文/Robin


2020 年的总结写到,因为发生的一些事情,让我们深知安全和风控的重要性。慢雾此次主办的 Hacking Time 第二期,我们团队组团参加了。2 天的行程,收获颇丰,产生共鸣的地方也相当多。第一天是闭门培训,第二天是公开演讲,安排得很紧凑。

第一天的闭门培训,都是慢雾团队分享,总共有 5 个主题,上午 3 个,下午 2 个。在正式分享之前,由余弦进行了开场。笔者关注余弦已经相当长时间了,在很早之前,Fenng、池老师和余弦还经常在公众号互推。余弦进行了比较多的输出,他的博客、知乎、公众号,笔者可以说是一篇不落下,这些沉淀也给笔者带来很多启发。也许是由于创业很忙吧,现在更新比较少了。

闭门培训的上午,第一个主题,慢雾业务安全负责人 Thinking 分享了针对中心化数字资产普通的安全体系建设思路、规范及最佳实践。Thinking 分享了企业安全执行指南,包含了高管安全、数据安全、Wi-Fi 安全、内网安全、研发过程安全等。一个企业的安全是多方面的,某一个点疏忽了,可能就给黑客机会。第二个主题,Thinking 剖析了某知名去中心化钱包的安全漏洞以及给出对应的防御措施。Thinking 提到了不少工具,以及 Android App 建议使用加壳和混淆技术。此外,以 iOS 为例,将备份上传到 iCloud 之类的云服务,以及主动信任证书是相当危险的。由于加密货币行业的特殊性,行业相关类的 App 很难上架中国大陆区的 App Store,于是不少企业采用企业证书来分发。用户下载安装 App,需要用户手动信任,这个行为有相当多的安全风险。笔者早已经完全卸载了需要手动信任企业证书的 App,取而代之的是使用 Testflight 版本,没有提供 Testflight 版本的,安装到安卓备份机。第三个主题,Thinking 剖析了某客服平台程序的安全漏洞,分享了针对第三方服务安全的最佳安全实践。

闭门培训的下午,第一个主题,慢雾科技高级安全工程师虚哥分享了针对数字资产平台业务场景下的攻击方法和 APT 案例以及对应的防御措施。讲解的业务场景,有超额借贷、越权取消订单、OTC 越权放币、杠杆套利攻击、S3 存储桶攻公开访问导致 KYC 信息泄漏、基于地图的应用未校验参数导致薅羊毛等等。这些案例非常鲜活,也非常具有代表性。大部分的攻击都是属于业务攻击,这些攻击甚至不需要专业的黑客,由此可见,代码的健壮性,考虑各种异常情况,以及完善的测试是多么的重要。接下来虚哥分享了 APT 案例。APT 具有高度目的性、高度隐蔽性、高度危害性,这些实行 APT 攻击的黑客,往往是放长线钓大鱼,令人防不胜防。第二个主题,虚哥分享了数字资产平台被突破防御之后,安全团队如何最快的做到定位、隔离、取证等最佳操作实践。假如平台受到了威胁,这个时候数据采集和检索能力就非常重要,流程就是发现、分析、判研、处置。虚哥给出了 Linux 和 macOS 的排查方法,以及提供了一些工具。虚哥分享了数据泄露应急包含了外部泄漏和内部泄漏,外部泄漏通常是供应链、第三方供应商、互联网,内部泄漏通常是木马窃取、基础支撑平台、内部应用系统。至于怎么防范,外部泄漏包含数据访问控制、安全配置、渗透测试,内部泄漏包含做好访问控制、终端准入控制、安全意识培训。虚哥一下午分享的内容,有一种醍醐灌顶的感觉,之前我们做得确实不够。

