您好!欢迎访问!
设置首页

您所在的位置:主页 > 本港台现场报码六六室 >

基于区块链和去中心化技术的DVP漏洞信息展现平台介绍

浏览数:  发表时间:2019-10-09  

  据中国网财经记者...,根据coinmarketcap统计,2019年6月,区块链加密货币的市值就已经突破了2500亿美元,2018年初更是一度突破8000亿美元,已经在市场流通的加密货货币高达2000多种,再考虑到未反映在其中的交易所、钱包、挖矿、媒体等相关产业,整个行业已初具规模,且仍有较大的成长速度和成长空间。

  另一方面,区块链行业仍处于初级发展阶段,技术和理念的不成熟造成安全问题频出,加之区块链产品多具有金融属性,链上资产在很多国家又不受法律保护的,且去中心化属性导致资产难以控制和追索,使得区块链项目成为黑客理想的攻击目标。

  据统计,区块链相关的安全事件造成的损失一直处于上升的趋势。 BCSEC的统计数据显示,2018年区块链重大安全事件数量达到创纪录的139起,造成的经济损失为 22.38亿美元,历史最高;2019年上半年重大安全事件已达68起,造成的经济损失为6.84亿美金;攻击手段层出不穷,难以招架。

  然而,与区块链安全的严峻形势相对应的,是区块链安全公司和安全研究人员匮乏的现状。在这种情况下,区块链的发展是没有保障的,尤其考虑到当前的区块链企业多为初创企业、中小企业,资金实力有限,难以聘请到专业的安全研究人员对自己的区块链产品进行持续的安全测试。

  在这样的条件下,安全众测是理想的解决方案,可以更加灵活地对区块链安全人员进行动态分配,更好地支撑区块链的发展。区块链企业可以对安全测试进行悬赏,激励白帽子自发去寻找区块链的潜在漏洞,依靠白帽子的力量发现安全问题并及时排除。然而,这一模式的问题在于:厂商和白帽子如何建立信任关系。

  而信任问题,正可以通过区块链技术来弥补。通过区块链技术搭建可信任的漏洞平台,再反过来为区块链安全提供保障,彼此相辅相成,可以真正做到区块链与区块链安全同步发展。

  DVP 协议通过创建可伸缩低成本的系统,来解决区块链项目的安全问题。随着时间的推移,我们希望每一个区块链项目都能使用 DVP 协议来执行安全审计,因为在区块链项目中安全是最基本的要求。

  一个自动的赏金支付系统,用于奖励查找漏洞的人工参与者,建立白帽子与项目方的一个自动悬赏支付系统。

  DVP 协议依赖于参与者们的分布式网络,来减轻坏角色的作用,提供所需的算力,还有提供治理。每一个参与者都使用 DVP 协议积分来支付、接收,或者提高验证服务。

  通过发现漏洞获得积分作为赏金,通过平台查看悬赏任务,发现漏洞后通过平台,或者客户端将报告用厂商的公钥进行内容加密提交。

  厂商生成后需要等待治理结点仲裁机构进行厂商身份确认,完成后将由任务发起方,发布任务,填入悬赏标准,以及测试范围信息,并且存入,将生成私钥,公钥信息,公钥用于提交者加密提交漏洞信息,私钥用于查看安全测试报告内容,对于未注册的厂商漏洞将自动发送到治理结点仲裁结构查阅。

  运行 DVP 验证节进行仲裁判定,并且用于所有区块的记账写入数据操作,然后进行广播,最终并获得积分激励,该节点需要是具备安全验证能力的节点(可以为个人,团队,组织,或者公司)最终会在漏洞的提交者与项目厂商之间产生争议的时候,由治理结点进行投票裁定结果 。

  任何一个客户端都是一个普通节点,普通节点作为 DVP 的分布式数据存储,但没有写入权限,最终区块内容由仲裁机构治理结点维护写入。

  写入操作最终由治理结点进行写入记账操作,内容只能新增,不能删除修改。整个信息结构将由仲裁机构维护(治理结点)

