USD:慢雾创始人余弦:2020 后区块链世界及安全的一些思考

在这作为已经是区块链世界的局内人,我有一些思考写出来和我的关注者们聊聊。

三个魔盒

区块链发展史,我认为有三个魔盒般的里程碑,既然是魔盒,那一定是带来足够影响力的,虽然不一定带来足够的落地。

第一个就是比特币,中本聪共识的世界,这个其实不用多说,比特币/中本聪已经是这个世界的最高信仰。

说个有趣的,在维基百科上“密码朋克”人物列表里,一个是中本聪,另一个是阿桑奇。阿桑奇是维基解密(WikiLeaks)创始人,2006 年底就开始运作维基解密,维基解密是通过协助知情人让组织、企业、政府在阳光下运作的、无国界、非盈利的互联网媒体,由于发布了大量机密文件而其饱受争议,反正许多强大的国家不喜欢他们,最终这些国家忍无可忍,2019 年,正式把阿桑奇给抓了...

回到 2010 年,当时阿桑奇看到了比特币的发展,宣布维基解密要接收比特币赞助,这是个非常天才的想法,除了比特币,维基解密的法币赞助渠道都被各国监管严密封堵,而比特币很难被封堵。当时中本聪很着急,觉得阿桑奇你这样高调宣布,这对才发展 2 年的比特币来说可不是个好事,毕竟维基解密是什么局面?中本聪又不是傻子,万一一个不小心,才 2 年的比特币被超级力量干掉,那如何是好。当时中本聪留下了一段话:

慢雾:Distrust发现严重漏洞,影响使用Libbitcoin Explorer3.x版本的加密钱包:金色财经报道,据慢雾区消息,Distrust 发现了一个严重的漏洞,影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器(PRNG)来访问钱包的私钥,目前已在现实世界中造成了实际影响。

漏洞详情:该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器(PRNG)实现。该实现使用了 Mersenne Twister 算法,并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。

影响范围:该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户,以及使用 libbitcoin-system 3.6 开发库的应用。

已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

风险评估:由于该漏洞的存在,攻击者可以访问并控制用户的钱包,从而窃取其中的资金。截至 2023 年 8 月,已有超过 $900,000 美元的加密货币资产被盗。

解决方案:我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包,并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。[2023/8/10 16:18:20]

It would have been nice to get this attention in any other context. WikiLeaks has kicked the hornet's nest(马蜂窝), and the swarm is headed towards us.

慢雾:从Multichain流出的资金总额高达2.65亿美元,分布在9条链:金色财经报道,自7月7日以来,从 Multichain 流出的资金总额高达 2.65 亿美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 链。其中 6582 万美元已经被 Circle 和 Tether 冻结,1,296,990.99 ICE(约 162 万美元) 被 Token 发行方 Burn。流出的资金中,包括:

1)从 Multichain: Old BSC Bridge 转出的 USDT;

2)从 Multichain: Fantom Bridge 转出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;

3)从 Anyswap: Bridge Fantom 转出的 BIFI;

4)从 Multichain: Moonriver Bridge 转出的 USDC、USDT、DAI、WBTC;

5)从 MultiChain: Doge Bridge 转出的 USDC;

6)从 Multichain: Executor 转出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;

7)从被 Etherscan 标记为 Fake_Phishing183873 的 0xe1910...49c53 转出的 WBTC、USDT、ETH,同时我们认为该标记(Fake Phishing183873)或许是 Etherscan 上的虚假标记,地址可能以前属于 Multichain 官方账户。[2023/7/11 10:48:30]

from: https://bitcointalk.org/index.php?topic=2216.msg29280#msg29280

声音 | 慢雾预警:DNS劫持静默攻击全球蔓延 一旦劫持 用户数字资产可被轻易窃取:慢雾安全团队注意到 FireEye 近日的情报披露《全球 DNS 劫持活动:大规模操纵 DNS 记录》。据悉,其中最关键的部分是明确指出有三种 DNS 劫持手法可以完成静默攻击(用户无法察觉访问的目标网站或 Web 服务是否已经被劫持)。如果数字货币交易所遭遇了DNS静默攻击,将导致交易所用户的数字资产可能被轻易盗取。慢雾安全团队进一步解释道,“这个攻击很高端,但也不难,迟早会有被这样手法攻击的数字货币相关平台。”不过,目前还未知是否已经有交易所遭遇类似攻击。[2019/1/11]

2011 年,中本聪消失了...我们不好推测他为什么消失,但确实比特币已经开始失控地发展。现在回头来看,比特币过去的历史波澜成就了比特币的今天,比特币打开了加密货币世界的第一个魔盒。

