嘉賓:NULS CTO、NULS社羣技術理事 王志堅
主持人:AEX 品牌總監,Beep幣撲特邀主持 喵大人
分享主題:深挖:200萬NULS失竊,問題究竟出在哪裡?
分享時間:12月30日16:00
Plan B:Beep重磅打造的一檔原生大V對話區塊鏈大咖的線上AMA節目
12月20日,團隊賬戶裡200萬枚NULS幣被駭客轉走。3天后的凌晨,NULS社羣釋出公告稱,22日下午18時發現了漏洞,團隊連夜升級主網,採取硬分叉的方式應對。在此之前,失竊的200萬NULS中,有54萬已流向市場,這些資產價值近90萬元。
NULS主網已經穩定執行兩年多,卻遭遇駭客攻擊,200萬NULS失竊,團隊為何在失竊後兩天才發現,面對盜竊團隊都採用了哪些緊急操作止損?Beep幣撲線上AMA節目——PlanB第三期對話NULS CTO 、NULS社羣技術理事王志堅,帶我們回顧200萬NULS被盜背後的故事,AMA中,王志堅還和我們分享了作為老牌公鏈,NULS是如何探索盈利模式的?以下為AMA精選,enjoyit~
Beep幣撲Plan B第一問
喵大人:NULS主網已穩定執行兩年多,目前,NULS在多個技術領域都已經取得不錯的成績。作為NULS核心團隊的技術產品負責人、NULS社羣技術理事,先請王總為我們介紹一下NULS吧。
王志堅:NULS是一個提供可定製化服務的區塊鏈基礎設施,是全球開源的企業級區塊鏈解決方案平臺。NULS作為全球首個將微服務與區塊鏈融合的公有鏈專案,遮蔽了區塊鏈底層技術,將區塊鏈技術門檻降至了最低,支援多語言開發、按需部署,可以定製任何你想要的區塊鏈。目前,在造鏈、智慧合約、DAPP、跨鏈、開發工具等方面,NULS已經有了完善的產品和解決方案。
NULS始終堅持讓區塊鏈更簡單的初心,深耕區塊鏈基礎設施建設,在技術和產品上的創新,得到了多方關注和認可。
目前,NULS已獲得了尤利斯基金、位元大陸、BlockGroup的戰略投資,與超過25家企業和機構達成合作,幾乎覆蓋了全產業鏈。
Beep幣撲Plan B第二問
喵大人:12月23日凌晨,NULS核心團隊官方微博釋出訊息稱,NULS核心團隊賬戶遭遇駭客攻擊,200萬枚NULS被盜。王總能從技術的角度,為我們還原一下本次事件的技術細節嗎?
王志堅:我們是在12月22日下午18時左右,發現團隊賬戶被攻擊的。駭客利用NULS的程式碼邏輯漏洞,構造了一筆從NULS團隊賬戶轉走200萬NULS的特殊交易,透過了驗證,導致節點對該筆交易進行了確認。此程式碼漏洞出現的原因是在多業務模組共同開發的情況下,跨鏈的開發人員,用自己的業務邏輯,修改了公共的驗證演算法,在程式碼檢查中,檢查人員沒能發現公用程式碼修改對原使用邏輯的影響,導致漏洞程式碼被合併到了主分支中。
在我們發現攻擊時,駭客已向多個地址,共計轉出了548354.34696095NULS,其他資產也分散在接近70個NULS賬戶中,我們緊急處理了還在NULS網路中的部分資產,但這54萬8千多NULS已流向市場,並且由於NULS主網的去中心化特性,這些資產將無法找回。
我們在發現攻擊之後,快速做出了反應。首先,我們團隊的技術成員,立即針對攻擊進行分析,定位問題;其次,我們的運營團隊,第一時間與各大交易平臺取得了聯絡,請求協助暫時關閉NULS充提,避免更多被盜資產流入市場。