  生成 DVP 的厂商账号,在项目设置中填写测试目标和漏洞奖金等信息,提交后等待治理结点审核厂商身份,完成厂商账号押金充值,即可开始公开悬赏项目。

  悬赏合约将通过在线的 B/S 客户端,或者 C/S 客户端,移动端等进行任务发布,内容对每个等级的漏洞悬赏定义,例如:高危 1000$, 中危 500$,低危 200$;项目审计的资产范围,可以是钱包、公链项目,或者某个系统等;漏洞定义将对每个等级的情况进行说明;

  普通节点:用于接受治理结点的广播的区块信息存储记录,保证整个网络的数据去中心化。

  治理结点:用于广播记账计算全网的交易,悬赏,合约等信息记录,将由拥有一定安全能力的安全厂商运营

  在线展现平台主要用于提交漏洞,厂商注册生成,白帽子注册生成,包含厂商列表,厂商信息页,排行榜页面,公告页面,奖励计划说明页面,漏洞说明页面,但是整个平台的数据是去中心化的,只是一个在线的客户端 DVP 浏览器,用于展现区块中的数据。同时形成一个安全生态社区,聚集更多的白帽子与项目方的入驻。

  显示漏洞的列表,其中包含,漏洞标题,漏洞提交公钥地址,漏洞对应的厂商,漏洞奖金,漏洞发布时间。

  白帽子提交漏洞的入口,白帽子需要提交漏洞标题,影响厂商,官方网站,类型,危害,自评分,自评等级,简介,详情,验证代码(PoC),修复建议。

  厂商填入安全审计的资产范围,悬赏标准后,直接将押金存入合约,悬赏合约将通过治理结点进行广播写入全网区块。

  厂商项目方可以自定义时间段,节假日发起特定时间段的悬赏活动,除了正规的悬赏合约信息外指定合约有效期。

  填入厂商联系邮箱,厂商官方主页,介绍信息,然后转入相应的押金,注册完成后会自动生成相关私钥,公钥,作为厂商后续登入的唯一凭证。公钥也是钱包地址

  填入个人介绍,昵称,注册完成后 生成相关私钥,公钥。作为厂商后续登入的唯一凭证。公钥也是钱包地址

  除显示厂商信息外,还显示厂商介绍,厂商发放奖金情况,厂商个人信息管理,以及厂商对应的漏洞提交情况。

  排行榜分为白帽子积分排行榜,厂商奖金方法排名。白帽子排行榜根据白帽子提交漏洞所得积分进行排名,排名为季度排名,展现当季度的所有漏洞信息合集。

  每个季度在 DVP 协议中将自动按照排名选择 top10 的白帽子进行积分奖励,以保证整个社区的活跃度积极性。

  (1)任何一家区块链厂商将可以通过我们的官方平台(在线的客户端)提交发布悬赏标准,测试范围(可以是合约,也可以是任何公链项目等),提交后存入相应倍数的积分到奖金池,完成操作后将自动为该悬赏事务生成公钥(加密漏洞内容),私钥(厂商查看安全报告内容)

  (2)漏洞提交者同时也可以通过我们的官方平台(在线客户端)实时查看目前在区块里发布写入的悬赏事务,选择自己要参与的,当发现漏洞后可以通过该厂商公布的公钥进行加密漏洞内容,然后发送,厂商则可以在区块获取跟自己有关的漏洞信息,然后进行解密查看,当对漏洞进行确认后,事务会自动对该漏洞的提交者进行发布的标准奖励(根据漏洞的高中低等级确认)。

  (3)当厂商对漏洞产生任何疑问的时候,厂商可以将该漏洞事务重新写入区块发送给仲裁机构(治理结点),这时候由仲裁机构(治理结点)进行仲裁,然后进行漏洞判断,仲裁结果以验证者投票决定结果,超过 50%的票数将决定漏洞的裁定,然后将状态广播到网络。

  (4)漏洞被提交写入区块后,超过 24 小时未被处理,将自动进行消息推送给项目方提醒。

  标题描述:标题可基本概括漏洞情况,描述语言缺乏规范性。如“一处注入漏洞”“另外一处注入”“网站某处存在越权”

  漏洞复现过程:复现过程基本完整,个别地方描述不清或缺少数据,对漏洞评估、复现有一定影响

  分步骤图文描述:关键测试步骤完整,但复现步骤缺失,对漏洞复现有一定影响。如直接粘贴出漏洞利用请求包,但缺乏测试步骤如何获取此请求包,需要二次沟通方才可复现

  漏洞修复建议:修复建议基本无误,但过于简单,无实际参考意义。如“控制权限”,“过滤参数”,“校验身份”

