区块广播:
第129期
【提问有奖】漏洞即挖矿? 深度畅聊区块链安全进化论!

嘉宾 Daniel Wen

漏洞悬赏漏洞悬赏源起于美国,前有Facebook,Google,微软;后有HackerOne,BugCrowd等商业公司,通过白帽社区帮助企业发现安全漏洞。国内3BAT等一线互联网厂商均有SRC(安全应急响应中心)进行漏洞悬赏计划,他们通过这种方式使外部漏洞数量直线下降至可控范围内,为自己长线的安全体系建设赢得时间和方向指引。但是目前市面上还没…

已结束参与人数:107
  • 最新
  • 最热
  • blockmeta_lsz 队长 发表于2019-07-22 23:06:20

    专揭别人老底,怎么保证自己没有给别人可揭的老底?

    DanielWen 水手 回复blockmeta_lsz 发表于2019-07-24 10:33:20
    这个问题提的很典型也很有趣。首先,主动的发掘漏洞不是"揭老底",而是对整个区块链用户群体负责的行为。每个用户都有权利知道自己的资产是否安全。实际上,有漏洞并不代表一个项目技术不行,漏洞一直都会存在。只有积极发现及时修补才显现项目方对安全的重视。另外,漏洞的信息第一时间会给到相关的厂商而不是"揭发"。我们的初衷是促进行业安全发展,不会针对任何特定厂商。
    DanielWen 水手 回复blockmeta_lsz 发表于2019-07-24 10:33:58
    我们有严格的漏洞通报流程,会第一时间联系存在漏洞的厂商,给予充足的修补时间,不会随意公开漏洞。
    DVP也发布了自己的漏洞赏金计划,欢迎白帽黑客进行安全测试。我们始终相信,及时发现漏洞,修补漏洞,而不是回避漏洞,才能避免造成更大的危害。
  • PHOENIX999 队长 发表于2019-07-22 23:06:22

    DVP是去中心化漏洞悬赏平台,既然如此为何不去专注于漏洞查找呢,为更多的公链或基础链服务,发币的意义何在,如何实现DVP内在价值,DVP的经济模型又是如何么

    DanielWen 水手 回复PHOENIX999 发表于2019-07-24 10:35:18
    首先DVP平台本身的业务不是查找漏洞,而是为查找漏洞的白帽子和厂商之间提供一个协作平台。
    DanielWen 水手 回复PHOENIX999 发表于2019-07-24 10:35:45
    DVP平台想要解决存在于传统众测平台两个问题,一是匿名化的问题,二是奖励发放的问题。
    DanielWen 水手 回复PHOENIX999 发表于2019-07-24 10:36:45
    因为很多白帽子其实并不愿意透露自己的个人信息。但是在传统的平台上,你可能会面临这样一个情况,比如说某个厂商要给你奖励,很有可能是法币。然后你总要提供某一个银行的账号,由此也可以追溯到你的个人信息。
    但在区块链场景下,这个事情就很容易解决了。在DVP平台上,每一个白帽子就是一个地址。厂商给的奖励也可以用数字资产的方式直接发放。也就是说,白帽子可以做到匿名提交,并且这个奖励的授予也是以匿名方式进行的。
    DanielWen 水手 回复PHOENIX999 发表于2019-07-24 10:37:12
    建立“漏洞即挖矿,安全众测即挖矿”的经济模式,建设围绕DVP的安全生态,创造DVP的独特价值。最终在合理的规则下完成自运转,促进整个安全行业的良性循环。
  • DVP主要面向是哪些群体呢,是技术程序员吗?

    DanielWen 水手 回复链节点忠实用户 发表于2019-07-24 10:39:27
    DVP初期面向的更多是需要解决安全问题的优质厂商,与具有安全与技术能力的白帽子。区块链项目用户也可以通过DVP平台了解相关项目的整体安全状况。
  • Damesecrets 副船长 发表于2019-07-23 01:42:33

    供需关系很明确,但是币圈会有那么多的项目需要省计吗?公链的作用是天天运行,不可能每时每刻都有项目方需要进行对漏洞的提交吧,那这公链的意义是撒?在比如漏洞上传后,数据是存放在哪的?怎么保证数据不会泄露从而导致项目方有更大的损失?

