9月,北京秋高气爽,蓝天白云。受去中心化漏洞平台DVP邀约,《8问》栏目组在工体北路的科技寺做了一期别开场面的访谈。
本次讨论的主题是“去中心化安全众测在区块链上发挥的作用”,对于普通观众来说,光是“区块链”三个字就已经让他们烧脑了,加上“去中心化”、“安全众测”这些词,就更难理解了。但这次我们竟然深入浅出地将这个话题聊得很通透,并且现场爆笑不断!
本期嘉宾有DVP平台首席执行官DanielWen,派盾PeckShield联合创始人吴家志,长亭科技区块链安全负责人于晓航,Bibox交易所副总裁向丹,以及公链Contentos的CTO杨鹏博。
为符合阅读习惯,《8问》文字版对原对话内容稍做了调整。
贾小别:先请我们的嘉宾简单的介绍一下自己吧。
DanielWen:《8问》的朋友,很高兴在这里跟大家见面,我叫DanielWen,是DVP去中心化漏洞平台的CEO。DVP今天有很多新闻带给大家,第一是长亭科技加入DVP平台,第二是DVP和白帽会、派顿,还有长亭会一起建立一个漏洞安全态势的信息平台,给大家提供更多的安全方面的信息。第三我们上线了Bibox、Bithumbglobal和Bithumbkorea,这对我们项目的发展是一个非常有里程碑意义。
于小航:大家好,我是于小航,是长亭科技区块链安全方面的技术负责人。我们平时的工作就是挖0day漏洞,然后做一些安全研究。挖漏洞可能会涵盖向交易所、供链、合约、钱包、矿池、矿机这些。最近我们在跟DVP平台合作,一起建立一个安全世界的数据库。
向丹:《8问》的朋友们,大家好,我是向丹,来自Bibox,Bibox是一家已经平稳安全运行快两年的数字资产交易所,前不久刚上线了DVP这个项目,我们一直以来都秉承着去精选优质的数字资产,为更多的用户提供更好的服务这样一个宗旨。
吴家志:《8问》的朋友,你们今天过得好吗?我是吴家志,现在在派盾PeckShield担任研发副总裁。我们现在主要做的是给各个区块链的企业项目方做安全服务,主要是做安全审计的业务,里面包括代码的,数据分析的。今天很开心能够参加采访,DVP其实就是像我的孩子一样,我是前一任的DVP的负责人,DVP主网上线那天是我的生日。
杨鹏博:大家好,杨鹏博,目前是Contentos的技术负责人。Contentos是一个专注于区块链内容领域的公链项目,在平台中有直播、短视频、图片以及文字相关的内容。我们9月25号主网上线,会正式开启线上的挖矿模式,大家可以在我们的主网中来进行一些创作,发直播、发短视频都可以得到主网的激励。
贾小别:第一个问题,我想知道当我们在聊区块链安全的时候,我们究竟在聊什么?
