区块链为什么怕黑客攻击_白帽子莫良_区块链黑客_区块链与网络安全_Blocklike超爱区块链_区块链技术_区块链神吐槽
区块链技术资源分享
追寻中本聪先生的脚步

区块链为什么怕黑客攻击_白帽子莫良_区块链黑客_区块链与网络安全_Blocklike超爱区块链

在区块链的世界里,黑客犹如一团乌云笼罩在行业上空。而与这块乌云对抗的是一群白帽子,他们的使命是守候疆土,防止黑客入侵。

在黑客的世界里,白帽子是正面的黑客,他们发现计算机或网络系统里的安全漏洞,往往不会去利用和攻击,而是帮助修补漏洞,与之相反的则是黑帽子,他们往往利用漏洞发动恶意攻击。

在这场黑与白的对抗中,虽没有硝烟,但招招见血。那些守卫在我们身后的白帽子究竟是一群什么样的人?他们在保卫什么,在坚守什么?今天,Blocklike 超爱区块链和你一起走进白帽子的世界。

大部分白帽子找漏洞出于兴趣和责任

这几天,某三线交易所白帽子乌宇(化名)每天都在死死盯着交易所的流量日志,他发现流量日志里面经常有一些奇奇怪怪的测试代码,看到这些,他不由得紧张起来,他知道,他的对手黑帽子来了。

白帽子莫良-区块链

根据他的追踪,黑帽子每天正发出几百次攻击,他们正在用测试代码来测试交易所的漏洞。「等他们排摸好整个系统的安全防线后就会排兵布阵发动进攻,有时候甚至可能一招致命。」说着,乌宇的汗已经浸湿了上衣,每天大量的流量日志需要检查,稍有不慎,交易所将承受经济损失。

乌宇的好友、BYSEC.IO 创始人莫良向 Blocklike 超爱区块链介绍了这其中的奥秘,每个 IP 的访问记录和浏览轨迹都会保留在流量日志里面,成熟的公司都会用程序化监测手段去寻找异常 IP 和访问日志,但一家公司初期都是靠人力去逐条审核,这不仅加大了白帽子的工作量,而且对白帽子提出更高的要求,因为他们必须从每天几万条日志里发现黑帽子的行踪,并即时修补漏洞,不给对手留任何进攻机会。

这是耐心和技术水平的比拼,大规模的盗币事件都是有预谋、有组织的进攻,攻与防都是持久战。

一旦黑帽子决定发起进攻,那绝对不是小规模盗币,莫良认为,蓄谋已久的攻击至少是上亿的资金收益黑帽子才会铤而走险。而一旦交易所被盗币,安全团队将被问责。

莫良透露,乌宇所在的交易所前不久刚被盗了 100 个比特币,现在他们团队对黑帽子的踪迹更加谨慎,白帽子们要通过黑帽子仅有的踪迹去揣测他们的攻击方式,并提前部署防范。

白帽子和黑帽子,虽然他们看不到对方,但在一次次过招时双方都能感受到对方的存在。除了在安全公司任职的白帽子,这个群体里现在还有一些职业漏洞捕手,以及业余爱好者。

区块链全职白帽子平均薪资每月 4 到 5 万,专职白帽子提交漏洞有时候会获得项目方的悬赏金,但这只是少数。大部分情况白帽子找漏洞仅仅是兴趣而责任,并没有实际的经济利益。仅仅从收入看,白帽子和黑帽子比起来就是月入一万和日入一万的差距。

和黑帽子比起来,我们这些白帽子只是工薪阶层。喝酸奶必舔盖,舔完盖后舔手指。不善言辞,谈道义谈文化谈理想啥都谈不出来。聊到这,莫良双眼眯了起来,看了看远方,嘴角挂着一丝微笑。

莫良创建的 BYSEC.IO 正是一个聚集区块链白帽子的社区,他说,也许我们是在做公益吧,目前我们没有什么盈利模式,做白帽子社区也不是为了盈利,我们想把这个群体聚起来,实现社区自制,推动整个区块链行业的安全水平。

早期黑客并没有自己的价值观,经常在黑白之间游离

黑客群体最早出现在上世纪 90 年代,那时候互联网在我国刚刚普及。他们游离于各大网站,发现漏洞就时不时秀秀肌肉,有时候会去提醒对方,也有时候会去故意找找茬,那时候的江湖并没有明显的黑道、白道。

在莫良看来,早期的互联网发展非常粗糙,技术水平很低,黑客群体很广泛,很多黑客都是初中生、高中生这类年轻群体,「互联网发展水平和黑客水平总体都比较低,那时候的黑客多是兼职,凭兴趣而为。」他说。

虽然是游兵散将,但是黑客们荣誉感很强。莫良说,这就像你拥有了一门独门秘籍一样,它有攻击性有杀伤力,可以做好事也可以做坏事,这给早期的黑客们带来精神上极大的满足感。

