在知乎中，有個(gè)很有意思問(wèn)答-----“人在哪些情形下最容易/最難成為小偷的目標(biāo)？”

這個(gè)問(wèn)題本是來(lái)想邀請(qǐng)“相關(guān)從業(yè)者”（其實(shí)就是小偷）來(lái)回答的，但干這行的都比較低調(diào)，最后反而炸出了不少受害者的被偷經(jīng)歷，雖然故事五花八門，但雷鋒網(wǎng)編輯試著總結(jié)了一下這些答案，被偷目標(biāo)一般都符合以下幾個(gè)條件：

1.露財(cái)了。你的鈔票或者手機(jī)早就被小偷盯上了。

2.防護(hù)能力不強(qiáng)。你將財(cái)物直接放在了衣服最外面的兜里，或者背包的拉鎖沒(méi)拉，漏出了破綻。

3.反抗能力有限。小偷偷東西的時(shí)候也會(huì)考慮萬(wàn)一被抓的后果，在一個(gè)柔弱的姑娘和一個(gè)彪形大漢之間，小偷當(dāng)然會(huì)選擇前者。

如果把這個(gè)問(wèn)題放在安全行業(yè)，把小偷的角色改為黑客，答案應(yīng)該也有相似之處。

首先你得有錢才會(huì)被黑客盯上；再者漏洞比較多，黑客得手的“成功率”比較高；最后黑客還會(huì)考慮攻擊行為被發(fā)現(xiàn)后，是否容易脫身。

在2017-2018年間，有一個(gè)行業(yè)幾近“完美”的滿足了有錢、漏洞多、追溯難的三大條件，如果你是我宅的資深讀者，應(yīng)該已經(jīng)猜到了。

沒(méi)錯(cuò)，就是集中涌現(xiàn)“暴發(fā)戶”的區(qū)塊鏈行業(yè)了，在過(guò)去一年來(lái)，我們報(bào)道了關(guān)于幣安、SMT、EOS 等眾多區(qū)塊鏈行業(yè)的安全漏洞。

目前這個(gè)階段，黑客可以將入侵肆意變現(xiàn)

據(jù)區(qū)塊鏈安全公司 BCSEC 的統(tǒng)計(jì)，目前全球總共有 500 多家主流數(shù)字貨幣交易所，涵蓋 1644 種數(shù)字貨幣，市值總額達(dá)到了 3448 億元。截至 2018 年 6 月，針對(duì)數(shù)字貨幣的攻擊累計(jì)達(dá)到 100 次，造成的直接經(jīng)濟(jì)損失達(dá) 33 億 5000 萬(wàn)美元。

這從也從一個(gè)側(cè)面表明，在區(qū)塊鏈行業(yè)中，與火熱的資本相對(duì)應(yīng)的是脆弱的安全防護(hù)能力。據(jù)其統(tǒng)計(jì)，在前全球有10000+的區(qū)塊鏈項(xiàng)目，而區(qū)塊鏈安全服務(wù)公司卻只有不到50家，對(duì)于安全防護(hù)非?？是蟆?/p>

8 月 1 日下午， BCSEC 宣布聯(lián)手區(qū)塊鏈安全團(tuán)隊(duì) PeckShield（派盾），召開(kāi)了一個(gè)名為“安全鏈接計(jì)劃”的發(fā)布會(huì)，決定發(fā)起一個(gè)去中心化的漏洞平臺(tái) DVP（Decentralized Vulnerability Platform），他們想利用區(qū)塊鏈技術(shù)，建立匿名化的安全眾測(cè)社區(qū)場(chǎng)景。

關(guān)于 BCSEC 的背景，雷鋒網(wǎng)此前曾在《白帽匯的趙武摘掉了他的“帽子”》這篇文章中有過(guò)介紹：創(chuàng)辦白帽匯的趙武注冊(cè)了一家名為“華順信安”的公司，接受了丹華資本幾千萬(wàn)的投資（后者投資了不少區(qū)塊鏈公司），不過(guò)“白帽匯”并沒(méi)有消失，而是成了華順信安旗下的技術(shù)研究院，區(qū)塊鏈安全是他們的研究方向之一，而B(niǎo)CSEC 的創(chuàng)始團(tuán)隊(duì)正是來(lái)自于白帽匯安全研究院。

