区块广播:
第129期
【提问有奖】漏洞即挖矿? 深度畅聊区块链安全进化论!

嘉宾 Daniel Wen

漏洞悬赏漏洞悬赏源起于美国,前有Facebook,Google,微软;后有HackerOne,BugCrowd等商业公司,通过白帽社区帮助企业发现安全漏洞。国内3BAT等一线互联网厂商均有SRC(安全应急响应中心)进行漏洞悬赏计划,他们通过这种方式使外部漏洞数量直线下降至可控范围内,为自己长线的安全体系建设赢得时间和方向指引。但是目前市面上还没…

已结束参与人数:107

漏洞悬赏


漏洞悬赏源起于美国,前有Facebook,Google,微软;后有HackerOne,BugCrowd等商业公司,通过白帽社区帮助企业发现安全漏洞。国内3BAT等一线互联网厂商均有SRC(安全应急响应中心)进行漏洞悬赏计划,他们通过这种方式使外部漏洞数量直线下降至可控范围内,为自己长线的安全体系建设赢得时间和方向指引。


但是目前市面上还没有一个去中心化的漏洞悬赏平台。所有的悬赏任务,都是通过中心化的平台,或者邮件等方式沟通,低效且耗时,限制了悬赏活动的使用范围,并且它要求企业雇用专门的人员审核所有的悬赏任务,而提交者又不愿意过多的暴露自己的身份,以及联系方式等个人隐私。


去中心化的漏洞平台是未来的一个趋势。对于去中心化的漏洞平台来说,中心化漏洞平台具有的优点它都能有,而且它还能具备一些独有的特性:使用假名制对白帽子提供隐私保护;通过多方监督、仲裁等手段解决厂商不诚实的问题;通过加密算法解决厂商对漏洞详情的保密要求;通过经济激励手段来保障漏洞的审核速度;以及通过去中心化解决单点故障与安全问题。


安全众测

众包(Crowd-sourcing)模式在安全测试领域的一种表现。即企业把自己的产品给到安全众测平台,由平台的安全人员(不隶属于平台,而是来自互联网)进行安全测试。


关于DVP

DVP全称是Decentralized Vulnerability Platform(去中心化漏洞平台),旨在利用区块链技术,连接白帽子和厂商,建立匿名化的安全众测社区场景,打造去中心化,公开透明、漏洞即挖矿的平台概念。


DVP采取去中心化漏洞补贴平台模式总量40%的DVP token将在未来以安全业务挖矿、超级节点Staking、社区治理奖励三种形式奖励给DVP的核心参与者。(官网:https://dvpnet.io


DVP协议和公链


DVP 协议通过创建可伸缩低成本的系统,来解决区块链项目的安全问题。随着时间的推移,我们希望每一个区块链项目都能使用 DVP 协议来执行安全审计,因为在区块链项目中安全是最基本的要求。


协议包含主要的悬赏支付系统:
一个自动的赏金支付系统,用于奖励查找漏洞的人工参与者,建立白帽子与项目方的一个自动悬赏支付系统。
DVP 协议依赖于参与者们的分布式网络,来减轻坏角色的作用,提供所需的算力,还有提供治理。每一个参与者都使用 DVP 协议积分来支付、接收,或者提高验证服务。


嘉宾介绍



Daniel Wen, DVP首席执行官。
Daniel 在区块链行业、私募股权、投资银行和金融尽职调查领域拥有超过 15 年的经验。
加入DVP前,Daniel 是本体全球生态发展总监。他曾管理本体的市场营销、业务发展和解决方案团队,并在本体生态系统合作伙伴网络的开发方面发挥了重要作用。
在加入本体团队之前,他曾为国际银行、财富500强跨国公司和四大会计师事务所工作。Daniel 拥有澳大利亚管理研究生院 (新南威尔士大学) 的 MBA 学位和中国人民大学金融和银行学士学位。


AMA时间


7月24日,周三,上午10点


如今大火的Staking还能怎么玩?