第二个魔盒是以太坊打开的,引入了图灵完备的智能合约,让区块链不仅是跑加密货币,还可以跑自定义计算,虽然这种计算并没想象的那种“智能”,虽然这个魔盒的打开带来了许多乱象,但我们现在知道:“哦,区块链能做这样的事。”

第三个魔盒是 Libra 打开的,这个魔盒的开启,让非加密货币世界的人都关注到:“哇,原来区块链能被这样的玩...”Libra 这个一揽子全球稳定币由 Facebook 主导,整个官网充满了数字货币革命的感觉,愿景极其霸气:

声音 | 慢雾安全团队:建议检查充值所在的区块来避免回滚交易攻击:据 IMEOS 报道,针对凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 处理热钱包充值记录时,应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。[2018/12/19]

建立一套简单的全球货币和金融基础设施,为数十亿人服务。

重新创造货币。重塑全球经济。让世界各地的人们过上更美好的生活。

Libra 之后,大家也很快看到了我们国家对区块链的大态度:“区块链一定要干!”“加密货币不行,要严格监管!”无论如何,区块链在我国是真的火了...

一个割裂

三个魔盒打开后,这个世界有一个明显割裂:公链与联盟链。

公链上的加密货币虽然在一些发达国家及第三世界国家已经得到某种程度的认可,比如承认这是“个人财产”,甚至在小范围内还可以作为合法支付货币,但这些都在严格的监管法案下进行,尤其特别强调反。但加密货币对于现有世界秩序来说,普遍还是个被非常警惕对待的新事物。

分析 | 慢雾安全团队提醒|EOS假账号安全风险预警:根据IMEOS报道,EOS 假账号安全风险预警,慢雾安全团队提醒:

如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。

攻击示意如下:

1. 用户使用某款 EOS 钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功

2. 用户立即拿这个账号去某交易所做提现操作

3. 如果这个过程任意环节作恶,都可能再抢注 aaaabbbbcccc 这个账号,导致用户提现到一个已经不是自己账号的账号里

防御建议:轮询节点,返回不可逆区块信息再提示成功,具体技术过程如下:

1. push_transaction 后会得到 trx_id

2. 请求接口 POST /v1/history/get_transaction

3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[2018/7/16]

但联盟链不一样,联盟链是现有世界秩序喜欢的形态,因为可自主也可控,纵观现有联盟链场景都可以发现一个共同特点“许可模式”。只有被许可的单位才能参与进联盟链,才可以成为联盟链的一个关键节点。联盟链对应的场景一定有某种形式存在的“超级监管方”,这个“超级监管方”负责监控及管理这个场景下各方单位的活动博弈,当然这个“超级监管方”也可能被分权为“超级监控方”及“超级管理方”。你看,联盟链是多好的东西。当然联盟链也存在许多鱼龙混杂情况,这些就不谈了。

公链生态

特别提下公链生态,联盟链生态没什么好提的,让子弹多飞会再说:-)

既然是公链,那就是全世界的公共区块链,野蛮发展是其最大的基因,如何有效监管这是个大话题,这里不谈。这里简单罗列下公链世界里我认为有趣的目前是小范围的一些刚需。

支付需求:具有全球广泛共识的加密货币,如比特币、门罗币、以太坊,在某些场景可进行支付与结算,包括运行其上的稳定币

金融需求:去中心化金融(DeFi) DApp,这个目前在以太坊上已经有不错的小范围应用出现,不过主要围绕抵押借贷,但在向现有世界金融场景努力借鉴并在去中心化场景努力改进

娱乐需求:一些游戏竞技类 DApp,比如运行在以太坊、EOS、波场上的,有高质量的,虽然相比现有世界的游戏场景来说,玩家实在太少太少

隐私需求:Web3.0,用户掌握私钥即掌握了资产及隐私权力,说白了就是 Web3.0 可以让人民比较好地“当家作主”,我觉得这是个非常有意义的长远方向,但推进速度并不会很快

炒币需求:这个在哪个世界都是这样“东西不炒,动力就少”,这就是为什么那么多加密货币交易所的存在,这也诞生了许多乱象

存储需求:有不少人和我类似,喜欢的加密货币会长期持有着,那就得安全存储着呀,加密货币钱包也就这样百花齐放了

算力需求:无论是 PoW,还是 PoS/DPoS 等,本质都是拥有“算力”即拥有“出块权”,也即拥有“铸币权”。当然“铸币权”不一定要靠“算力”来拥有,比如 USDT/TUSD/USDC/GUSD/PAX 等本质是很中心化的加密货币稳定币,再比如黑客掌握了某类型漏洞也是可以有“铸币权”,但是黑客的这种“铸币权”不长久,这种漏洞在全球顶级公链里也不容易拥有

