基于區(qū)塊鏈和去中心化技術(shù)的DVP漏洞信息展現(xiàn)平臺(tái)介紹

根據(jù)coinmarketcap統(tǒng)計(jì)，2019年6月，區(qū)塊鏈加密貨幣的市值就已經(jīng)突破了2500億美元，2018年初更是一度突破8000億美元，已經(jīng)在市場流通的加密貨貨幣高達(dá)2000多種，再考慮到未反映在其中的交易所、錢包、挖礦、媒體等相關(guān)產(chǎn)業(yè)，整個(gè)行業(yè)已初具規(guī)模，且仍有較大的成長速度和成長空間。

另一方面，區(qū)塊鏈行業(yè)仍處于初級(jí)發(fā)展階段，技術(shù)和理念的不成熟造成安全問題頻出，加之區(qū)塊鏈產(chǎn)品多具有金融屬性，鏈上資產(chǎn)在很多國家又不受法律保護(hù)的，且去中心化屬性導(dǎo)致資產(chǎn)難以控制和追索，使得區(qū)塊鏈項(xiàng)目成為黑客理想的攻擊目標(biāo)。

據(jù)統(tǒng)計(jì)，區(qū)塊鏈相關(guān)的安全事件造成的損失一直處于上升的趨勢(shì)。 BCSEC的統(tǒng)計(jì)數(shù)據(jù)顯示，2018年區(qū)塊鏈重大安全事件數(shù)量達(dá)到創(chuàng)紀(jì)錄的139起，造成的經(jīng)濟(jì)損失為 22.38億美元，歷史最高；2019年上半年重大安全事件已達(dá)68起，造成的經(jīng)濟(jì)損失為6.84億美金；攻擊手段層出不窮，難以招架。

因此，區(qū)塊鏈安全變得尤為重要，與區(qū)塊鏈行業(yè)同步發(fā)展刻不容緩。

然而，與區(qū)塊鏈安全的嚴(yán)峻形勢(shì)相對(duì)應(yīng)的，是區(qū)塊鏈安全公司和安全研究人員匱乏的現(xiàn)狀。在這種情況下，區(qū)塊鏈的發(fā)展是沒有保障的，尤其考慮到當(dāng)前的區(qū)塊鏈企業(yè)多為初創(chuàng)企業(yè)、中小企業(yè)，資金實(shí)力有限，難以聘請(qǐng)到專業(yè)的安全研究人員對(duì)自己的區(qū)塊鏈產(chǎn)品進(jìn)行持續(xù)的安全測試。

在這樣的條件下，安全眾測是理想的解決方案，可以更加靈活地對(duì)區(qū)塊鏈安全人員進(jìn)行動(dòng)態(tài)分配，更好地支撐區(qū)塊鏈的發(fā)展。區(qū)塊鏈企業(yè)可以對(duì)安全測試進(jìn)行懸賞，激勵(lì)白帽子自發(fā)去尋找區(qū)塊鏈的潛在漏洞，依靠白帽子的力量發(fā)現(xiàn)安全問題并及時(shí)排除。然而，這一模式的問題在于：廠商和白帽子如何建立信任關(guān)系。

而信任問題，正可以通過區(qū)塊鏈技術(shù)來彌補(bǔ)。通過區(qū)塊鏈技術(shù)搭建可信任的漏洞平臺(tái)，再反過來為區(qū)塊鏈安全提供保障，彼此相輔相成，可以真正做到區(qū)塊鏈與區(qū)塊鏈安全同步發(fā)展。

基于這樣的理念，為了更好的保護(hù)區(qū)塊鏈生態(tài)安全，BCSEC 和 PeckShield 共同發(fā)起建立了 DVP——Decentralized Vulnerability Platform，去中心化漏洞懸賞平臺(tái)。

DVP 協(xié)議和公鏈

DVP 協(xié)議通過創(chuàng)建可伸縮低成本的系統(tǒng)，來解決區(qū)塊鏈項(xiàng)目的安全問題。隨著時(shí)間的推移，我們希望每一個(gè)區(qū)塊鏈項(xiàng)目都能使用 DVP 協(xié)議來執(zhí)行安全審計(jì)，因?yàn)樵趨^(qū)塊鏈項(xiàng)目中安全是最基本的要求。

