罗智勇:最近360团队宣称发现了EOS价值百亿美金的漏洞,您对这事有什么看法?
黄连金:针对EOS漏洞事件,我们要透过现象看到几点本质:1、安全是动态的,不是静态的;2、代码是人写的,没有百分之百的安全;3、智能合约的安全非常重要。它一旦通过共识确立就很难更改,同时智能合约还是锁定资产的。4.安全需要多方面考虑,不能顾此失彼。
现在大部分的智能合约是无加密的,很多项目说能解决智能合约安全问题,但是解决的都是数据的安全,代码的安全无法解决。我认为,要想解决智能合约的安全,第一要把源代码进行加密,第二要进行形式化证明,运行时还要进行实时的检测。
仅保护智能合约还是不够,区块链还有许多安全控制的需要,比如安全身份的确认和访问控制权限的问题、从源代码安全审计的问题、数据加密和隐私问题等。对于隐私问题,2018年5月25号,欧洲出台了《通用数据保护条例》(简称GDPR),该条例有三个重要的规定,第一,提取数据要获得个人的同意;第二,商家使用数据要说明数据的用途;第三,当个人要求商家删除数据时必须删除。所以针对做区块链时数据放在链上无法移除的问题,必须要考虑到怎么合规合法的应用和保护个人隐私。
另外,区块链的安全问题不仅仅是从智能合约体现出来,也会从交易所安全、还有硬钱包和冷钱包的安全问题等方面体现出来。值得欣慰的是,很多大的交易所已经开始有安全防护措施,比如与第3方安全公司合作做安全审计和保护,要求项目方如果想要上币,必须经过第三方的安全检测等等。需要注意的是,仅仅依靠一次性的安全审计是不够的,安全需要完整的持续的流程。
举个例子,有个多签名钱包parity项目出过两次比较大的安全问题。第一个问题是函数的可见性问题,黑客利用这个漏洞转走了大约2000万,幸亏有白帽子团队把7000万美金转走,但还是损失巨大。后来因为另外一个bug,parity项目库存又出现了问题,到现在还有将近两亿美金锁在
以太坊里面还没有解决。其实,写parity代码的团队技术是非常厉害的,而且雇用了比较牛的第三方安全公司做了安全审计,后来也还是出问题了。因此安全需要完整的持续的流程。
公开演讲时,我经常说仅智能合约安全不够,但不能因此不注重智能合约的安全。我们需要360这样的安全团队帮助审计代码,内部也需要安全的人员努力钻研。总体来说要有安全意识,而且从一开始就要形成安全的流程。
安全的问题才刚刚开始,以后EOS或其它链的安全问题肯定还会出现。360进入到区块链的安全领域,对于区块链的从业者和企业都是好消息。而360本身也可能因此成为引领安全的企业,在美国也有很多大大小小的传统的信息安全领域的企业,以后会有许多企业逐渐进入区块链安全行业,我非常看好这个行业。
版权申明:本内容来自于互联网,属第三方汇集推荐平台。本文的版权归原作者所有,文章言论不代表链门户的观点,链门户不承担任何法律责任。如有侵权请联系QQ:3341927519进行反馈。
