竟起步时间较短,还需要在实践中不断完善。

OVER

慢雾科技合伙人兼产品负责人启富告诉锌链接,在区块链圈子里,用户群数量比较少。当你推出一些产品和应用时,真正接触到的用户不多,再加上有些用户门槛比较高,需要一些背景知识,导致得不到很多的用户反馈,得到可行性验证的有效数据就比较少,产品没有办法获得快速认可。

关注白话八比特公众号后回复:

成都链安创始人杨霞告诉锌链接,当前区块链生态比较少,用户的关注点还在业务逻辑上,对安全的关注不够。应该吸取传统信息系统建设的教训,加强全行业的安全教育,采用最新安全理念,即业务系统和安全系统同步建设、同步上线、同步运营。

维斯,获得3月份全部维斯数字货币评级报告。

杨霞认为,安全产品目前侧重于解决某个点上的问题,需要随着区块链技术的落地和规模应用同步发展,逐步形成区块链行业全生态的安全解决方案。

最新报告请加入星球看精华帖。

搭建漏洞社区,共建安全生态

定投,获得比特币半年定投收益表。

当欺诈性泡沫、共识被清理后,区块链技术会更加符合人性,也会有更多创新型的企业和优秀的人加入进来,共同建造出更健康的区块链生态。

扫这里关注:

目前,区块链安全领域的5个头部玩家分别是派盾、白帽汇、知道创宇、慢雾科技、成都链安。

澳门新葡亰平台9411 4

面对区块链安全的重重困难,他们也选择了不同的发展方向。

另外欢迎加老白的私人号,以免失联:

派盾、知道创宇、慢雾与成都链安则想要打造区块链安全生态。

澳门新葡亰平台9411 5

派盾的漏洞挖掘能力处于一线水平。其硅谷研发中心负责人Jeff称,漏洞监测覆盖底层公链、交易所、数字钱包、智能合约等区块链生态的各个环节,连续发现并命名了
BEC、SMT、EDU 等智能合约的重大安全漏洞。

杨冀龙向锌链接介绍,知道创宇主要以云防护+专业的区块链安全服务为核心,解决底层基础设施到应用层智能合约和DApp中所面临的安全问题。

知道创宇的优势在于,覆盖面比较广,从节点、链、智能合约、DApp应用、到区块链钱包的安全基本全覆盖。
作为中国最早专注于区块链生态安全的公司,慢雾科技的特长是实战能力强,拥有一支十多年一线网络安全攻防实战的团队。

其安全解决方案包括:安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品。

除了研究全球知名公链如比特币、以太坊等,慢雾还特别深耕以太坊和 EOS
生态,围绕 DApp 安全攻防对抗,安全审计与防御的知名智能合约数百份。

成都链安的目标是建立区块链行业全生态的安全解决方案,覆盖了链平台、交易所、钱包、用户等区块链行业的各参与方。

公司建立了全面的面向区块链安全的数据中台,为上层安全产品提供丰富、准确的数据支撑,以与国家区块链漏洞共享平台合作和社区共建的方式建立了自有威胁情报库,为其他安全产品提供情报支撑。

白帽汇的思路是切入漏洞社区。在传统安全领域,白帽汇支撑很多政府监管部门的安全项目;在区块链安全领域,白帽汇成立了DVP去中心化漏洞平台,把在传统安全做漏洞社区的思路放到区块链安全行业,提供合法的渠道,对接安全人员与项目方——安全人员提交漏洞,项目方根据漏洞的等级给其奖励。

至今,平台已经发现了4000+漏洞,涉及到交易所、公链、智能合约各方面,比较知名的D网交易所、以太坊公链等也曾由DVP的白帽子发现过严重问题。最近,白帽汇也在与监管机构沟通,制定区块链安全行业标准。

启富告诉锌链接,未来区块链安全领域的攻防对抗会愈演愈烈。随着更多大规模的用户入场,就会有更多资产在区块链上,攻击者会不断盯着交易所等平台,将会有更多类似硬件钱包、金库的手段来保证巨额资产的安全。

另外,随着公链的底层设计越来越完善,底层基础的问题会越来越少,在上面运行的智能合约会越来越安全,可以规避溢出之类的基础问题,常规的漏洞会越来越少。漏洞将会集中在业务逻辑、应用场景方面。

技术往往是第二位的,很多问题是出在管理、制度、流程方面。苗知秋谈道,安全圈早就有一个说法,三分技术七分管理,过于依赖技术,不把人管好,只是把机器管好,最终不能真正解决问题。

归根结底,踏实让区块链技术实现落地应用,解决实际问题,才是最重要的。

本文首发于微信公众号:锌链接。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。