協(xié)議包含主要的懸賞支付系統(tǒng)：

一個(gè)自動(dòng)的賞金支付系統(tǒng)，用于獎(jiǎng)勵(lì)查找漏洞的人工參與者，建立白帽子與項(xiàng)目方的一個(gè)自動(dòng)懸賞支付系統(tǒng)。

DVP 協(xié)議依賴于參與者們的分布式網(wǎng)絡(luò)，來減輕壞角色的作用，提供所需的算力，還有提供治理。每一個(gè)參與者都使用 DVP 協(xié)議積分來支付、接收，或者提高驗(yàn)證服務(wù)。

1. 參與者

白帽子

通過發(fā)現(xiàn)漏洞獲得積分作為賞金，通過平臺(tái)查看懸賞任務(wù)，發(fā)現(xiàn)漏洞后通過平臺(tái)，或者客戶端將報(bào)告用廠商的公鑰進(jìn)行內(nèi)容加密提交。

廠商任務(wù)發(fā)布者

廠商生成后需要等待治理結(jié)點(diǎn)仲裁機(jī)構(gòu)進(jìn)行廠商身份確認(rèn)，完成后將由任務(wù)發(fā)起方，發(fā)布任務(wù)，填入懸賞標(biāo)準(zhǔn)，以及測試范圍信息，并且存入，將生成私鑰，公鑰信息，公鑰用于提交者加密提交漏洞信息，私鑰用于查看安全測試報(bào)告內(nèi)容，對(duì)于未注冊(cè)的廠商漏洞將自動(dòng)發(fā)送到治理結(jié)點(diǎn)仲裁結(jié)構(gòu)查閱。

仲裁機(jī)構(gòu)（治理結(jié)點(diǎn)）

運(yùn)行 DVP 驗(yàn)證節(jié)進(jìn)行仲裁判定，并且用于所有區(qū)塊的記賬寫入數(shù)據(jù)操作，然后進(jìn)行廣播，最終并獲得積分激勵(lì)，該節(jié)點(diǎn)需要是具備安全驗(yàn)證能力的節(jié)點(diǎn)（可以為個(gè)人，團(tuán)隊(duì)，組織，或者公司）最終會(huì)在漏洞的提交者與項(xiàng)目廠商之間產(chǎn)生爭議的時(shí)候，由治理結(jié)點(diǎn)進(jìn)行投票裁定結(jié)果 。

普通節(jié)點(diǎn)

任何一個(gè)客戶端都是一個(gè)普通節(jié)點(diǎn)，普通節(jié)點(diǎn)作為 DVP 的分布式數(shù)據(jù)存儲(chǔ)，但沒有寫入權(quán)限，最終區(qū)塊內(nèi)容由仲裁機(jī)構(gòu)治理結(jié)點(diǎn)維護(hù)寫入。

2. 區(qū)塊信息結(jié)構(gòu)

寫入操作最終由治理結(jié)點(diǎn)進(jìn)行寫入記賬操作，內(nèi)容只能新增，不能刪除修改。整個(gè)信息結(jié)構(gòu)將由仲裁機(jī)構(gòu)維護(hù)（治理結(jié)點(diǎn)）

3. 懸賞合約

生成 DVP 的廠商賬號(hào)，在項(xiàng)目設(shè)置中填寫測試目標(biāo)和漏洞獎(jiǎng)金等信息，提交后等待治理結(jié)點(diǎn)審核廠商身份，完成廠商賬號(hào)押金充值，即可開始公開懸賞項(xiàng)目。

懸賞合約將通過在線的 B/S 客戶端，或者 C/S 客戶端，移動(dòng)端等進(jìn)行任務(wù)發(fā)布，內(nèi)容對(duì)每個(gè)等級(jí)的漏洞懸賞定義，例如：高危 1000$， 中危 500$，低危 200$；項(xiàng)目審計(jì)的資產(chǎn)范圍，可以是錢包、公鏈項(xiàng)目，或者某個(gè)系統(tǒng)等；漏洞定義將對(duì)每個(gè)等級(jí)的情況進(jìn)行說明；

