7天收到312個漏洞：DVP開啟區塊鏈漏洞圍剿計劃

8月1日，由區塊鏈安全公司BCSEC與PeckShield共同發起——去中心化漏洞平台DVP召開「安全鏈接計劃」發布會，於7月24日正式上線的DVP平台，上線首周已收到白帽子所提供的312個漏洞，涉及175個項目方。

DVP全稱Decentralized Vulnerability Platform（去中心化漏洞平台）意在利用區塊鏈技術，建立匿名化的安全眾測社區場景，打造去中心化、漏洞即挖礦的平台概念。該平台致力於解決區塊鏈企業安全危機，將連結區塊鏈廠商、安全公司和白帽子等社區參與者，最大化減少漏洞暴露風險，共築區塊鏈生態安全。

DVP平台CEO吳家志表示，區塊鏈技術還處於發展中階段，技術仍難以達到天衣無縫，同時，目前多數應用在金融領域，且涉及大量資金，這就意味著，一旦遭到漏洞攻擊，就會帶來無法挽回的巨額損失。

根據BCSEC最新統計數據，目前500家數字貨幣全球交易所，1644種數字貨幣，市值總額3448億元。截至2018年6月,針對數字貨幣的攻擊累計達到100次造成的直接經濟損失33億5千萬美元。

吳家志表示，安全問題是區塊鏈企業成長的核心「命脈」，從智能合約代碼審計，到節點加固再到滲透測試，無不涉及安全。尤其是智能合約具有「不可篡改」的特性，代碼又不可避免的存在一些BUG,這些安全漏洞很容易被黑客利用實施攻擊。

同時，仍未普及的區塊鏈技術，其安全技術體系更是零散。有數據顯示，目前全球有10000+的區塊鏈項目，區塊鏈安全服務公司卻只有不到50家。

存在安全隱患的區塊鏈生態自然成為黑客眼中的香餑餑，近年來，一系列安全事件層出不窮，波及範圍和資產損失數額也不斷增加。BCSEC數據顯示，僅今年上半年以來區塊鏈產業損失金額高達10億美元。

以日前曝出的Bancor (BNT)的智能合約安全漏洞為例，其導致價值2350萬美元資金被竊取。而此前日本Coincheck交易所價值5億美元的加密貨幣被盜，韓國Coinrail交易所也丟失價值4000萬美元的加密貨幣。

吳家志表示，作為新興產業，區塊鏈產業的從業人員安全意識較為缺乏，導致目前的區塊鏈相關軟硬體的安全係數不高，存在大量的安全漏洞；此外，整個區塊鏈生態環節眾多，相較之下，相關的安全從業人員力量分散，難以形成合力解決問題。迎接上述挑戰需要系統化的解決方案。

DVP平台CSO鄧煥表示，DVP平台就是希望能通過將企業和白帽子之間形成利益共同體，促使更多的「白帽子」主動尋找企業漏洞，讓企業被動變主動，能及時發現漏洞進行修補，避免遭受更大損失。

鄧煥介紹，漏洞即挖礦，促使白帽子和廠商形成利益體。白帽子在DVP平台可以提交區塊鏈相關漏洞及威脅情報。並隨時查看漏洞審核及認領進度，獲得相應的獎勵。

同時，為確保整個流程的公正性，DVP平台會將漏洞信息進行公鑰加密，區塊鏈廠商可以通過私鑰解密得到報告內容詳情。當確認此漏洞無誤並採用後,懸賞獎勵將自動打入該漏洞提交者的地址。

正因為此，通過社區將重構白帽子與廠商之間的關係，DVP平台一方面將利用區塊鏈的天然的匿名性等特點有效保護「白帽子」，促使全球的白帽子和安全工程師都可以參與進來發掘漏洞，另一方面則是有效擴充企業有限的溝通渠道，降低溝通成本。

事實上，DVP平台上不停增加的漏洞動態，便是平台建立意義的最好佐證。截止7月31日，DVP去中心化漏洞平台上線僅一周時間，「白帽子」所提交的漏洞已多達312個，涉及175個項目方，包括目前的一些智能合約，知名公鏈，交易所等一系列的項目。

具體來看，經審核後，所提交的漏洞中，高危漏洞達122個占所有漏洞的39.1%，中危漏洞53個，約佔17%。其中，包括某智能合約廠商存在重入漏洞，黑客可通過該漏洞從合約中無限提取資金。某大型公鏈更是存在設計缺陷，可導致此項目大量的公鏈節點崩潰，甚至可能導致項目方硬分叉。

吳家志認為，隨著各種公鏈價值的不斷提升，更多的攻擊者將湧入到區塊鏈行業。

DVP作為一個去中心化的自治組織，將全方位多維度貫徹執行漏洞的負責任披露，努力實現區塊鏈廠商與白帽子雙贏的良性循環。提升區塊鏈整體的安全意識，共同構建更好的區塊鏈生態。

END

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！