近期BSC生态系统遭遇了一系列诈骗和广泛的黑客攻击事件。由于BSC区块链具有去中心化、无须许可的属性,要解决这个问题并不容易。目前BSC正面临以下几大挑战:
1. BSC生态系统飞速成长,成为了黑客攻击的特殊目标。这些黑客组织有序,一直试图找到不同协议可能的漏洞,且现在可能找到了更多零日漏洞(被攻击者掌握但未被系统修复的漏洞)。
2. 生态系统中部分项目缺乏软件安全开发的经验,且缺少风控专家,此外还存在缺乏代码审计、渗透测试以及与安全专业人士的协作等问题。
这个问题非常具有挑战性。只有确保安全性的区块链才能获得成功。对币安智能链而言,安全永远摆在第一位,安全第一的原则根植于我们所做的每一件事情。在本文中,我们将介绍一些常见的威胁,并回答大家关于BSC安全迫切想知道的问题。
BSC正面临哪些威胁?
BSC所面临的威胁和大多数加密资产相关威胁并无二致。在某种程度上,BSC可以与2017年的ETH热潮相比。数百个拥有数百万用户的项目涌进区块链,成为黑客和诈骗者的攻击目标。
加密社区遭受过社交诈骗、黑客攻击、个人数据泄露以及虚假项目、庞氏骗局等种种威胁。从那以来,攻击者积累了数年的经验,但他们的运作方式变化并不大。
威胁有两大类:
1. 外部威胁 – 即来自项目外部的威胁。外部攻击者通常会利用技术或运营中存在的漏洞,通过黑客攻击或社会工程攻击等潜入内部系统,并尝试盗窃资金、有价值的信息,或是让项目失败。
2. 内部威胁 - 内部威胁包括臭名昭著的卷款跑路,出逃骗局、内部泄露等,这些相对来说更难防御,通常调查过程也复杂得多。在大多数案例中,都是因为个别团队成员滥用权力谋取私利,但也有极少数案例是有组织作案,以及以团队的形式来执行这些攻击。
币安智能链安全吗?
关于币安智能链(或任何其他区块链)是否安全这个问题,可以从多个方面来回答。其中一个方面是代码、节点,以及区块链本身的安全性,第二个方面则是生态系统的安全性。BSC生态系统由多个部分以及多种参与者组成,而每一个组成部分都会面临不同的威胁。例如代码,算法,验证节点及其硬件,在BSC上进行开发的项目,以及使用这些项目的个人用户等。
去中心化的BSC区块链运行的是开源代码,可以由第三方和公 众进行审计。在开源代码的情况下,任何人(具有相当的技术知识)都可以对代码进行仔细审查,并评估可能的漏洞和威胁。PoSA算法由21个选出的验证节点组成,避免单个验证节点网络控制权过大和滥用权力等问题。
BSC网络及其使用的算法本质上非常安全。BSC一直以来并未发生过安全事故或黑客攻击事件,这就表明了BSC系统本身没有任何的漏洞和攻击向量可供利用。此外,BSC还通过猎人计划激励安全团队及项目对BSC的安全性进行定期仔细审查,确保即使是最微小的问题也能立即得到处理。
BSC上的dApp安全吗?
BSC网络和代码都可以进行验证和审计,但对于每个项目来说就有些困难了。并非每个BSC项目都是开源的,而且开源项目也不意味着它就是安全的。此外,还有智能合约的安全性问题,不存在任何零缺陷代码的事实等。由于每个项目都是由独立团队进行开发,总会有出现漏洞的可能。
由于BSC具有去中心化的属性,几乎任何人都可以在该网络上开发,并将代币上线众多去中心化交易平台中的一个。许多项目没有通过审查流程或中心化治理,因为对项目进行审查会破坏去中心化的属性,这在技术上、逻辑上也是行不通的。
像Peckshield 和Certik 等BSC安全公司都能够审计并验证不同的BSC代币和dApp,通过仔细谨慎的安全审查可以找到代码、商业模式及其他方面的潜在漏洞。此外,这些安全审计工作还通常会对核心团队成员的履历进行验证、对项目的财务状况进行审计。然而,这些审计并不是强制性的,也很少对新的活新兴的dApp进行这些工作。因此,在寻找真正可靠的项目时,我们建议不要投资未经过认证的项目,而是要优先选择经过不同安全公司多次审计的项目。
BSC桥可以阻止黑客攻击或恢复攻击前的状态吗?
在这里我们给出一个直接的答案:不能。桥并不能阻止黑客攻击或恢复可疑的交易。攻击者通常会利用桥将偷窃的资产转移到其它链上,降低被抓获的可能。目前在BSC和其他区块链(例如以太坊、比特币、Tron等)之间有超过十条桥,它们每分钟处理的交易超过数千笔,甚至连桥的运行者都很难识别并阻止可疑交易。在近期发生的事件当中,有七次黑客攻击使用了Anyswap桥来将偷窃的资产转移出BSC区块链。
还需要注意的是,并非所有的桥都采取了反欺诈机制(例如反洗钱、黑名单等等),而很多桥直至今天都没有与任何专业的链上分析或安全企业进行合作以降低风险。
举报诈骗有什么途径?
BSC生态系统的主要安全合作伙伴之一PeckShield为用户提供了一个方便的途径,以举报诈骗或可疑项目。
只需访问网站,并尽可能多地输入你所知道的信息即可。
共建区块链安全
目前有很多有社区驱动的工作旨在增强BSC生态系统的安全性,并保护用户资金和数据安全。像PeckShield、CertiK等安全性企业在审计、威胁情报、安全选项等方面为BSC生态系统提供了帮助,同时各个项目内部也有自己的安全团队。
BSC核心团队将继续与业内领先的安全企业合作,推出更好的基础设施与服务:
1. 猎人计划将引进更多新的合作伙伴,为早期识别问题提供更多积极的渗透性测试。
2. 确定新的专业合作伙伴以建立BSC SAFU基金或者保险协议。
由于近期攻击事件频发,我们号召社区行动起来:
1. 如果你是BSC和dApp用户,请:
a. 拓展知识,参与到不同BSC社区举办的社区教育与意识行动当中,并帮助传播相关知识。
b. 自己对项目进行研究,并避免投资到投机项目当中。访问币安学院了解如何识别DeFi骗局,并定期更新知识。