    DanielWen 水手 回复Damesecrets 发表于2019-07-24 10:42:34
    现在全球有超过一万个区块链项目,但是能够提供安全服务的公司还不到五十家。所以说,要想找到一个公司可以覆盖所有的攻击面,把整个防守做起来,其难度可想而知。
    DanielWen 水手 回复Damesecrets 发表于2019-07-24 10:44:24
    防守难度大:攻击可能涉及到的面非常广,所以防守时务必要做到非常全面的检测。攻击只需要一个点,防守你要防很多面。
    服务单次性:这也是持续性的问题。安全公司给你提供的服务,或者说你购买的安全服务,往往都是单次性的,也就是说,它只帮你检测一次。
    安全众测具有持续性,和成本费用的优势,与安全服务业务并不冲突,相反,两者将共同为安全行业保驾护航。
    DanielWen 水手 回复Damesecrets 发表于2019-07-24 10:44:54
    建立一条链有几个目的,一是保障安全情报交换过程的保密性,比如,提交漏洞时,会根据厂商提供对公钥对漏洞报告进行加密后,再将数据存放在链上,只要没有相应的私钥,任何第三方都无法得到报告详情,这是由密码学决定的。第二是把这个流程各关键环节存证,建立可验证可信的数据流。第三是保证奖金发放过程的可靠性。
  • 立即 副船长 发表于2019-07-23 03:01:40

    DVP的公链这块还是很绕,公链的共识机制是什么,需要人们去挖矿吗?怎么去挖?贡献算力的人需要参与到漏洞的寻找之中吗,DVP到底是以公链为主附带着漏洞寻找的功能还是专门为寻找BUG的公链?普通用户可以参与到贡献算力的过程中吗?DVP的消耗机制是什么,无限增发不消耗吗?还是通过什么方式会销毁?DVP怎么保证漏洞寻找人的权益?

    DanielWen 水手 回复立即 发表于2019-07-24 10:50:24
    漏洞即挖矿并不是通常意义的POW挖矿。我们的共识将会是dPoS的方式。
    DanielWen 水手 回复立即 发表于2019-07-24 10:51:12
    建立一套完整的通用公有链体系不是DVP的主要目的;更多的是利用已有的底层技术建立一个区块链项目方、安全从业人员和组织之间可信的、隐私的安全情报交换平台;同时建立一个基于通证激励的去中心化自治社区。
    DanielWen 水手 回复立即 发表于2019-07-24 10:51:36
    DVP聚焦在安全领域,也会围绕着区块链安全去开拓市场。一方面,我们会致力于吸引更多全球范围内的安全从业者加入;另一方面,我们会和更多的区块链项目合作,创建适合每个项目的漏洞悬赏的产品。
    同时,我们也将不断与社区生态的白帽技术精英们深度绑定合作,开发安全相关的产品,开放以技术安全的API接口服务,建立围绕DVP社区的安全生态。
    DanielWen 水手 回复立即 发表于2019-07-24 10:52:02
    DVP总量限制为50亿枚,“漏洞即挖矿,安全众测即挖矿”的经济模式即为DVP的现阶段主要消耗场景。随着平台的成长,我们会推出更多丰富的DVP通证体系内循环的方式。
  • blockmeta_r00 船长 发表于2019-07-23 08:25:28

    如果白帽携技自重,漫天要价,怎么破?会不会修复bug时植入连环bug,而达到有矿可挖?