12月23日凌晨2點左右,我們完成了漏洞修復,以及新版本程式碼的測試。在確認新版本安全之後,我們立即啟動了硬分叉升級。
在全社羣的積極配合下,NULS主網的100多個節點,及時更新了節點程式,隨後,NULS主網在區塊高度878000,順利完成了硬分叉。
在全社羣的積極配合下,NULS主網的100多個節點,及時更新了節點程式,隨後,NULS主網在區塊高度878000,順利完成了硬分叉。
硬分叉後,未進入交易市場的1451645.65303905NULS將會以緊急凍結的方式鎖定,以免繼續流入市場給持幣人帶來損失,未來如果社羣不同意鎖定可以發起提案對該部分NULS進行其他方式的處理。流入市場的548354.34696095NULS,我們也積極聯絡相關交易所協助進行了使用者賬戶凍結。
此外,我們發現在已凍結的資金中,有某交易所未歸集賬戶的資金。為了避免給交易所和持幣人帶來損失,我們還開放了社羣提案機制。只要持有人能證明資產是合規所得,在透過社羣提案之後,還可以透過系統協議升級,解鎖自己地址上被凍結的資產。
Beep幣撲Plan B第三問
喵大人:對於區塊鏈專案來說,安全無小事,能否造出一條安全可靠的鏈,決定著一個專案的成敗。NULS作為造鏈專家,將如何保障透過NULS造出來的鏈是安全可靠的呢?
王志堅:首先,NULS主網上線以來,已經穩定執行了兩年多。在這個過程中,NULS核心團隊和技術社羣,對NULS主網及相關產品程式碼進行了多次迭代,目標就是不斷提升NULS主網及相關產品的安全性。經過兩年多的努力,我們認為NULS主網及相關造鏈產品,已經具備了很高的安全性。
其次,NULS作為一個提供定製化服務的區塊鏈基礎設定,底層做到了模組獨立,這意味著,我們對NULS程式碼的測試和審查,可以以模組為單位。NULS底層模組化設計的優勢,讓我們的測試可以做得更全面、更細緻。
早在此次事件之前,我們也與鏈安這樣的第三方區塊鏈安全公司達成合作,讓專業的區塊鏈安全團隊,對我們的程式碼進行全面審查。
此次事件,雖然得到了及時的控制,但也給我們敲了一次警鐘。目前,我們內部制定了更加嚴格的程式碼審查機制,對技術團隊也提出了更高的要求;對外,我們也正在積極推動與更多第三方區塊鏈安全公司合作,加強對程式碼的審查。
Beep幣撲Plan B第四問
喵大人:近期,國家將區塊鏈作為核心技術和自主創新的突破口,區塊鏈迎來了前所未有的政策利好。許多聲音表示,接下來的很長一段時間裡,聯盟鏈將成為區塊鏈技術在國內的主要應用方式。王總是如何看待區塊鏈及聯盟鏈發展的呢?
王志堅:正如網際網路的發展一樣,區塊鏈的發展,也會經歷早期的不被看好,然後在部分領域,開始嘗試應用,最後走向成熟,在多個領域得到普及。不論是聯盟鏈,還是公鏈,都會找到適合自己的應用場景。
目前,聯盟鏈受到主流市場的關注,是因為在現階段下,區塊鏈技術還不夠成熟,相關監管機制還不夠完善,聯盟鏈無論在技術上,還是監管上,都相對更加可控。
透過聯盟鏈,我們可以讓區塊鏈技術,在更多應用場景中,進行落地和試錯。當前的行業發展階段,越接近落地,就越是好的技術,聯盟鏈是在國內政策環境下,更容易支援落地應用的架構。我認為,這樣的做法,在保障可控有序發展的同時,可以讓中國在區塊鏈這場競賽中,仍然保持較快的發展速度。
Beep幣撲Plan B第五問
喵大人:NULS是否有針對聯盟鏈的相關規劃?
