谈论区块链安全的业务和有趣的事情？

自从加密货币出现以来，安全问题一直没有被破解，这似乎与我们所认识到的区块链的“安全性”不符。这个机制足够安全吗？主要问题是什么？

10月中旬，笔者参加了在西安召开的SSC安全峰会，这是中国互联网安全的盛会，以安全为主题，会议的组织者和参与者都与安全有关。

在本次峰会的区块链安全论坛上，我们与论坛主办方的零点科技团队就用户特别关注的安全问题进行了交谈。区块链的安全性比老虎强。但这个严肃的问题也包含了很多看似有趣的东西。

以下是被采访者零点科技CEO邓永凯和黄金财经记者王航的自述。

图为科技CEO邓永凯在西安安全峰会上致辞

了解代码审核的过程

金融记者王航：我看到零点科技的官方网站现在有三个产品，包括两个工具。这些产品是什么时候制造的？

零点时代科技CEO邓永凯：我们研发的第一款产品是智能合约安全自动检测工具，目前已经对C端用户免费开放。并在此基础上开发了一些基本的安全审计工具。合同连接到SDK后，可以对一些异常交易进行预警和阻止。

对于安全审计，智能合约安全审计也类似于传统的安全源代码安全审计。如果它是完全自动化的，就不太可靠，因为机器规则是死的，其中一些规则涉及业务逻辑问题和业务缺陷。无法审核自动化规则。即使是形式上的验证，也需要有一定的判断依据。自动化工具可以作为辅助工具，更多的隐患需要凭经验判断。

打开智能合约检测工具的目的是让用户通过合约代码进行免费检测，并获得审核报告。如果您需要更详细的审计，您可以再次联系我们进行审计，同时进行人工审计，以发现安全问题，避免资产损失。

黄金财经记者王航：一般情况下，你是如何进行审计过程的？

零时科技CEO邓永凯：首先，我们得到用户的审计需求，首先使用团队的内部安全审计工具。该工具是一个辅助工具，然后我们根据审计列表手动审计常规漏洞。第二部分是合同的业务场景、业务规模和业务逻辑。如果有任何问题与业务描述不一致，那么就去描述业务中的问题。例如，是否收集硬币、硬币是否锁定、权限是否设置错误、是否会额外发行、硬币数量不受限制等。

由于智能契约的特殊性和当前DeFi项目中业务逻辑的复杂性，我们的代码审计都必须经过交叉审计。当多个审计人员交叉审计时，会提出哪些问题，然后相互审查，以查看其审计问题是否重叠。不同的人审计切入点不同。因此，交叉审计可能会发现更多的问题。

严重而有趣的社会工程攻击

金融通记者王航：目前您的业务客户主要角色是什么？

零时科技CEO邓永凯：大部分公链生态客户主要是交易平台和公链项目，而联盟链的生态客户主要中心化在传统金融行业和政府和企业领域，交易平台的安全性最为复杂。

例如，交易平台从自己的产品业务到移动应用、网站、资产钱包、账户系统等都是中心化的。安全问题大多与传统安全问题相同，但在钱包和资产管理方面，它们更为特殊。在交易平台的安全服务过程中，除了业务安全测试和渗透测试外，我们还将开展社会工程攻击、钓鱼攻击等，特别值得一提的是，我们做的最常见问题就是办公安全问题。

社会工程攻击之一是通过一些非常规手段来检测目标的弱点。最可能的问题是他的办公室网络。我们审计的几家交易所通过办公网络进入目标系统。有很多方法。例如，如果您从目标客户处获得授权，您可以转到目标办公室，但许多交易所找不到他的办公室。确定位置后，可以访问，可以放置一些准备好的设备，如修改后的数据行、鼠标、U盘等，这些设备在不经意间使用后，就可以控制自己的网络或主机。如果这些主机可以连接到交易平台的业务背景或有权限操作钱包，基本上可以控制目标资产和核心数据。

