您正在阅读算力智库第 144 篇原创作品
作者:高斯
编辑:徐世昌
算力说
腾讯安全近日发布《2018上半年区块链安全报告》,区块链安全现状不容乐观。算力智库观察发现,在诸多安全问题中,古老的DDoS攻击仍十分普遍。新兴的区块链却受制于如此传统的安全问题,令人遗憾。那么,对于这一自互联网诞生起就已存在的攻击方式,是否有最新解决方案?区块链技术在应对DDoS攻击中又能否发挥作用呢?
8月初,腾讯安全发布《2018上半年区块链安全报告》,盘点了目前区块链领域的安全现状,结果不容乐观却也在意料之中。
《报告》显示,基于区块链数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面,造成的经济损失分别为12.5亿、14.2亿和0.56亿美元,共计高达27亿美元。并且,随着数字货币参与者的增加,各种原因导致的安全事件也显著增加。
令人无奈的安全问题
细看《报告》提及的三大安全问题来源,令人颇感无奈。
在使用者安全方面,由于普通用户自身安全意识薄弱或操作疏忽造成的损失最令人痛心。
比如,由于用户未妥善保管好钱包私钥而造成资产被盗,就是很不应该且完全可以避免的。这样的损失就好比体育比赛中的“非受迫性失误”——白白送分(钱)给对手(恶人)。
在区块链自身机制安全方面,反映出的是区块链技术的严重不成熟性,首当其冲就是智能合约安全问题。
对此,SECBIT(安比)实验室创始人郭宇在近日举办的“风口之下的区块链安全”沙龙上表示,当前智能合约的安全问题主要体现在代码漏洞、合约管理者拥有超级特权、代码不符合ERC20标准。
成都链安科技联合创始人兼CTO郭文生则表示,尽管有些智能合约存在精巧的逻辑漏洞,但也有许多智能合约漏洞非常低级,很容易被利用来作恶。
为何作为区块链2.0最大亮点的智能合约,其现实中的安全性却如此不堪?业内专家普遍认为,人才匮乏是根本原因。由于区块链是新兴技术,开发人员和安全人员都很缺乏,尤其在传统安全领域人才稀缺的情况下,区块链安全人才更是一人难求。
这一现状导致的直接结果是,所谓“开发人员”都直接从网上下载大量智能合约代码,修改后便直接使用。但这些源自网络的代码本身可能存在严重漏洞,经过不断复制后,也把安全漏洞扩散了。一旦遭人利用,个体问题便迅速扩散为群体性灾难事件。
对此,郭宇认为,项目方应加强安全审计;交易所应关注ERC20规范,Dapp开发展应关注token合约权限,公链应从智能合约系统设计上充分考虑安全。
郭文生建议,对于大部分常规代码问题,都可以先采用形式化验证的方式来发现。简言之,就是使用由专业开发人员开发的“代码核查器”,一般程序员只要把代码贴入,程序就能自动扫描识别出代码中的漏洞部分,以便及时人工修改。
互联网“先天缺陷”——DDoS攻击
在区块链生态安全方面,算力智库再次注意到《报告》中一个令人无奈的事实——DDoS攻击成为最普遍的安全原因。
DDoS攻击对区块链生态安全产生普遍威胁
自互联网诞生起DDoS攻击就已存在并作为一种经典的攻击方法延续至今,并随着网络技术和互联网基础设施的不断提升,衍生出了更多难以应付的攻击手段。DDoS攻击不仅在互联网世界中的“恶草难除”,如今更传导到了区块链网络中,不能不说是一种遗憾。
简单来说,DDoS攻击就是在某一时刻,向目标服务器(被攻击服务器)发送远超出常规的大量通讯请求,造成目标服务器资源瞬间消耗殆尽(宕机),无法提供正常服务。
DDoS攻击的意图也十分明确:变相获取对手流量或直接敲诈对手钱财。
与这类强盗式的、粗暴的“明抢”行为相比,小偷的“谋财”则更有技巧。这也就是除DDoS攻击外其他安全原因的本质——以技术手段在用户不知情的情况下盗取资产。
尽管去中心化是区块链的最大特征之一,但现实中真正去中心化的区块链网络很少存在。正如《报告》所列,交易所、钱包一类的中心化技术体系,因与大量资产相关,面对的DDoS攻击尤为突出。
区块链依互联网而生,无奈也继承了互联网的缺陷基因。最新的区块链技术在被世界寄予厚望的同时,也被这一古老的问题拖累。如何破?