杨鹏博:对于公链项目来讲的话,区块链安全最重要的问题其实是项目方和用户都比较关注的Token,就是Token会不会哪天莫名其妙地丢失掉,比如被别人偷走了,这是从使用的角度上来讲。
从公链技术角度来讲的话,区块链安全有可能第一个维度就是共识协议的设计是否是安全,其次是你公链经济系统的模型是否存在着缺陷,第三个就是你的代码会不会有一些严重的漏洞,能够导致于整个系统崩溃这样的情况,这是我所理解的安全。
吴家志:我讲的更简单一点,区块链的安全其实就是数字资产相关的问题,数字资产是否安全,是否会被丢失。如果更深一个层次的理解,其实就是跟数字资产相关的安全问题,包括双花,包括增发、丢失这种事情,是我认知的区块链安全。
杰富瑞:美元将因7月加息而升值:金色财经报道,杰富瑞集团外汇策略师Brad Bechtel表示,“7月加息的可能性仍然很大”,美元可能会继续上涨。周五的美国劳动力市场报告不足以改变美联储6月暂停加息的设想。“美元可能会在未来几个月内受到买盘支持,偶尔会出现盘整。[2023/6/2 11:55:07]
DanielWen:从我们DVP平台的角度来看,可能更宏观一点。大家可很多时候会认为安全是一个时点的、某个项目的状态。从我们的角度来看,安全不是一个某个时点状态,它是一个持续的过程。怎么样去保持在安全状态下的过程,需要一个更完整的体系。一你必须有自建自己的很强的安全团队。第二个,你要去利用像派盾PeckShield这样外部的一些安全团队来帮助你,去补足一些方面。第三个必不可缺少的是社区力量,像DVP这样的白帽子社区,他会去把前基点,不可能完全覆盖的东西帮你覆盖起来,这样才会有一个立体的、安全的架构,来保持你持续的在一个安全状态下。
向丹:对于交易平台来说,安全像空气一样,我们平常可能感觉不到它,但是我们无时无刻都需要它。Bibox在安全上一直都把安全当成比生命更重要的事情,我们自己在日常的一些流程,技术监管流程上的一些动作,其实更多的是在于我们日常工作生活的一系列很多的细节。它不仅仅是在底层架构,还有在跟业内资深的安全机构公司、组织去合作。
于晓航:我在想到区块链安全的时候,可能稍微复杂一点。安全从客观上来说它应该是有两个层面,一个是理论安全,一个是实践安全。很多人在说到区块链以安全著称的时候,实际上是在说它的理论安全性,包括不可能三角里面提到的安全性,其实也是说它理论层面的安全性。但是理论层面安全性即使做得再好,在实现如果存在一些漏洞,比如一些语言特点上出现了内存读写的漏洞,或者其它的逻辑上、算法上的一些漏洞,这会是实践安全和理论安全里面的两个短板,这两个木板无论哪一个出现了问题,都会让整个项目的整体安全性下降到非常低的程度。但是说到区块链以安全著称这个话题的时候,可能更多的描述的是一个狭义上的区块链的定义。
贾小别:2018年区块链的重大安全事件有138起,造成了经济损失是22.38亿美元,2019年是68起,损失是6亿多美元。温总你这边有没有统计过,发生过哪些区块链重大安全事件?
DanielWen:区块链安全事件的发生可能在着几个层面,第一是在底层,共识协议这一层,甚至物理层。逐渐往上走,就到了协议层,比如合约层。再往上走,可能就是像交易所这样的交易平台或者钱包这类的就比较偏应用层。再有是用户自身他怎么处理安全问题,怎么做安全防范的这么一个问题。
最底层比较典型的例子是比特币,比特币遭受的攻击事件是是非常多的,但是真正成功的并不多。2017年有一次遭受到服务的攻击,导致了10%的节点当时有下限的情况。但底层面其实真正发生安全事件相对比较少的,合约层可能就相对看起来多一点了,那可能大家能够记得的最典型的例子就是美链,BEC这个项目。其实我的理解是当时出现了一个应该是批量转账的代码里边,造成了可以无限制的去发币的这么一个事件,等于是这个项目基本上就结束了,那损失的金额大概是在应该是在十个亿美金左右,粗略的估计。
那如果我们看平台的话,这个安全事件可能引起注意的就更多了,最新的大家印象比较深的就是币安丢7000个比特币的这么一个事件。那其实2018年也有很多安全事件,比方火币也发生过,因为遭到这个攻击,虽然没有直接的经济损失,但是当时停止交易是有三个小时的。再往前去看可能就比较大的交易所,日本的Coincheck,遭到黑客攻击损失是5.3个亿人民币,这还是很令人震惊的。我们最早能够记得的门头沟的损失当时算下来大概是4.73亿,这个就更大了。
LooksRare推出平台激励计划第一季,奖励池规模为500万枚LOOKS:6月2日消息,NFT 市场 LooksRare 宣布推出平台激励计划第一季(Season One),奖励池规模为 500 万枚 LOOKS 代币。用户可以上架符合条件的系列 NFT 以赚取宝石(Gem),赛季结束时可以用宝石兑换 LOOKS 代币。[2023/6/2 11:54:14]
所以整个从这个安全态势你去看的话,其实最底层的出问题反而相对较少,那么越往上走,它出现的这个问题的可能性越大,我觉得这个最大的原因就是越往上走,它更是一个综合的东西,它就不是单纯的区块链的东西,那它可能涉及到外部的安全,可能涉及到基础设施的安全等等,这个就需要你自己的安全团队,还有整个你的安全体系的架构能够覆盖的面更加广了。
贾小别:长亭科技是做互联网安全这一块的,不局限于区块链。区块链这个行业的安全和互联网的信息安全,有什么异同?
