Plan B 第三期:深挖:200万NULS失窃,问题究竟出在哪里?

2020-01-02 10:52发布

"Beep币扑线上AMA节目——PlanB第三期对话NULS CTO 、NULS社区技术理事王志坚,带我们回顾200万NULS被盗背后的故事。"

嘉宾:NULS CTO、NULS社区技术理事 王志坚

主持人:AEX 品牌总监,Beep币扑特邀主持 喵大人

分享主题:深挖:200万NULS失窃,问题究竟出在哪里?

分享时间:12月30日16:00

Plan B:Beep重磅打造的一档原生大V对话区块链大咖的线上AMA节目

 12月20日,团队账户里200万枚NULS币被黑客转走。3天后的凌晨,NULS社区发布公告称,22日下午18时发现了漏洞,团队连夜升级主网,采取硬分叉的方式应对。在此之前,失窃的200万NULS中,有54万已流向市场,这些资产价值近90万元。


NULS主网已经稳定运行两年多,却遭遇黑客攻击,200万NULS失窃,团队为何在失窃后两天才发现,面对盗窃团队都采用了哪些紧急操作止损?Beep币扑线上AMA节目——PlanB第三期对话NULS CTO 、NULS社区技术理事王志坚,带我们回顾200万NULS被盗背后的故事,AMA中,王志坚还和我们分享了作为老牌公链,NULS是如何探索盈利模式的?以下为AMA精选,enjoyit~

 

Beep币扑Plan B第一问

 

喵大人:NULS主网已稳定运行两年多,目前,NULS在多个技术领域都已经取得不错的成绩。作为NULS核心团队的技术产品负责人、NULS社区技术理事,先请王总为我们介绍一下NULS吧。

 

王志坚:NULS是一个提供可定制化服务的区块链基础设施,是全球开源的企业级区块链解决方案平台。NULS作为全球首个将微服务与区块链融合的公有链项目,屏蔽了区块链底层技术,将区块链技术门槛降至了最低,支持多语言开发、按需部署,可以定制任何你想要的区块链。目前,在造链、智能合约、DAPP、跨链、开发工具等方面,NULS已经有了完善的产品和解决方案。

 

NULS始终坚持让区块链更简单的初心,深耕区块链基础设施建设,在技术和产品上的创新,得到了多方关注和认可。

 

目前,NULS已获得了尤利斯基金、比特大陆、BlockGroup的战略投资,与超过25家企业和机构达成合作,几乎覆盖了全产业链。

 

Beep币扑Plan B第二问

 

喵大人:12月23日凌晨,NULS核心团队官方微博发布消息称,NULS核心团队账户遭遇黑客攻击,200万枚NULS被盗。王总能从技术的角度,为我们还原一下本次事件的技术细节吗?

 

王志坚:我们是在12月22日下午18时左右,发现团队账户被攻击的。黑客利用NULS的代码逻辑漏洞,构造了一笔从NULS团队账户转走200万NULS的特殊交易,通过了验证,导致节点对该笔交易进行了确认。此代码漏洞出现的原因是在多业务模块共同开发的情况下,跨链的开发人员,用自己的业务逻辑,修改了公共的验证算法,在代码检查中,检查人员没能发现公用代码修改对原使用逻辑的影响,导致漏洞代码被合并到了主分支中。

 

在我们发现攻击时,黑客已向多个地址,共计转出了548354.34696095NULS,其他资产也分散在接近70个NULS账户中,我们紧急处理了还在NULS网络中的部分资产,但这54万8千多NULS已流向市场,并且由于NULS主网的去中心化特性,这些资产将无法找回。

我们在发现攻击之后,快速做出了反应。首先,我们团队的技术成员,立即针对攻击进行分析,定位问题;其次,我们的运营团队,第一时间与各大交易平台取得了联系,请求协助暂时关闭NULS充提,避免更多被盗资产流入市场。

 

12月23日凌晨2点左右,我们完成了漏洞修复,以及新版本代码的测试。在确认新版本安全之后,我们立即启动了硬分叉升级。

 

在全社区的积极配合下,NULS主网的100多个节点,及时更新了节点程序,随后,NULS主网在区块高度878000,顺利完成了硬分叉。

 

在全社区的积极配合下,NULS主网的100多个节点,及时更新了节点程序,随后,NULS主网在区块高度878000,顺利完成了硬分叉。

 

硬分叉后,未进入交易市场的1451645.65303905NULS将会以紧急冻结的方式锁定,以免继续流入市场给持币人带来损失,未来如果社区不同意锁定可以发起提案对该部分NULS进行其他方式的处理。流入市场的548354.34696095NULS,我们也积极联系相关交易所协助进行了用户账户冻结。

 

此外,我们发现在已冻结的资金中,有某交易所未归集账户的资金。为了避免给交易所和持币人带来损失,我们还开放了社区提案机制。只要持有人能证明资产是合规所得,在通过社区提案之后,还可以通过系统协议升级,解锁自己地址上被冻结的资产。

 

Beep币扑Plan B第三问

 

喵大人:对于区块链项目来说,安全无小事,能否造出一条安全可靠的链,决定着一个项目的成败。NULS作为造链专家,将如何保障通过NULS造出来的链是安全可靠的呢?