4. 架構(gòu)圖

普通節(jié)點(diǎn)：用于接受治理結(jié)點(diǎn)的廣播的區(qū)塊信息存儲(chǔ)記錄，保證整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)去中心化。

治理結(jié)點(diǎn)：用于廣播記賬計(jì)算全網(wǎng)的交易，懸賞，合約等信息記錄，將由擁有一定安全能力的安全廠商運(yùn)營

DVP 去中心化平臺(tái)

DVP 公鏈發(fā)布后，搭建在線的漏洞信息展現(xiàn)平臺(tái)（區(qū)塊信息瀏覽器）

在線展現(xiàn)平臺(tái)主要用于提交漏洞，廠商注冊(cè)生成，白帽子注冊(cè)生成，包含廠商列表，廠商信息頁，排行榜頁面，公告頁面，獎(jiǎng)勵(lì)計(jì)劃說明頁面，漏洞說明頁面，但是整個(gè)平臺(tái)的數(shù)據(jù)是去中心化的，只是一個(gè)在線的客戶端 DVP 瀏覽器，用于展現(xiàn)區(qū)塊中的數(shù)據(jù)。同時(shí)形成一個(gè)安全生態(tài)社區(qū)，聚集更多的白帽子與項(xiàng)目方的入駐。

漏洞列表

顯示漏洞的列表，其中包含，漏洞標(biāo)題，漏洞提交公鑰地址，漏洞對(duì)應(yīng)的廠商，漏洞獎(jiǎng)金，漏洞發(fā)布時(shí)間。

提交漏洞

白帽子提交漏洞的入口，白帽子需要提交漏洞標(biāo)題，影響廠商，官方網(wǎng)站，類型，危害，自評(píng)分，自評(píng)等級(jí)，簡介，詳情，驗(yàn)證代碼（PoC），修復(fù)建議。

廠商發(fā)布懸賞合約

廠商填入安全審計(jì)的資產(chǎn)范圍，懸賞標(biāo)準(zhǔn)后，直接將押金存入合約，懸賞合約將通過治理結(jié)點(diǎn)進(jìn)行廣播寫入全網(wǎng)區(qū)塊。

自定義活動(dòng)

廠商項(xiàng)目方可以自定義時(shí)間段，節(jié)假日發(fā)起特定時(shí)間段的懸賞活動(dòng)，除了正規(guī)的懸賞合約信息外指定合約有效期。

注冊(cè)廠商

填入廠商聯(lián)系郵箱，廠商官方主頁，介紹信息，然后轉(zhuǎn)入相應(yīng)的押金，注冊(cè)完成后會(huì)自動(dòng)生成相關(guān)私鑰，公鑰，作為廠商后續(xù)登入的唯一憑證。公鑰也是錢包地址

注冊(cè)白帽子

填入個(gè)人介紹，昵稱，注冊(cè)完成后 生成相關(guān)私鑰，公鑰。作為廠商后續(xù)登入的唯一憑證。公鑰也是錢包地址

登陸

通過私鑰即可登入自己的個(gè)人頁面。

廠商列表

廠商列表部分則主要顯示廠商的名字，廠商的網(wǎng)站地址，廠商注冊(cè)時(shí)間。

廠商信息頁

除顯示廠商信息外，還顯示廠商介紹，廠商發(fā)放獎(jiǎng)金情況，廠商個(gè)人信息管理，以及廠商對(duì)應(yīng)的漏洞提交情況。

排行榜

排行榜分為白帽子積分排行榜，廠商獎(jiǎng)金方法排名。白帽子排行榜根據(jù)白帽子提交漏洞所得積分進(jìn)行排名，排名為季度排名，展現(xiàn)當(dāng)季度的所有漏洞信息合集。

每個(gè)季度在 DVP 協(xié)議中將自動(dòng)按照排名選擇 top10 的白帽子進(jìn)行積分獎(jiǎng)勵(lì)，以保證整個(gè)社區(qū)的活躍度積極性。