于晓航:区块链安全其实跟传统安全有很多相同点,也有很多不同的地方。
刚才温总也提到区块链领域很多东西是建立在一些传统的技术站基础之上的,比如说像中心化的交易所,它需要依托于一个中心化的外部服务器去做,包括一些移动端钱包。我们做区块链安全的解决方案里面,也会对区块链安全事件做一个二维拆分。就是我们把它划分成区块链特有的应用场景,和传统技术站两个方向。
经过划分之后,我们把区块链领域特有的一些应用场景,比如像交易所、钱包、矿池,这一类的场景把它考虑在一个特殊的、具体的客户案例中,都把它分解为一个区块链,它有的应用场景以及它所依托的技术载体。我们其实可以很方便的把我们在传统互联网安全领域积累了多年的一些经验,去很快速的转化到区块安全这个方面上来。
当然区块链安全也有它自己很多的独特性,因为像区块链系统有很多的数据不可篡改性,也就说很多交易发出去以后它是不可逆的,那么也就意味着很多安全事件,它一旦发生了以后,是很难让整个社区去回滚整个链回滚整个交易,回滚这些数据去追回这个损失的,所以说区块链行业对于安全的需求量会更大一些。
面如果从宏观一点角度来看,区块链这个行业起步的比较晚,发展特别快,它得到的社会关注特别高,以及承载的资源资金量特别高,所以自然而然它得到黑客的关注也特别高,其实会更容易成为这个黑客的提款机。
它发展速度太快了,但是整体区块链行业的安全水平并没有一个非常可靠的、快速提升的解决方案,或者我们还没有建立起一个非常完善区块链安全的一套标准,一套业务流程。所以这两者的差异之下,会使得区块链生态对安全的需求会更加的强烈一些。
贾小别:厂商方在面对自己项目上面的一些安全问题时,解决步骤是怎么样的?会不会找外援?去哪里找外援呢?这个问题就从我们Contentos和bibox来回答一下。
杨鹏博:一般遇到安全问题的话,肯定是先看一下自己能不能解决。正常情况下,百分之七八十自己都能解决掉。剩下那些实在是自己搞不定的话,目前我们有一些比较合作紧密的合作伙伴,他们有自己的专业的安全团队,他们也会帮我们来看一些安全的问题。
向丹:首先我们这个交易所可能不太一样的地方是我们有人工智能算法在里边,它会在交易过程中,还有访问过程中会监控数据,一旦发现有异常情况会及时的警报,然后我们专业的安全人员就会介入,会去把初级的或者说没有那么复杂的那些安全问题给解决掉。
OpenAI CEO旗下加密项目Worldcoin推出去中心化身份协议World ID:金色财经报道,由 OpenAI 首席执行官 Sam Altman 联合创立的加密项目 Worldcoin 启动一个名为 World ID 的开放且无需许可的身份协议。通过 PoP 凭证,World ID 协议使每个人都可以在线证明自己的人性,而无需第三方。该协议利用零知识证明来最大化隐私,并最终将通过 World ID 本身由人们管理。
目前,硬件设备、移动客户端和部署机制的初始版本已经实现,所有这些都将逐渐去中心化。应用程序可以通过最近推出的SDK与协议上的此证明进行交互。该协议本身是无需许可的,旨在最终支持任何人都可以证明的各种凭证.?World ID 将与经过验证的凭证标准兼容,允许表示个人社交互动的多样性(灵魂绑定令牌、交叉社交数据等)。?截至目前,已有超过140 万人参与。[2023/4/1 13:39:17]
另外一方面是在业界,我们也跟一些很顶级的资深的一些安全团队、安全公司,甚至说像阿里、百度这种互联网的一些安全工程师跟他们进行合作,同时还有跟白帽协会这样的一些协会、组织去做合作,他们会帮我们发现很多漏洞,一旦发现了之后,我们会进行及时地修复。所以在国外的一家第三方的评测机构来看的话,我们的漏洞悬赏有效性全国所有交易所中是最高的,也把我们的安全系数通过很多方面的一个测试放到了最高的一个位置。
贾小别:用自己的黑客技术来维护网络,他们是公平的、正义的黑客,那我们就把称为白帽。白帽发现系统bug,向项目方提出bug求修复的奖励。项目方或交易所会不会将此视为一种勒索,这样的事情有没有发生?
