目前國內頂級安全人才年收入可達百萬，但大部分人跟做“黑產”的黑客的收入相比仍是天差地別，幾乎每個水平較高的白帽子，都受到過來自黑產的誘惑，但多數人都拒絕了。

最近幾天，有一位名叫約翰·邁克菲的美國人陷入了麻煩。

7月份時，他推出一款比特幣錢包Bitfi，宣稱是世界上第一個堅不可摧的硬件錢包，并宣布誰能破解這款錢包，將獎勵10萬美金。

不到一周，Bitfi 錢包就被人攻破了，然而邁克菲開始含糊其詞。8月31日，又一名黑客公布了痛錘Bitfi的更多細節。邁克菲慌了，稱“我司會對所有問題作出全面的公開聲明，包括賞金支付方案，時間就在下周。”

邁克菲之所以死要面子，是因為他來頭太大，他是全球家喻戶曉的邁克菲殺毒軟件的創始人，邁克菲本人還曾與特朗普同臺競選美國總統，現在秒被打臉，肯定要拼死抵抗。

不過我們也可看出，區塊鏈的安全性堪憂，這樣大牌公司設計出來的錢包也會被輕易破解。實際上，比特幣和區塊鏈從誕生那一刻起，就一直是黑客眼中的肥肉，交易所頻頻被攻，智能合約漏洞百出。隨著區塊鏈應用項目的增加，區塊鏈安全問題愈加迫切。

2018年上半年區塊鏈安全事件損失超20億美元

白帽匯安全研究院BCSEC是一家專注區塊鏈安全生態的機構，創始人趙武之前是360網站安全部門總監。白帽匯最近發布了對區塊鏈安全趨勢的評估報告，從報告圖表中可以看出，2017到2018年，區塊鏈安全問題陡增。

圖表顯示，到今年8月份為止，區塊鏈在全球已經造成超過20億美元的損失。其中在區塊鏈項目最火爆的4月份損失最多，超過11億美元。

而且從易受攻擊的點來看，交易平臺和智能合約最易被攻擊。

從智能合約到代碼審計，從節點加固再到滲透測試，安全問題一直都困擾著從業者。

白帽匯聯合創始人鄧煥稱，目前區塊鏈易受攻擊的主要原因是專業的區塊鏈人才太少，更多的業務先行，在設計業務時安全的細節考慮的并不完善，而且項目背后的技術不扎實，產生大量漏洞。

目前“全球從事做智能合約審計的才數千人，真正能做公鏈安全審計的全球不超過百人。”他透露。與此同時，全球有一萬多家區塊鏈機構，這有限的人才分散到各機構中是杯水車薪。

因此，目前區塊鏈行業需要大量安全人員。網絡安全公司位于整個互聯網的最頂端，目前全國做區塊鏈安全的公司只有五六家，全球也不足百家。

“根本忙不過來。”鄧煥說，“廠家的智能合約有了漏洞，需要發布新的合約，然后做映射處理。否則就坐以待斃，因為在鏈上是無法更改的。”

目前在區塊鏈安全領域，也還沒出現成熟的安全類產品，更多的是依托于人工來提供安全服務的方式。

但是，即使聘請了一家公司做安全，每家公司技術人員擅長的領域也不一樣，無法對項目進行360度的防護，只要出現一個嚴重問題就足以擊潰整個區塊鏈網絡。要百分百地覆蓋各個脆弱點，就需要盡可能多的團隊進行集思廣益。對絕大部分公司來說，聘請這么多團隊并不現實。

目前市面上已經有了hackerOne、補天之類的中心化漏洞平臺，這些平臺連接了白帽子(網絡安全研究者)與互聯網廠商，通過廠商付費收集漏洞的方式，激發白帽子幫助企業發現并修復漏洞的積極性。

但在中心化平臺上，由平臺和廠商對漏洞進行獨裁，白帽子無法保障自己的權益，廠商和白帽子的隱私也容易被泄露，而且中心化的平臺也可以被權力機構任意關停。

基于此，白帽匯聯合另一家安全公司派盾科技，發起了一個名為DVP的社區，DVP全稱是Decentralized Vulnerability Platform（去中心化漏洞平臺），結合目前區塊鏈的特性來構建一條讓廠商與白帽子連接的橋梁，全球的白帽子可以在平臺上提交漏洞，各廠家可自行認領，廠家也可在平臺上懸賞。

“漏洞即挖礦。”鄧煥介紹，廠商需指定安全審計的資產范圍和懸賞標準，并將押金存入合約;白帽子在DVP平臺可以提交區塊鏈相關漏洞及威脅情報，并隨時查看漏洞審核及認領進度，被采用后即可獲得相應的獎勵。

為確保整個流程的公正性，DVP平臺會將漏洞信息進行公鑰加密，區塊鏈廠商可以通過私鑰解密得到報告內容詳情。當確認此漏洞無誤并采用后,懸賞獎勵將自動打入該漏洞提交者的地址。