神秘正义的白帽黑客如何捍卫区块链安全?

通证经济如何赋能安全众测场景?

普通投资人如何参与?

更多关于区块链安全的问题,欢迎来聊!


如何参与AMA?


在本主题帖下直接回帖提问即可参与,嘉宾将在活动开始后上线回答,欢迎大家围观讨论!


提问有奖


在本主题帖下提问,AMA结束后DVP将随机抽取10名幸运者,每人给予100DVP的奖励;另选取2条高质量提问,每人给予500DVP的奖励。欢迎大家踊跃提问!(加DVP客服微信号f1ndfreedom进入官方活动群获取更多信息和惊喜。)


  • 最新
  • 最热
  • 一只胡萝北 管理员 发表于2019-07-22 10:29:24

    欢迎大家提问!

  • 胖呆 船员 发表于2019-07-22 13:50:23

    40%的DVP token实现漏洞悬赏,那请问另外60%作何处理?并且漏洞悬赏本身是有较高的技术门槛的,参与漏洞悬赏计划的一定是少部分人群,能否简单介绍一下在这样的前提下,究竟有哪些手段可以保证完全去中心化且公开透明呢?

    DanielWen 水手 回复胖呆 发表于2019-07-24 10:03:43
    其余60%部分主要分配在团队激励、愿景生态基金、战略合作伙伴这几个方面。这几个部分会按照项目的进展逐步释放。社区治理的重大事项会通过社区建议,公开投票的方式进行。
    去中心化是一个循序渐进的过程,要匹配项目的成熟度逐步推进。这个过程需要团队的努力,更需要社区的积极参与。只有社群积极参与,为项目贡献并获得相应回报,才能保证token分配的均衡,从而促进去中心化。
  • Joanna 水手 发表于2019-07-22 13:58:47

    看到Daniel曾经是本体全球生态发展总监,众所周知本体是国内较为出色的项目之一,那将来在DVP的运营策略上,Daniel会走什么样的市场开拓道路呢?与本体的运营策略差异在哪里?能否简单介绍一下。

    DanielWen 水手 回复Joanna 发表于2019-07-24 10:06:04
    本体是公有链的典范,技术和生态都非常成熟。本体的定位是建立一套基于区块链的商业通用基础设施,包括去中心化的身份协议、数据交换协议、智能合约体系以及跨链协议。尤其是在本体和NEO实施跨链后,这个体系更加完整和强大了。
    DanielWen 水手 回复Joanna 发表于2019-07-24 10:06:44
    建立一套完整的通用公有链体系不是DVP的主要目的;更多的是利用已有的底层技术建立一个区块链项目方、安全从业人员和组织之间可信的、隐私的安全情报交换平台;同时建立一个基于通证激励的去中心化自治社区。DVP聚焦在安全领域,也会围绕着区块链安全去开拓市场。一方面,我们会致力于吸引更多全球范围内的安全从业者加入;另一方面,我们会和更多的区块链项目合作,创建适合每个项目的漏洞悬赏的产品。
    DanielWen 水手 回复Joanna 发表于2019-07-24 10:07:19
    实际上,本体和DVP很多互补性。比如本体的去中心化身份、跨链/侧链等技术都非常适合用于DVP平台建设。而DVP整个生态也能够为本体这样的头部项目提供持续性的低成本的安全服务。
  • 你在思念谁 船员 发表于2019-07-22 15:27:14

    如何确保漏洞不被恶意泄露?

    DanielWen 水手 回复你在思念谁 发表于2019-07-24 10:08:35
    主要是两个方面:技术上,利用区块链的不对称加密进行安全情报定向传递,以及对消息传递过程存证。激励上,利用通证进行经济激励,并结合基于链上信息的声誉体系做到作恶有损失,行善有奖励。
  • DVP小爱 水手 发表于2019-07-22 16:21:21

    请大家积极关注DVPNET微信号或dvpnet.io官方网站~

  • 利特了 船员 发表于2019-07-22 16:34:26

    对比市面上已有的漏洞平台,你们的优势在哪?

