安全“铸剑” 构建更好更安全的区块链生态

6月21日，中国区块链安全高峰论坛在北京召开，大会云集了多家政府指导单位、网络安全企业、区块链相关机构及媒体共同探讨区块链行业的安全健康发展之道。来自知道创宇的区块链方案专家周启鹏为大家分享了区块链行业的发展趋势、业务风险以及知道创宇的安全解决方案。

知道创宇区块链方案专家 周启鹏

据介绍，除了火爆的加密数字货币，区块链行业中还有包括区块链游戏、数字身份、法律存证、数字版权、数字保险、数字交通、智慧物流、物联网设备、共享存储等在内的诸多应用，区块链技术正像现在的互联网一样，逐渐深入到生活的每一个细节当中。

目前，全球加密货币总市值的峰值已达到6000亿美元，ICO金额和数量也一直呈现长扬状态，可以说，整个区块链的应用态势，依然聚焦在加密货币场景上。据统计，仅2017年，各类网络安全事故就已造成区块链行业20亿美元的经济损失，伴随着区块链的迅猛发展，安全隐患所带来的损失也将越来越多的。分类统计发现，70%-80%的安全事件都发生在数字货币交易平台以及智能合约中，此外围绕矿机矿场、共识机制等场景也有部分安全风险。

交易平台及智能合约是安全事件高发地

就数字货币交易平台而言，其安全风险在开发、运营、推广等各阶段都存在。程序编写导致的系统漏洞、智能合约的安全漏洞是比较大的安全隐患，这也会导致项目上线后出现宕机、黑客入侵、用户账户失窃、平台资产丢失等情况。而推广时期薅羊毛、抢糖果币、钓鱼欺诈等现象也让项目方苦恼不已。

针对上述的业务风险，知道创宇提出了针对交易平台完善的安全解决方案。在开发阶段，安全服务团队可对整个架构系统做出完整的风险评估，对整个交易平台起到安全保护作用。

知道创宇将从完整的闭环中提供安全服务：在事前，通过代码审计、渗透测试、风险评估能让项目方对即将上线的平台的安全情况做到“心中有数”，修复漏洞，加固系统。在事中，知道创宇将提供应急响应支持、漏洞全生命周期管理以及威胁情报等，通过双方共同的配合持续护航系统。事后，则将进行应急抑制、业务恢复、溯源取证等一系列溯源服务，以保证安全防护的有序性和可靠性。

在运营阶段，知道创宇将提供云防护、合约审计、安全钱包、应急响应等多项安全服务和产品。通过接入知道创宇云防御平台，可以有效防御CC攻击、DDos攻击、黑客入侵篡改等多重安全风险。目前，知道创宇在全球能防御DDoS攻击的储备带宽已超过4T，云防御平台占有全国35%的流量，这使得我们拥有国内最大的黑客攻击样本库，任何攻击行为都将被记录并无时差地向所有网站下发防护策略。

在智能合约审计方面，国内顶级的白帽团队将对区块链项目源码和智能合约源码中的隐私泄露风险、代币转入转出风险、合约故障处理风险等进行深度源码审计。目前，已有多家交易平台以及智能合约项目方与知道创宇达成合作伙伴关系，要求将要上线其平台的项目，都必须出具知道创宇出具的审计报告。

为了抵抗资产风险，知道创宇也开发了专属的冷、热钱包。创宇冷钱包采用国际EAL4+认证芯片，通过纯硬件的非对称加密技术对目前主流的数字货币进行地址私钥保护。创宇热钱包用户密码使用Salted SHA-512-PBKDF2加密技术，所有账户使用二次验证服务，严格保证每位客户的交易通道安全可靠。

在业务推广阶段，知道创宇将为交易所提供反欺诈和反钓鱼服务。知道创宇通过风控模型能够准确识别羊毛号、黑产号等，降低黑产通过该种手段造成的刷糖果币、抢优惠、骗奖励的行为。在反钓鱼方面，通过强大的云平台数据库检查，实施全网监测钓鱼网站，联合多家传播渠道实施拦截，并且针对钓鱼网站具备全球快速封停能力。

中心化矿场安全风险高、监管难度大

在矿机、矿场、矿池场景下，各类网络攻击、黑客入侵是比较大的安全风险，矿池本身是中心化的服务平台，也会遇到大量的DDos攻击。同时内部运维人员也容易出现监守自盗的情况。

针对上述业务风险，知道创宇推出了全方位监控矿机状态的安全产品，通过向矿机管理团队提供可视化的展示，及时告警算力使用及窃取情况。同时可对矿机、矿池提供业务渗透，漏洞生命周期管理，安全事件应急处置等服务。周启鹏强调，越是到春节、十一等节假日期间，国内外的黑产越是活跃，“比如今年春节，我们在腊月29就连夜收到客户的电话，有黑客的入侵，我们的同事立即就飞赴到内蒙的矿场所在地进行现场安全应急服务。”

知道创宇矿场安全监控

办公网络环境安全应同样重视

除了业务场景，办公环境的安全风险正在逐渐加大。黑客会入侵云端服务器窃取内部开发人员和运维人员的账户，以及存在于办公网络环境中的勒索病毒、木马、蠕虫等，都给企业造成了巨大的风险隐患。

针对办公安全，知道创宇也提出了整体的解决方案。首先是威胁感知，无论是对于黑客的入侵，还是针对病毒木马的入侵，都将通过威胁感知系统做防护。在办公网络部署低防护能力的计算机，诱骗黑客进行攻击，通过感知系统记录攻击路径及手段进行预警。针对木马病毒，则通过云端大数据及时传递黑产情报，利用基因图谱的技术对变种病毒进行查杀。其次数据审计，以监测后端所有非法或不合理的操作。最后是终端安全，目前的区块链开发团队普遍年轻化，安全意识薄弱，密码明文放置、内部文件随意传输等情况容易导致风险隐患，因此安全意识培训也是必不可少的。

知道创宇在2011年开始接触区块链，依据多年黑产对抗经验，深耕区块链安全，从应用开发者的角度找到了安全漏洞和安全威胁，能够真正让安全服务和区块链业务持续性匹配在一起。知道创宇成立之初担负的历史使命和责任，就是为了更好和更安全的互联网。周启鹏表示，“我们也希望能够和所有区块链行业的勇于创新、勇于探索的先行者们，一起携手努力共同去创造更好更安全的区块链行业生态。”