8问 | 别开场面：大咖齐聚DVP，大话白帽与黑客

9月，北京秋高气爽，蓝天白云。受去中心化漏洞平台DVP邀约，《8问》（微信公众：jiaxiaobie）栏目组在工体北路的科技寺做了一期别开场面的访谈。

本次讨论的主题是“去中心化安全众测在区块链上发挥的作用”，对于普通观众来说，光是“区块链”三个字就已经让他们烧脑了，加上“去中心化”、“安全众测”这些词，就更难理解了。但这次我们竟然深入浅出地将这个话题聊得很通透，并且现场爆笑不断（可见《8问》视频版）！

本期嘉宾有DVP平台首席执行官 Daniel Wen，派盾PeckShield联合创始人 吴家志，长亭科技区块链安全负责人 于晓航，Bibox交易所副总裁 向丹，以及公链Contentos的 CTO 杨鹏博。

贾小别：2018年区块链的重大安全事件有138起，造成了经济损失是22.38亿美元，2019年是68起，损失是6亿多美元。温总你这边有没有统计过，发生过哪些区块链重大安全事件/p>

Daniel Wen：区块链安全事件的发生可能在着几个层面，第一是在底层，共识协议这一层，甚至物理层。逐渐往上走，就到了协议层，比如合约层。再往上走，可能就是像交易所这样的交易平台或者钱包这类的就比较偏应用层。再有是用户自身他怎么处理安全问题，怎么做安全防范的这么一个问题。

最底层比较典型的例子是比特币，比特币遭受的攻击事件是是非常多的，但是真正成功的并不多。2017年有一次遭受到服务的攻击，导致了10%的节点当时有下限的情况。但底层面其实真正发生安全事件相对比较少的，合约层可能就相对看起来多一点了，那可能大家能够记得的最典型的例子就是美链，BEC这个项目。其实我的理解是当时出现了一个应该是批量转账的代码里边，造成了可以无限制的去发币的这么一个事件，等于是这个项目基本上就结束了，那损失的金额大概是在应该是在十个亿美金左右，粗略的估计。

那如果我们看平台的话，这个安全事件可能引起注意的就更多了，最新的大家印象比较深的就是币安丢7000个比特币的这么一个事件。那其实2018年也有很多安全事件，比方火币也发生过，因为遭到这个攻击，虽然没有直接的经济损失，但是当时停止交易是有三个小时的。再往前去看可能就比较大的交易所，日本的Coincheck，遭到黑客攻击损失是5.3个亿人民币，这还是很令人震惊的。我们最早能够记得的门头沟的损失当时算下来大概是4.73亿，这个就更大了。

所以整个从这个安全态势你去看的话，其实最底层的出问题反而相对较少，那么越往上走，它出现的这个问题的可能性越大，我觉得这个最大的原因就是越往上走，它更是一个综合的东西，它就不是单纯的区块链的东西，那它可能涉及到外部的安全，可能涉及到基础设施的安全等等，这个就需要你自己的安全团队，还有整个你的安全体系的架构能够覆盖的面更加广了。

贾小别：长亭科技是做互联网安全这一块的，不局限于区块链。区块链这个行业的安全和互联网的信息安全，有什么异同/p>

于晓航：区块链安全其实跟传统安全有很多相同点，也有很多不同的地方。

刚才温总也提到区块链领域很多东西是建立在一些传统的技术站基础之上的，比如说像中心化的交易所，它需要依托于一个中心化的外部服务器去做，包括一些移动端钱包。我们做区块链安全的解决方案里面，也会对区块链安全事件做一个二维拆分。就是我们把它划分成区块链特有的应用场景，和传统技术站两个方向。

经过划分之后，我们把区块链领域特有的一些应用场景，比如像交易所、钱包、矿池，这一类的场景把它考虑在一个特殊的、具体的客户案例中，都把它分解为一个区块链，它有的应用场景以及它所依托的技术载体。我们其实可以很方便的把我们在传统互联网安全领域积累了多年的一些经验，去很快速的转化到区块安全这个方面上来。

当然区块链安全也有它自己很多的独特性，因为像区块链系统有很多的数据不可篡改性，也就说很多交易发出去以后它是不可逆的，那么也就意味着很多安全事件，它一旦发生了以后，是很难让整个社区去回滚整个链回滚整个交易，回滚这些数据去追回这个损失的，所以说区块链行业对于安全的需求量会更大一些。

面如果从宏观一点角度来看，区块链这个行业起步的比较晚，发展特别快，它得到的社会关注特别高，以及承载的资源资金量特别高，所以自然而然它得到黑客的关注也特别高，其实会更容易成为这个黑客的提款机。

它发展速度太快了，但是整体区块链行业的安全水平并没有一个非常可靠的、快速提升的解决方案，或者我们还没有建立起一个非常完善区块链安全的一套标准，一套业务流程。所以这两者的差异之下，会使得区块链生态对安全的需求会更加的强烈一些。

