网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

安全问题永远是悬在区块链行业从业者头上的达摩克利斯之剑，永不可掉以轻心，是重中之重。

8月26日，冉道资本、哔哔News、巴比特联合加速器、BYSEC、WhaleEx联合举办第四期主题为“攻防有道”的圆桌论坛，默然公关刘惠迪主持， BYSEC COO张任伟、区块链安全专家Seckeep、安恒风暴中心的赵连州、WhaleEx的CEO Charlie Zhang应邀出席。

BYSEC 张任伟：重视安全，拒绝黑灰产

在区块链2.0时代，各种代币泛滥，各种交易所横生。然而大多数人都缺乏安全意识，也没有特殊的防范手段。张任伟戏言，在黑客面前，这些代币就像一块裸奔的肥肉，充满了危险的意味。

论坛伊始，张任伟便向大家介绍了区块链黑灰产。业内俗称的黑产其实很广泛，只要是法律明文规定禁止的行为都可称为黑产，“灰产”即为游走在法律边缘，没有明确法律规定的灰色产业，其行为虽无明确的法律规章定性为违法犯罪，但对社会有明显大的危害。

张任伟提到当前的代币案件绝大部分是通过勒索病毒、偷盗代币、控制挖矿、操控行情以及区块链传销等方式诈取不义之财。

在分享中，张任伟讲述以下几种非法方式：

一：目前很多黑客企图胁迫用户或加密文件等方式以达到勒索的目的，比较猖狂的勒索病毒还属Wanna Cry，它勒索了大概一百多个比特币，进行了124次接收，通过两次发送使得巨额虚拟货币化整为零，从而逃避法律的制裁。

二：漏洞盗币主要有三种：平台漏洞、智能合约漏洞、公链设计缺陷，其中绝大多数的区块链出现安全事故的最主要因素是智能合约漏洞。如果厂商迟迟不修补漏洞，公众对于漏洞的存在不知情，风险会随着时间的增长迅速膨胀，漏洞一旦爆发可能会造成更大的危害，波及更大的人群，可能会造成很多人的投资瞬间化为乌有。

三：一则挖矿商无良囤货，待价而沽；二则挖矿软件开发商使用高额算力抽成；三则部分软件存在恶意挖矿程序。

四：数字货币给传销组织提供了一个天然的产品渠道，虚拟币暴涨之下，即使是空气币也会被传销组织赋予百倍万倍的上涨空间，然而更可怕的是所有的韭菜对此深信不疑。

安全专家Seckeep：安全是一场没有硝烟的战争

安全是一个极其复杂的系统性工程，安全是一场没有结果、没有硝烟的战争。安全的最高分是零分，稍微差一点是负分。安全部门的考核通常是一个公司最头疼的问题，因为它和别的部门性质完全不同，系统安全且内部没有泄露就是最大的产出。

诚然区块链的设计中包含了一定的安全考量，但区块链相关配套的安全性却做得非常差。举例来说高铁很安全，但如果没有两侧的护栏，谈何安全？

一个中心化的交易所其实是传统电商和区块链合二为一的产物，它有50%的问题归属于传统安全。以下分享部分安全工作内容（只是众多安全内容中的一部分）

一、端安全：市场上有很多app安全厂商，但是很少有厂商能够针对交互数据加密的，此加密不是https协议层的加密，而是封装在内的数据加密，无论app自身如何加固都很难避免黑客通过代理抓包改包的方式进行各种渗透攻击。一旦端的安全能够保障，那么就能屏蔽99%的攻击量，而剩下的1%高手攻击才是安全部门应该重点布局防范的。现实的情况是，很多项目方本末倒置，利用绝大多数安全资源以防范小黑攻击，实属被动。

二、资源安全：DDOS、和短信轰炸都是灰黑产经常使用的，只要平台有流量有价值，他就会攻击勒索，有些黑客很精明，只诈取小额，因为小额不够网络犯罪立案标准，足以拜托制裁。因此如果不想平台服务被打死，就需要在上线前做好ddos和短信轰炸防范措施。

三、最基本的防火墙是必须的。曾经两个月前，网络爆出一个很知名的行情与数据服务平台连防火墙都没有，当然也可能存在防火墙没开启白名单策略。针对这种安全级别，即使没有任何黑客技术，从网山下载几个黑客工具，就可以把平台黑掉。

四、WAF必不可少。WAF是一类在安全性和易用性之间做左右平衡的系统，规则过严肯定导致正常业务被误杀，规则过松就没有任何价值了。所以waf是必须要部署的，但是也必须要有一个专人负责waf规则的量身定制和及时更新（例如：针对spring、struts2的0day，就需要第一时间增加规则）。

五、建立语言级防火墙rasp。这是一道最新的安全防护体系，它是在语言层面做防护，能弥补WAF的不足。