案例二·慢霧科技
區塊鏈因其去中心化、匿名性和金融基因,一旦發生安全問題,后果或比傳統互聯網更嚴重。同時,區塊鏈面臨的底層代碼、密碼算法、共識機制、智能合約、數字錢包等安全問題,又具有一定的獨特性。慢霧正是看好這一服務機會,為機構客戶提供區塊鏈生態相關的安全服務解決方案,包含安全審計、安全顧問、防御部署、威脅情報、漏洞賞金五大模塊。
慢霧科技成立于 2018 年 3 月,總部位于廈門,團隊現有 30 余人,由一線網絡安全攻防實戰成員組建,具有十幾年的攻防實戰經驗,曾服務過 Google、微軟、W3C、公安部、騰訊、阿里、百度等公司和機構。據介紹,截至 2018 年 8 月末,慢霧科技尚未接受任何形式的融資。
對區塊鏈安全風險進行劃分時,業內有兩套常見標準:技術層級和業務形態。前者主要面向技術專家,后者更適合無專業知識積累的普通用戶。
慢霧根據業務形態,將目標用戶分為五大類型:交易所、錢包,公鏈、智能合約和礦池;并根據不同客戶的需求,提供定制化解決方案;依據合作方體量和案例復雜程度收取服務費。
交易所風險,主要存在于 APP 安全設計、服務端安全配置、節點安全、輸入安全、業務邏輯、熱錢包架構、私鑰管理系統等;
智能合約風險,主要存在于對溢出漏洞、權限控制、條件競爭、安全設計、拒絕服務、設計邏輯、“假充值”等漏洞進行攻擊;
熱錢包風險,主要存在于數據傳輸(如流量劫持)、私鑰存儲(如釣魚)等方面;
冷錢包被攻擊的前提是接觸到物理硬件,黑客雖然無法直接獲取私鑰,但可讀取相關信息進行破解;
公鏈風險,主要存在于節點配置、節點通信、節點共識、合約虛擬機、錢包等。
慢霧安全團隊對上述風險點逐一審計。
今年,慢霧陸續推出多項成果:3 月,慢霧安全團隊上線“以太坊黑色情人節”專題頁面,對以太坊自動化盜幣隱患進行持續追蹤和披露;8 月慢霧安全團隊推出 EOS 合約驗證平臺,功能包括:對已驗證 EOS 合約賬戶源代碼的查詢,項目方自行上傳源代碼進行一致性校驗等。
團隊已累計審計300 多份智能合約,涵蓋以太坊、EOS、AChain、唯鏈(VeChain)、本體( ONT )、星云鏈( Nebulas )等公鏈,發現數十個高危、中危漏洞。
目前,慢霧獲客主要依靠口碑傳播。下一步,慢霧希望通過品牌效應,鞏固與客戶之間的信任與合作。團隊表示,區塊鏈處于早期發展階段,加之國家政府、各大機構對技術創新愈加重視、積極布局,安全服務市場尚不存在天花板。未來,慢霧科技將繼續聚焦行業生態建設與布局。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