    DanielWen 水手 回复利特了 发表于2019-07-24 10:10:23
    DVP运行近一年以来,已经有超过14000名注册白帽子,覆盖超过1400个区块链项目厂商,入驻厂商近百家,入驻安全团队数十家,收录4000多个有效漏洞,发放奖金上千Ether。目前发布赏金计划的头部厂商有NEO,MXC,Gate,Bibox,Fishpool等42家。在规模上已经处于细分头部位置。
    DanielWen 水手 回复利特了 发表于2019-07-24 10:10:52
    我们的深度合作伙伴包括白帽汇、派盾等安全领域的实力派,有强大的技术后盾。
    后续我们会加强通证的流通,进一步增强其激励作用。
    hellobitcoin 副船长 回复DanielWen 发表于2019-07-24 10:20:51
    Fishpool是F2pool吗?
  • 打倒bm 船员 发表于2019-07-22 16:52:13

    漏洞挖矿具体如何操作呢?普通DVP持有者可以参与Staking吗?还是只有白帽才可以

    DanielWen 水手 回复打倒bm 发表于2019-07-24 10:11:25
    漏洞挖矿只要有一定技术基础的都可以参与,具体的操作部分请参见DVP官网dvpnet.io和白皮书。
    普通用户可以参与Staking。目前我们的节点体系还在技术细节的推敲过程中,未来上线会有普通DVP持有人参与节点的设计。这是整个平台通证体系核心部分,我们希望慎重稳妥的推出。
    DanielWen 水手 回复打倒bm 发表于2019-07-24 10:11:56
    漏洞挖矿只要有一定技术基础的都可以参与,具体的操作部分请参见DVP官网和白皮书。
    普通用户可以参与Staking。目前我们的节点体系还在技术细节的推敲过程中,未来上线会有普通DVP持有人参与节点的设计。这是整个平台通证体系核心部分,我们希望慎重稳妥的推出。
  • meiti123 船员 发表于2019-07-22 17:54:06

    交易所能够通过DVP解决被盗的问题吗?能不能列举一下一些常见的漏洞和相应的解决方案?

    DanielWen 水手 回复meiti123 发表于2019-07-24 10:12:38
    交易所被盗的原因多种多样。DVP平台存在的意义在于提供了一个可持续的、覆盖更广的漏洞发现和修复的平台。但这个平台的有效性也取决于交易所对安全问题的重视;比如接到漏洞的通报,迅速评估和认领漏洞;对已知漏洞及时修复;入驻平台并设立长期的漏洞悬赏项目。这些都会很好的降低被盗的可能。区块链安全问题的解决需要全行业,包括用户自身,共同协作。
    DanielWen 水手 回复meiti123 发表于2019-07-24 10:13:26
    这里简单列几个常见漏洞。
    DanielWen 水手 回复meiti123 发表于2019-07-24 10:13:47
    假充值漏洞:交易所在验证充值交易时没有严格验证转账是否真的成功,以及没有验证余额是否有增加导致的一种漏洞,常见的解决方案就是在用户充值之后,一定要验证相应的收款地址的余额是否有等额增加。
    SQL注入漏洞:SQL注入攻击是黑客对数据库进行攻击的常用手段之一。这种漏洞是因为开发人员在引入外部数据时未经过安全检查直接带入到SQL语句中导致的,这种漏洞会导致平台数据库内的数据全部泄漏,更严重的可导致数据被篡改,甚至影响到服务器的安全。常见的解决方案就是在使用SQL语句时使用参数化查询,在接收来自外部的参数时需要经过检查以及过滤。
    DanielWen 水手 回复meiti123 发表于2019-07-24 10:14:37
    XSS漏洞:XSS漏洞是黑客对客户端进行攻击的常用手段之一。这种漏洞是因为开发人员在引入外部数据时未经过安全检查直接带入到网页中导致的,当网页客户端被植入恶意代码时,可能会导致产生客户端的身份凭证被窃取(俗称盗号)、敏感信息泄漏等危害。常见的解决方案就是在引入外部数据到网页中时,先经过安全检查以及过滤。
    逻辑漏洞:逻辑漏洞是黑客对平台业务进行攻击的常用手段之一。这种漏洞是因为在程序设计、编码时,逻辑不严谨导致的,常见的逻辑漏洞有任意密码重置(篡改别人密码)、任意改绑等类型。这类问题属于最难解决的一类,无法依赖自动化的工具和简单的防护来解决,需要人工对代码中的逻辑进行梳理以及测试来解决。
  • 请用一句话介绍你们在做的事