 

王志坚:首先,NULS主网上线以来,已经稳定运行了两年多。在这个过程中,NULS核心团队和技术社区,对NULS主网及相关产品代码进行了多次迭代,目标就是不断提升NULS主网及相关产品的安全性。经过两年多的努力,我们认为NULS主网及相关造链产品,已经具备了很高的安全性。

 

其次,NULS作为一个提供定制化服务的区块链基础设置,底层做到了模块独立,这意味着,我们对NULS代码的测试和审查,可以以模块为单位。NULS底层模块化设计的优势,让我们的测试可以做得更全面、更细致。

 

早在此次事件之前,我们也与链安这样的第三方区块链安全公司达成合作,让专业的区块链安全团队,对我们的代码进行全面审查。

 

此次事件,虽然得到了及时的控制,但也给我们敲了一次警钟。目前,我们内部制定了更加严格的代码审查机制,对技术团队也提出了更高的要求;对外,我们也正在积极推动与更多第三方区块链安全公司合作,加强对代码的审查。

 

Beep币扑Plan B第四问

 

喵大人:近期,国家将区块链作为核心技术和自主创新的突破口,区块链迎来了前所未有的政策利好。许多声音表示,接下来的很长一段时间里,联盟链将成为区块链技术在国内的主要应用方式。王总是如何看待区块链及联盟链发展的呢?

 

王志坚:正如互联网的发展一样,区块链的发展,也会经历早期的不被看好,然后在部分领域,开始尝试应用,最后走向成熟,在多个领域得到普及。不论是联盟链,还是公链,都会找到适合自己的应用场景。

 

目前,联盟链受到主流市场的关注,是因为在现阶段下,区块链技术还不够成熟,相关监管机制还不够完善,联盟链无论在技术上,还是监管上,都相对更加可控。

 

通过联盟链,我们可以让区块链技术,在更多应用场景中,进行落地和试错。当前的行业发展阶段,越接近落地,就越是好的技术,联盟链是在国内政策环境下,更容易支持落地应用的架构。我认为,这样的做法,在保障可控有序发展的同时,可以让中国在区块链这场竞赛中,仍然保持较快的发展速度。

       Beep币扑Plan B第五问

 

喵大人:NULS是否有针对联盟链的相关规划?

 

王志坚:从创立之初,NULS就将让区块链更简单,作为自己的使命。两年多来,我们一直深耕区块链底层,时至今日,我们的造链解决方案已经非常成熟,我们有造链框架NULS ChainBox,也有一键造链产品链工厂。

 

通过NULS2.0,企业可以定制公链,也可以定制联盟链和私有链。国家的政策利好,可以说是给我们这样专注于区块链技术的团队,带来了更加广阔的市场,也为我们增强了信心。目前,我们针对联盟链,不仅给出了自己的解决方案,并且正在开发ChainBox的联盟链版本。在帮助更多企业实现区块链+的同时,也让NULS生态更加丰富。

 

Beep币扑Plan B第六问

 

喵大人:公链是一个开放性的网络,联盟链是一个许可性的网络,两者可以适应不同的应用场景。王总,能为我们分享一下,公链和联盟链,两者的在应用上主要有哪些差别吗?NULS针对两者的造链方案,分别有哪些优势呢?

 

王志坚:联盟链和公链从名字上就可以看出适应不同的业务场景,公链的优势是更开放,更公平,但同时公链的性能、隐私保护、监管难度、技术要求都更高。联盟链更适应企业联盟、合作伙伴等,一定行业内,由多个企业、机构、团队发起的业务场景。

 

联盟链更容易实现高性能、隐私保护和监督管理,联盟链的共识由联盟成员管理,更容易人工干预,更容易升级。公链更趋近于平台,公有链上可以搭建任何行业、业务场景的应用,但应用内的定制化功能需要应用开发者自行实现,相对于特定业务场景的联盟链,应用定制的成本更高。

 

NULS的造链思路,是根据联盟链和公有链的特点而设计的,NULS的公有链基于模块化的微服务架构,在保证高性能的前提下,可以更容易的进行扩展,为未来的隐私保护、监督管理的支持提供了底层架构上的支持。目前正在研发的ChainBox联盟链版本,在设计的过程中,更多考虑国内的政策、环境因素,设计出的联盟链运行环境可以很容易的对接各种业务场景,满足企业、政府的需要。

基于以上特点,保证NULS无论是在公有链的竞争中,还是联盟链底层框架的竞争中,都有非常大的优势。

Beep币扑Plan B第七问

 

喵大人:王总认为联盟链主要提供了哪些解决方案?目前有哪些实际应用场景呢?是否可以给我们举例分享下。

 

王志坚:目前,联盟链已经广泛的应用在银行、保险、证券、贸易等行业中。比如在供应链金融领域,腾讯、阿里等巨头,都有相应落地的项目,在融资领域,联盟链也能很好的帮助解决中小企业融资难的问题。同时,我认为,在溯源、存证、政务等方面,联盟链也是有可能率先得到尝试和应用的。

 

Beep币扑Plan B第八问

 

喵大人:前市场行情低迷,数字货币金融借贷市场逐渐兴起,如果对比特币长期看好,从币本位出发,那定期理财会是刚需吗?王总是怎么看数字货币借贷及理财的市场发展趋势?

 

王志坚:数字资产的诞生与发展,必然会带来与之相关的金融业务,所以基于数字资产的理财产品是必然会出现的,目前市场上,基于比特币、以太坊等主流资产的理财产品已经有很多。

 

但针对稳定币来说,目前主要的稳定币,都还未对用户开放收益共享,借鉴互联网中支付宝、微利贷等产品,我认为,随着稳定币市场竞争的加剧,稳定币会逐步开始对持有人分享收益。

目前,基于NULS的去中心化稳定币USDI,就是一种持有即享收益的稳定币,我们率先在这片市场开始尝试,希望可以为更多用户带去回报的同时,也丰富NULS自身的生态。

2019是NULS完成基础积累,开始应用落地、服务社会的转机之年。

 

期待未来NULS生态能发展的越来越好,根据市场动态探索更多方向。



赞赏支持