公共頁面

廠商發(fā)布懸賞合約顯示平臺(tái)的最新的動(dòng)態(tài)，新聞。

獎(jiǎng)勵(lì)計(jì)劃說明

說明漏洞的懸賞規(guī)則。

漏洞說明頁面

漏洞對(duì)應(yīng)的危害等級(jí)，積分，獎(jiǎng)金計(jì)算規(guī)則說明。

1. DVP 流程示例

（1）任何一家區(qū)塊鏈廠商將可以通過我們的官方平臺(tái)（在線的客戶端）提交發(fā)布懸賞標(biāo)準(zhǔn)，測試范圍（可以是合約，也可以是任何公鏈項(xiàng)目等），提交后存入相應(yīng)倍數(shù)的積分到獎(jiǎng)金池，完成操作后將自動(dòng)為該懸賞事務(wù)生成公鑰（加密漏洞內(nèi)容），私鑰（廠商查看安全報(bào)告內(nèi)容）

（2）漏洞提交者同時(shí)也可以通過我們的官方平臺(tái)（在線客戶端）實(shí)時(shí)查看目前在區(qū)塊里發(fā)布寫入的懸賞事務(wù)，選擇自己要參與的，當(dāng)發(fā)現(xiàn)漏洞后可以通過該廠商公布的公鑰進(jìn)行加密漏洞內(nèi)容，然后發(fā)送，廠商則可以在區(qū)塊獲取跟自己有關(guān)的漏洞信息，然后進(jìn)行解密查看，當(dāng)對(duì)漏洞進(jìn)行確認(rèn)后，事務(wù)會(huì)自動(dòng)對(duì)該漏洞的提交者進(jìn)行發(fā)布的標(biāo)準(zhǔn)獎(jiǎng)勵(lì)（根據(jù)漏洞的高中低等級(jí)確認(rèn)）。

（3）當(dāng)廠商對(duì)漏洞產(chǎn)生任何疑問的時(shí)候，廠商可以將該漏洞事務(wù)重新寫入?yún)^(qū)塊發(fā)送給仲裁機(jī)構(gòu)（治理結(jié)點(diǎn)），這時(shí)候由仲裁機(jī)構(gòu)（治理結(jié)點(diǎn)）進(jìn)行仲裁，然后進(jìn)行漏洞判斷，仲裁結(jié)果以驗(yàn)證者投票決定結(jié)果，超過 50%的票數(shù)將決定漏洞的裁定，然后將狀態(tài)廣播到網(wǎng)絡(luò)。

（4）漏洞被提交寫入?yún)^(qū)塊后，超過 24 小時(shí)未被處理，將自動(dòng)進(jìn)行消息推送給項(xiàng)目方提醒。

2. 提交的漏洞報(bào)告要求：

漏洞標(biāo)題

標(biāo)題描述：標(biāo)題可基本概括漏洞情況，描述語言缺乏規(guī)范性。如“一處注入漏洞”“另外一處注入”“網(wǎng)站某處存在越權(quán)”

基本信息

漏洞類型：填寫信息準(zhǔn)確無誤

漏洞等級(jí)：填寫信息準(zhǔn)確無誤

廠商信息：填寫信息準(zhǔn)確無誤，

漏洞描述

漏洞簡述：包含漏洞概述

漏洞正文

漏洞復(fù)現(xiàn)過程：復(fù)現(xiàn)過程基本完整，個(gè)別地方描述不清或缺少數(shù)據(jù)，對(duì)漏洞評(píng)估、復(fù)現(xiàn)有一定影響

分步驟圖文描述：關(guān)鍵測試步驟完整，但復(fù)現(xiàn)步驟缺失，對(duì)漏洞復(fù)現(xiàn)有一定影響。如直接粘貼出漏洞利用請(qǐng)求包，但缺乏測試步驟如何獲取此請(qǐng)求包，需要二次溝通方才可復(fù)現(xiàn)