此次他們搞發(fā)布會(huì)，是想號(hào)召全世界的白帽子一起來(lái)挖區(qū)塊鏈行業(yè)的漏洞，不過(guò)跟其他眾測(cè)平臺(tái)所不同的是，他們會(huì)讓白帽子以“匿名”的形式來(lái)提交漏洞。（至于為什么強(qiáng)調(diào)匿名，大家可自行搜索白帽子和世紀(jì)佳緣事件。）

合作的另一方是“PeckShield”，據(jù)官方資料的介紹，PeckShield 是面向全球的區(qū)塊鏈安全團(tuán)隊(duì)，由前360首席科學(xué)家、美國(guó)北卡州立大學(xué)終身教授蔣旭憲創(chuàng)辦，曾在 2012 年率先進(jìn)行了全球第一個(gè)智能手機(jī)上的惡意軟件基因組研究，此后又于2014年首次發(fā)現(xiàn)了特斯拉汽車的應(yīng)用程序安全漏洞。提交過(guò)大量高質(zhì)量的漏洞報(bào)告，并多次獲得谷歌，高通，三星，華為等廠商致謝及獎(jiǎng)金。

團(tuán)隊(duì)的吳家志是DVP平臺(tái)的CEO，由于目前區(qū)塊鏈技術(shù)在金融領(lǐng)域應(yīng)用較多，他以傳統(tǒng)金融為例，對(duì)比區(qū)塊鏈金融目前所面臨的安全挑戰(zhàn)。

▲吳家志

與傳統(tǒng)金融相比，區(qū)塊鏈金融在很多國(guó)家是不受國(guó)家法律保護(hù)的，只能由區(qū)塊鏈相關(guān)企業(yè)自己保護(hù)自己，在這種法律空白的情況下，資金盤越大，就越容易遭受黑客攻擊，目前這種過(guò)渡階段對(duì)于黑客來(lái)說(shuō)，是一個(gè)可以將入侵肆意變現(xiàn)的時(shí)代。

目前，安全漏洞分布于區(qū)塊鏈的各個(gè)環(huán)節(jié)，包括：交易所、礦池、錢包、智能合約等，但與整個(gè)區(qū)塊鏈生態(tài)環(huán)節(jié)眾多相比，相關(guān)的安全從業(yè)人員力量卻比較分散，難以形成合力解決問(wèn)題，這也是他們?yōu)槭裁匆霰姕y(cè)平臺(tái)的原因。

為什么是這兩家聯(lián)手搞眾測(cè)？

既然是兩家聯(lián)手合作搞針對(duì)區(qū)塊鏈安全的眾測(cè)平臺(tái)，那雙方應(yīng)該都在這方面有各自的強(qiáng)項(xiàng)。

我們先來(lái)了解一下 BCSEC，在其官網(wǎng)的 logo下面，有這樣一行字：“區(qū)塊鏈安全信息平臺(tái)”。

在發(fā)布會(huì)當(dāng)天，雷鋒網(wǎng)發(fā)現(xiàn)趙武也作為 DVP 漏洞平臺(tái)的顧問(wèn)來(lái)站臺(tái)，而具體負(fù)責(zé)DVP平臺(tái)的，則是白帽匯的聯(lián)合創(chuàng)始人鄧煥。

趙武之前一手創(chuàng)辦了業(yè)內(nèi)最大的漏洞響應(yīng)平臺(tái)“補(bǔ)天”，而鄧煥也曾是補(bǔ)天漏洞響應(yīng)平臺(tái)的技術(shù)負(fù)責(zé)人。也就是說(shuō)，他們?cè)鴵碛袊?guó)內(nèi)最大的漏洞響應(yīng)平臺(tái)的創(chuàng)辦和運(yùn)營(yíng)經(jīng)驗(yàn)，如何最大限度的發(fā)揮廠商、安全公司和白帽子的作用以減少漏洞暴露風(fēng)險(xiǎn)，是他們所擅長(zhǎng)的。

而另外一方“PeckShield”（派盾），則已經(jīng)在區(qū)塊鏈安全研究方面受到業(yè)內(nèi)關(guān)注。除了在移動(dòng)安全方面的研究，2018年來(lái)，他們還因連續(xù)發(fā)現(xiàn)并命名了BEC、SMT、EDU 等智能合約的重大安全漏洞。