  当漏洞报告被提交写入区块后,漏洞报告会自动加盖时间戳,超过 24 小时未处理,将自动触发联系厂商动作。在没被任何人确认的情况下将显示“厂商未确认”。

  厂商可以查看自己悬赏合约的相关漏洞信息,通过私钥能解密得到报告内容详情,然后进行判断,当无误时,悬赏动作将自动打入该漏洞提交者的地址。

  争议是指目前提交的漏洞信息,厂商不予认同,存在疑问,这时候需要厂商发送解密过后的漏洞细节报告给仲裁节点,进行投票仲裁,最终结果以投票数》50%的结论进行裁定。

  在厂商主导确认下可以发布漏洞公开内容,进行披露漏洞细节,这些内容将被写入到区块中,供大家查看。

  厂商发布悬赏合约后,能通过客户端+私钥登入 DVP 主网,查看提交的漏洞细节,当漏洞被确认后,将自动完成转账悬赏操作,当出现异议时:

  漏洞重复:按照提交时间以提交时间最早的为准,后面提交的厂商有权拒绝,发起仲裁。

  漏洞无效:厂商认为该漏洞无效,无法复现,或者无危害,这时候厂商将细节解密重新加密发送给仲裁节点进行投票仲裁。根据仲裁结果,如果确定有效自动转入提交者的钱包地址,非有效漏洞,将直接广播全网告知该漏洞无效。

  DVP 平台将对每笔业务收取一定比例的矿工费(初始参数设置为 10%),形成奖励池,用于奖励回馈对 DVP 社区生态贡献价值的厂商和白帽子(初始参数比例 3:7)。厂商和白帽子所贡献的价值将按照一套规则透明的排名算法计算,算法细则请关注官方网站的披露。

  漏洞悬赏源起于美国,前有 Facebook,Google,微软;后有 HackerOne,BugCrowd 等商业公司,通过白帽社区帮助企业发现安全漏洞。国内 3BAT 等一线互联网厂商均有 src(安全应急响应中心)进行漏洞悬赏计划,他们通过这种方式使外部漏洞数量直线下降至可控范围内,为自己长线的安全体系建设赢得时间和方向指引。

  但是目前市面上还没有一个去中心化的漏洞悬赏平台。所有的悬赏任务,都是通过中心化的平台,或者邮件等方式沟通,低效且耗时,限制了悬赏活动的使用范围,并且它要求企业雇用专门的人员审核所有的悬赏任务,而提交者又不愿意过多的暴露自己的身份,以及联系方式等个人隐私。而现有平台都没有解决这些问题, 市面上现有的 Bug Crowd 和 Hackerone 等其他网站,侧重于传统的网络安全问题,且没有提供去中心化的审查机制,而 DVP 的核心价值点就在于,隐私保护,以及匿名的设计,以及去中心化的审查机制来保障漏洞的保密性,公平性。

  目前其他的悬赏平台都需要提交者提供私人信息,包括领取奖励的信息,提交漏洞的安全人员多数不愿意透露自己的个人信息,很多白帽子因为不愿意跟厂商沟通,以及留下个人信息等原因放弃提交漏洞,而 DVP 的匿名性等特点能有效的保护白帽子个人隐私,所以能更好的吸引更多的白帽子参与。

  提交漏洞只与厂商进行结果确认,保证漏洞的保密性,当出现争议时候,由过个治理结点投票决定保证公正性,目前现有的漏洞平台都是基于中心化的平台,所以平台方是能查看到所有项目方的漏洞信息,而厂商项目方并不想把这些信息给平台方查看,历史上就有因为中心平台方的问题导致漏洞细节被暴露,最终导致漏洞细节被二次利用,使厂商遭受损失,而目前 DVP 的对称加密方案结合公链的方式让漏洞细节只有厂商能查看,且最终的公开与否的权利都在厂商手上,有效的保证了漏洞细节的保密性。

