遇見FumbleChain,故意有缺陷的區塊鏈
FumbleChain讓區塊鏈成為一項運動。
上周四在Black Hat信息安全事件中首次展示,故意缺陷的技術旨在成為加密貨幣開發人員的教育工具。
「基本上,人們稱之為CTF,或者'奪旗',」Kilslski的高級安全工程師Nils Amiet和該項目背後的開發人員之一解釋道。 「每當你解決挑戰時,那就是你拿到旗幟的時候。 ……挑戰非常技術性。「
通過這些策劃和遊戲化的挑戰,目的是向用戶介紹區塊鏈技術的複雜性。
據網路安全公司Trail of Bits的聯合創始人兼首席執行官Dan Guido稱,FumbleChain已經審計了20多個不同的加密貨幣項目,類似於傳統軟體開發中使用的戰爭遊戲。
「整個安全行業都在使用競賽和培訓練習,有時候會在30,000或更多玩家的現場比賽中使用,以幫助教育和展示參與者獲得的知識,」Guido說道,並補充說:
「區塊鏈安全早就應該擁有自己的戰爭遊戲。」
用戶每次利用FumbleChain區塊鏈中的漏洞並捕獲一個標記時,都會收集被稱為「fumblecoins」的遊戲點。 (硬幣只是遊戲本身的價值。)Kudelski的Amiet說FumbleChain的核心技術「看起來很像比特幣」,只是更簡單。
區塊鏈網路安全公司CertiK的首席運營官Daryl Hok表示,FumbleChain旨在為來自不同背景的工程師提供區塊鏈「平易近人」的服務。
「(FumbleChain)提供了一種遊戲化的戰爭遊戲模式,可能會讓廣大受眾感受到其可接受性和激勵性,」Hok說。 「該項目目前主要針對源代碼級攻擊,而不是針對經濟導向的攻擊,但這可能是未來增加的內容。」
事實上,Kudelski網路安全研究主管Nathan Hamiel希望FumbleChain能夠擁有自己的生命,因為代碼已經在GitHub上開源了。
哈米爾說:「像這樣的很多項目都會隨著人們轉向其他事情而逐漸消失。」 「我覺得擁有這樣一個成功項目的唯一方法就是讓它成為開源的。 ……我們希望人們不僅繼續利用,而且開發新的挑戰,真正加入並成為項目的一部分。「
戰鬥的教訓
哈米爾說,在Kudelski完成了包括隱私幣Monero和Zcash在內的加密貨幣項目的一系列安全審計後,FumbleChain誕生了。
FumbleChain的第一個挑戰是模擬所謂的重放攻擊,其中重複的事務在兩個獨立的鏈上生成。在比特幣和比特幣現金之間的鏈條分割中,這個攻擊載體在2017年引起了關注。
在FumbleChain上識別的其他區塊鏈攻擊媒介包括交易輸入驗證,公鑰和錢包地址不匹配,以及拒絕服務或「垃圾郵件」攻擊。
談到這些網路漏洞,哈米爾說:
「區塊鏈生態系統存在許多與傳統(軟體)生態系統相同的漏洞。如果你從較低的層面考慮它,如果沒有圍繞它的生態系統,區塊鏈就不是很有用……交易所,錢包等等。「
因此,FumbleChain還提供基於瀏覽器的網路錢包和區塊鏈瀏覽器。
進一步擴大FumbleChain包括智能合約挑戰和區塊鏈隱私價格是Hamiel和Amiet希望在未來幾個月內看到的下一步。
WatchGuard Technologies的高級安全分析師Marc Laliberte表示,至少可以通過創造「親身實踐」學習的機會,對現有的區塊鏈應用產生影響。
拉利伯特說:
「識別和利用常見漏洞的經驗是學習如何不自己犯同樣錯誤的好方法。 FumbleChain為開發人員和愛好者提供了一個了解常見缺陷並在安全生態系統中玩遊戲的機會,然後將這些知識帶回自己的應用程序。「
通過Kudelski Security的FumbleChain圖像