羅智勇:最近360團隊宣稱發現了EOS價值百億美金的漏洞,您對這事有什么看法?
黃連金:針對EOS漏洞事件,我們要透過現象看到幾點本質:1、安全是動態的,不是靜態的;2、代碼是人寫的,沒有百分之百的安全;3、智能合約的安全非常重要。它一旦通過共識確立就很難更改,同時智能合約還是鎖定資產的。4.安全需要多方面考慮,不能顧此失彼。
現在大部分的智能合約是無加密的,很多項目說能解決智能合約安全問題,但是解決的都是數據的安全,代碼的安全無法解決。我認為,要想解決智能合約的安全,第一要把源代碼進行加密,第二要進行形式化證明,運行時還要進行實時的檢測。
僅保護智能合約還是不夠,區塊鏈還有許多安全控制的需要,比如安全身份的確認和訪問控制權限的問題、從源代碼安全審計的問題、數據加密和隱私問題等。對于隱私問題,2018年5月25號,歐洲出臺了《通用數據保護條例》(簡稱GDPR),該條例有三個重要的規定,第一,提取數據要獲得個人的同意;第二,商家使用數據要說明數據的用途;第三,當個人要求商家刪除數據時必須刪除。所以針對做區塊鏈時數據放在鏈上無法移除的問題,必須要考慮到怎么合規合法的應用和保護個人隱私。
另外,區塊鏈的安全問題不僅僅是從智能合約體現出來,也會從交易所安全、還有硬錢包和冷錢包的安全問題等方面體現出來。值得欣慰的是,很多大的交易所已經開始有安全防護措施,比如與第3方安全公司合作做安全審計和保護,要求項目方如果想要上幣,必須經過第三方的安全檢測等等。需要注意的是,僅僅依靠一次性的安全審計是不夠的,安全需要完整的持續的流程。
舉個例子,有個多簽名錢包parity項目出過兩次比較大的安全問題。第一個問題是函數的可見性問題,黑客利用這個漏洞轉走了大約2000萬,幸虧有白帽子團隊把7000萬美金轉走,但還是損失巨大。后來因為另外一個bug,parity項目庫存又出現了問題,到現在還有將近兩億美金鎖在
以太坊里面還沒有解決。其實,寫parity代碼的團隊技術是非常厲害的,而且雇用了比較牛的第三方安全公司做了安全審計,后來也還是出問題了。因此安全需要完整的持續的流程。
公開演講時,我經常說僅智能合約安全不夠,但不能因此不注重智能合約的安全。我們需要360這樣的安全團隊幫助審計代碼,內部也需要安全的人員努力鉆研。總體來說要有安全意識,而且從一開始就要形成安全的流程。
安全的問題才剛剛開始,以后EOS或其它鏈的安全問題肯定還會出現。360進入到區塊鏈的安全領域,對于區塊鏈的從業者和企業都是好消息。而360本身也可能因此成為引領安全的企業,在美國也有很多大大小小的傳統的信息安全領域的企業,以后會有許多企業逐漸進入區塊鏈安全行業,我非常看好這個行業。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
