降維安全

降維安全

降維安全實驗室 JohnWick Lab 由百度安全、360 企業安全、看雪研究院等國內著名安全團隊的核心成員創立。曾為微軟、Google、360、騰訊、Facebook 等互聯網獨角獸公司輸出安全能力，旨在打造區塊鏈最全面、最有深度的服務解決方案，為區塊鏈生態安全保駕護航。公司秉持「知攻擊，善防守」的核心理念，圍繞區塊鏈生態環境，提供深度滲透測試、智能合約審計、整體安全解決方案、第三方監控預警、威脅情報輸出等服務。

分析 | 降維：Grin隱私性被破壞是危言聳聽:降維安全實驗室CEO付東亮表示，研究人員Lvan Bogatyy發布的《Breaking Mimblewimble’s Privacy Model》，聲稱可以用極低的成本破壞Mimblewimble協議的隱私性，存在非常大的謬誤。

Lvan Bogatyy研究認為，在網絡中部署足夠的節點，可以在交易打包前，從內存池中獲取原始交易數據（未被CoinJoin混合的數據），并且通過在交易路徑中監聽“蒲公英網絡”的方式，破壞MimbleWimble協議的匿名性，從而偵測到交易雙方的信息。但實際上以Grin為例，無論使用在線交易（交易雙方必須在線簽署交易）或離線交易（通過文件傳輸簽署交易，類似商業合同電子簽名），Grin的初始發送地址都是一次性的臨時地址（或者說根本不存在地址這個概念），且無法與其他相關地址進行分組匹配，從而無法破壞隱私性。

Grin是一個遵循比特幣原教旨主義，并且通過技術革新，提高區塊確認速度和減少區塊體積的新鏈。現在這條鏈處于早期，但是已經擁有3000個以上節點。每個塊的數據，并非全都是用戶交易，其主要內容是匿名集。在最近1000個塊中，有22%僅有一個交易TX，有30%不包含TX。用戶交易信息永遠不會超過Grin自身匿名集的大小。所以Grin的用戶并不用擔心所謂的隱私泄露問題。當然，Grin還有一些其他的隱私保護措施，可以參考Grin的源碼及官方開發團隊的信息。[2019/11/19]

由降維安全實驗室核心成員領隊，模擬真實攻擊環境，對合作企業提供全方位、深層次的安全漏洞檢測服務，旨在第一時間發現企業應用中存在的安全漏洞。

動態 | 降維安全：交易所被撞庫 交易所自身占主要責任:據部分用戶爆料，國內某知名數字資產交易所疑似被撞庫攻擊，目前已有部分用戶賬戶被盜用，撞庫攻擊指的是攻擊者通過利用已掌握的歷史數據庫中的用戶名和密碼對目標交易所進行登錄，進而獲取賬號控制權。針對該交易所的漏洞，2018年9月份某白帽黑客在白細胞安全社區發布過該漏洞，白細胞安全社區已對該數字貨幣交易平臺進行預警，但一直未得到該交易平臺方面的回應。降維安全實驗室認為：交易所被撞庫，不應是用戶責任而是交易所的責任，交易所應構建自己的風控體系，在登錄IP、設備指紋、瀏覽器指紋等層面進行多因素認證，以抵御撞庫攻擊，并及時處理第三方安全公司安全預警。[2019/3/14]

智能合約審計服務以業內知名安全專家團隊人工審計為核心，結合降維安全實驗室開發的 Autoaudit For Smart Contract 智能合約審計輔助工具，可有效提升審計覆蓋度和準確率，全方位檢測智能合約代碼中存在的問題。

獨家 | 降維安全實驗室：區塊鏈的匿名性給黑客非法獲利變現提供了便利途徑:2015年起，大連晟平網絡科技有限公司在全國各地招聘代理,來推廣捆綁著挖礦程序的木馬58迅推增值客戶端,一旦客戶端植入電腦主機,就會靜默下載挖礦監控軟件和挖礦程序運行,挖到的礦幣（如DGB\\DCR\\SC）會轉移到公司控制人賀某的虛擬貨幣錢包中。該公司非法利用黑客技術控制電腦主機389萬臺、共非法獲利1500萬。

對此，降維安全實驗室安全專家在接受金色財經獨家專訪時分析，不法分子利用黑客技術獲利的觸角已從互聯網行業伸到區塊鏈行業，所有的個人電腦、手機都可能變成黑客的非法提款機。

1、由于很難追查到數字貨幣流向地址所屬人的真實身份，所以區塊鏈的匿名性給黑客非法獲利變現提供了極為便利的途徑。利用區塊鏈非法獲利的攻擊將成指數級上升。

2、挖礦將大幅度降低電腦及手機的性能、增加耗電量。當用戶的手機或電腦出現操作時變慢或發熱量突然增大的現象，就有可能已經被黑客植入了挖礦代碼進行非法挖礦。

3、常見的挖礦攻擊方式包括1）在網頁中植入挖礦代碼，用戶訪問網頁時電腦或手機就開始滿負荷運行，成為黑客的免費礦機。2）應用程序及手機APP中被捆綁挖礦木馬，用戶一旦安裝此程序，即自動在用戶電腦或手機下載挖礦程序并進行隱秘挖礦，將非法所得時時轉入黑客個人數字貨幣地址。

4、對于用戶而言雖然沒有絕對的安全，但是好的電腦及手機使用習慣可以降低被黑客利用的可能性。1）不要隨意登錄不知名網站，避免被網站中的挖礦代碼驅動進行挖礦2）電腦下載應用程序時應盡可能在應用所屬的官方網站下載，在其他第三方網站下載可能存在應用程序本身已被捆綁挖礦木馬的風險3）手機下載App時，蘋果手機應在蘋果Appstore下載，安卓手機應盡可能去App所屬官網下載或在國內著名的手機應用市場下載。在其他地方下載會存在App已捆綁挖礦木馬的風險。

5、無論國內還是國外，未經用戶允許擅自使用用戶的計算資源都屬于違法行為。在機構嚴厲打擊此類違法行為同時，用戶也應該主動提高自身安全意識、養成良好的電腦、手機使用習慣。更好的保護自己的資產。[2018/7/11]

為有效降低交易所數字資產被盜風險，我們為交易所提供定制化的安全整體解決方案。從區塊鏈生態的攻擊鏈入手，在攻擊發生前、中、后三個關鍵環節來進行預判、報警、溯源。

依靠對真實攻擊過程的技術回溯還原完整攻擊過程，與業內合作伙伴進行威脅情報共享以及攻擊者網絡畫像。幫助企業進行法律證據固定及找回丟失資產。

Tags：安全

官方

• 

  Facebook

• 

  Twitter

• 

  Weibo

• 

  YouTube