文/ 范芊芊   来源/ PANews

截止7月27日,由区块链安全公司BCSEC与PeckShield共同发起的,首创“漏洞即挖矿”的去中心化平台DVP上线仅3天,共收到白帽子提交漏洞达150个。这些漏洞涉及数百家与区块链行业相关的厂商,其中与交易所相关的漏洞数量占比超60%。

漏洞具体集中在设计缺陷、访问控制缺陷、身份凭证窃取、跨站请求伪造、敏感信息泄露等方面。其中包含有一些通用性的设计缺陷,譬如一部分交易所存在可将任意用户密码被攻击者修改的漏洞,还有一些漏洞甚至可以造成整个网站用户的详细信息泄露,给用户资产带来极大的安全隐患。

DVP平台CSO邓焕指出 ,目前我们在积极联系相关交易所厂商,通报漏洞详情,这里也呼吁更多相关的厂商联系DVP平台认领漏洞,并及时做修复处理。

7月24日,BCSEC与PeckShield(派盾)共同研发的全球第一家去中心化匿名众测平台-DVP上线。该平台意在利用区块链技术,建立匿名化的安全众测社区场景,打造去中心化、漏洞即挖矿的平台概念,致力于解决区块链企业安全危机,将连结区块链厂商、安全公司和白帽子等社区参与者,最大化减少漏洞暴露风险,共筑区块链生态安全。

据介绍,DVP平台中还包含面向区块链厂商与白帽子的自动悬赏支付系统。“漏洞即挖矿。”邓焕介绍,厂商需指定安全审计的资产范围和悬赏标准,并将押金存入合约;白帽子在DVP平台可以提交区块链相关漏洞及威胁情报,并随时查看漏洞审核及认领进度,被采用后即可获得相应的奖励。为确保整个流程的公正性,DVP平台会将漏洞信息进行公钥加密,区块链厂商可以通过私钥解密得到报告内容详情。当确认此漏洞无误并采用后,悬赏奖励将自动打入该漏洞提交者的地址。

PeckShield(派盾)是面向全球的业内顶尖区块链安全团队,由前360首席科学家、美国北卡州立大学终身教授蒋旭宪博士创办,团队核心成员为海归博士及清华博士,过去在移动安全方面有深厚的积累,先是2012年,率先进行了全球第一个智能手机上的恶意软件基因组研究,目前该研究成果已被全球超过500所的科研机构和知名跨国公司采用。此后又于2014年首次发现了特斯拉汽车的应用程序安全漏洞。成立PeckShield以来,今年上半年因连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞,而广受业内关注。

BCSEC核心创始团队来自于白帽汇安全研究院,拥有行业最大的漏洞平台创办和运营经验,目前已汇聚了数万名白帽子共同守护行业安全。该团队关注和研究最前沿的漏洞以及相关安全情报资讯,可为区块链社区安全运营提供预警,并持续为区块链安全生态提供行业领先的技术解决方案,目前已对数字钱包、交易所、矿池、智能合约等多个应用场景有深厚研究积累。