案例二·慢雾科技
区块链因其去中心化、匿名性和金融基因,一旦发生安全问题,后果或比传统互联网更严重。同时,区块链面临的底层代码、密码算法、共识机制、智能合约、数字钱包等安全问题,又具有一定的独特性。慢雾正是看好这一服务机会,为机构客户提供区块链生态相关的安全服务解决方案,包含安全审计、安全顾问、防御部署、威胁情报、漏洞赏金五大模块。
慢雾科技成立于 2018 年 3 月,总部位于厦门,团队现有 30 余人,由一线网络安全攻防实战成员组建,具有十几年的攻防实战经验,曾服务过 Google、微软、W3C、公安部、腾讯、阿里、百度等公司和机构。据介绍,截至 2018 年 8 月末,慢雾科技尚未接受任何形式的融资。
对区块链安全风险进行划分时,业内有两套常见标准:技术层级和业务形态。前者主要面向技术专家,后者更适合无专业知识积累的普通用户。
慢雾根据业务形态,将目标用户分为五大类型:交易所、钱包,公链、智能合约和矿池;并根据不同客户的需求,提供定制化解决方案;依据合作方体量和案例复杂程度收取服务费。
交易所风险,主要存在于 APP 安全设计、服务端安全配置、节点安全、输入安全、业务逻辑、热钱包架构、私钥管理系统等;
智能合约风险,主要存在于对溢出漏洞、权限控制、条件竞争、安全设计、拒绝服务、设计逻辑、“假充值”等漏洞进行攻击;
热钱包风险,主要存在于数据传输(如流量劫持)、私钥存储(如钓鱼)等方面;
冷钱包被攻击的前提是接触到物理硬件,黑客虽然无法直接获取私钥,但可读取相关信息进行破解;
公链风险,主要存在于节点配置、节点通信、节点共识、合约虚拟机、钱包等。
慢雾安全团队对上述风险点逐一审计。
今年,慢雾陆续推出多项成果:3 月,慢雾安全团队上线“以太坊黑色情人节”专题页面,对以太坊自动化盗币隐患进行持续追踪和披露;8 月慢雾安全团队推出 EOS 合约验证平台,功能包括:对已验证 EOS 合约账户源代码的查询,项目方自行上传源代码进行一致性校验等。
团队已累计审计300 多份智能合约,涵盖以太坊、EOS、AChain、唯链(VeChain)、本体( ONT )、星云链( Nebulas )等公链,发现数十个高危、中危漏洞。
目前,慢雾获客主要依靠口碑传播。下一步,慢雾希望通过品牌效应,巩固与客户之间的信任与合作。团队表示,区块链处于早期发展阶段,加之国家政府、各大机构对技术创新愈加重视、积极布局,安全服务市场尚不存在天花板。未来,慢雾科技将继续聚焦行业生态建设与布局。
版权申明:本内容来自于互联网,属第三方汇集推荐平台。本文的版权归原作者所有,文章言论不代表链门户的观点,链门户不承担任何法律责任。如有侵权请联系QQ:3341927519进行反馈。