    DanielWen 水手 回复吃不吃鸡汤挂面 发表于2019-07-24 10:16:10
    去中心化漏洞悬赏平台和白帽子自治理社区。
  • 摇铃唤白鹿 船员 发表于2019-07-22 18:35:56

    你们的节点如何竞选呢?DVP持有者可以参与社区治理吗?

    DanielWen 水手 回复摇铃唤白鹿 发表于2019-07-24 10:18:13
    我们的节点体系还在技术细节的推敲中。
    基本的竞选规则,将对参与者的安全能力、信用等级、进行评级分类,并由社区核心参与者共同参与投票。
    DVP持有者参与治理是一条基本原则。
  • 明月踏清风 水手 发表于2019-07-22 18:40:52

    DVP如何分配?会考虑上交易所IEO吗?

    DanielWen 水手 回复明月踏清风 发表于2019-07-24 10:18:52
    40%用于“漏洞即挖矿”以及社区运营。其余60%部分主要分配在团队激励、愿景生态基金、战略合作伙伴这几个方面。
    交易所当然会上,但不一定是IEO模式。
  • 魔女样的猫 船员 发表于2019-07-22 21:09:11

    你好 作为一个漏洞悬赏平台 如何确保用户不利用平台公布的相关漏洞进行作恶?对相关漏洞的评级以及悬赏如何做到确等性?DVF的生态场景只能用于漏洞悬赏,还是有其他让普通投资者参与的应用场景?

    DanielWen 水手 回复魔女样的猫 发表于2019-07-24 10:21:06
    DVP在收到漏洞报告后,并不会直接对外公布,而是第一时间联系漏洞所属厂商,提醒其尽快修复。在漏洞修复之后,会公示一条简易信息,以显示白帽子和厂商之间提交漏洞和接收奖励的过程,并不会披露更多细节,无法被用来作恶。
    对于部分无法取得联系或拒不配合修复漏洞的厂商,DVP会酌情公布其漏洞,目的是提醒其他厂商和用户及时防范相关风险。此外,对于一些具有典型意义的漏洞,出于行业交流学习的目的,也会进行公布,但该类漏洞均是已经修复和脱敏后的,无法再被用来作恶。
    DanielWen 水手 回复魔女样的猫 发表于2019-07-24 10:22:57
    参考“先知众测漏洞定级标准”,我们制定了漏洞评级和悬赏的基本规则,可在DVP官网“社区规则”页面进行查看。
    对于发布赏金计划的入驻厂商,我们会要求其制定更具体的测试范围、漏洞评级和奖励规则。
    对于所有漏洞,我们都会有专业的人员进行初审、复审,最后再依据相关的悬赏规则对漏洞进行评级,当漏洞存在争议时,会联合多家安全厂商进行投票决定。
    DanielWen 水手 回复魔女样的猫 发表于2019-07-24 10:23:26
    我们希望建立的是一个去中心化自治理的组织。在这个过程中非白帽子群体可以有多种方式的参与,比如参与节点质押,共建普通节点,市场教育,活动组织宣讲,文献撰写等等。
  • jiang2009hit 船员 发表于2019-07-22 21:31:42