漏洞危害證明：漏洞危害證明基本完整

修復(fù)建議

漏洞修復(fù)建議：修復(fù)建議基本無誤，但過于簡單，無實(shí)際參考意義。如“控制權(quán)限”，“過濾參數(shù)”，“校驗(yàn)身份”

3. 漏洞信息

漏洞報(bào)告整個(gè)信息體由公鑰進(jìn)行加密，只有廠商可以使用私鑰進(jìn)行解密

1. 廠商未確認(rèn)

當(dāng)漏洞報(bào)告被提交寫入?yún)^(qū)塊后，漏洞報(bào)告會(huì)自動(dòng)加蓋時(shí)間戳，超過 24 小時(shí)未處理，將自動(dòng)觸發(fā)聯(lián)系廠商動(dòng)作。在沒被任何人確認(rèn)的情況下將顯示“廠商未確認(rèn)”。

2. 廠商確認(rèn)完成

廠商可以查看自己懸賞合約的相關(guān)漏洞信息，通過私鑰能解密得到報(bào)告內(nèi)容詳情，然后進(jìn)行判斷，當(dāng)無誤時(shí)，懸賞動(dòng)作將自動(dòng)打入該漏洞提交者的地址。

3. 爭議

爭議是指目前提交的漏洞信息，廠商不予認(rèn)同，存在疑問，這時(shí)候需要廠商發(fā)送解密過后的漏洞細(xì)節(jié)報(bào)告給仲裁節(jié)點(diǎn)，進(jìn)行投票仲裁，最終結(jié)果以投票數(shù)》50%的結(jié)論進(jìn)行裁定。

4. 公開

在廠商主導(dǎo)確認(rèn)下可以發(fā)布漏洞公開內(nèi)容，進(jìn)行披露漏洞細(xì)節(jié)，這些內(nèi)容將被寫入到區(qū)塊中，供大家查看。

4. 廠商審核漏洞

廠商發(fā)布懸賞合約后，能通過客戶端+私鑰登入 DVP 主網(wǎng)，查看提交的漏洞細(xì)節(jié)，當(dāng)漏洞被確認(rèn)后，將自動(dòng)完成轉(zhuǎn)賬懸賞操作，當(dāng)出現(xiàn)異議時(shí)：

漏洞重復(fù)：按照提交時(shí)間以提交時(shí)間最早的為準(zhǔn)，后面提交的廠商有權(quán)拒絕，發(fā)起仲裁。

漏洞無效：廠商認(rèn)為該漏洞無效，無法復(fù)現(xiàn)，或者無危害，這時(shí)候廠商將細(xì)節(jié)解密重新加密發(fā)送給仲裁節(jié)點(diǎn)進(jìn)行投票仲裁。根據(jù)仲裁結(jié)果，如果確定有效自動(dòng)轉(zhuǎn)入提交者的錢包地址，非有效漏洞，將直接廣播全網(wǎng)告知該漏洞無效。

5. 業(yè)務(wù)獎(jiǎng)勵(lì)

DVP 平臺(tái)將對(duì)每筆業(yè)務(wù)收取一定比例的礦工費(fèi)（初始參數(shù)設(shè)置為 10%），形成獎(jiǎng)勵(lì)池，用于獎(jiǎng)勵(lì)回饋對(duì) DVP 社區(qū)生態(tài)貢獻(xiàn)價(jià)值的廠商和白帽子（初始參數(shù)比例 3：7）。廠商和白帽子所貢獻(xiàn)的價(jià)值將按照一套規(guī)則透明的排名算法計(jì)算，算法細(xì)則請(qǐng)關(guān)注官方網(wǎng)站的披露。

優(yōu)勢(shì)

漏洞懸賞源起于美國，前有 Facebook，Google，微軟；后有 HackerOne，BugCrowd 等商業(yè)公司，通過白帽社區(qū)幫助企業(yè)發(fā)現(xiàn)安全漏洞。國內(nèi) 3BAT 等一線互聯(lián)網(wǎng)廠商均有 SRC（安全應(yīng)急響應(yīng)中心）進(jìn)行漏洞懸賞計(jì)劃，他們通過這種方式使外部漏洞數(shù)量直線下降至可控范圍內(nèi)，為自己長線的安全體系建設(shè)贏得時(shí)間和方向指引。

