第二天2上 张亮 构建更好更安全的区块链生态1

2020-02-27 58浏览

  • 1.安全“铸剑” 构建更好更安全的区块链生态 张亮
  • 2.
  • 3.•  行业趋势 •  业务风险 •  解决方案
  • 4.区块链行业应用分类
  • 5.全球加密货币总市值 数据来源: coinmarketcap.com @ 2018.08.13
  • 6.全球ICO概况 数据来源:www.coindesk.com/ico-tracker @ 2018.05.30
  • 7.全球ICO概况 数据来源:www.coindesk.com/ico-tracker @ 2018.05.30
  • 8.安全事件趋势变化 数据来源:www.coindesk.com/ico-tracker @ 2018.05.30
  • 9.EXMO遭遇DDoS攻击! 英国比特币交易所EXMO在2017年12月 28日发布官方公告,公告称正在遭受DDoS 攻击,预计在半小时内恢复正常业务。
  • 10.Bithumb被⿊黑客攻击! 韩国数字货币交易所bithumb在2018年 6月20日称,遭黑客盗走价值350亿韩元 (3150万美元)的虚拟货币。 根据CoinMarketCap.com的数据, bithumb是亚洲最大加密货币交易所之一, 管理近3.6亿美元资产。bithumb称已将“全 部客户资产存在安全的冷钱包(cold wallet) 里”。
  • 11.BeautyChain智能合约漏洞 2018年4月23日,有安全研究人员发现 在BeautyChain的智能合约中发现了漏洞, 并利用该漏洞获得了巨额的BEC代币。数值 为数值为: 57,896,044,618,658,100,000,000,000,000, 000,000,000,000,000,000,000,000,000,000 .792003956564819968。 如此高额的代币数量,引发恐慌,导致市场 上海量BEC被抛售,价值直接归零。
  • 12.Nicehash矿池被入侵 2017年12月6日位于斯洛文尼亚的“世界上 最大的加密货币挖矿算力市场”NiceHash发布 官方公告称大量比特币被盗。 事件发生后,NiceHash平台停摆超过14 天,NiceHash于2018年2月5日正式宣布启动偿 还项目。
  • 13.Coinsecure“内鬼”盗窃 印度三大比特币交易所之一,在 coinsecure在官网发布公告称,该交易所在 2018年4月9日发生数字货币失窃,一共被盗 取了438个BTC,按照当日价格计算,价值约 330万美元。
  • 14.Parity电子钱包被盗 Parity Multi-Sig电子钱包版本1.5+的漏洞 被发现,使得攻击者从三个高安全的多重签名 合约中窃取到超过15万ETH(约3000万美 元)。 一位用户名为“devops199”的黑客, Github的用户名为“empty”,以太坊收款地 址 为“0xae7168Deb525862f4FEe37d987A971 b385b96952”。
  • 15.Binance遭遇钓鱼网站 2018年3月7日,币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。根据交易所的公告,有31个账户 遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限之后,使用机器挂单,进行程序化高频交易,给用户带来巨大 损失。 黑入 控制 币安交易所 API机器人 窃取 兑换成BTC 黑客再从其它 交易所挂好的 空单中渔利, 从中获利1.1亿 美元。 引发其它交易所币价的连锁反应 其它交易所 VIA被拉爆,涨幅110倍 大量币安账号 大量高价买入VIA
  • 16.安全事件思考 从监管角度来看 区块链技术的安全标准和监管规范 不完善 管理模式的差距 传统的管理模式都不适用于区块链,管 理上存在代沟,需将区块链的管理方式 与传统的管理方式相结合 安全认知与资本的差距 直接与资本打交道,大量的资本与有限的 安全投入形成了巨大的落差 多维度进行权衡 区块链领域需要从多个方面去进行权衡,单从某 一方面去思考都有可能引发其他方面带来的风险
  • 17.全球区块链安全事件分析 数据来源:区块链产业安全分析报告@ 2018.05.30
  • 18.交易所业务风险
  • 19.交易所整体安全解决方案
  • 20.安全服务解决方案
  • 21.云安全实验室 捕获、分析、挖掘、模拟黑客攻 击手段。知己知彼,百战不殆。 黑客指纹库 Ostxprntes 大数据分析 至强抗DDoS 超强抗CC引擎 抗DNS海啸攻击 云防护解决方案 Anti-CC引擎智能机器识 别 Websoc 云安全检测平台 监控全球站点安全状态,具 备强大的态势感知能力。 标识脆弱的网站 掌握每一个网站的漏洞 自我学习能力>对攻击数据进行学习 >学习了几千万种攻击防御方式 >形成动态防御体系
  • 22.智能合约审计方案 智能合约安全问题 • 合约限制绕过 • 短地址攻击 • Tx.origin鉴权 • 调用栈耗尽 • 函数可见性 智能合约安全审计 • 隐私泄露风险 • 代币转入转出风险 • 合约故障处理 • 拒绝服务风险 • 其他逻辑问题 智能合约审计 国内顶级白帽子团队,对区块链项目源码和智能合约源码中的 隐私泄露风险、代币转入转出风险、合约故障处理风险等进行 深度源码审计。
  • 23.业务推广解决方案 交易易所反欺诈! 通过风控模型能够准确识别羊毛号、黑产号等,降低黑 产通过该种手段造成的刷糖果币、抢优惠、骗奖励的行 为,使企业真正达到宣传、推广的效果。 交易易所反钓⻥鱼! 通过强大的云平台数据库检查,实施全网监测钓鱼网站; 联合多家传播渠道实施拦截,避免用户打开钓鱼网址; 并且针对钓鱼网站具备全球快速封停能力。
  • 24.办公环境风险
  • 25.办公安全整体解决方案 企业在关注业务安全的同时,对办公网络安全 也应该同样重视。 •  威胁感知 •  风险评估 •  数据审计 •  终端安全 •  意识培训
  • 26.未知威胁感知 业务网络 办公网络 测试网络 生产网络
  • 27.区块链整体安全解决方案
  • 28.u 业务熟悉:2014年开始接触,开发了交易所。 u 方案全面:从矿池到交易所,从业务系统到办公网络,全生态防御。 u 案例丰富:服务众多客户,百余家区块链客户案例。
  • 29.
  • 30.
  • 31.