7月24日,“2021世界區塊鏈大會·杭州”在杭州未來科技城學術交流中心召開。本次大會由杭州時戳信息科技有限公司(巴比特)主辦,杭州未來科技城管委會等機構支持 。
在創新融合與區塊鏈安全治理論壇上,一場題為《區塊鏈網絡安全治理》圓桌討論引得全場關注。
本場主持人是《財經》區塊鏈頻道鏈新主編朱星,嘉賓有浙江省公安廳刑偵總隊區塊鏈犯罪課題研究負責人徐昱、無極實驗室首席研究員史金濤、PeckShield(派盾)創始人兼CEO蔣旭憲以及北京市中倫律師事務所律師譚天。
以下內容經巴比特整理,是本場圓桌的精華內容。
01《財經》鏈新主編朱星:首先請各位嘉賓做一個自我介紹。
徐昱:我從事了多年的新刑事網絡犯罪的打擊工作,也接觸了很多區塊鏈相關的犯罪案件。作為一個刑警,我更多關心的是案件和安全相關的問題。在平時案件研判的過程中,也會和行業內的企業進行良好的溝通和互動,希望更多的從業者可以關注犯罪相關的案件。
史金濤:我來自無極實驗室。我是信息安全攻防出身,之前主要是做一些傳統互聯網行業的安全攻防、安全建設等工作,目前在無極實驗室主要是負責區塊鏈鏈上安全攻防研究以及區塊鏈犯罪分析、溯源追蹤等工作。無極實驗室聚焦於區塊鏈情報、安全、溯源追蹤等多個方面的研究工作,是一家比較新的區塊鏈安全獨立供應商。
蔣旭憲:我來自於PeckShield(派盾),是一家專註於區塊鏈安全的創業公司,成立已有三年的時間。
譚天:我來自北京市中倫律師事務所,律所於1993年成立,目前是國內規模最大的律師事務所之一。我們從2015年開始針對區塊鏈相關的法律監管和法律合規的問題進行研究,也為很多的企業和項目提供了法律方面的諮詢,包括合規的法律諮詢和服務。
02《財經》鏈新主編朱星:徐警官,你辦理的案件中,涉及到區塊鏈或者是加密資產的時候有哪些特點,或者說在這個行業中從業,不管是投資,還是涉及到從業,應該避開哪些坑?
徐昱:這個領域對於投資者來說,首先有很多新的區塊鏈相關的案件發生,這個領域趨勢和我們傳統犯罪的趨勢是一樣的,大家都知道幾年之前更多的犯罪是線下的盜竊、搶劫等,但是隨着電子支付以及互聯網的發展,往往搶或者偷不到現金了,並且伴隨路面監控和人像識別技術不斷的發展,傳統犯罪越來越少。在三四年前,線上的犯罪超過了線下的犯罪。區塊鏈這個領域也是類似的,幾年之前更多是使用區塊鏈作為一個工具進行犯罪,但是現在的區塊鏈犯罪侵害的主體更多的是區塊鏈生態本身。
浙江省公安廳刑偵總隊區塊鏈犯罪課題研究負責人 徐昱
03《財經》鏈新主編朱星:史總主要是做一些安全方面的工作,目前黑客攻擊或者說你們團隊所接觸的案件出現了哪些新的手段?
史金濤:針對不同的角色,對應面臨的威脅也是不同的。
對於交易所等中心化機構來說,APT攻擊以及鏈上攻擊我認為是目前最大的兩個威脅。APT攻擊,高級持續性威脅,一般都是一些職業黑客團隊組成的。在來到區塊鏈行業之前,這些組織一般都是盯着政府、商業情報、SWIFT跨境結算系統這些行業的。這些組織有着體系化的分工,執行公司化運作,使用各種方式通過入侵到中心化機構內部,盜取核心錢包資產;而鏈上攻擊主要是以雙花攻擊、基於漏洞的假充值攻擊為主的攻擊方式。根據無極實驗室的跟蹤研究,目前我們定位到一個專門進行雙花攻擊的團隊,這些人來自多個東歐國家,具備專業的雙花經驗和設備,且有着成熟的變現渠道。從去年下半年到今年的多起雙花攻擊都與這些人有着極為密切的關係。
對於一些DeFi的區塊鏈項目來說,通過找尋代碼或者業務邏輯漏洞是黑客常用的手段。智能合約的授權機制漏洞、針對各類DeFi的“閃電貸”攻擊等,都是黑客常用的手段。解決這些問題,主要還是依賴事前的措施,如嚴格按照規範編寫合約、做好合約安全審計等。
對於普通用戶,黑客常見的手段則是釣魚、詐騙。通過“高額返現”的幌子,誘導用戶使用錢包進行轉賬,通過使用技術手段盜取用戶錢包資產;或者引導用戶進行虛假投資,騙取用戶資產等。黑客的手段隨着時間以及新的業務模式在不斷的變化,未來肯定還會有其他的手段等着我們去應對、解決。
無極實驗室首席研究員 史金濤
04《財經》鏈新主編朱星:蔣總,你覺得在接下來哪些領域容易成為黑客攻擊的重點領域,投資者應該注意什麼?