    DanielWen 水手 回复blockmeta_r00 发表于2019-07-24 10:54:09
    参考“先知众测漏洞定级标准”,我们制定了漏洞评级和悬赏的基本规则,主要从漏洞的影响目标、危害程度、利用难度等几个维度来综合判断,可在DVP官网“社区规则”页面进行查看。
    白帽主动发现的漏洞的奖励金额将服从DVP社区公布的基本规则,特定入驻厂商的奖励规则是由厂商自行决定并在DVP公布。白帽享有申诉的权利,当奖励存在争议时,可申请DVP生态治理节点的仲裁解决。
    修复bug也并不由白帽来完成,白帽只是寻找问题、发现问题,并提供一些参考性的修复建议,修复漏洞本身还是由相应的厂商来完成。并不存在植入bug的风险。
  • 能不能简单介绍一下你们对于漏洞是如何评级的?不同级别的漏洞分别都能拿到多少奖励?进你们官网看到奖励基本都是ETH/DVP,未来会增加新的币种吗?

    DanielWen 水手 回复我是警察都别动 发表于2019-07-24 10:55:00
    参考“先知众测漏洞定级标准”,我们制定了漏洞评级和悬赏的基本规则,主要从漏洞的影响目标、危害程度、利用难度等几个维度来综合判断,可在DVP官网“社区规则”页面进行查看。
    对于不同级别的漏洞,DVP的奖励标准中对每个级别都给出了相应的奖励范围,有的高达 66 ETH,有的低至 0.05 ETH,主要通过评级结果来得到相应的奖励范围,再通过相关细则决定发放多少奖励。
    暂没有计划增加新的币种,未来更多的奖励要切换到DVP Token上来,为DVP Token提供流动性支持。
  • hellobitcoin 副船长 发表于2019-07-23 10:46:33

    我有很多问题

    1. DVP一周年了,但之前基本完全没听说过,过去一周年都做了哪些事?
    2. 看到官网上有许多漏洞赏金,这些厂商的入驻规则是怎样的?交易所/公链等比较容易理解,为什么还有派盾这样的安全公司?他们悬赏的漏洞来自何处啊?
    3. 网络安全好像是个很小众的领域,区块链的漏洞感觉就更小之又小了,DVP为什么会切入这个领域呢?这个领域的增长潜力怎么判断?
    4. DVP的代币作用是什么?代币如何给现在DVP平台的模式赋能的?慢雾好像也有个代币,两者区别是什么?
    5. 平台的商业模式是什么?
    6. 想问下Daniel,您怎么看待区块链行业安全团队和项目的发展?
    7. 我不是白帽子,也不是厂商,我参与DVP生态有什么好处?或者说我买DVP代币的价值和动力在哪?
    8. Daniel您的履历十分丰富,但整体偏金融,您为什么选择加入DVP?

    DanielWen 水手 回复hellobitcoin 发表于2019-07-24 10:55:57
    过去一年,DVP一直在低调地深耕区块链安全领域,将重点放在漏洞平台、白帽社区和厂商合作的建设上,已取得了阶段性成果:截至今天,DVP平台注册白帽子超过1.4万名,覆盖厂商1400多家,入驻厂商近百家,入驻安全团队数十家,收录4000多个有效漏洞。
    DanielWen 水手 回复hellobitcoin 发表于2019-07-24 10:56:26
    厂商入驻DVP首先需要验证厂商身份,确认是官方人员注册的账号后才能进行发布赏金计划进行悬赏。厂商需要定义相关的测试范围、漏洞评级规则、奖励规则等内容。在确定这些内容之后厂商还需要缴纳悬赏内容中定义的单个漏洞的最高奖励额度作为保证金,完成这些后就可以发布赏金计划进行悬赏了。
    安全是个需要持续关注的问题,即使是安全公司也不能百分百保证绝对安全,凡是对安全有需求的区块链生态内的项目、厂商,都可以入驻DVP来保障自身安全。
    DanielWen 水手 回复hellobitcoin 发表于2019-07-24 10:57:39
    网络安全其实是一个极大的领域,目前安全领域恰恰相反是一个很大的需求,整个互联网业务的发展前提都得需要安全的保障前提才能发展壮大。目前区块链虽然还在发展初期,但过去几年,区块链行业的发展十分迅猛,这是有目共睹的。区块链领域有两个特点,一个是成长高速,一个是安全人员缺乏。这个正是DVP最好的切入点。DVP的优势在于拥有长期积累,更强大的安全团队合作方、白帽子群体曝光与覆盖,同时拥有更完善的业务流程与更丰富的业务经验。
    从近年不断爆发的各种重大安全事件,我们其实不难看出这个方向的潜力。在体系产品成熟后,DVP还会进一步向区块链领域外扩展。
    DanielWen 水手 回复hellobitcoin 发表于2019-07-24 10:58:51
    “漏洞即挖矿,安全众测即挖矿”的经济模式为DVP Token的核心需求。
    DVP代币的价值将体现在DVP平台的漏洞挖矿业务运作所体现的流通需要,并随着DVP安全生态的不断发展壮大而升值,如DVP安全生态相关项目的投资,第三方API的使用需求,安全产品的使用需求等。
    区块链技术将通过为平台业务实现匿名、社区治理与业务机制去中心化、多重激励等实现对DVP平台的赋能。
    慢雾币主要为慢雾区的威胁情报赋能,目的不同。
    DanielWen 水手 回复hellobitcoin 发表于2019-07-24 11:00:16
    DVP核心目标是利用已有的底层技术建立一个区块链项目方、安全从业人员和组织之间可信的、隐私的安全情报交换平台;同时建立一个基于通证激励的去中心化自治社区。DVP聚焦在安全领域,也会围绕着区块链安全去开拓市场。一方面,我们会致力于吸引更多全球范围内的安全从业者加入;另一方面,我们会和更多的区块链项目合作,创建适合每个项目的漏洞悬赏的产品。