    如何竞选呢?DVP持有者享受什么红利

    DanielWen 水手 回复jiang2009hit 发表于2019-07-24 10:24:29
    我们的节点结构设计将分为仲裁节点和普通节点。仲裁节点的产生早期还是从专业安全机构里来,后续会引入更多白帽子和安全团队,逐渐引入竞选机制。前面提到过非白帽子也有多种方式参与平台建设和维护。DVP的持有者在未来可以通过节点质押,共建普通节点等方式参与治理,获得相应激励。
  • Jd176 船员 发表于2019-07-22 21:32:49

    普通用户怎么参与社区共建?DVP持有者享受什么红利

    DanielWen 水手 回复Jd176 发表于2019-07-24 10:27:30
    前面提到过非白帽子也有多种方式参与平台建设和维护。DVP的持有者在未来可以通过节点质押,共建普通节点等方式参与治理,获得相应激励。
  • Frank1003 副船长 发表于2019-07-22 22:20:31

    DVP作为一个去中心化漏洞悬赏的公链,代币的价值谁来维护呢?简单看了下介绍总有种多此一举的感觉,发现有漏洞直接给项目方说就好了,为何还要通过DVP去发布,DVP有什么优势呢,比起与项目方直接联系,代币的结算也是有的疑问,如果你们给漏洞发布者结算了DVP,但是项目方会用什么给你们结算,是提前定好的吗?如果项目方不结算,这给别人结算的DVP算不算没有东西抵押就产生的空气?而且项目方为什么会选择你们去发布漏洞悬赏计划,自己来不是更好更方便吗?你们的优势只有匿名化吗?希望讲解讲解,谢谢。

    DanielWen 水手 回复Frank1003 发表于2019-07-24 10:30:16
    代币的价值将体现在DVP平台的漏洞挖矿业务运作所体现的流通需要,并随着DVP安全生态的不断发展壮大而升值,如DVP安全生态相关项目的投资,第三方API的使用需求,安全产品的使用需求等。
    DanielWen 水手 回复Frank1003 发表于2019-07-24 10:30:42
    项目方将事先通过购买DVP,并在平台进行质押,成为平台入驻厂商,更快更有效的解决其相应的安全需求。为了业务的发展,我们使用了有价格共识的ETH作为早期业务结算Token,之后我们将逐步使用DVP完成取代。
    DanielWen 水手 回复Frank1003 发表于2019-07-24 10:31:23
    首先,白帽子与厂商沟通是具有一定成本和风险的,从厂商角度来看,若个人通过私下联系厂商的方式通报漏洞并索取奖励,稍微沟通不当可能就会让厂商误以为是在敲诈,给白帽子自身带来风险,且奖励无法得到保障,在厂商得到漏洞详情后忽略白帽子直接修复漏洞也是有可能的。
    DanielWen 水手 回复Frank1003 发表于2019-07-24 10:31:59
    厂商运营白帽子社区是具有一定成本的,没有白帽子社群,即使对外声明漏洞悬赏,很多白帽子也不一定能注意到。而DVP的优势在于拥有长期积累,更强大的安全团队合作方、白帽子群体曝光与覆盖,同时拥有更完善的业务流程与更丰富的业务经验。厂商入驻之后立马就会有白帽子关注到,而不用再去建设安全响应平台和运营白帽子社群,提高厂商安全相关的运营效率,同时降低成本。
  • 1
  • 2
  • 3
登录 账号发表你的看法,还没有账号?立即免费 注册
嘉宾介绍
Daniel Wen

DVP CEO

Daniel Wen, DVP首席执行官。 Daniel 在区块链行业、私募股权、投资银行和金融尽职调查领域拥有超过 15 年的经验。 加入DVP前,Daniel 是本体全球生态发展总监。
神回复