DanielWen:我先讲白帽的故事,我专门考证过,白帽这个名词从美国这边过来的,它最早应该是在1965年左右,最早出现用英文whitehat这个词,whitehat是指的是指美国西部片里那些奉公守法的牛仔。那帮坏的牛仔一般不戴白帽子,一般好的牛仔都是戴着白帽子的。所以这个词后来就演变成了你戴着白帽子就是善或好的代名词。
黑客这个词最早是一个褒义词,是讲一些技术特别好的,有理想的,会对系统漏洞进行弥补的的人。当然也被居心不良的人用来作为活力手段,词意扩大,才有黑客白帽之说。
有些项目他会把白帽子的一些要求,当做一些是勒索的手段,这种情况也有,但是这种情况其实并不多。很多时候是更多的是白帽的这个群体和项目方之间,大家并不完全理解双方的一个诉求,沟通上的一些误差导致。因为从白帽的角度来讲,我做的是一件好的事情,我做这件事情也是有成本的,我是觉得更多的时候,我的这种努力有一定的回报,是对我的努力这种认可。
其实我看过一个统计,白帽的这个群体其实蛮特别的,第一大概有80%的白帽子实际上是35岁以下的,说明这个群体是非常非常年轻的,可能还在学校读书的这么一些人群。第二个特点大概有百分之八九十的白帽子,是自学成才的,这个比例非常的高。从这两个特点来讲,他们其实的诉求,第一个经济上的激励肯定是一个因素。但是实际上,我看的统计百分之四十几的白帽子,其实它的主要的诉求就是提高技能。第二个是为我将来的职业,在安全行业从事这个职业去做一些铺垫。
贾小别:这个问题需要白帽子代表来回答,白帽子和厂商之间有没有掐架过?
吴家志:常常在调这些事情。其实温总刚刚讲的一点我很认同,是一个双方认知的问题,假设我们要沟通好,说白帽子跟项目方都可以理解说这个漏洞的危害性是什么,到底说白帽花了多少时间,多少成本,去做这个东西,给你看让你修复这个问题,双方的认知是不一样的,常常是说白帽子觉得他绝对是高危的特别严重的漏洞,项目方可能会认为,又不能直接造成损失,不能利用,理论上的那种攻击模式。
BNB Chain推出针对Web3女性的新导师计划Web3WonderWomen:金色财经报道,BNB Chain发文称,推出一个针对Web3女性的新导师计划,名为Web3WonderWomen,旨在增强和培养Web3生态系统中的年轻女性社区。
该计划包括两个动态计划:WWW创始人和WWW学习者。前者旨在指导下一代女性企业家,为她们提供在行业取得成功所需的工具和支持,而后者则致力于为应届毕业生和学生提供Web3世界的全面教育。[2023/2/17 12:12:03]
他们可能不一定会认同,所以我觉得在这种情况其实是很需要像DVP这样的平台,因为他们是有安全的专业的人员,我们就直接把这些规则白纸黑字写清楚,什么样的程度的攻击是严重的,什么是中维,什么是低维,什么不是漏洞,这只要讲清楚,双方假设都是技术人其实都能够互相沟通好,能够理解。
贾小别:交易所这边呢?有没有和白帽子掐架的情况?