大概这 7 个点,可能还有一些,先这样。这些需求的融合与进化让我对 2020 之后的区块链世界充满期待。公链的进化会诞生真正的隐私、自由与安全的群体;公链的进化会解决国家、种族、群体之间的某些信任边界。嗯,说的有些大,但会是这样。

说到安全

公链世界里的安全是强刚需,可以认为这是一种新型的金融安全方向,所有新秩序都在“摸着石头过河”,对于安全来说,除了一起跟着“摸着石头过河”并没特别清晰的指引。但我觉得这样才有趣,方向足够新,空间足够大,带着安全队伍开疆拓土。

安全附属在生态里,上面提的公链生态每个点都有绝对的安全刚需,除了传统网络安全攻防,更多的是公链本身的安全攻防,我们把这两部分成为“链下安全及链上安全”。关于安全在区块链世界的重要性,可以见我之前的一篇文章,这里不做过多讲解。

安全是区块链生态里的基础设施之一,无论公链还是联盟链。但从刚需的生意角度来看,安全在公链世界里是强刚需,可以诞生足够强大的区块链安全公司;安全在联盟链世界里是“伪需求”,安全公司在这个世界里和在已有的世界秩序里的存在感差不多,会有,不是没有市场,但严重缺乏想象力。关于联盟链安全再补充一点:联盟链的太多场景,安全是非常滞后的,并未如公链的许多场景那样经历过足够的安全对抗考验。其中一个非常可怕的安全攻防入口是“超级监管方”,这个可以直接决定一条联盟链的生死。

不得不说的一点:在安全这个基础设施之上构建的安全衍生品才是真正大的市场。这个世界需要安全的支付场景、安全的金融场景、安全的娱乐场景、安全的隐私场景、安全的炒币场景、安全的存储场景、安全的算力场景等等。场景里已经不是纯粹的安全攻防需求,而是基于安全的衍生品需求。

在这,我们已经将安全分为两大部分:安全产品及安全衍生品。

安全产品本身就有不少的创造空间,链上安全及链下安全的一些独特创造:

链上层面可以有自己的漏洞扫描、防火墙、反等,核心组件一定是在链上实现的,比如在智能合约层,在智能合约的用户层及智能合约的系统层都可以做些工作。

链下层面有更大的创造空间,可以有自己的漏洞扫描、威胁分析、事件分析、防火墙、反等等,核心组件在链下实现,通过区块链的几个入口进行相关安全策略实施,如 RPC、P2P、智能合约虚拟机等。

至于安全衍生品,需求上面有提,这里就不展开谈了:-)

谈了怎么给区块链世界做安全,那区块链技术的运用能否解决现有世界的某些安全问题呢?

当然可以呀,区块链有个非常核心的能力是解决了信任的问题,前面有提到的 Web3.0,“人民当家作主”,人民掌握了私钥即掌握了自己的资产与隐私,这个如果应用的好,可以很好解决当前互联网隐私大爆炸(泄露)的痛点,这些隐私为什么会大爆炸呢,就是因为现有的隐私安全模型在当前的互联网下比较脆弱。那么可以完美解决吗?我倒是不这样认为:-)

私钥是个神奇的东西,是密码学光辉的一种体现,基于私钥是可以有许多有趣的创造,私钥不仅个人可以使用,也可以多方使用,比如安全多方计算的运用可以解决多方角色需要授权使用资产或隐私的安全问题。虽然这些过程,不需要区块链也行,但结合了区块链也等同于结合了某种信任模型,区块链让密码学的光辉应用得到进一大步的发挥。我们的创造着力点一定是在这些可信环节上。

区块链不是万能药水或银弹,但却是魔法药水,在多方博弈的场景下可以降低信任成本,降低审计成本。那是不是一定要用区块链技术?这个真不是。那是不是所有公链都有价值?必然也不是。看事情看本质,做事情做客观。敬畏力量,但远离非黑即白者。

最后

最后我想说:未来虚拟世界是绝对的独立智慧体(硅基生命),加密世界是绝对的一个大势,加密货币是绝对的一个刚需存在,虽然这个未来还有不少距离,但这个未来是一座灯塔。

区块链安全也追随这这座灯塔,创造空间无限,市场空间无限。

In Blockchain We Trust;-)

感谢我的关注者与支持者们,感谢我的区块链安全团队,其中一个是慢雾,另一个是?2020 年,慢慢的,大家就会知道啦。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:0ms0-1:406ms