“漏洞”即挖矿 DVP去中心化漏洞平台全球上线

24日,由BCSEC与PeckShield(派盾)共同发起的全球首家去中心化匿名众测平台——DVP(https://dvpnet.io) 全球同步上线。正式开启区块链安全众测时代。

DVP全称Decentralized Vulnerability Platform(去中心化漏洞平台)意在利用区块链技术,建立匿名化的安全众测社区场景,打造去中心化、漏洞即挖矿的平台概念。该平台致力于解决区块链企业安全危机,将连结区块链厂商、安全公司和白帽子等社区参与者,最大化减少漏洞暴露风险,共筑区块链生态安全。

DVP平台CEO吴家志表示,安全问题是区块链企业成长的核心“命脉”,从智能合约代码审计,到节点加固再到渗透测试,无不涉及安全。尤其是智能合约具有“不可篡改”的特性,代码又不可避免的存在一些BUG,这些安全漏洞很容易被黑客利用实施攻击。

存在安全隐患的区块链生态自然成为黑客眼中的香饽饽,近年来,一系列安全事件层出不穷,波及范围和资产损失数额也不断增加。BCSEC最新统计数据显示,目前500家数字货币全球交易所,1644种数字货币,市值总额3448亿元。截至2018年6月,针对数字货币的攻击累计达到100次造成的直接经济损失33亿5千万美元。仅今年上半年就有约10亿美元损失。日前Bancor (BNT)的智能合约爆出了安全漏洞, 导致价值2350万美元资金被窃取。而此前日本Coincheck交易所价值5亿美元的加密货币被盗,韩国Coinrail交易所丢失价值4000万美元的加密货币。

这些安全事件分布于区块链的各个环节,包括:交易所、矿池、钱包、智能合约等。漏洞影响数以亿计的数字资产安全,整个区块链安全生态面临巨大的安全威胁与挑战。吴家志认为,作为新兴产业,区块链产业的从业人员安全意识较为缺乏,导致目前的区块链相关软硬件的安全系数不高,存在大量的安全漏洞;此外,整个区块链生态环节众多,相较之下,相关的安全从业人员力量分散,难以形成合力解决问题。迎接上述挑战需要系统化的解决方案,而DVP平台正是这样的有力尝试。

DVP平台CSO邓焕表示,DVP 平台将连结全球的区块链厂商和白帽子。由于平台是去中心化的,这就意味着,全球的白帽子和安全工程师都可以参与进来发掘漏洞,全球的每一个区块链厂商也可以加入享有此项服务。

“目前来说,区块链企业沟通渠道有限且成本过高,同时,白帽子多数不愿意透露自己的个人信息,因此即便发现漏洞,也不会主动告知企业。”邓焕说。DVP平台将通过社区重新建立厂商与白帽子之间的关系,一方面能高效扩充企业有限的沟通渠道,降低沟通成本;另一方面利用区块链的天然匿名性等特点有效地保护白帽子。

据介绍,DVP平台中还包含面向区块链厂商与白帽子的自动悬赏支付系统。“漏洞即挖矿。”邓焕介绍,厂商需指定安全审计的资产范围和悬赏标准,并将押金存入合约;白帽子在DVP平台可以提交区块链相关漏洞及威胁情报,并随时查看漏洞审核及认领进度,被采用后即可获得相应的奖励。为确保整个流程的公正性,DVP平台会将漏洞信息进行公钥加密,区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。

随着各种公链价值的提升和各类安全事件的不断涌现,区块链行业的安全性越发受到重视。DVP平台作为一个去中心化的自治组织,将全方位多维度贯彻执行漏洞的负责任披露,努力实现区块链厂商与白帽子双赢的良性循环,以实际行动提升区块链行业整体的安全意识,共同构建更好的区块链生态。

PeckShield(派盾)是面向全球的业内顶尖区块链安全团队,由前360首席科学家、美国北卡州立大学终身教授蒋旭宪博士创办,团队核心成员为海归博士及清华博士,过去在移动安全方面有身后的积累,先是2012年,率先进行了全球第一个智能手机上的恶意软件基因组研究,目前该研究成果已被全球超过500所的科研机构和知名跨国公司采用。此后又于2014年首次发现了特斯拉汽车的应用程序安全漏洞。成立PeckShield以来,今年上半年因连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞,而广受业内关注。

BCSEC核心创始团队来自于白帽汇安全研究院,拥有行业最大的漏洞平台创办和运营经验,目前已汇聚了数万名白帽子共同守护行业安全。该团队关注和研究最前沿的漏洞以及相关安全情报资讯,可为区块链社区安全运营提供预警,并持续为区块链安全生态提供行业领先的技术解决方案,目前已对数字钱包、交易所、矿池、智能合约等多个应用场景有深厚研究积累。