換句話說(shuō)，“PeckShield”很擅長(zhǎng)“挖漏洞”，尤其是區(qū)塊鏈領(lǐng)域的安全漏洞。

在隨后對(duì)鄧煥的采訪中，他也表示，在區(qū)塊鏈漏洞的挖掘和研究方面，“PeckShield”確實(shí)比他們厲害。

一個(gè)擅長(zhǎng)漏洞平臺(tái)的運(yùn)營(yíng)，一個(gè)擅長(zhǎng)區(qū)塊鏈行業(yè)的安全研究，加上市場(chǎng)的強(qiáng)烈需求，這就促成了雙方的合作。

怎樣確保漏洞的質(zhì)量和白帽子應(yīng)得的回報(bào)

既然是眾測(cè)平臺(tái)，就面臨著兩個(gè)問(wèn)題，一是如何讓白帽子更加順暢的提交漏洞，并獲得應(yīng)有的報(bào)酬；二是如何讓廠商意識(shí)到漏洞的嚴(yán)重性，并愿意給提交漏洞的白帽子付相應(yīng)的報(bào)酬。

作為DVP平臺(tái)的CSO，鄧煥介紹，之所以提出提出“漏洞即挖礦”，就是為了促使白帽子和廠商形成利益共同體。白帽子在DVP平臺(tái)可以提交區(qū)塊鏈相關(guān)漏洞及威脅情報(bào)，并隨時(shí)查看漏洞審核及認(rèn)領(lǐng)進(jìn)度，獲得相應(yīng)的獎(jiǎng)勵(lì)。同時(shí)，為確保整個(gè)流程的公正性，DVP平臺(tái)會(huì)將漏洞信息進(jìn)行公鑰加密，區(qū)塊鏈廠商可以通過(guò)私鑰解密得到報(bào)告內(nèi)容詳情。當(dāng)確認(rèn)此漏洞無(wú)誤并采用后,懸賞獎(jiǎng)勵(lì)將自動(dòng)打入該漏洞提交者的地址。

正因?yàn)榇?，通過(guò)社區(qū)將重構(gòu)白帽子與廠商之間的關(guān)系，DVP平臺(tái)一方面將利用區(qū)塊鏈的天然的匿名性等特點(diǎn)有效保護(hù)“白帽子”，促使全球的白帽子和安全工程師都可以參與進(jìn)來(lái)發(fā)掘漏洞，另一方面則是有效擴(kuò)充企業(yè)有限的溝通渠道，降低溝通成本。

為了確保平臺(tái)順暢運(yùn)行，他們主要有以下機(jī)制

? 每筆懸賞項(xiàng)目，需要存入50,000$等值的DVP平臺(tái)保障金

? 每筆漏洞支付將回收10%形成DVP基金

? 每個(gè)自然月的最后一天00:00進(jìn)行結(jié)算，其中：DVP基金中當(dāng)月80%用于獎(jiǎng)勵(lì)回饋社區(qū)所有持DVP用戶；20%用于再次獎(jiǎng)勵(lì)平臺(tái)當(dāng)月按照漏洞提交數(shù)量排名TOP100的白帽子用戶。

上線一周后的情況

鄧煥告訴雷鋒網(wǎng)，截止7月31日，DVP上線一周以來(lái)，“白帽子”所提交的漏洞有312個(gè)，涉及175個(gè)項(xiàng)目方，包括目前的一些智能合約，知名公鏈，交易所等一系列的項(xiàng)目。

具體來(lái)看，經(jīng)審核后，所提交的漏洞中，高危漏洞達(dá)122個(gè)占所有漏洞的39.1%，中危漏洞53個(gè)，約占17%。其中，包括某智能合約廠商存在重入漏洞，黑客可通過(guò)該漏洞從合約中無(wú)限提取資金。某大型公鏈存在設(shè)計(jì)缺陷，可導(dǎo)致此項(xiàng)目大量的公鏈節(jié)點(diǎn)崩潰，甚至可能導(dǎo)致項(xiàng)目方硬分叉。

目前給白帽子的報(bào)酬折合人民幣約有30多萬(wàn)，其中一個(gè)白帽子所提交的高危漏洞價(jià)值 6 萬(wàn)元。

未來(lái)，DVP準(zhǔn)備制定一套虛擬的積分體系（類似于通證），白帽子群體將不用針對(duì)每一個(gè)發(fā)起測(cè)試邀請(qǐng)的廠商開(kāi)通不同的錢包地址，同時(shí)，廠商也不用每次自己進(jìn)行不同貨幣。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。