贾小别：请温总聊一聊在去中心化漏洞平台悬赏之前，我们区块链行业的白帽子是怎么进行工作的/p>

Daniel Wen：第一，比较传统的组织形式肯定是依赖自己的安全团队。第二，全新模式，中心化的平台。像美国的HackerOne，BugCrowd这样的悬赏平台是比较中心化运行。这个模式在国外是比较接受程度越来越高的。第三种就是去中心化平台，相比传统模式，它有更大的优势，但它并不是要代替前两种模式，而是要形成一个更完整的体系，覆盖更大的范围。

安全问题哪怕99.99%都做的很好，只剩那么一点点，都有可能成为致命的地方。从成本效益角度来讲，完全靠自己的团队无休无止的去检测、去看，这个成本非常高。还有就是自己团队和社区白帽子看问题角度不一样，自己团队往往是从防的角度来看。白帽子的思维更多的是从攻击者的角度，找到你的弱点，覆盖面很广。

贾小别：DVP平台的口号是“漏洞即挖矿”，听起来蛮幸灾乐祸的。其实更贴切的叫“填补漏洞即挖矿”，其实区块链技术门槛它是有的，白帽子人数其实也没那么多，就是参与的人也很少，那我们现在所谓的漏洞即挖矿，是不是有点曲高和寡/p>

Daniel Wen：区块链这个行业毕竟比较早，本身专门从事区块链安全的行业人员就更少了。第二白帽子群体可能要比我们一般想象要大， Hacker One的注册白帽子45万人。那第二个从奖金的角度来讲，我们还是用传统的平台来举例子，那么Hacker One截止到今年8月份，有六个黑客是累计拿到超过100万美元的奖金。这个还是很多的，完全凭本事吃饭，就是看能力了对吧个是最公平的一个体系，就是说我有这个技术，我能找到很高危的漏洞，那我就能成为百万富翁。

DVP平台角度，我们过去一年真正发出去的奖金，包括我们自己的token加起来也有几百万人民币这么多，其实并不算少了。当然从我们的角度来讲，我们还会不断的根据这个平台发展情况去修改这个社区规则，来去提高比方更高质量的这个漏洞的这个奖金。

贾小别：我看到DVP平台上一些漏洞的悬赏奖金并不高，高危的也就一千多块钱人民币。这个价格是高于市场还是低于市场价/p>

Daniel Wen：你看到的悬赏金额完全是项目方自己定的。悬赏金额高不高，我觉得是体现了项目方对安全的重视程度了。当然用这种方式来作为自己安全架构的一个部分，在这行业还是一个比较新的东西，大家有一个心理的适应过程，因为他也不知道效果到底是不是项目预期的那样，我觉得也很正常。

我们平台自己定的标准来讲，我们的高危其实是相当高的。按照现在的价格去计算，我们严重的漏洞，基本上在6000美金左右，这是和整个市场持平的。其他等级的肯定是要比我们现在要高的，所以我希望呼吁项目方，重视安全的项目方，来提高悬赏金额。

提高悬赏并不是项目方吃亏的事情，如果你的一个漏洞会造成10亿的损失，但你设置几百美金的悬赏金额，漏洞就能解决。衡量一下会发现，悬赏是一件非常非常值得的事情。

贾小别：正义的白帽子除了追求物质之外，他还在追求什么/p>

吴家志：就是证明自己，获得社会大众，或者是至少是项目方的肯定。

于晓航：平时不会去提我跟这个ID有任何联系，比如应聘一份工作或者是做什么项目之类的时候，我会告诉大家或者是很低调的说下这其实我的ID。

贾小别：你得证明ID跟你的关系。

于晓航：一个私钥就可以。一般来说，遇到要求证明的情况还挺少，不会有人去冒领冒认ID。你一说我的ID是什么，就会有人说我读过您的文章，那篇写得很好，有个问题刚好想问一下……这就很尴尬，穿帮了。冒领还是挺危险的，尤其是冒领大牛的ID。

向丹：就好多人都冒领中本聪。

吴家志：但是中本聪这个事情是黑客、安全圈的ID还是有一些区别。中本聪也是一个很玄的事情，你要用一个什么样的身份可以在世界上消失，消失这件事情是很牛的一件事情。

要消失一个数位痕迹或是一个ID、 EMAIL什么，他都有提交过代码，有可能有任何的IP记录，这种事情CIA、FBI肯定是能查的，可能他们是查到了，或者这个人是特别厉害，真的查不了，或者其实他们本身自己就是中本聪。

于晓航：说到中本聪这个话题，现在比特币是大家都不知道是谁做的，是一个完全去中心化的一个典范。如果某天说谷歌突然说Bitcoin其实是我们在搞的，是我们发行的，核心团队都是我们在运维。如果这个项目在早期出现了，有一个团队固定的公司、固定的团队、固定的身份为这个项目负责，Bitcoin推广的方式、发行方式还会像现在这样顺利吗者Bitcoin的发行方式是不是在当初就会遇到像利贝尔这样的，来自各个国家政府级别的阻力以其实我觉得中本聪匿名的这件事情其实也是特别舒服，特别厉害，算是给区块链这个行业做了特别智慧典范。

视频 |《8问》栏目
文 | 贾小别
【密码极客】与《8问》是战略合作伙伴

阿里系创业者和投资人发起的区块链技术信仰者组织
聚是一团火丨散是满天星

来源：CryptoGeek