  悬赏奖励交易匿名记账,对于奖励无需任何个人信息,且任何的奖励悬赏记录都能公开透明,保证公平公正性。每笔悬赏都有历史的记录,能完整的溯源奖励记录。

  所有的审核标准都由厂商来确认,传统的漏洞平台,通常都由中心平台来进行审核验证漏洞,中心平台拥有绝对的控制权,对于漏洞有疑问的地方,白帽子或者厂商是没有话语权的,而 DVP 以去中心化的机制进行审核,厂商在出现异议的时候,由仲裁方(治理结点)进行仲裁投票方式审核该漏洞保证绝对的公平性。

  人人都懂区块链系列是一套精心录制的一系列针对于零基础朋友,致力于让更多人了解区块链技术,比特币,以太坊,莱特币等数字货币

  GrainChain尝试以咖啡和区块链技术征服全球咖啡市场。五月,星巴克宣布它将在微软的Azure区....

  NibbleClassic(NBX)是极简支付POW矿币,核心开发源于乌龟币社区极客,项目采用Cry....

  Albert 的第一个论点是:目前看来,DeFi 的成功就是以太坊的成功。然而,如果大多数 DeFi....

  Cosmos 的 Staking 收益由两部分组成:交易产生的 Fees 和基于抵押率的浮动 Tok....

  LongHash 通过分析发行在以太坊上的 ERC20 代币,试图发掘今年表现优异的小市值代币。此次....

  最简单的起点是比特币,但它也是最难定义的加密货币。对于像我这样的工薪阶层的美国人来说,比特币是一项投....

  区块链可以用来自动跟踪时间和产地,交货阶段,销售时间,等等;这些优势在快速消费品(FMCG)市场上可....

  使与AI、云计算、大数据等技术结合应用,较为成熟的应用场景仍然局限在金融、存证、溯源等领域。

  区块链技术是指一种全民参与记账的方式。所有的系统背后都有一个数据库,你可以把数据库看成是就是一个大账....

  区块链和DLT带来的数字转型将对抵押贷款行业将产生不可或缺的影响,但这可能还需要一段时间。

  区块链分析公司Chainalysis对比特币混币交易进行了权衡分析,而这些混币服务正是通过将资金混杂....

  随着区块链技术的出现和人工智能技术的发展,现在可以通过结合人工智能和区块链来解决证券化的许多挑战。

  区块链三难困境,也就是通常所说的可伸缩性三难困境,一直是加密货币面临的最大障碍,直到最近才有所改变。

  主网上线会带来许多好处和优势,这也是为什么各大项目都争先恐后的想把自己的项目进行主网上线

  比特币的特殊之处还在于:用户可以对任何数据进行“签名”,然而只有知道与某个公钥对应的私钥的人才有此项....

  智能合约概念虽然早在1997年诞生,在2015年被以太坊通过区块链实现,但它一直无法被应用到现实情况....

  Overledger将为Quilt提供通用的互操作性。我们正在集成Overledger的API和SD....

  Hype Cycle概述了区块链功能是如何从业务角度和跨不同行业的成熟度发展的。基于Gartner ....

  区块链并不是一个单一的技术。术语区块链实际上包含了广泛的技术,从智能合约到代币,再到将不断成熟并可用....

  创建自己的商店或数字商店是令人畏惧的。无论你是在用Shopify、Square、PayPal、Str....

  在论文中,谷歌研究人员称,谷歌的处理器能够在 3 分 20 秒内,完成目前全球排名第一的超级计算机 ....

  Neoray2.0已经上线了。这是一次Neoray的大型更新,我们更新了界面、使用流程、以及合约调用....

  进一步观察上图得出,在17年之前,比特币在总市值占比这一指标上高于80%是很正常的。那么这个指标的高....

  在过去几年里,我们看到抵押贷款领域发生了重大变化。我们看到,非银行抵押贷款机构在一个主要由传统银行主....

  北京时间9月23日消息,据国外媒体报道,IBM区块链服务总经理詹森·凯利(Jason Kelley)....

  吴忌寒将这些总结为“自我实现”。通过创造去实现自我,不管它是成就感,是自尊心还是荣耀,或是外部尊重,....

  国网对于区块链重视程度较高,预计国网的目标是推出基于能源资产的数字货币,国网电商在技术研发和平台运营....

  比特币是一种数字专属货币,可以在互联网上直接进行转账,可替代传统的法定货币。

  在讨论量子计算时,最困难的事情之一是将事实与虚构分离,恐惧与制造恐惧剥离,理论与实践分开。

  比特币网络的节点担任着:交易确认和广播的工作。所有的节点,都遵守比特币的共识规则 (Consensu....

