注册
登录
| 关键词: 区块 交易所 安全 余弦 领域 攻击 成本 目标 成功 线下 |
现在,我刻意减少了一些线下的活动,一方面是希望多留些时间陪家人,一方面也因为线下的成本高,有些活动干货少,还不如在家里看看书。 不过,这周末还是参加了鲸交所的线下见面会, 一方面是听说鲸交所赵老板会过来,很想和他当面请教一些关于去中心化交易所行业的实战经验,不过他行程有变没有过来。 另一方面国内区块链安全领域的头部慢雾创始人余弦有分享,在国内的黑客界,余弦也是很有名,国内很多区块链项目(包括币乎)的代码审计都是由慢雾审计的。 鲸交所产品迭代很快,币乎的朋友们也一定深有体会,会上巨鲸也聊到了后期的规划,特别是跨链方面的内容还是很值得期待,币乎有太多小伙伴360度无死角写过鲸交所,这里我就不班门弄斧。 重点说说听余弦演讲的一些感触。 1、新领域对每个人都是新的 即使是目前的头部区块链安全公司,创始人坦言从事网络安全12年,从事区块链安全2年,传统的互联网安全和区块链安全还是有太多不同,以前的很多东西在新的区块链领域不一定适用。 所以,他自己在这个领域也是依靠自己摸索,在区块链出现之前,涉及的领域主要是链下攻防的问题,区块链出现后,就有了链上攻防的领域,即使是传统互联网领域的黑客,如果不理解区块链,也很难在新的领域成功。 区块链生态,包括交易所、钱包、矿池等,参与者角色更是复杂,有攻击者、防守方,还有大庄家,稍有不慎就会有攻击者过来。不过很多对抗思路比较传统,而且很多时候会忽略高级的攻击模式,这种模式一般很难出现,一旦遭遇,损失无可估量。 所以,即使是高手,在新的领域,依然需要自己学习摸索。这点值得深刻体会 。 2、没有绝对的安全 成本对抗是核心概念 攻击是有成本的,做安全防护的目的不是一劳永逸的解决安全问题,而是提高被攻击的成本,试想,黑客攻击两个目标,收益都是100万美金,一个目标安全防护做的足够到位,可能需要半年的时间才能攻击成功,一个目标只要2个月就能攻击成功,那么,黑客显然会选择难度较小的目标下手。 做安全的目的只是提高安全门槛而已。 所以,如果涉及到国家利益,上升到政治层面,国家可以不计成本去攻击一个目标,那么,现在所有的号称固若金汤的交易所,其实都是可以被轻易攻破的。 会上,有个朋友提问说看到了一个安全报告,对全球的交易所安全评分,问余弦的看法,在余弦看来,如果不能够实地去公司技术部门和团队沟通,外界的那些所谓的安全维度其实都不是很专业,就像曾经的一些评级机构一样,只要money足够,总是会有好看的评级结果。 3、安全无小事 对于项目方,特别是涉及到托管用户资金的交易所,在安全防护上没有小事。 会中,余弦也提到了团队的一段经历,就是曾经发现某知名交易所的安全漏洞,并成功充值了1万枚比特币,交易所竟然没有察觉这一万枚比特币为“假币”,但是,团队积极和交易所沟通,主动披露交易所的漏洞,成功抵御了几十亿的诱惑。 从这段经历可以看出来,即使是顶级的交易所,依然存在安全漏洞。
所以,对未知保持敬畏之心依然是高手必备的素质。 会后,一个参会的朋友说刚被骗了60几万,虽然这位朋友的经历我还没有仔细梳理,不过,在这个领域,个人资产的安全问题,依然不能疏忽大意。 不论是交易所,项目方,还是个人,都应该极度重视资产安全,因为,任何安全的疏忽,损失的可能是你好多年的血汗。 |
| 本文出处: https://www.toutiao.com/a6716298834873418254/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
