白帽汇安全研究院：部分区块链厂商安全意识薄弱

本篇文章1702字，读完约4分钟

“区块链安全正面临前所未有的挑战。”白帽交换安全研究所所长邓焕8月22日在2018网络安全生态峰会-区块链安全子论坛上表示，现阶段区块链安全面临的挑战来自技术本身，另一方面，更重要的是一些区块链厂商安全意识薄弱。他指出，目前，中小交易所的安全意识还不够，大多数还没有建立起完善的安全防御体系。

2018年网络安全生态峰会-区块链安全分论坛由阿里发起，并邀请白毛辉安全研究所作为区块链安全分会场的制作方。在论坛上，北京华顺新安科技有限公司首席执行官吴钊、peckshield联合创始人兼工程副总裁李奥、安碧实验室创始人郭宇，认识了于闯404实验室安全研究员朱同庆、连锁科技首席执行官钟庚发等众多业内权威专家，对以太网智能合同和数字交换的安全性进行了深入分析，并共同探讨了如何建立一个安全可靠的区块链技术安全生态系统。

当前，全球信息领域新一轮科技创新和产业转型不断深化，渗透范围逐渐广泛。在这种背景下，区块链技术发展迅速，其生态系统已经扩展到物联网、云计算、大数据、人工智能等诸多领域。然而，值得注意的是，区块链作为一种新技术，由于技术的演变和复杂性，已经成为它迄今面临的最重要的问题之一。同时，区块链大部分技术应用都是金融项目和产品，其安全性带来的风险是不可估量的。

“一行代码打倒一个令牌”和“一个漏洞摧毁一种智能合同”，区块链行业的安全风险是巨大的。据邓欢介绍，白帽交易所的bcsec和peckshield联合推出了dvp，这是一个基于区块链技术的分散式漏洞平台。虽然它刚刚运行了整整一个月，但白帽已经提交了1200多个漏洞，涉及509家制造商。其中，严重漏洞1个，高风险漏洞399个，占发现漏洞总数的32.4%。中等风险漏洞252个，低风险漏洞579个，分别占20.5%和47%。

邓欢指出，这些漏洞不仅存在于一些私人连锁店，也存在于大型公共连锁店。具体而言，大多数漏洞涉及拒绝服务、直接访问系统权限、严重的信息泄漏、未经授权的访问、直接窃取关键业务和其他用户身份信息以及高风险逻辑设计缺陷。

值得注意的是，邓焕透露，白帽在dvp平台上提交的一个系统的几个一般性漏洞涉及600多个交易所。

邓欢表示，该系统是贝克云在2016年开发的一个开源程序。由于该程序已经被放弃很久了，开发人员没有跟进和维护它。因此，数百个使用该系统的交换机面临着严重的安全威胁。该漏洞可能导致整个交易所的所有信息和数据被泄露。攻击者可以绕过交易所原有的限制，违反规定修改信息，或者擅自删除交易所的数据，危及服务器的安全，给交易所和用户的资金造成严重损失。

大规模交流的根本原因是缺乏安全风险意识。邓欢表示，dvp平台已经联系并尽快通知了受漏洞影响的交易所，但截至目前，仍有一些交易所不知道上述漏洞的存在。“目前，中小交易所的安全意识还不够。他们中的大多数还没有建立起完善的安全防御体系。许多制造商只是简单地修改了直接购买和操作的一般交换程序。这个模型是以很快的速度建造的。然而，一旦此类计划出现问题，就会影响到大型制造商。”

对此，链锁科技首席执行官钟根发也表示，除了交易平台系统，许多交易所都忽视了冷钱包的重要性，以致发生意外时措手不及。

钟庚发指出，目前很多项目方为交换机提供充值和兑现的方法，以快速接入交换机，但这些方法大多依赖于节点和地址私钥存储在一起。只有这样，钱包才能监控节点的充值和兑现。然而，节点的发展会暴露出许多未知的漏洞，攻击者可以很容易地获得交换钱包的私钥。类似的事件也发生在eth。

事实上，英国证券交易委员会的数据显示，仅在2018年上半年，外汇攻击造成的损失就超过了11亿美元。例如，今年6月，bkex(货币交易所)刚刚启动，这暴露了一个重大的安全漏洞，人们怀疑超过10万用户的账户密码被泄露。以色列密码货币交易平台Bancor最近宣布，由于黑客攻击，价值1250万美元的Ethereum从其平台上被盗，价值约1000万美元的bancor密码货币也被盗。

最后，邓欢表示，为了促进交易所更加注重安全性，dvp平台将根据漏洞数量、响应时间和修复速度设置红黑榜，以帮助投资者识别交易所的安全风险。