区块链七七:专注区块链生态的安全这样的一个行业!

资讯 10个月前 manoon
0

2017年,我开始关注这样一个行业。2017年,我还与我们的slow fog创始人cosine和余老板取得了联系。2018年公司成立后,我立即加入团队,共同创业

我们一直朝着区块链的生态安全方向发展。在区块链的轨道上仍然有许多细分,包括进行交易、制作钱包、制作我们自己的项目或发行硬币。然而,由于我们一直在从事互联网安全、云安全等方面的工作,因此我们认为,在这样的行业中,安全也是必要的

我们进入了这样一个新的轨道,我们也为自己定下了基调:我们关注区块链生态的安全。我们的新公司进展缓慢。我们不做其他安全,如微信应用安全或网站淘宝。我们关注区块链的生态

我们在生态学中使用了不同的方法,比如我们刚才提到的假充电漏洞,最早的以太坊黑色情人节漏洞。在这一发现之后,它为我们的品牌带来了良好的沟通,我们开始得到全世界每个人的关注。当我们的漏洞被释放后,大家都发现它很容易被攻击,但是受害者很容易掉进这样一个坑里,这将给自己带来巨大的损失

这相当于国内或国际的安全之声。当时2018年初还很弱,所以我们当时就开始了,我们的整个开局非常漂亮

钱安777:你也是一个技术领导者。您来自上一个互联网安全部门,并进行了区块链安全审计

齐福:是的,事实上,这关系到每个人的利益

区块链七七:专注区块链生态的安全这样的一个行业!

币安77:当我听到你们公司的名字“慢雾”时,我觉得这个名字很神奇,有点浪漫。我很好奇这个名字是怎么来的

齐福:慢雾其实来自小说《三体》。我相信很多人都应该读这本科幻小说。在这部小说中,慢雾实际上是黑暗森林中安全区域的象征

那么,我们为什么要用这样一个概念作为我们公司的名称呢?因为我们也深刻认识到区块链也是一片黑暗森林。在早期,区块链上的这些资产、余额和货币持有是公开的。例如,一些大型平台拥有更多的用户和更多的资产。感觉就像是从人群中脱颖而出

许多地下黑客和躲在黑暗中的人将关注这些目标,而这些新兴的人将面临这样的风险。因此,我们的愿景之一是成为区块链生态中的安全区域。换句话说,通过我们的奖金,我们为这些目标形成了安全奖金,这可以提高他们的安全基准,提高攻击阈值,更好地确保平台的安全性

正如我们目前与coin security、wallet和exchange的合作一样,我们都希望提高平台的安全性,保护平台上用户的资产

二,

区块链七七:专注区块链生态的安全这样的一个行业!

钱安777:嗯,我认为你们这样做并为这个行业做出贡献是有意义的。今天的主题是“defi walk”。您之前也提到过漏洞,例如以太坊黑色情人节假期充值漏洞、令牌错误充值漏洞以及EOS生态中的错误充值漏洞。有更详细的案例介绍给你吗

我以前是做客户服务的,我遇到过假币。你这样做吗?硬币的名字是一样的。结果是一种毫无价值的货币

齐福:假充值漏洞不同于假币。这是一种技术攻击技术,但我可以用一种更流行的方式向你们介绍科普知识

因为我们现在的大部分交流都是集中的。区块链是一种分散的技术。像exchange这样的集中式平台如何知道用户将钱转移到区块链上的地址?一定有一些检测方法。需要注意的是,用户地址上的余额是否增加了,您是否收到了一些新的转账,也就是说,这个东西结合了链上和链下的东西

在这个组合过程中,会出现这样一个虚假充值的问题。当黑客通过钱包或脚本工具在区块链上转账时,他们会构建一些特殊交易。交易发送到该地址后,将成功记录在链上,交易所的收费系统将检测到该交易,在检测过程中,发现该地址已收到传输,并且传输的某些参数有问题

但如果你不了解交易所的发展和技术,你会觉得这是一次成功的充电。黑客在该链上进行了虚假的充值交易,并将其发送到该链。事实上,黑客并没有真正将这些usdt和eth转移到向交易所收费的地址,该地址错误地认为充电成功