    “漏洞即挖矿,安全众测即挖矿”的经济模式为DVP Token的核心需求。
    DVP代币的价值将体现在DVP平台的漏洞挖矿业务运作所体现的流通需要,并随着DVP安全生态的不断发展壮大而升值,如DVP安全生态相关项目的投资,第三方API的使用需求,安全产品的使用需求等。

    DVP也是本着与经典的比特币、以太坊相同的原则:价值共创、价值共享。
    DanielWen 水手 回复hellobitcoin 发表于2019-07-24 11:01:00
    前面我们也提到过,有提供安全能力的公司也就几十家。而区块链又是一个在高速成长,逐渐渗透在现有互联网和IT架构中的东西。这种供求的不匹配会在相当长时间存在。这就要求我们要最大化利用已有的安全资源。众包/众测/共享的模式显然是一个最合乎逻辑的模式。而解决中心化众包平台的种种问题,利用区块链提供的技术包,去搭建一个去中心自治理的平台是目前看来最有前景的一个方向。我对项目是非常看好的。
    DanielWen 水手 回复hellobitcoin 发表于2019-07-24 11:01:41
    代币的价值将体现在DVP平台的漏洞挖矿业务运作所体现的流通需要,并随着DVP安全生态的不断发展壮大而升值,如DVP安全生态相关项目的投资,第三方API的使用需求,安全产品的使用需求等。
  • 南风共酒 船员 发表于2019-07-23 10:57:05

    Daniel你好,看你以往经验都是偏金融的,怎么会想到做安全这一块?DVP背后的安全团队强大吗?能够支持多大体谅的漏洞任务需求?覆盖了多少白帽?看到你们和BCSEC以及派顿都有合作,能不能详细介绍一下合作的业务?

    DanielWen 水手 回复南风共酒 发表于2019-07-24 11:02:54
    加入DVP,如之前讲的,主要两个原因:一个是优秀的团推,一个是个人对自组织的兴趣。
    DanielWen 水手 回复南风共酒 发表于2019-07-24 11:03:35
    DVP有两大深度合作伙伴:
    1. BCSEC:核心创始团队来自于白帽汇安全研究院,运营着超过2万名白帽子;有行业最大的漏洞平台创办和运营经验;BCSEC聚焦区块链安全生态,提供区块链行业领先的安全解决方案。关注和研究最前沿的漏洞以及相关安全情报资讯,目前已对数字钱包、交易所、矿池、智能合约等多个应用场景有深厚研究积累,可为区块链社区安全运营提供预警,持续为区块链安全生态提供技术支撑。

