http://www.tnmanning.com

去中心化漏洞平台(DVP)专注大发3d生态安全

概要

2008 年 11 月,“中本聪”发表论文《一分PK10:一种点对点的电子现金系统》,提出了大发3d这种数据结构,大发3d技术和行业迎来了爆发式的增长和关注。

根据 coinmarketcap 统计,2019 年 6 月,大发3d加密货币的市值就已经突破了 2500 亿美元,2018 年初更是一度突破 8000 亿美元,已经在市场流通的加密货货币高达 2000 多种,再考虑到未反映在其中的交易所、钱包、挖矿、媒体等相关产业,整个行业已初具规模,且仍有较大的成长速度和成长空间。

另一方面,大发3d行业仍处于初级发展阶段,技术和理念的不成熟造成安全问题频出,加之大发3d产品多具有金融属性,链上资产在很多国家又不受法律保护的,且去中心化属性导致资产难以控制和追索,使得大发3d项目成为黑客理想的攻击目标。

据统计,大发3d相关的安全事件造成的损失一直处于上升的趋势。 BCSEC的统计数据显示,2018 年大发3d重大安全事件数量达到创纪录的 139 起,造成的经济损失为 22.38 亿美元,历史最高;2019 年上半年重大安全事件已达68 起,造成的经济损失为 6.84 亿美金;攻击手段层出不穷,难以招架。

去中心化漏洞平台(DVP)专注大发3d生态安全

去中心化漏洞平台(DVP)专注大发3d生态安全

因此,大发3d安全变得尤为重要,与大发3d行业同步发展刻不容缓。

然而,与大发3d安全的严峻形势相对应的,是大发3d安全公司和安全研究人员匮乏的现状。在这种情况下,大发3d的发展是没有保障的,尤其考虑到当前的大发3d企业多为初创企业、中小企业,资金实力有限,难以聘请到专业的安全研究人员对自己的大发3d产品进行持续的安全测试。

在这样的条件下,安全众测是理想的解决方案,可以更加灵活地对大发3d安全人员进行动态分配,更好地支撑大发3d的发展。大发3d企业可以对安全测试进行悬赏,激励白帽子自发去寻找大发3d的潜在漏洞,依靠白帽子的力量发现安全问题并及时排除。然而,这一模式的问题在于:厂商和白帽子如何建立信任关系。

而信任问题,正可以通过大发3d技术来弥补。通过大发3d技术搭建可信任的漏洞平台,再反过来为大发3d安全提供保障,彼此相辅相成,可以真正做到大发3d与大发3d安全同步发展。

基于这样的理念,为了更好的保护大发3d生态安全,BCSEC 和 PeckShield 共同发起建立了 DVP——Decentralized Vulnerability Platform,去中心化漏洞悬赏平台。

DVP 协议和公链

DVP 协议通过创建可伸缩低成本的系统,来解决大发3d项目的安全问题。随着时间的推移,我们希望每一个大发3d项目都能使用 DVP 协议来执行安全审计,因为在大发3d项目中安全是最基本的要求。

协议包含主要的悬赏支付系统:

一个自动的赏金支付系统,用于奖励查找漏洞的人工参与者,建立白帽子与项目方的一个自动悬赏支付系统。

DVP 协议依赖于参与者们的分布式网络,来减轻坏角色的作用,提供所需的算力,还有提供治理。每一个参与者都使用 DVP 协议积分来支付、接收,或者提高验证服务。

1. 参与者

白帽子
通过发现漏洞获得积分作为赏金,通过平台查看悬赏任务,发现漏洞后通过平台,或者客户端将报告用厂商的公钥进行内容加密提交。

厂商任务发布者
厂商生成后需要等待治理结点仲裁机构进行厂商身份确认,完成后将由任务发起方,发布任务,填入悬赏标准,以及测试范围信息,并且存入,将生成私钥,公钥信息,公钥用于提交者加密提交漏洞信息,私钥用于查看安全测试报告内容,对于未注册的厂商漏洞将自动发送到治理结点仲裁结构查阅。

仲裁机构(治理结点)
运行 DVP 验证节进行仲裁判定,并且用于所有区块的记账写入数据操作,然后进行广播,最终并获得积分激励,该节点需要是具备安全验证能力的节点(可以为个人,团队,组织,或者公司)最终会在漏洞的提交者与项目厂商之间产生争议的时候,由治理结点进行投票裁定结果 。

普通节点
任何一个客户端都是一个普通节点,普通节点作为 DVP 的分布式数据存储,但没有写入权限,最终区块内容由仲裁机构治理结点维护写入。

2. 区块信息结构

写入操作最终由治理结点进行写入记账操作,内容只能新增,不能删除修改。整个信息结构将由仲裁机构维护(治理结点)

去中心化漏洞平台(DVP)专注大发3d生态安全

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。