交易所的黑客余额将被充值到账户中,这将造成空手白狼效应。例如,在10000以太坊中,交易所发现一个大家庭收取了如此之多的费用,并认为它会在到达时予以确认。在这个时候,黑客可以挂一些账单或直接在上面取款,这样他们就可以通过虚假充值获得真正的以太坊。如果他们真的提出这笔钱,将给交易所造成巨大损失

因为黑客基本上没有成本,可以无限期地攻击这些平台,他们可以以这种方式拿走平台上几乎所有的资产,这有点像欺骗。这种方法与您刚才提到的假币有点类似,但是它的货币是真实的,但是它过去没有被转移,也没有成功转移,或者转移成功后有一些特点

它需要在程序中被检测到。那是当时发现的。因为我们的一些合作伙伴或我们的一些蜜罐发现了类似陷阱的东西,我们披露了它,以便大多数交易所能够尽可能多地修复问题,避免更多的交易所受到这些黑客的攻击

刚才提到有几个假充值漏洞,比如usdt假充值漏洞,EOS假充值漏洞等等。其原理基本相同,但不同之处在于某些字段名在不同的链上是不同的。这需要交易所的技术研发人员查看我们以前发表的文章

我们已经公布了漏洞的详细原因和修复方法。现在市场上运行了很长时间的知名交易所没有这些问题,但是如果你有一些需要关注的新交易所,你需要看看这些漏洞

币安全77:我现在明白了。您要做的是保护exchange的资产和大多数用户资产。例如,他们攻击我们的交易所。就像我刚才说的假币,它们攻击散户投资

区块链七七:专注区块链生态的安全这样的一个行业!

齐福:是的。技术要求或某些技术术语更专业

三,

Coin Ann 77:该行业最热门的事情之一是defi采矿。从您的安全审计角度来看,您认为其发展成熟吗?现在还早吗

齐福:一定很早了。就技术、当前应用或用户数量而言,这还很早。我们先不要谈defi。区块链和硬币圈都很早,区块链没有大规模的应用。在某些情况下,使用数字货币直接购买一些实物是可能的,但这仍然是有限的

因此,对于defi来说,包括整体开发在内币安什么时候,它还处于起步阶段,它目前的一些应用基本上都集中在这些概念上。正如您刚才所说,流动性挖掘和uniswap AMM自动做市抵押贷款挖掘的场景很少

迁安777:我们自己的行业是一个非常早期的行业,更不用说定义了。事实上,它还没有出来很久

区块链七七:专注区块链生态的安全这样的一个行业!

齐福:现在我们已经达成了共识。一定很早了

钱安77:从您的角度来看,defi采矿的安全风险和漏洞是什么?还有一句我们以后更感兴趣的最重要的句子。我们应该如何预防或区分?您可以告诉我们技术层面的风险和漏洞,但普通用户应该怎么做

齐福:首先,在经历了一段德菲(本月佛墨最激动人心的一段德菲)之后,据说硬币圈是一天,世界是一年。现在有一个咒语是“一天定义,一年硬币循环”。在如此严肃的fomo情绪下,很多人曾经讨论过,攻击过,很多人丢了钱,打错了钱。他们意外地在合同上达到了40万美元,但无法将其取出,各种各样的坑都被看到了。让我在这里总结一下

首先,在参与defi时,要注意核心参与平台使用的智能合约是否开源,平台本身是否有安全审计,智能合约是否存在问题币安什么时候,是否存在漏洞。如果存在漏洞或后门,您的委托人可能会直接损失

如果这个项目的合同有一个后门漏洞,项目方可能会等待你的委托人来,这样它就可以逃脱。你盯着它百分之几百、几千或几万的收入看,它的收入达到了数百万。他跑掉了你的校长。这是不值得的损失。您必须找到一家知名安全公司的安全审计

因为我们刚才还公开了一个项目。他去了一家皮包保安公司。保安公司有一个网站。它没有什么可挂的。经过一次安全审计,他发现了一份不错的报告。那一套是假的。这也是非常重要的。我们必须找到那些被慢雾审计过的人,已经看到了澳元

版权声明:manoon 发表于 2021-09-19 1:59:16。
转载请注明:区块链七七:专注区块链生态的安全这样的一个行业! | 198区块链导航

暂无评论

暂无评论...