蔣旭憲:我們看的問題跟你們的角度不一樣,我們看到一些新的攻擊發生的趨勢,更多的是鏈上鏈下的融合,尤其是給勒索軟件提供了便捷的渠道,也是一個新的行業在早期發展的時候,它們跑路、詐騙是很有市場的,這個時候規模也比較大。另一方面,尤其從新型的DeFi協議出現后的情況來看,攻擊者的手段是很有準備的,不僅是協議漏洞的應用,還有跨鏈資產的轉移,攻擊發生之後,可以在半個小時內洗完盜竊的資金,這個給監管帶來了很大的挑戰。
如果投資者對這個領域感興趣的話,首先是不要拿全部身家來投資,不要輕信“專家”、“內部人士”、“內部消息”、“高收益高回報”,切勿盲目跟風,只看短期利益。當然,如果不幸遭到財產損失,第一時間反饋給社區、收集好相關素材;如果遭遇詐騙、勒索建議尋求警方幫助。
05《財經》鏈新主編朱星:譚律師,在企業創業的過程中,區塊鏈涉及到金融、科技等等,很多時候容易踩火線,你在合規方面有什麼樣的建議?
譚天:我們給區塊鏈企業服務的過程中,目前來說區塊鏈創業企業需要注意的法律方面的風險有三點:
1.網絡安全風險,區塊鏈企業通過網絡提供產品或服務,屬於網絡運營者,應當受到《網絡安全法》等法律法規的約束,如果企業沒有履行法律規定的相關義務,可能引發安全事件,受到行政處罰甚至構成刑事案件;
2.數據保護問題,區塊鏈企業在提供服務時,往往會面臨大量的數據存儲、整理、脫敏、傳輸等工作,包括一些個人信息,敏感信息,如果保護不到位,可能會存在數據泄露、侵權等風險,可能會承擔民事、行政甚至刑事責任;
3.僥倖心理,以為變一下名稱或者叫法,就可以躲避國家監管和法律約束,給企業的發展帶來很大的不確定性。
因此,針對這三個方面的風險,我建議是:
1.嚴格遵守法律法規的規定,同時還要跟據《區塊鏈信息服務管理規定》的要求進行備案,還要符合國家強制性要求,承擔起網絡運營者的各項責任和義務;
2.加強數據保護,保證數據存儲、使用過程中的安全,保證數據所有權人對於數據使用的知情權、刪除權等權利;
3.不弄虛作假,目前國家對於區塊鏈行業的監管屬於穿透性監管,關注的是區塊鏈技術的應用落地,不論是區塊鏈金融,還是溯源、存證、智慧城市等應用,都要切實為基礎設施建設和實體經濟服務。
06《財經》鏈新主編朱星:在區塊鏈這個行業快速發展的時候,應該如何保障和推動該行業健康有序發展?從警方、律師的角度有什麼建議?