王志堅:從創立之初,NULS就將讓區塊鏈更簡單,作為自己的使命。兩年多來,我們一直深耕區塊鏈底層,時至今日,我們的造鏈解決方案已經非常成熟,我們有造鏈框架NULS ChainBox,也有一鍵造鏈產品鏈工廠。
透過NULS2.0,企業可以定製公鏈,也可以定製聯盟鏈和私有鏈。國家的政策利好,可以說是給我們這樣專注於區塊鏈技術的團隊,帶來了更加廣闊的市場,也為我們增強了信心。目前,我們針對聯盟鏈,不僅給出了自己的解決方案,並且正在開發ChainBox的聯盟鏈版本。在幫助更多企業實現區塊鏈+的同時,也讓NULS生態更加豐富。
Beep幣撲Plan B第六問
喵大人:公鏈是一個開放性的網路,聯盟鏈是一個許可性的網路,兩者可以適應不同的應用場景。王總,能為我們分享一下,公鏈和聯盟鏈,兩者的在應用上主要有哪些差別嗎?NULS針對兩者的造鏈方案,分別有哪些優勢呢?
王志堅:聯盟鏈和公鏈從名字上就可以看出適應不同的業務場景,公鏈的優勢是更開放,更公平,但同時公鏈的效能、隱私保護、監管難度、技術要求都更高。聯盟鏈更適應企業聯盟、合作伙伴等,一定行業內,由多個企業、機構、團隊發起的業務場景。
聯盟鏈更容易實現高效能、隱私保護和監督管理,聯盟鏈的共識由聯盟成員管理,更容易人工干預,更容易升級。公鏈更趨近於平臺,公有鏈上可以搭建任何行業、業務場景的應用,但應用內的定製化功能需要應用開發者自行實現,相對於特定業務場景的聯盟鏈,應用定製的成本更高。
NULS的造鏈思路,是根據聯盟鏈和公有鏈的特點而設計的,NULS的公有鏈基於模組化的微服務架構,在保證高效能的前提下,可以更容易的進行擴充套件,為未來的隱私保護、監督管理的支援提供了底層架構上的支援。目前正在研發的ChainBox聯盟鏈版本,在設計的過程中,更多考慮國內的政策、環境因素,設計出的聯盟鏈執行環境可以很容易的對接各種業務場景,滿足企業、政府的需要。
基於以上特點,保證NULS無論是在公有鏈的競爭中,還是聯盟鏈底層框架的競爭中,都有非常大的優勢。
Beep幣撲Plan B第七問
喵大人:王總認為聯盟鏈主要提供了哪些解決方案?目前有哪些實際應用場景呢?是否可以給我們舉例分享下。
王志堅:目前,聯盟鏈已經廣泛的應用在銀行、保險、證券、貿易等行業中。比如在供應鏈金融領域,騰訊、阿里等巨頭,都有相應落地的專案,在融資領域,聯盟鏈也能很好的幫助解決中小企業融資難的問題。同時,我認為,在溯源、存證、政務等方面,聯盟鏈也是有可能率先得到嘗試和應用的。
Beep幣撲Plan B第八問
喵大人:前市場行情低迷,數字貨幣金融借貸市場逐漸興起,如果對比特幣長期看好,從幣本位出發,那定期理財會是剛需嗎?王總是怎麼看數字貨幣借貸及理財的市場發展趨勢?
王志堅:數字資產的誕生與發展,必然會帶來與之相關的金融業務,所以基於數字資產的理財產品是必然會出現的,目前市場上,基於比特幣、以太坊等主流資產的理財產品已經有很多。
但針對穩定幣來說,目前主要的穩定幣,都還未對使用者開放收益共享,借鑑網際網路中支付寶、微利貸等產品,我認為,隨著穩定幣市場競爭的加劇,穩定幣會逐步開始對持有人分享收益。
目前,基於NULS的去中心化穩定幣USDI,就是一種持有即享收益的穩定幣,我們率先在這片市場開始嘗試,希望可以為更多使用者帶去回報的同時,也豐富NULS自身的生態。
2019是NULS完成基礎積累,開始應用落地、服務社會的轉機之年。
期待未來NULS生態能發展的越來越好,根據市場動態探索更多方向。