向丹:坦白说是一个信任问题,就刚刚像温总、吴总、谈到的其实是沟通上面的一个误差,还有就是理解认知上面的一个偏颇,所以导致了这些纠纷或者说误解。但从我们的角度,我们自己对白帽协会这样组织和他们所贡献的力量是非常的敬畏的,非常敬重的。因为它是一个正义的象征,因为我们全球的交易所基本上都面临着全球最顶级黑客的威胁。他们的力量也是非常强大的,他们想要去获取的利益也是非常大的,所以对我们的损失就潜在的威胁和损失也会非常大。我们要做的是能够更多的跟正义象征的白帽协会来去合作起来。
他们提出来的想法,或者说他们提出来的漏洞,原本可以直接去攻击,原本就不需要跟我们说,可能带来的收益更大,但是他跟我们说了,他拿到的悬赏肯定是要比他直接攻击带来的利益要小一些,那他们为什么要这样做?这个逻辑我们觉得他们是看重自己的价值和自己的羽毛,才会去这样做。如果说这一点信任没有的话,那整个世界的秩序也很乱,并且之所以有白帽协会,还有安全的一些协会,一些组织架构存在,他会有一个行业或协会的一个自己的自律意识在里边,不然他就不会加入这个协会了,也没有必要说他就自己在家平常就黑一下交易所就可以了。
贾小别:刚刚关于信任的问题还是要让我们的项目方来聊一下。
杨鹏博:首先我们项目来讲的话,如果来给我们报bug或者报漏洞的话,我们肯定不会认为你是敲诈的,这个是一定的。因为就像刚才吴总说的,其实有很多项目方,他可能安全人员来讲,其实本身的技术水平也没有那么高,但是我们团队其实是不太一样的。像我的话,我第一份工作是做病分析,搞客户端安全的。后来又做过大概两三年的杀引擎,包括我们的CEO他在之前在也做了十年的这种反病软件。我们还有一个非常核心的一个架构师,之前在江滨也做了将近十年的杀引擎。所以其实我们团队中对于安全的意识,还有安全的技术水平来讲,本身来讲还是比较高的。因为这个事情本身就是沟通沟通和理解,所以在我们这里其实问题不是很大的。
我们只要讲这种术语,其实双方已经认知这个是什么程度了。但是如果你要跟一个完全可能比较少接触安全的人,你跟他讲一个RC。你还从头要解释说我怎么样把代码植入,怎么样远程执行什么,就前面的这种要讲很多,是沟通认知的问题。
还是看像面对的是什么样的厂商,可能以及我们对接过去的人是什么样子。因为确实是像吴总说的,平时也有很多同事在报各种就不局限于区块链方面、传统方面的一些漏洞的时候,也经常会说这个东西是个低危,要不然说你跟别人撞洞了,但是私下一聊发现根本不是撞洞,根本完全就是两个洞。这种情况还确实是可能是跟行业不同,因为像可能在区块链行业大家都会更注重安全一些,所以我们在区块链行业里面对接过去的人,可能往往都会相比于传统行业来说对这个事情会更重视一些。
而且我觉得刚刚吴总说得很好,就是的确需要一个平台像DVP这样的平台。它能够把一些安全漏洞去评级。对于我这种文科生来说,我根本就不知道刚才吴总说的那个是什么,但是我会相信一个第三方客观的评级,这个安全漏洞的确系数很高了,那我们真的是需要花大量的精力、财力、物力去解决这个问题。我觉得这是有价值有意义的,对整个行业都是这样的。
Defrost Finance发布被盗资金退还给受损用户的具体流程:12月27日消息,据官方公告,Avalanche 生态原生稳定币项目 Defrost Finance 发布关于退款流程的细节,称所有 V1 被黑的资金都已经归还,Defrost 团队将很快开始将这些资产退还给攻击前的合法所有者。以下是预计在未来几天将采取的几项主要措施:
1. 地址中的所有 ETH 将以链上市场价格转换为稳定币 (最好是 DAI)。
2. 所有稳定币将从以太坊转移到 Avalanche。
3. 该团队将开始扫描链上的数据,找出在黑客入侵之前代币归属信息。详细情况将在扫描工作完成后公布。
4. 然后将部署一个退款智能合约。合法用户将能够将他们的资产以稳定币的形式要求回相同的地址。[2022/12/27 22:10:25]
贾小别:请温总聊一聊在去中心化漏洞平台悬赏之前,我们区块链行业的白帽子是怎么进行工作的?