    2. PeckShield: PeckShield (派盾) 是面向全球的顶尖区块链安全团队,团队核心成员过去在移动安全方面有深厚的积累,提交过大量高质量的漏洞报告,并多次获得谷歌,高通,三星,华为等厂商致谢及奖金。结合对区块链的系统性理解,以及安全研究方面的丰富经验, PeckShield团队于近日接连发现并命名了BEC、SMT、EDU等项目的安全漏洞,这些漏洞一旦被利用,往往会造成直接的、巨大的经济损失。PeckShield团队承袭着以往白帽黑客的背景,协助厂商鉴别风险、解决问题,并通过各种漏洞的曝光,提升区块链整体的安全意识,共同构建更好的区块链生态。

    DanielWen 水手 回复南风共酒 发表于2019-07-24 11:04:02
    派盾和白帽汇已邀请入驻DVP安全团队,后续会作为超级节点,为DVP生态的业务运营与生态治理提供支持。

    仅就DVP而言,在平台的注册的白帽数达到了14000+,专注漏洞悬赏、安全众测业务,如果有其他安全服务相关的需求,我们会与派盾或白帽汇配合,结合安全审计服务+去中心化众测模式,为厂商提供更强大的安全保护。
  • 新世界海贼王 船员 发表于2019-07-23 11:13:58

    区块链行业安全问题层出不穷,即使是一些头部项目和交易所也不能幸免,DVP如何缓解这些问题?

    DanielWen 水手 回复新世界海贼王 发表于2019-07-24 11:04:40
    区块链是一门跨学科技术,仍处于早期阶段,发展更新速度快,这些特点决定了其发展过程中会不断出现新的薄弱环节,仅仅依靠单一的安全团队,很难覆盖所有的薄弱点。安全众测可以对此问题形成很好的补充,让更多专业的安全研究人士从各个角度去寻找漏洞,及时反馈给项目方进行修补。而且这一过程是“按效果付费”,只有找到有效的漏洞时,项目方才需要付费。
  • 新世界海贼王 船员 发表于2019-07-23 11:21:13

    刚又浏览了一下网站,数据相对公开透明,这点值得赞赏。不过也看到平台目前的主要奖励形式是ETH,DVP的奖励很少,是什么原因?等DVP上所吗?未来如果DVP的价值如果波动很大,会影响白帽子和厂商对某个漏洞的奖励预期吗?

    DanielWen 水手 回复新世界海贼王 发表于2019-07-24 11:06:34
    感谢您的认可!DVP没有上交易所,还没有市场价格和流动性,使用DVP作为主要奖励对白帽子激励较弱,因此选择当前认可度较高的ETH作为主要奖励形式。关于奖励会因为奖励token的价格变化而变化的问题,我们会要求入驻厂商在赏金页面做出说明,对某类漏洞,可以奖励固定数量的token,也可以奖励固定法币价值的token,但一旦确定,在一定的周期内不得更改。
  • DVP作为一个去中心化漏洞悬赏的公链,代币的价值谁来维护呢?简单看了下介绍总有种多此一举的感觉,发现有漏洞直接给项目方说就好了,为何还要通过DVP去发布,DVP有什么优势呢,比起与项目方直接联系,代币的结算也是有的疑问,如果你们给漏洞发布者结算了DVP,但是项目方会用什么给你们结算,是提前定好的吗?如果项目方不结算,这给别人结算的DVP算不算没有东西抵押就产生的空气?而且项目方为什么会选择你们去发布漏洞悬赏计划,自己来不是更好更方便吗?你们的优势只有匿名化吗?希望讲解讲解,谢谢。