但是目前市面上還沒有一個(gè)去中心化的漏洞懸賞平臺(tái)。所有的懸賞任務(wù)，都是通過中心化的平臺(tái)，或者郵件等方式溝通，低效且耗時(shí)，限制了懸賞活動(dòng)的使用范圍，并且它要求企業(yè)雇用專門的人員審核所有的懸賞任務(wù)，而提交者又不愿意過多的暴露自己的身份，以及聯(lián)系方式等個(gè)人隱私。而現(xiàn)有平臺(tái)都沒有解決這些問題， 市面上現(xiàn)有的 Bug Crowd 和 Hackerone 等其他網(wǎng)站，側(cè)重于傳統(tǒng)的網(wǎng)絡(luò)安全問題，且沒有提供去中心化的審查機(jī)制，而 DVP 的核心價(jià)值點(diǎn)就在于，隱私保護(hù)，以及匿名的設(shè)計(jì)，以及去中心化的審查機(jī)制來保障漏洞的保密性，公平性。

1. 完全的隱私保護(hù)

白帽子不用體現(xiàn)真實(shí)身份

目前其他的懸賞平臺(tái)都需要提交者提供私人信息，包括領(lǐng)取獎(jiǎng)勵(lì)的信息，提交漏洞的安全人員多數(shù)不愿意透露自己的個(gè)人信息，很多白帽子因?yàn)椴辉敢飧鷱S商溝通，以及留下個(gè)人信息等原因放棄提交漏洞，而 DVP 的匿名性等特點(diǎn)能有效的保護(hù)白帽子個(gè)人隱私，所以能更好的吸引更多的白帽子參與。

企業(yè)的漏洞只有自身能夠看到

提交漏洞只與廠商進(jìn)行結(jié)果確認(rèn)，保證漏洞的保密性，當(dāng)出現(xiàn)爭議時(shí)候，由過個(gè)治理結(jié)點(diǎn)投票決定保證公正性，目前現(xiàn)有的漏洞平臺(tái)都是基于中心化的平臺(tái)，所以平臺(tái)方是能查看到所有項(xiàng)目方的漏洞信息，而廠商項(xiàng)目方并不想把這些信息給平臺(tái)方查看，歷史上就有因?yàn)橹行钠脚_(tái)方的問題導(dǎo)致漏洞細(xì)節(jié)被暴露，最終導(dǎo)致漏洞細(xì)節(jié)被二次利用，使廠商遭受損失，而目前 DVP 的對(duì)稱加密方案結(jié)合公鏈的方式讓漏洞細(xì)節(jié)只有廠商能查看，且最終的公開與否的權(quán)利都在廠商手上，有效的保證了漏洞細(xì)節(jié)的保密性。

2. 匿名設(shè)計(jì)，公平性

懸賞獎(jiǎng)勵(lì)交易匿名記賬，對(duì)于獎(jiǎng)勵(lì)無需任何個(gè)人信息，且任何的獎(jiǎng)勵(lì)懸賞記錄都能公開透明，保證公平公正性。每筆懸賞都有歷史的記錄，能完整的溯源獎(jiǎng)勵(lì)記錄。

3. 去中心化的審查機(jī)制

所有的審核標(biāo)準(zhǔn)都由廠商來確認(rèn)，傳統(tǒng)的漏洞平臺(tái)，通常都由中心平臺(tái)來進(jìn)行審核驗(yàn)證漏洞，中心平臺(tái)擁有絕對(duì)的控制權(quán)，對(duì)于漏洞有疑問的地方，白帽子或者廠商是沒有話語權(quán)的，而 DVP 以去中心化的機(jī)制進(jìn)行審核，廠商在出現(xiàn)異議的時(shí)候，由仲裁方（治理結(jié)點(diǎn)）進(jìn)行仲裁投票方式審核該漏洞保證絕對(duì)的公平性。
來源；區(qū)塊網(wǎng)