為了方便不同數字貨幣的獎勵計劃，DVP準備制定一套虛擬的積分體系（類似于通證）。在生態正式形成之前，目前DVP平臺針對發現漏洞的白帽子獎勵一定量的ETH。

一個月發現1200多個漏洞

DVP平臺運營一段時間后，鄧煥吃驚地發現漏洞太多了，“像篩子一樣。”他形容道。

平臺于2018年7月24日上線，目前平臺上有一萬多名白帽子。截至8月20日，共收到白帽子提供的1231個漏洞。其中，中危漏洞252個，高危漏洞399個，嚴重漏洞1個，涉及509個項目廠商。

漏洞主要來自交易所、錢包、公鏈等項目，其中不乏以太坊、唯鏈這樣的知名區塊鏈平臺。

哪怕是比特王交易所、幣虎網這樣的知名平臺，也存在許多風險極高的漏洞。

鄧煥表示，嚴重漏洞一般會導致拒絕服務、直接獲取系統權限、嚴重級別信息泄露，可造成嚴重經濟損失。高危漏洞多是越權訪問，能直接盜取關鍵業務中的用戶身份信息，有高風險邏輯設計缺陷。首次曝光的黑榜中的交易所均存在資產損失風險，盜用篡改風險，隱私泄露風險。

他還透露，許多交易所漏洞在通報后久未修復。其中風險排名第2的比特王，僅27日一日，其交易成交額便可達1.6億人民幣，此外，coin88等平臺更是完全無法聯系到，也無法向其進行漏洞通報，這對投資者來說風險極大。

區塊鏈最大的安全問題來自人性

雖然區塊鏈技術現在面臨種種威脅，但開發者將大量精力投入到了比較底層的算法安全上，目前區塊鏈技術看上去仍是難以撼動。

通過近段時間的安全事件，鄧煥發現安全問題其實越來越趨向于用戶、平臺層面，區塊鏈的安全問題已經延伸到了傳統的網絡安全、基礎設施、移動信息安全等問題，其中最明顯的就是社會工程學攻擊問題，嚴重性甚至超過了技術攻擊。

社會工程學攻擊，就是黑客利用人性的弱點和習慣，套取人們的關鍵信息，進而牟利。世界第一黑客凱文?米特尼克在《欺騙的藝術》中曾提到，人為因素才是安全的軟肋。

很多公司在信息安全上投入重金，最終導致數據泄露的原因卻在人本身。對黑客來說，通過網絡遠程滲透破解獲得數據，可能是最為麻煩的方法。而通過人際交流的方式獲得信息的非技術滲透手段卻有效， 而且效率很高。

“最近還有人冒充我們創始人趙武的微信，跟財務要資料。”鄧煥說。

今年3月份時，北京市海淀區某互聯網科技公司員工利用職務便利，通過使用管理員權限盜取該公司100個比特幣。

同樣是今年3月，西安張某丟失了上億元的虛擬貨幣，三名犯罪嫌疑人都曾是國內知名網絡科技公司工作人員。

面試時套話、職務便利、扮成專業顧問給電腦遠程協助、甚至美人計等，都有可能成為社會工程學攻擊的手段。也許不知不覺間，你就把拍了自己私鑰的照片轉發給對方了。

白帽子到底是怎樣的一群人？

在很多人心目中，白帽子是很神秘的群體，其實他們只是一群熱愛技術的極客。白帽匯的創始人趙武就曾是“中國黑客榜中榜”上榜的人物，現在是一萬多名白帽子的“帶頭大哥”。鄧煥本人則是更多通過自學的方式進入到了信息安全領域。

近幾年，由于網絡安全事件頻發，白帽子們有了用武之地，但是也容易受到質疑。幾個月前，360發現EOS的漏洞時，BM稱360的行為是在制造恐慌。而普通白帽子向廠商提交漏洞時，也會被質疑為了錢。實際上多數情況下，白帽子們找漏洞是為了在實踐中提高水平。

目前國內頂級安全人才年收入可達百萬，但大部分人跟做“黑產”的黑客的收入相比仍是天差地別，幾乎每個水平較高的白帽子，都受到過來自黑產的誘惑，但多數人都拒絕了。

對此，另一位業內安全專家也曾表示，“安全白帽子的價值一直以來被嚴重低估，拿著和能力、產出不匹配的收益。而黑客攻擊獲取的回報遠遠高于白帽子。當技術人員發現一個安全漏洞，可能更多人愿意選擇當黑客去為自己牟利，而不是維護正義的白帽子。而沒有安全，何談區塊鏈?”

所以，如何更好地體現白帽子的價值，無論對于廠商還是對于白帽子本人來說都至關重要。期待DVP平臺能利用區塊鏈等技術來改善白帽子與廠商之間的關系，未來形成一個真正自治的安全生態社區。