第一天信息密度极高,还没等吸收完,第二天的公开演讲就开始了。上午第一个主题,慢雾科技高级安全工程师 yudan & Kong 分享了「DeFi 闪电贷攻防之战」。他们根据 bZx 最早期的两次闪电贷攻击案例,介绍了闪电贷基本的攻击形式(代币价格操纵),详细讲述了基于价格操纵的闪电贷的防御方案以及在其价格无法被操纵的情况下,如何利用闪电贷另辟蹊径,通过操纵 LP Token 的单价来进行获利。2020 年 DeFi 大火,引入的各种创新,也让这里成为黑客的天堂。DeFi 安全事件频发,每一次攻击,慢雾都快速地给出了深度剖析,并且同步给各个媒体。读者如果感兴趣,可以在慢雾区块链被黑档案库 (hacked.slowmist.io) 浏览 2020 年的攻击事件,简直是触目惊心。第二个主题,BigONE VP 余长洪分享了「数字资产平台业务安全实战」,整个体系包含了研发过程安全、运维安全、运行时安全、权限管理等。来自 BigONE 的分享非常全面细致,基本上涵盖了开发的整个生命周期,这个分享给我们团队带来不少启发。上午第三个主题,星火矿池系统工程师魏殊予分享了「太极 - 区块链网络基础设施」。我们都知道大多数 DeFi 应用都在以太坊公链上运行,以太坊的交易都是透明的,这个时候就存在机器人进行抢跑,这也称为以太坊的黑暗森林。太极是一个以太坊的隐私交易服务,任何人都可以使用。可以遇见未来会有越来越多的 DeFi 应用接入太极,毕竟这简直是一个刚需。具体的技术细节,可以去官网查看。

下午的第一个主题,弦冰科技首席科学家何剑虹分享了可信计算和安全多方计算,以及展示了弦冰科研实验室的落地成果,一款基于安全多方签名算法所实现的 MPC 多签钱包。我们都知道,On-Chain 钱包的私钥或者助记词相对复杂,没有加密学和计算机基础的,要想妥善保管,还是相当有门槛的。使用 MPC 技术之后,用户的准入门槛会降低。听完何老师的分享,原来我们扎根的 Mixin Network,实际上也是一种 MPC 解决方案。第二个主题,RC2 反窃密实验室负责人杨叔分享了「复杂环境下的商业安全 & 隐私保护意识」。这个主题相当有意思,其中的案例就在你我身边。保护互联网隐私有挺多的技巧,杨叔分享的,更多的是物理层面的隐私。加密货币行业的创业者、从业者,其实非常需要这方面的知识储备。之前看杨叔有分享这种线下的培训,有机会笔者也准备参与下。第三个主题,Akamai 大中华区技术顾问孟焯分享了如何应变最新互联网安全态势,同时给出了策略。Akamai 是一家总部位于美国马萨诸塞州剑桥市的内容分发网络和云服务提供商,是世界上最大的分布式计算平台之一,承担了全球 15-30% 的网络流量。Akamai 的服务范围,除了 CDN,还有 Page Integrity Manager、Zero Trust、Bot Manager 等等。来自 Akamai 的分享,让我们感知到重视 Web 安全的必要性。最后一个分享,Joinsec 创始人郑程分享了数字货币追踪溯源实战。比特币、以太坊、EOS 之类的公链,都是公开透明的,但是这些公链都存在一些混币服务,导致溯源难度上升,需要大数据给地址打标签。XMR 这类隐私币,甚至让溯源基本没有可能性。同时,郑老师还指出链上信息有限,应该跳出区块链并借助链下情报联合的力量。

两天的干货分享,让笔者非常受益,其中涉及的一些关键词,还需要深挖。慢雾组织的 Hacking Time 区块链安全攻防峰会,非常值得参加,读者可以关注下慢雾的动态。这次是 Hacking Time 第二期,可以把第三期的报名费提前准备下,充钱使你强大,开个玩笑。

加密货币行业,安全是永恒的话题。每个企业都应该有安全预算,钱花在前面,总比造成损失后悔莫及要好。感谢慢雾的精心分享,这种有质量的沉淀,希望能给行业带来更多安全感,毕竟慢雾在三体里就是安全区。


我是区块链罗宾,博客 dbarobin.com。如果您想和我交流,我的微信: Wentasy


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。

币安注册: https://accounts.binancezh.pro/cn/register/?ref=11190872
邀请码: 11190872


本博客开通了 Donate Cafe 打赏,支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。

–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)