DanielWen:第一,比较传统的组织形式肯定是依赖自己的安全团队。第二,全新模式,中心化的平台。像美国的HackerOne,BugCrowd这样的悬赏平台是比较中心化运行。这个模式在国外是比较接受程度越来越高的。第三种就是去中心化平台,相比传统模式,它有更大的优势,但它并不是要代替前两种模式,而是要形成一个更完整的体系,覆盖更大的范围。
安全问题哪怕99.99%都做的很好,只剩那么一点点,都有可能成为致命的地方。从成本效益角度来讲,完全靠自己的团队无休无止的去检测、去看,这个成本非常高。还有就是自己团队和社区白帽子看问题角度不一样,自己团队往往是从防的角度来看。白帽子的思维更多的是从攻击者的角度,找到你的弱点,覆盖面很广。
贾小别:DVP平台的口号是“漏洞即挖矿”,听起来蛮幸灾乐祸的。其实更贴切的叫“填补漏洞即挖矿”,其实区块链技术门槛它是有的,白帽子人数其实也没那么多,就是参与的人也很少,那我们现在所谓的漏洞即挖矿,是不是有点曲高和寡?
DanielWen:区块链这个行业毕竟比较早,本身专门从事区块链安全的行业人员就更少了。第二白帽子群体可能要比我们一般想象要大,HackerOne的注册白帽子45万人。那第二个从奖金的角度来讲,我们还是用传统的平台来举例子,那么HackerOne截止到今年8月份,有六个黑客是累计拿到超过100万美元的奖金。这个还是很多的,完全凭本事吃饭,就是看能力了对吧?这个是最公平的一个体系,就是说我有这个技术,我能找到很高危的漏洞,那我就能成为百万富翁。
DVP平台角度,我们过去一年真正发出去的奖金,包括我们自己的token加起来也有几百万人民币这么多,其实并不算少了。当然从我们的角度来讲,我们还会不断的根据这个平台发展情况去修改这个社区规则,来去提高比方更高质量的这个漏洞的这个奖金。
贾小别:我看到DVP平台上一些漏洞的悬赏奖金并不高,高危的也就一千多块钱人民币。这个价格是高于市场还是低于市场价?
DanielWen:你看到的悬赏金额完全是项目方自己定的。悬赏金额高不高,我觉得是体现了项目方对安全的重视程度了。当然用这种方式来作为自己安全架构的一个部分,在这行业还是一个比较新的东西,大家有一个心理的适应过程,因为他也不知道效果到底是不是项目预期的那样,我觉得也很正常。
我们平台自己定的标准来讲,我们的高危其实是相当高的。按照现在的价格去计算,我们严重的漏洞,基本上在6000美金左右,这是和整个市场持平的。其他等级的肯定是要比我们现在要高的,所以我希望呼吁项目方,重视安全的项目方,来提高悬赏金额。
提高悬赏并不是项目方吃亏的事情,如果你的一个漏洞会造成10亿的损失,但你设置几百美金的悬赏金额,漏洞就能解决。衡量一下会发现,悬赏是一件非常非常值得的事情。
贾小别:为什么白帽子希望自己匿名呢?如果不匿名,用真身份的话会暴露什么吗?会发生什么事情?