徐昱:行業監管方面,從警方角度出發更多看到的是一個趨勢,區塊鏈本身的匿名性和不可控性,導致了傳統犯罪不斷地湧入區塊鏈這個行業;而且隨着警方近幾年對傳統金融不斷的打擊和嚴管,犯罪領域的洗錢行為可能更多的是流向去中心化的金融領域。
我個人的觀點是,很多從業者是希望區塊鏈行業往一個健康的方向發展,但是區塊鏈完全的匿名性和不可控性最終會反噬這個生態本身。其中最關鍵的兩個底線:一個是鏈上資金的可追蹤、可追溯。目前最大的兩條公鏈比特幣和以太坊,鏈上的資金還是可以進行追查的,但是有部分貨幣它在設計之初就想做一個完全匿名且不可追蹤的公鏈。另一個是,法幣的交易還是要到中心化的交易所去進行交易,中心化交易所至少有一些相關認證的制度,在這個層面上仍是有一部分可控的,但是如果今後有一些法幣的交易變得不可控了,那麼在監管層面或者說國家層面就會採取一些新的行動。
蔣旭憲:我在區塊鏈安全創業這三年來,區塊鏈犯罪絕對是高智商、高科技的犯罪。包括我們在從事各種資產追蹤的規模上,資金金額都相當大。你們認為在比特幣和以太坊上,還是可以追溯的,但是這可能在2018年-2019年上半年的情況。目前,根據我們跟蹤的幾個案件來看,真正有組織的犯罪都利用假的身份信息,可能不到半個小時,幾千萬美金的資產都洗掉了。洗錢的流程通過主要是完備的混幣的服務。這種追蹤越來越複雜,內部交易數都有可能超過上千條的交易。區塊鏈犯罪是高科技的犯罪,也是一個與時俱進的,或者說是持久的攻防戰。對研究人員來說,需要不停地了解這個行業,並從他們留下來的蛛絲馬跡學習,和社區、司法機關相配合。
PeckShield(派盾)創始人兼CEO 蔣旭憲
譚天:對此,我提幾點建議:1.從投資者的角度來說的話,不管是區塊鏈行業來說的還是數字資產的發展來說,我認為區塊鏈不是面向全體大眾的,它是面向於特定群體的,所以說我認為要加強投資者的教育,提高投資者的風險防範意識和對項目的甄別手段,讓投資者能夠比較明確的辨認出哪些項目是值得投資的項目。對於那些詐騙或者說融資的項目,投資者不去投它了,自然而然,這種現象就會少下去。
對於區塊鏈從業者來說,應該要成立行業協會,通過行業協會的方式,因為立法或者說司法往往是滯后的,它都是在行業發展到一定的階段,總結一下經驗之後才能出台一些相關的法律政策。在法律政策出台之前,區塊鏈的企業包括負責區塊鏈安全的企業,能否通過成立行業協會的方式,發布自己的行業標準或者企業標準來規範區塊鏈產品和服務,通過這種方式來引導大家朝向更積極有利的方向發展。
07《財經》鏈新主編朱星:剛才提到的都是資產損失發現之前怎樣去規避,一旦資產損失已經發生了,這個時候有哪些措施來挽回呢?
譚天:1.如果損失發生了,首先要積極的搜集相關的證據,現在有網絡安全的機構,可以給我們提供賬戶轉移相關的證據,我們要積極的搜集證據。2.積極的報警,取得公安機關的協助。3.盡量聯合多的受害者,通過社群的方式,把受害者集合起來,人多力量大,一起來挽回自己的損失,追究侵權的責任。4.通過合法的途徑來維權。
北京市中倫律師事務所律師 譚天
蔣旭憲:1.搜集證據,區塊鏈會把各種鏈上證據保存在裡面,區塊鏈瀏覽器或者說搜集證據可能會被被司法機關採納。2.第一時間聯繫相關的司法部門。3.受害方需要積極追蹤鏈上資產的流向,這個時候應該和社區保持良好的互動。有一些資產轉向從一個鏈到另外一個鏈,從國內到國外,甚至跨越好幾個國家、好幾個鏈,這時候要保留相關的證據,也需要各個交易所、司法機關、社區、涉案公司的配合。
早期追回的可能性比較大的,但是有一些攻防比較困難的,至少目前需要一個技術性的突破。
史金濤:當自己的資產一旦出現丟失,建議儘快報警同時聯繫專業追蹤團隊進行介入,越快越好。專業團隊有足夠的經驗來處理相關的情況,個人資產可能不經常丟,但是這些團隊經常處理類似的事情。真的丟了,還是有一定概率可能找回的。
徐昱:對於警方來說,老百姓發生財產受損、受騙或者說被盜的,警方也是進行受理或者說立案的。但是這一類的案件防範大於事后的追查。因為區塊鏈本身的特點,警方在事後進行追查確實很難,所以我們現在電信網絡詐騙相關的工作也是從打擊轉移到了以防範為主的點上。
對於確實發生了財產受損的情況,需要第一時間要報警,向警方提供更詳盡的一些信息。比如說上個月有一個省內的投資者對區塊鏈不是很了解,但是他在交易所買了256個比特幣,提到去中心化的錢包裡面,他在網上隨便搜索並下載了一個錢包,就把交易所裡面的256個比特幣給轉了進去。我們警方第一時間對他進行了詳盡的調查,首先安裝這個錢包應用的過程是受人指導的。另外事後還把私鑰和助記詞通過微信發出去了,這個案件就變得撲朔迷離,隨後定位到他下載的錢包應用是被黑客植入的。最終,我們定位到了犯罪嫌疑人,然而嫌疑人在境外。客觀地說,目前我們能做的工作非常的少,所以無論是從業者還是投資者,多學、多做、多了解,時刻保持一顆警惕的心,事前的防範比事後做更多的工作都要有效。
08《財經》鏈新主編朱星:現階段安全行業現在整體發展狀況如何?各位認為未來區塊鏈安全領域的市場空間有多大?
