区块广播:

区块链开发者观点:来自慢雾科技的 Keywolf

dfuseio船员发布在 dfuse
 20021  0

在这里插入图片描述
Source

对于将来的主导 dapp 来说,在其开发堆栈中使用区块链,开发人员需要他们在传统网页开发时所习惯使用的工具和信息通道。 dfuse 与经验丰富的区块链开发人员交流,分享他们的走过的路程、他们使用的工具以及他们的知识来源。 本周我们采访了来自慢雾科技的产品负责人 Keywolf。

向大家介绍下自己吧

我是 Keywolf,慢雾科技合伙人、慢雾区负责人,工作后一直从事安全产品的设计、开发工作,之前一直在互联网企业做甲方安全,现在在慢雾科技做区块链安全。

SlowMist对未来的愿景是什么呢?

慢雾科技是一家区块链安全公司,为客户提供安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务。目前我们已经为全球多家顶级交易所、钱包、链、智能合约等做了安全审计与防御部署,我们团队的安全能力、业务经验均得到客户的广泛好评。

我们一直在深耕 EOS 生态,在 2018 年 6 月主网启动时,为了保障主网顺利启动,我们总结了一份《EOS 超级节点安全执行指南》,为社区中众多超级节点提供了安全保障。在 2018 年 9 月,我们结合以往的 EOS 智能合约安全审计的经验,为开发者整理了一份《EOS 智能合约最佳安全开发指南》,汇总了所有已知的漏洞并提供解决方案,避免后续的开发者因为这些漏洞被攻击。

此外,我们为EOS社区提供了EOS天眼、dapp 防火墙 FireWall.X 两款产品,EOS天眼使用户可以很方便的查询 dapp 合约部署记录,订阅 dapp 合约更新动态;dapp 防火墙 FireWall.X 能够方便开发者对合约调用进行管控,阻止非法访问。同时结合预言机技术还可以实现风险控制,防止资产被攻击者窃取。

区块链生态,自带金融属性,缺乏国家背书,被攻击后溯源又很难。这导致这个生态严重缺乏安全感。慢雾科技作为专注在区块链生态安全的公司,希望通过自己的力量给这个生态带来安全感,努力成为区块链世界的安全基础设施,这是我们的愿景,也是我们的价值观体现。

在区块链上开发时面临的主要挑战是什么?

区块链技术目前仍处于早期,在技术开发方面很多基础设施都没有成型,在这个阶段,开发者只能依靠少量的官方技术文档来进行学习和参考,在这个过程中难免会踩坑,导致之前发生过的攻击事件和已知的漏洞不断的在新上线的 dapp 中出现。

为了解决这个问题,我们慢雾安全团队将所有已知的EOS智能合约漏洞进行了整理,并给每个漏洞提供了相应的解决方案,形成了《EOS 智能合约最佳安全开发指南》,我们希望开发者在阅读、学习完这份指南后能够避免因为这些已知漏洞导致自己的dapp被攻击。

dapp 与SlowMist合作能利用您的哪些优势?

2018 年下半年,EOS 生态安全事件频发,不少智能合约被黑客攻击,造成了大量的 EOS 被窃取,我们分析了大量的智能合约攻击手法,发现了安全防御的痛点和难点,于是我们决定开发一款 dapp 防火墙,能够保障 dapp 的安全。

目前我们的 dapp 防火墙 FireWall.X 已经实现了对恶意账号的屏蔽、黑白名单管理、调用统计、日志记录,还有对恶意转账的识别,并且有一个十分友好的 Web 控制台提供给开发者使用。对于 dapp 开发者来说,他们只需要专注于业务本身,在智能合约安全方面,只需要在编写智能合约时引入我们提供的一个库文件,就可以实现对合约的安全管理,并且我们的 dapp 防火墙 FireWall.X 是免费的,何乐而不为呢?

对于想要在区块链上构建项目的开发人员,您会给出什么建议?

  1. 学习研究已知的智能合约安全漏洞,避免你的智能合约存在这些已知的漏洞,可参考我们在GitHub上发布的《EOS 智能合约最佳安全开发指南》;
  2. 在项目上线前,尽可能进行充分的测试,必要时可邀请专业安全审计机构进行审计,避免上线后遭受攻击导致资产损失;
  3. 保持关注安全动态,在任何新的漏洞被发现时及时检查你的智能合约,确认是否存在同样的漏洞并升级;
  4. 对可能的错误有所准备,建议在智能合约内设计"熔断器",当智能合约出现错误时,可以马上停止合约。

如果你是一个开发人员并希望分享你的区块链开发经验,请随时与我们联系。 我们很乐意将你的访谈整合到我们的系列文章《区块链开发者观点》中。

  • 正序
  • 最新
帖子暂无回复,回帖抢沙发
登录 账号发表你的看法,还没有账号?立即免费 注册
帖子数 56 获赞数 1
dfuse 是区块链 API, 通过组织全球的去中心化数据,帮助开发人员构建高性能的应用程序。 登陆官网 dfuse.io 获取免费 API Key。 进开发者微信群请加管理员:EOS_Canada