「也有时候他们受商业利益趋势由白转向黑,就像那些非洲童子军一样给钱就上,并没有自己的价值观。」

而真正职业化白帽子群体是在 2010 年左右正式出现,黑客们混沌的价值观开始变得泾渭分明,

对于黑帽子,最初的理想主义逐渐被金钱的诱惑取代,他们隐身在地下,技术成了他们攫取巨额财富的利器。而白帽子们则选择了另一条道路,不为金钱而轻易折腰,更不愿意以身试法。莫良在接受采访时说:「有个黑客赚取巨额财富之后,还开了很多家肯德基和麦当劳。」

2010 年 5 月,乌云网上线,目标是成为「自由平等的」漏洞报告平台,白帽子群体自此有了专属社区。在乌云社区,时常有互联网公司发起悬赏让白帽子捕捉漏洞,白帽子们借此能获取一些经济收入。

不少白帽子苦笑亏了有了乌云这个「丐帮组织」,他们才能名正言顺去「讨饭」,如果金主爸爸高兴了说不定会赏更多,于是一群白帽子惊呼「发大财了!发大财了!」

与之而来的是互联网公司的在安全领域的觉醒。

莫良回忆,从 2006 年开始各大互联网公司安全岗位的比例提升,发展到今天,安全岗位是所有程序员比例的 10% ,职业白帽子大多都在各大互联网公司里占有重要席位,有着不菲的收入,安全部门成为互联网公司里的重要部门。

有些知名项目方技术全部外包,有些没有实力修复白帽子提交的漏洞

「相对于古典互联网,区块链领域的公司对安全的重视度不高,有时候白帽子还得不到尊重。」聊到这,莫良的情绪有些低落。

前不久,BYSEC.IO 社区里一个白帽子发现了某项目方的漏洞,当团队和项目方沟通时却遭到了拒绝,对方一直没有认领这个漏洞。莫良透露,这个拒绝他们的项目方在业内有一定知名度。

这并不是个例,在莫良的社区里,好心但遭拒绝的情况经常发生,他测算后大约有 20% 的漏洞不会被认领,这确实很挫伤白帽子们的积极性。「那些在某个公司任职的白帽子,往往不愿意去为其他公司找漏洞。」

区块链公司的白帽子很多时候只是一个公司不起眼的一角。如果没出什么安全事故老板会感觉有没有安全团队都没用,如果出了安全事故造成大额损失,老板就问养安全团队有什么用。作为一个白帽子,莫良深知这些难言之隐。

莫良坦言,今年才是区块链安全元年,一切才刚刚开始。有些区块链公司对白帽子敬而远之,在他们的眼里黑客都一样,对于自身系统漏洞更是讳莫如深。

莫良很想为白帽子群体发声,他更希望通过一己之力让白帽子群体和区块链公司之间达成某种和解。后面,莫良决定公布那些没有被认领的漏洞,以此施压让项目方改进,当然,漏洞细节会保留。

几个月前,BEC 在一场合约 bug 中被转走价值 60 亿元的代币。更夸张的是,危机引发了价格闪崩,整个代币几近归零。

一方面以太坊底层涉及忽略了安全问题,另外一方面很多早期进入区块链领域的程序员水平参差不齐,低水平程序员数量很多,目前最顶级的程序员还是在古典互联网公司里,这也导致了代币漏洞的频发。

莫良认为,大部分项目方和交易所都不知道如何和白帽子相处。

区块链为什么怕黑客攻击

他们有的对白帽子群体不认同,认为自己的系统没问题;

有的对技术一窍不通,甚至有些知名的项目方技术团队都是外包的;

还有的尽管认领了漏洞却没有技术实力去修复。

目前,区块链安全正处在裸奔时代,而区块链技术却是一把双刃剑。

一方面链上交易的匿名性能够保证私有财产不被转移,另一方面这又给黑客造成极大便利,司法机关很难立案追查。

莫良认为,区块链技术在弥补由人导致的安全问题同时,无限放大了计算机系统导致的安全问题。

另一方面,一些头部的交易所都开始看重安全领域,在高管架构里设置了 CSO 一职统筹系统安全。

而大部分区块链公司还在沉睡中,莫良认为,安领域大有可为,比如对于典型安全事件的案例研究,建立外部漏洞收集渠道,定期监测线上产品的防火墙日志等等。不管怎么防护都不为过,只要有新产品发布,或者产品迭代就会有新的漏洞产生,而白帽子则是整个安全链条构建中最重要的一环。

主编 / 冯巧婕
选题策划 / 孟云

区块链安全模型算法协议设计

区块链为什么怕黑客攻击

 

分享到:更多 ()
区块链神吐槽

区块链资源分享

韭菜的自我进化