吴家志:白帽群族有两派,一派是用真名,比如我这种称为安全研究人员的,用的都是真名。
还有一派是很明显他都是用ID的,而且那个ID都不是正常会用的,比如黑客族群里面特别喜欢用数字去取代英文字母,ABCD的A它会写成4,ABCDE的E它会写成3,白帽圈是有用一个ID代替自己而他不要暴露真实的身份的文化。
另外白帽比较注重安全,比较注重数字痕迹。还是举我为例子,我几乎是不发朋友圈,不在Facebook点赞,Twitter我有时候会有点赞,但我会尽量避免大家知道我可能这个时间在哪,或者我对什么话题有兴趣。为什么要尽量避免这个数字痕迹呢?因为你在不知不觉之中就说你的账号密码。你会用的ID不知不觉会跟你的数字痕迹会有关,假设你暴露你哪天生日,或者你的女儿哪天生日,他可以不是直接用那个生日的日期拼出你的密码,但他可以用一些运算的逻辑算出你的密码。所以尽量抹去数字痕迹绝对是安全程序人员会尽力要做的一个事情。所以很多黑客是不喜欢拍照的,像我就是很少拍照的那一种,今天上《8问》就暴露了。
所以我觉得两个层面,第一黑客的文化就是这样,他们习惯是用ID。第二就是他们希望抹除自己的数字痕迹。可能还有第三点是他其实现在有一个别的工作,他是用业余的时间增进自己的技术做这些事情,所以他就希望匿名。
于晓航:确实是这样,会有出于一些安全性的考虑。其实我觉得这个事件就是白帽黑客或者是黑帽黑客非常注重自己的声望,有点像一个美剧叫《黑客军团》。《Mr.Robot》里面,我把世界上最大的一个银行系统给搞挂了,把他的所有备份都删掉了,把它所有数据全清空了,全世界在各种混乱狂欢的时候,大家都知道是这个ID干的。我做的所有事情都跟我这个ID联系在一起,但是这个ID跟我的真人联系不在一起。那种情况下我走在大街上感受到全世界的沸腾,所有人都知道是这个ID做的,但是大家都不知道这个人是我,这种感觉是一种很爽很奇妙的特殊的满足感,有一点点成就感。
我们可能会用自己的ID来去做一个博客,自己运维这个博客,运维这个服务器的时候,其实也会特别注意,不把自己的任何的信息,比如说跟公司相关的那些私钥或者是一些个人信息放在上面。因为一旦如果那个服务器被攻破,可能我们很多的信息就会被串联在一起。如果有人尝试去攻击我们个人的信息,如果是针对某一个网站的某一个账户,只要你不是用一些很基础的密码,想要去破解他的密码往往往往是挺困难的。但是如果把这个人的横跨所有网站的各个东西,横向的信息全部都拼接在一起,其实是能显著降低攻击的难度。因为你可以横向的利用各个网站之间的一些安全小漏洞,把这些所有的信息横向对比起来以后,很可能就可以恢复出来你的一些个人密码或者一些其他的信息。相当于是画像更加精准,定位到你这个人以后,如果是有意要做一些攻击,当然是会更加容易一些。即使不是去做攻击,其实我们个人的信息被暴露也是很不爽,比如会感受到好像在被人监控一样。
所以一方面是为了一种满足感,另一方面也是确实是有这种匿名安全方面的需求。
杨鹏博:我是觉得这个看个人的喜好,一般来讲,因为它确实是存在这样的一种文化。大家都是觉得自己低调,低调会显得更牛逼一点。
贾小别:那要问问我们项目方,你们对于匿名的白帽子,信任感会不会低于不匿名的白帽子?