网络安全借区块链“形而上实”
交易所平台服务商2SE COO海南对算力智库表示,一直以来DDoS攻击都是交易所除钱包安全问题外所面临的最主要的安全隐患之一,一般只能通过购买第三方防御服务来解决。
互联网安全技术服务商“超级科技”副总裁丁周华告诉算力智库,游戏业也是DDoS攻击的重灾区。据他透露:“一些运营得不错的小型游戏平台,每月的充值金额可能就高达数百万元,如果竞争对手持续对自己的服务器发起DDoS攻击,导致用户体验变差,那么这部分用户自然就会转投其他游戏平台了。”
据丁周华介绍,传统第三方DDoS防御的基本原理就是在客户服务器之前设立硬件防御设备,所有的访问流量先通过硬件设备清洗过滤,再把有效的访问释放给客户服务器。
但这类清洗服务的缺点也非常明显:一是筛查清洗效率较低,二是容易发生误判。尤其在面对大规模攻击时,这样的防御效率就更低。
此外,传统DDoS防御还存在成本悖论,即按照被攻击流量付费,在此模式下客户不仅是受害者,还要为攻击买单。特别是最易成为攻击目标的中小企业,因业务初期营收不稳定而无法承担高额防御成本,但“直面”攻击又会威胁到正常业务开展。
对此,“超级科技”基于区块链架构开发了DDoS防御产品——“奇速盾”。据算力智库了解,尽管“超级科技”本身并不直接开发公链、Dapp等区块链产品,但其将区块链的相关概念和技术应用到了产品中。
超级科技华东区域总监石鑫向算力智库介绍:首先,“奇速盾”采用自研通讯加密算法为客户的整个通讯链路进行目前全球最高安全等级(AES256)加密,确保数据传输过程安全。同时采用哈希验证方式对每一个通讯请求进行身份校验,确保只有合法请求可以通过,大大提高了验证效率。
其次,超级科技采用“分布式防御架构”在全国范围内部署了大量防御节点,每一个节点都具备全网调度功能,做到了“去中心化”。如果黑客不能同时攻破所有防御节点,就不会造成任何影响。加之SDN智能路由系统,可以确保黑客不可能同时对所有防御节点发起攻击。
石鑫表示,很多公司都在尝试“去中心化”、“分布式计算”等研究。“奇速盾”在实现自身去中心化的同时,还可以将客户的原始服务器隐藏起来,达到等同于“去中心化”的效果。
最后,该产品在成本方面以“包月套餐”方式结算,费用与攻击量无关,大大降低了用户的防御成本,也有效避免了某些防御厂商恶意刷大攻击量获取高收费的不正当经营手段。
“他山之石可以攻玉,我们对区块链落地应用的尝试和其他厂商有很大区别。现在很多公司都在研究怎么将区块链落地,而我们却是抽离了区块链的理论概念等‘形’,再用自身技术将‘形’转化为‘实’” ,石鑫比喻道。
“超级科技”华东区域总监石鑫
对于未来的发展,丁周华告诉算力智库,公司将继续扩大分布式部署规模,用网络的“厚度”和“密度”来实现安全防御、内容分发、网络加速三位一体服务。另外,还会在“流量安全”服务的基础上拓展“数据安全”服务。
监控屏幕上实时显示全国节点分布情况
另据了解,“超级科技”由原阿里巴巴集团CEO、阿里巴巴董事局副主席陆兆禧任董事长,并通过中国杭州区块链产业园第二批评审入驻该园区。
文章所载观点仅代表作者本人
且不构成投资建议
敬请注意投资风险