    DanielWen 水手 回复昵称是个什么鬼 发表于2019-07-24 11:07:49
    代币的价值将体现在DVP平台的漏洞挖矿业务运作所体现的流通需要,并随着DVP安全生态的不断发展壮大而升值,如DVP安全生态相关项目的投资,第三方API的使用需求,安全产品的使用需求等。
    DanielWen 水手 回复昵称是个什么鬼 发表于2019-07-24 11:08:27
    首先,白帽子与厂商沟通是具有一定成本和风险的,从厂商角度来看,若个人通过私下联系厂商的方式通报漏洞并索取奖励,稍微沟通不当可能就会让厂商误以为是在敲诈,给白帽子自身带来风险,且奖励无法得到保障,在厂商得到漏洞详情后忽略白帽子直接修复漏洞也是有可能的。
    其次,厂商运营白帽子社区是具有一定成本的,没有白帽子社群,即使对外声明漏洞悬赏,很多白帽子也不一定能注意到。而DVP的优势在于拥有长期积累,更强大的安全团队合作方、白帽子群体曝光与覆盖,同时拥有更完善的业务流程与更丰富的业务经验。厂商入驻之后立马就会有白帽子关注到,而不用再去建设安全响应平台和运营白帽子社群,提高厂商安全相关的运营效率,同时降低成本。
    DanielWen 水手 回复昵称是个什么鬼 发表于2019-07-24 11:08:58
    DVP Token本身就是具有价值的,在上交易所后白帽子可自行交易,而抵押问题也并不存在,若项目方不进行结算,那么相当于由DVP基金会来垫付,而漏洞的知识产权归于DVP基金会,可用于漏洞修复后在平台公开等用途,以提供白帽子学习,促进整个社区的良性循环。
  • 重庆007 队长 发表于2019-07-23 14:08:05

    dvp总量多少?投资机构?

    DanielWen 水手 回复重庆007 发表于2019-07-24 11:09:33
    总量50亿,地址为https://etherscan.io/token/0x8e30ea2329d95802fd804f4291220b0e2f579812
    DanielWen 水手 回复重庆007 发表于2019-07-24 11:10:31
    投资机构包括OGC,丹华资本,bibox等。
  • jiaowo66 副船长 发表于2019-07-23 15:26:57

    DVP对于提交漏洞者的奖励细节是什么样的?

    DanielWen 水手 回复jiaowo66 发表于2019-07-24 11:11:55
    DVP的奖励规则已公示于DVP官网“社区规则”中,详情请见官网。
    另外,DVP正在举办“区块链安全进化论”周年庆活动,在活动期间对提交漏洞者提供额外丰厚的奖励,欢迎白帽黑客前来参加!详情请见官方公众号DVPNET或链接https://mp.weixin.qq.com/s/d18qppFyo4MI8hEi4PwrIg
    DanielWen 水手 回复jiaowo66 发表于2019-07-24 11:12:48
    DVP的奖励规则已公示于DVP官网“社区规则”中,详情请见官网。
    另外,DVP正在举办“区块链安全进化论”周年庆活动,在活动期间对提交漏洞者提供额外丰厚的奖励,欢迎白帽黑客前来参加!详情请见官方公众号(见二维码)或链接https://mp.weixin.qq.com/s/d18qppFyo4MI8hEi4PwrIg
  • 比特先锋队 水手 发表于2019-07-23 15:50:02

    通过官网,我大概了解到,DVP去中心化漏洞平台,专注区块链生态安全建设,而且不少项目和交易所也成为了你们的漏洞赏金厂商,很多白帽子提交漏洞赚取赏金。但是这些参与者都是那些懂技术的专业人员,对于广大不懂技术的普通投资者或币友来说,他们很难参与其中,请问DVP项目有什么好的计划,针对普通投资者或币友进行推广,让他们也参与到项目生态建设中。

    DanielWen 水手 回复比特先锋队 发表于2019-07-24 11:14:08
    普通投资者可以投票参与平台和链上治理,也可以通过质押给超级节点享受staking收益
    本着社区共建自治的精神,我们也会把平台建设的一些任务以bounty的形式放到社群来做。普通持有者都可以参与。
  • 1
  • 2
  • 3
登录 账号发表你的看法,还没有账号?立即免费 注册
嘉宾介绍
Daniel Wen

DVP CEO

Daniel Wen, DVP首席执行官。 Daniel 在区块链行业、私募股权、投资银行和金融尽职调查领域拥有超过 15 年的经验。 加入DVP前,Daniel 是本体全球生态发展总监。
神回复