区块广播:
第129期
【提问有奖】漏洞即挖矿? 深度畅聊区块链安全进化论!

嘉宾 Daniel Wen

漏洞悬赏漏洞悬赏源起于美国,前有Facebook,Google,微软;后有HackerOne,BugCrowd等商业公司,通过白帽社区帮助企业发现安全漏洞。国内3BAT等一线互联网厂商均有SRC(安全应急响应中心)进行漏洞悬赏计划,他们通过这种方式使外部漏洞数量直线下降至可控范围内,为自己长线的安全体系建设赢得时间和方向指引。但是目前市面上还没…

已结束参与人数:107
  • 最新
  • 最热
  • rainRAID 副船长 发表于2019-07-23 19:57:03

    网站大部分提交的漏洞都是web层面的,好像和区块链关系不大

    DanielWen 水手 回复rainRAID 发表于2019-07-24 11:17:25
    DVP接收各类厂商漏洞,没有偏好,近期web相关的漏洞增多,一定程度上反映了行业发展的现状。
    DVP的现阶段的目标是促进整个区块链生态的安全,而交易所作为区块链行业的“交通枢纽”是至关重要的,因为其掌管着大量的加密货币,很容易成为黑客们的众矢之的,从最早的门头沟事件再到前段时间的币安事件,虽然交易所的安全防护能力在不断加强,但还是容易出现纰漏。由于交易所大多是使用的B/S架构,都是以网站为入口的,而平台内大部分漏洞都是交易所的,所以从层面来看都是处于Web层面。除此以外,平台内的漏洞也不仅限于Web层面,公链(以太坊、亦来云等)、智能合约类的漏洞都是有的,只不过相对较少。
  • cncoin 船长 发表于2019-07-23 20:11:55

    有时候同一个漏洞,有多种表现形式,怎么识别这些不同说法的漏洞是否是同一个?另外,一般来说漏洞都是比较少的,那么怎么保证大多数白帽黑客的寻找漏洞的付出,换句话说这个系统非常好,我花了好长时间没找到漏洞,那么我的工作是不是就算白做了,或者别人和我竞争找漏洞,他先找到,我后找到,那么我的工作也就相当于白做?这样是不是显得不怎么公平?

    DanielWen 水手 回复cncoin 发表于2019-07-24 11:20:41
    对于不同的漏洞,会有专业的审核人员来判断引起这个漏洞的根源,凡是由同一漏洞根源引起的问题,无论是不是不同的形式,都会被判定为同一个漏洞,这是在社区规则中事先确定好的。
    对于花了很多时间没找到漏洞,或找到漏洞了被别人先提交的情况,这种场景其实在白帽子圈子里是有一个共识的,因为这是行业都公认的安全众测的基本规则,白帽子并不会因为这种情况进行申诉。
    这种情况有些类似比特币的挖矿,上万节点都在争夺出块权,然而每个区块奖励只有一个矿工获得。其实是一个很公平的机制。
  • gentledog 船长 发表于2019-07-23 20:32:58

    像DVP这样的专用型小币种通常流动性低,币价波动性大,为什么不选取主流币或者稳定币作奖励呢?而且寻找某一平台漏洞的人通常是对这个平台感兴趣的人,是否可以用这个平台的代币作奖励呢?

    DanielWen 水手 回复gentledog 发表于2019-07-24 11:40:43
    首先,DVP并非仅专注于安全众测业务奖励的币种。或许今天看,DVP是以“漏洞即挖矿”业务为核心的代币。随着DVP平台不断发展,DVP token将不仅仅是一个奖励性代币,随着业务上链,自组织建立,它还肩负治理的功能。DVP的持有者在未来可以通过节点质押,共建普通节点等方式参与治理。DVP的使用场景也会随着安全业务的扩展而增加。
    DanielWen 水手 回复gentledog 发表于2019-07-24 11:41:20
    我们目前使用的主要奖励形式是认可度较高的ETH,后期DVP上所之后将使用DVP作为主要奖励形式,让白帽子和厂商更深度地参与DVP治理。

    关于奖励会因为奖励token的价格变化而变化的问题,我们会要求厂商做出说明,对某类漏洞,可以奖励固定数量的token,也可以奖励固定法币价值的token,但一旦确定,在一定的周期内不得更改,这样厂商和白帽子就会有一定预期。
    之所以现在没有使用各厂商的代币,一是考虑到白帽黑客的接受程度,另一点是因为DVP的愿景是向去中心化的平台公链发展,未来整个业务流程将上链,DVP代币将作为生态体系核心,其他厂商代币可通过跨链和DVP进行互换的形式进入生态,并不会作为直接的奖励形式。
  • 一起哈皮 船员 发表于2019-07-24 09:48:53

    众所周知,区块链不适用于所有行业,DVP与区块链技术有哪些结合的地方?

    DanielWen 水手 回复一起哈皮 发表于2019-07-24 11:44:52
    DVP更多的是利用已有的底层技术建立一个区块链项目方、安全从业人员和组织之间可信的、隐私的安全情报交换平台;同时建立一个基于通证激励的去中心化自治社区。这里面区块链的身份、通证,共识机制、非对称加密等等都是不可获缺的组件。
  • DanielWen 水手 发表于2019-07-24 10:02:02

    大家好,很高兴参加这个AMA。我是DVP的CEO Daniel。

  • 西北小灰狼 副船长 发表于2019-07-24 10:19:55

    漏洞及挖矿,看似口号不错,但有技术门槛,能参与其中的少之又少,是不是有些曲高和寡呢!

    DanielWen 水手 回复西北小灰狼 发表于2019-07-24 11:50:51
    在自组织和平台建设过程里,不仅仅是白帽子可以参与,各项工作和治理都需要广大社区的参与。
  • hellobitcoin 副船长 发表于2019-07-24 11:16:05

    能谈一下您对staking的理解吗?以及对staking未来前景的看法。DVP的staking模式和其他的有什么区别吗?

    DanielWen 水手 回复hellobitcoin 发表于2019-07-24 11:49:17
    staking 的核心首要是解决“nothing at stake"等安全和博弈的问题。对通证持有者来讲也是一个获得稳定收益的方法。这个是POS体系不可或缺的部分,一定会有很好的前景。各家在大的模式上不会有太大的区别,更多是在技术细节和规则上的打磨。我们现在也在做这个事情。
  • 一只胡萝北 管理员 发表于2019-07-24 11:31:02

    AMA到此结束,还有未回答完的问题嘉宾也会陆续答完,感谢大家的积极参与!

  • 1
  • 2
  • 3
登录 账号发表你的看法,还没有账号?立即免费 注册
嘉宾介绍
Daniel Wen

DVP CEO

Daniel Wen, DVP首席执行官。 Daniel 在区块链行业、私募股权、投资银行和金融尽职调查领域拥有超过 15 年的经验。 加入DVP前,Daniel 是本体全球生态发展总监。
神回复