这是社会工程攻击，它利用了人类的错误和人类的弱点。例如，攻击者需要进入工作场所。他们可以依靠员工来满足业务需要，或者伪造身份证、门禁等，最终进入目标网络。

还有其他的方法，比如伪造WiFi。我们伪造WiFi让受害人连接，或伪造大量热点，如目标WiFi连接受害者，或直接使目标WiFi无法工作。目的是让受害者连接到我们的WiFi。我们伪造了任何受害者的联系。受害人输入密码后，我们可以将其继续保存进入目标网络，窃取数据。

甚至有攻击打印机的事件，人们很少关心这些攻击。然而，目前打印机的智能化程度越来越高，历史打印扫描文件的存储时间较长，而有些人则打印助记符。一个例子是目标打印机可以配置邮箱并将打印的历史内容发送到指定邮箱

对于办公室安全，技术人员可以，但行政、财务和业务人员可能没有安全意识。他们可能不会安装杀毒软件或补丁，这相当于在街上裸奔。在我们之前的案例中，客户财务人员的电脑中有病毒。财务人员的电脑可以操作钱包，钱包90多万美元被盗。

因此，安全从业者总是有办法通过授权进入目标网络，从而访问和控制目标数据和资产。在这个时候，我们需要一个非常高的道德要求。我们必须是“黑客”

金融记者王航：像交易所这样有中心化交易业务的平台怎么能安全？

零点科技CEO邓永凯：交易所的安全问题是一个方面，不是一个点。只有在整个业务端尽可能安全的情况下，才能提高整体安全性。*管原理非常明显。特别是在社会工程和钓鱼攻击相结合的情况下，交易所之外肯定有很多生意人，这些风险是不确定的。

安全问题有很多种。多年来我们团队从事安全攻防工作以来，攻击者的攻击技术不断提高，我们的安全防护技术也在不断提高，白帽子漏洞挖矿技术也在不断完善，恶意黑客的技术进步更快。即使是恶意的黑客也可以在地下市场购买0天的漏洞（没有防御方法和补丁的新漏洞），直接破坏一些系统。

另一方面是资产安全管理、钱包安全配置、资产和交易风险控制。例如，一些攻击窃取金钱，在不正常的时间，在不正常的交易数量，等等。对于这些异常行为，要求风险控制系统对异常交易进行预警或直接拦截交易。

另外，对于地址的异常转移，也可以做预筛选，并对可疑地址做内容关联或地址肖像。例如，黑网地址、黑客、勒索软件、洗钱、钓鱼网站等。

我们的“数字资产和交易安全系统（AML系统）”可以提供这些风险控制功能的API，并可以将此接口发送到交易所。如果此类恶意地址产生交易，可以及时预警，配合交易所的风险控制措施，保护资产和交易。

其他与区块链安全审计相关的重要事项

黄金财经记者王航：对公链安全的理解有什么不同吗？

零点时代科技CEO邓永凯：一般情况下，公链代码是开源的，开源可能会有问题。例如，社区中的每个人都可以贡献代码。当代码被提交并放在分支上时，官方会将分支打包。然而，打包后，代码是一个很深的后门，一个定时**被引入到项目中，也许半年后，所有的资产都会被转移。

如今年7月，RVN项目货币被盗事件，三行代码价值4000万元，是一次典的开源、安全意识缺失导致的安全事故。

安全是一个非常多样化和复杂的问题，特别是在区块链领域。加强每个人的安全意识是非常重要的。所有的漏洞都是人为造成的。

**请王航谈谈金链安全审计的原则。

零时科技CEO邓永凯：首先，第一点是责任和信任。客户相信安全团队可以在不影响自身业务的情况下发现安全问题。安全团队必须对客户的需求负责，尽可能多地发现问题并提出安全解决方案帮助维修。

安全领域的人们心中有正义。如果你没有正义感，你就不能成为一个合格的白帽（只是安全技术员）。你必须在任何时候坚持原则，以确保团队没有做错任何事情。一旦你想一想，你就会变成一个佛和一个魔鬼。