安全漏洞引发巨额损失 区块链安全引业内关注

本篇文章1348字，读完约3分钟

■我们的记者张一鸣

区块链越来越热，安全问题引起了业界的极大关注。由区块链证券公司bcsec和peckshiel d共同发起的分散漏洞平台dvp在北京透露，7月24日正式启动的dvp平台在启动的第一周就收到了白帽提供的312个漏洞，涉及175个项目方。

dvp的全称是去中心化vul？nerability Platform(分散漏洞平台)旨在利用区块链技术建立一个匿名的安全公共测试社区场景，并创建一个分散和漏洞挖掘的平台概念。该平台致力于解决区块链企业的安全危机，并将把区块链制造商、安全公司、白帽子和其他社区参与者联系起来，最大限度地降低脆弱性暴露的风险，共同建设区块链生态安全。

dvp平台首席执行官吴佳芝表示，区块链科技仍处于发展阶段，要做到尽善尽美还很难。同时，目前大部分都用在金融领域，涉及大量资金，这意味着一旦受到漏洞攻击，将会带来不可挽回的巨大损失。

据bcsec最新统计，目前全球有500家数字现金交易所，拥有1644种数字现金，总市值为3448亿元。截至2018年6月，已发生100起针对数字现金的攻击，造成直接经济损失33.5亿美元。

吴佳芝表示，安全是区块链企业成长的核心“生命线”。从智能合同代码审计到节点加固再到渗透测试，都涉及到安全性。特别是，智能合同是“可篡改的”，代码中不可避免地存在一些漏洞，这些漏洞很容易被黑客利用。

与此同时，区块链技术的安全技术体系仍然不普及，比较分散。据统计，目前世界上有10，000多个区块链项目，但区块链安全服务公司不到50家。

具有潜在安全风险的区块链生态自然成为黑客眼中的热点。近年来，一系列安全事件接连出现，影响范围和资产损失金额也有所增加。根据bcsec的数据，仅今年上半年以来，区块链工业就损失了10亿美元。以bancor(bnt)几天前暴露的智能合同安全漏洞为例，该漏洞导致价值2350万美元的资金被盗。在此之前，价值5亿美元的密码货币在日本的硬币交易所被盗，硬币呢？铁路交易所也损失了价值4000万美元的加密货币。

吴佳芝表示，作为一个新兴行业，区块链行业的员工缺乏安全意识，导致目前区块链相关软硬件的安全系数较低，存在大量安全漏洞。此外，整个区块链还有许多生态环节。相比之下，相关安全从业人员力量分散，难以形成合力解决问题。应对上述挑战需要系统的解决方案。

dvp平台cso邓欢表示，dvp平台希望让更多的“白帽子”通过在企业和白帽子之间形成利益共同体，主动寻找企业漏洞，让企业变得被动和主动，及时发现漏洞进行修复，避免进一步的损失。

邓欢介绍说，漏洞是采矿，这使得白帽子和制造商形成利益。白帽可以在dvp平台上提交与区块链相关的漏洞和威胁情报。并随时检查漏洞审查和索赔的进度，并获得相应的奖励。同时，为了保证整个过程的公平性，dvp平台将用公钥对漏洞信息进行加密，而区块链厂商可以通过私钥解密获得报告内容的详细信息。当漏洞被确认为正确并被采用时，奖励将自动输入漏洞提交者的地址。

正因为如此，白帽和制造商之间的关系将通过社区来重建。一方面，dvp平台将利用区块链的自然匿名性，有效保护“白帽子”，让全世界的白帽子和安全工程师都可以参与到漏洞的探索中来；另一方面，它将有效地拓展企业有限的沟通渠道，降低沟通成本。