遇见FumbleChain,故意有缺陷的区块链

FumbleChain让区块链成为一项运动。

上周四在Black Hat信息安全事件中首次展示,故意缺陷的技术旨在成为加密货币开发人员的教育工具。

“基本上,人们称之为CTF,或者'夺旗',”Kilslski的高级安全工程师Nils Amiet和该项目背后的开发人员之一解释道。 “每当你解决挑战时,那就是你拿到旗帜的时候。 ……挑战非常技术性。“

通过这些策划和游戏化的挑战,目的是向用户介绍区块链技术的复杂性。

据网络安全公司Trail of Bits的联合创始人兼首席执行官Dan Guido称,FumbleChain已经审计了20多个不同的加密货币项目,类似于传统软件开发中使用的战争游戏。

“整个安全行业都在使用竞赛和培训练习,有时候会在30,000或更多玩家的现场比赛中使用,以帮助教育和展示参与者获得的知识,”Guido说道,并补充说:

“区块链安全早就应该拥有自己的战争游戏。”

用户每次利用FumbleChain区块链中的漏洞并捕获一个标记时,都会收集被称为“fumblecoins”的游戏点。 (硬币只是游戏本身的价值。)Kudelski的Amiet说FumbleChain的核心技术“看起来很像比特币”,只是更简单。

区块链网络安全公司CertiK的首席运营官Daryl Hok表示,FumbleChain旨在为来自不同背景的工程师提供区块链“平易近人”的服务。

“(FumbleChain)提供了一种游戏化的战争游戏模式,可能会让广大受众感受到其可接受性和激励性,”Hok说。 “该项目目前主要针对源代码级攻击,而不是针对经济导向的攻击,但这可能是未来增加的内容。”

事实上,Kudelski网络安全研究主管Nathan Hamiel希望FumbleChain能够拥有自己的生命,因为代码已经在GitHub上开源了。

哈米尔说:“像这样的很多项目都会随着人们转向其他事情而逐渐消失。” “我觉得拥有这样一个成功项目的唯一方法就是让它成为开源的。 ……我们希望人们不仅继续利用,而且开发新的挑战,真正加入并成为项目的一部分。“

战斗的教训

哈米尔说,在Kudelski完成了包括隐私币Monero和Zcash在内的加密货币项目的一系列安全审计后,FumbleChain诞生了。

FumbleChain的第一个挑战是模拟所谓的重放攻击,其中重复的事务在两个独立的链上生成。在比特币和比特币现金之间的链条分割中,这个攻击载体在2017年引起了关注。

在FumbleChain上识别的其他区块链攻击媒介包括交易输入验证,公钥和钱包地址不匹配,以及拒绝服务或“垃圾邮件”攻击。

谈到这些网络漏洞,哈米尔说:

“区块链生态系统存在许多与传统(软件)生态系统相同的漏洞。如果你从较低的层面考虑它,如果没有围绕它的生态系统,区块链就不是很有用……交易所,钱包等等。“

因此,FumbleChain还提供基于浏览器的网络钱包和区块链浏览器。

进一步扩大FumbleChain包括智能合约挑战和区块链隐私价格是Hamiel和Amiet希望在未来几个月内看到的下一步。

WatchGuard Technologies的高级安全分析师Marc Laliberte表示,至少可以通过创造“亲身实践”学习的机会,对现有的区块链应用产生影响。

拉利伯特说:

“识别和利用常见漏洞的经验是学习如何不自己犯同样错误的好方法。 FumbleChain为开发人员和爱好者提供了一个了解常见缺陷并在安全生态系统中玩游戏的机会,然后将这些知识带回自己的应用程序。“

通过Kudelski Security的FumbleChain图像

资讯来源:由0x资讯编译自COINDESK。版权归原作者所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