文/ 範芊芊 來源/ PANews
截止7月27日,由區塊鏈安全公司BCSEC與PeckShield共同發起的,首創“漏洞即挖礦”的去中心化平台DVP上線僅3天,共收到白帽子提交漏洞達150個。這些漏洞涉及數百家與區塊鏈行業相關的廠商,其中與交易所相關的漏洞數量佔比超60%。
漏洞具體集中在設計缺陷、訪問控制缺陷、身份憑證竊取、跨站請求偽造、敏感信息洩露等方面。其中包含有一些通用性的設計缺陷,譬如一部分交易所存在可將任意用戶密碼被攻擊者修改的漏洞,還有一些漏洞甚至可以造成整個網站用戶的詳細信息洩露,給用戶資產帶來極大的安全隱患。
DVP平台CSO鄧煥指出,目前我們在積極聯繫相關交易所廠商,通報漏洞詳情,這裡也呼籲更多相關的廠商聯繫DVP平台認領漏洞,並及時做修復處理。
7月24日,BCSEC與PeckShield(派盾)共同研發的全球第一家去中心化匿名眾測平台-DVP上線。該平台意在利用區塊鏈技術,建立匿名化的安全眾測社區場景,打造去中心化、漏洞即挖礦的平台概念,致力於解決區塊鏈企業安全危機,將連結區塊鏈廠商、安全公司和白帽子等社區參與者,最大化減少漏洞暴露風險,共築區塊鏈生態安全。
據介紹,DVP平台中還包含面向區塊鏈廠商與白帽子的自動懸賞支付系統。 “漏洞即挖礦。”鄧煥介紹,廠商需指定安全審計的資產範圍和懸賞標準,並將押金存入合約;白帽子在DVP平台可以提交區塊鏈相關漏洞及威脅情報,並隨時查看漏洞審核及認領進度,被採用後即可獲得相應的獎勵。為確保整個流程的公正性,DVP平台會將漏洞信息進行公鑰加密,區塊鏈廠商可以通過私鑰解密得到報告內容詳情。當確認此漏洞無誤並採用後,懸賞獎勵將自動打入該漏洞提交者的地址。
PeckShield(派盾)是面向全球的業內頂尖區塊鏈安全團隊,由前360首席科學家、美國北卡州立大學終身教授蔣旭憲博士創辦,團隊核心成員為海歸博士及清華博士,過去在移動安全方面有深厚的積累,先是2012年,率先進行了全球第一個智能手機上的惡意軟件基因組研究,目前該研究成果已被全球超過500所的科研機構和知名跨國公司採用。此後又於2014年首次發現了特斯拉汽車的應用程序安全漏洞。成立PeckShield以來,今年上半年因連續發現並命名了BEC、SMT、EDU等智能合約的重大安全漏洞,而廣受業內關注。
BCSEC核心創始團隊來自於白帽匯安全研究院,擁有行業最大的漏洞平台創辦和運營經驗,目前已匯聚了數万名白帽子共同守護行業安全。該團隊關注和研究最前沿的漏洞以及相關安全情報資訊,可為區塊鏈社區安全運營提供預警,並持續為區塊鏈安全生態提供行業領先的技術解決方案,目前已對數字錢包、交易所、礦池、智能合約等多個應用場景有深厚研究積累。