向丹:坦白说还是稍微有一些忐忑的。但是刚刚听了几位的分享,我是觉得理解他们的初衷和想法。如果是黑客,他可能是做坏事不留名有一种快感,但是做白帽的话,他是做好事不留名的一种雷锋精神,也是一种满足感。
同时我们自己其实不在意他留不留名,是在意他提供的漏洞是否真的很高危的,或者真的能对我们产生非常大作用的。同时还去解决,我觉得这件事情就比较有意义。而他这个人,其实无论是名字或者真实的身份、ID,它其实也就是一个代号,一个符号。
但是人的确是有这样一个心态,真实的面对面的时候会更有踏实感,因为知道对方是一个什么样,还有综合的一些素质都能体现出来。在网络上,在一个不留名的环境下,我们能不能相信他?这个要基于区块链的技术,像中本聪也是一个非常厉害的黑客,到现在我们都不知道他的身份,我们依然用着他提供的这一套逻辑和这一套算法,我们也因此而获得更多的福利。我觉得这是不在于他留不留名,而是在于他做的事情,牛不牛逼。
吴家志:我觉得她刚才讲的一个点就特别好,其实我们在讲为什么要用区块链的东西来做这个事情?我们其实想做一个社区,而不是做一个单纯的区块链项目,而区块链的这些技术包里,有很多东西能够帮我们达成这样的目的。
类似于比特币这样的网络,你可能你永远都不会知道对方是谁,但是你仍然会把你的比特币打给他。会信任这个体系,信任这套规则,这套技术上要保证这个规则能够不以某人的意志为转移来执行的。所以在DVP这样的平台上,我们的努力也是要朝这个方向去做,就是它规则透明,大家认可,不能由某一个人的意志为转移。包括厂商方对白帽子,其实不是对某一个白帽子信任不信任,而是它对这个群体信任不信任,所以为什么我们要逐步建立白帽子的信誉体系,其实放在一个群体来讲,你很难判断某一个白帽子到底是真正的白帽子,还是它其实是黑客或者它两边都会占,都是有可能的。
但是你能够做的是看它在这里边体系平台上的行为,它发现的漏洞,提交的很多,贡献很大的这些,它的倾向性就很明显。
它要通过这个平台交上去,来获得它应有的回报,或者实现出名也好。比方说我们就有刷榜第一名的在上次黑客松也来了,他也可能也是一个满足感,在这个群体里边受尊敬的满足感。所以我觉得建立一个体系,大家都可以信任,建立一套规则,大家都可以信任,而不是说侧重于他实名了,我才能相信这个人,我觉得是要搭建这样的一个平台才可以把这个事情做下去。
贾小别:我们的项目方代表杨总可以再聊一下,你们对于白帽子匿名还是匿名的信任度,是否有关系?
杨鹏博:首先作为项目方来讲,我们肯定是希望他不匿名的。第一个来讲肯定是人的好奇心,你晚上回家,然后发现门上贴了个条——“你的锁坏了”。你第一反应肯定是我靠这是谁干的,他有没有进我家,这个人要做什么?你肯定出于本身的这个安全感和这个好奇的需求,你肯定要知道他是谁。其次来讲,如果他是真的没有做什么坏事情,我们本身也可以建立一个很好的长期联系,比如我要电视坏了,你可以再来修一修之类。
贾小别:正义的白帽子除了追求物质之外,他还在追求什么?
吴家志:就是证明自己,获得社会大众,或者是至少是项目方的肯定。
于晓航:平时不会去提我跟这个ID有任何联系,比如应聘一份工作或者是做什么项目之类的时候,我会告诉大家或者是很低调的说下这其实我的ID。
贾小别:你得证明ID跟你的关系。
于晓航:一个私钥就可以。一般来说,遇到要求证明的情况还挺少,不会有人去冒领冒认ID。你一说我的ID是什么,就会有人说我读过您的文章,那篇写得很好,有个问题刚好想问一下……这就很尴尬,穿帮了。冒领还是挺危险的,尤其是冒领大牛的ID。
向丹:就好多人都冒领中本聪。
吴家志:但是中本聪这个事情是黑客、安全圈的ID还是有一些区别。中本聪也是一个很玄的事情,你要用一个什么样的身份可以在世界上消失,消失这件事情是很牛的一件事情。
要消失一个数位痕迹或是一个ID、EMAIL什么,他都有提交过代码,有可能有任何的IP记录,这种事情CIFBA肯定是能查的,可能他们是查到了,或者这个人是特别厉害,真的查不了,或者其实他们本身自己就是中本聪。
于晓航:说到中本聪这个话题,现在比特币是大家都不知道是谁做的,是一个完全去中心化的一个典范。如果某天说谷歌突然说Bitcoin其实是我们在搞的,是我们发行的,核心团队都是我们在运维。如果这个项目在早期出现了,有一个团队固定的公司、固定的团队、固定的身份为这个项目负责,Bitcoin推广的方式、发行方式还会像现在这样顺利吗?或者Bitcoin的发行方式是不是在当初就会遇到像利贝尔这样的,来自各个国家政府级别的阻力?所以其实我觉得中本聪匿名的这件事情其实也是特别舒服,特别厉害,算是给区块链这个行业做了特别智慧典范。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。