徐昱:我認為,區塊鏈安全未來的市場和發展前景,可以類比目前互聯網領域或者說信息技術領域的安全市場,它是依賴於整個生態的發展,互聯網的市場發展有多大,那麼互聯網安全的市場也會成正比發展。區塊鏈安全的發展也離不開區塊鏈整個生態的發展,如果未來區塊鏈發展是健康有序的,那麼區塊鏈相關的安全領域肯定也有非常大的市場。比如說剛才講到被盜的投資者,他有實力做經濟投資,他為什麼不願意把一部分的資金拿出來,請專業的機構做一個更好的安全防範。不說對區塊鏈領域不是很熟悉的投資者,我昨天和一個行業內的專業投資機構溝通,他們在做專業投資的時,也有一百個比特幣被盜了,而且是從交易所裡面直接盜走的,專業機構比一般的投資者有更加強的安全防範意識,但是仍然避免不了被盜,所以在這個領域有更多的空間讓做安全防範的公司擁有一個更大的市場。
史金濤:隨着數字經濟的發展,安全行業開始變得越來越必需,安全能力已經成為各大廠商乃至國家建設的基礎組件之一。
從2017年“永恆之藍”勒索病毒,到2020年“SolarWind”供應鏈攻擊事件,到2021年美國最大的供油公司“Colonia Pipeline”被APT組織攻擊,導致石油供給中斷,都說明了安全威脅越來越嚴重,安全建設也越來越重要,各個國家也在宣布要不斷加大安全投入,所以安全行業目前仍處於一個向上發展的階段,遠遠沒有達到天花板。
而區塊鏈行業生來就帶着“解決信任問題”、“資產”等一系列標籤,錢越多的地方,對抗就越激烈,因此區塊鏈行業對安全的需求應該是比傳統的互聯網行業更為迫切。但我們也可以看到,這個行業無論是事前防控、事中響應還是事後的應對處置,都缺乏完善的系統與能力,這些都是需要時間去建設的,因此從這個角度來看,我認為區塊鏈安全行業面臨的挑戰巨大,同時未來的前景也十分廣闊。
蔣旭憲:用數據說話吧,在今年發布的網絡安全“十四五”規劃以及即將發布的網絡安全產業的行動計劃當中,進一步明確政府和公共企事業單位在網絡安全上的投入比例不低於10%。工信部報告顯示,網絡安全產業規模在國內超過1700億元,較2015年前翻了一番。另外,國外有一家安全公司也做區塊鏈安全,現在它估值達到了42億美元。
譚天:區塊鏈行業來說,區塊鏈安全有一個得天獨厚的優勢,區塊鏈從誕生就是可追溯的,而且是具有公信力的網絡形式,這個對於我們的安全來說非常重要。而且,我覺得不僅是區塊鏈網絡安全,包括對於互聯網的安全、數據的安全以及將來的公共安全和金融安全,還有在國家安全領域,區塊鏈作用都會越來越得到體現。因此,我認為區塊鏈安全的前景是非常好的。
本文鏈接:https://www.8btc.com/article/6665199
轉載請註明文章出處