  而区块链是一种不可删除的分布式账本,对区块链数据的“增”只能以“交易”这种方式来执行。就这两特性就和....

  区块链并不是一个单一的技术。术语区块链实际上包含了广泛的技术,从智能合约到代币,再到将不断成熟并可用....

  区块链正被考虑用于“跟踪和追踪”服务、防伪、库存管理和审计,其中任何一项都可用于提高产品质量或食品安....

  围绕AI领域,我们开始讨论第一个话题:AI领域的估值最近两年一直在往下掉,人们也在探讨,AI公司的估....

  电信业一直受到威胁其生存的新兴技术的挑战。无线电中断了固定电话,信息中断了电话,互联网全面挑战了通讯....

  据WinterGreen研究公司预测,到2024年,区块链将在全球范围内创造超过600亿美元的数字经....

  2017年,估计有6250亿美元的汇款是由移民寄往本国的个人。但是,转移这些汇款的过程仍然是费时和昂....

  N是基于Proof Of Capacity 的新型加密货币,采用升级版的POA挖矿,拥有完美的经济模....

  “web 2.0”的当前架构是用户友好和熟悉的。然而,正如大多数互联网用户现在开始意识到的那样,这个....

  尽管加密资产的主要用例依然是投机,但我认为这不是一件坏事。投机是传统金融市场发展的主要驱动力,并且在....

  9月20日,中国物流与采购联合会区块链应用分会主办了区块链助推数字供应链第四届“双链共舞”全国供应链....

  多年来,人们一直在警告量子计算的破坏力有多么强大。而当那一天到来时,其可能会使现有的加密标准变得过时....

  大数据通过数据挖掘发现信用,发掘信用价值。区块链通过数学方法解决信任问题,以算法程序表达规则,只要信....

  Pledgecamp的使命是建立新一代的众筹平台。这不是一件一蹴而就的事情,但我们相信这一目标并认为....

  Libra无疑是一个警钟,提醒各国央行不断努力,改善现有的支付系统。全球央行自然会联合起来,共同研究....

  我国的电子商务不断发展,移动终端设备普及率提升,第三方支付位于世界前列,这为我国发展数字货币奠定了良....

  大部分一级市场的资产本来就并不需要如此高的波动性,甚至都不需要波动性的存在,一级市场才是最适合它们的....

  数字货币,因为数字经济的发展而诞生和成长;数字经济,因为数字货币的成熟而扩张和膨胀。

  区块链存储是区块链驱动的去中心化存储系统的简称,是以存储为核心场景的区块链应用,是去中心化存储加上区....

  区块链技术允许公司创建一种称为代币的数字证券,从金融工程的角度来看,这种证券更加灵活、更加细致,并且....

  5G和区块链技术的结合可能会带来经济价值的飙升。为了理解5G和区块链之间的这种联系,必须将这种关系视....

  比特币越来越重要,能在更多的交易所兑换更多的货币,各国央行将意识到自己发行的货币与比特币存在竞争相关....

  区块链也是关于数据存储、保护和分布的,但现在它作为一种工具被越来越多的被认识,它有能力做比最初的更多....

  去中心化金融是一种利用去中心化的网络将旧的金融产品转化为不依赖中介机构、运行透明的协议的运动。

  虽然比特币作为支付机制的使用似乎已经落后于其作为投资资产的价值,但由于矿工收取的处理费用比法定等价物....

  加密货币提供了最简单和最便宜的汇款方式。你甚至不需要第三方来处理电子货币。

  比特币对金融体系的桎梏完全漠不关心。当前的体系,以其膨胀和贪婪的形式,不仅需要你的物质服从,还要求得....

  每一次,我们都会发现实施技术的新方法,同时充满灵感,但环顾四周,看不到任何实际的变化。谈到使用区块链,我们应该...

  俗话说,大象从不忘事儿。 区块链亦是如此。 内存是区块链的核心,它是一种以关键方式构建的突破性计算机编程语言,...

  四年等一回,2018年俄罗斯世界杯赛开幕在即,从6月14日至7月15日,64场比赛轮番来袭。哪个球队会夺冠?谁将成为最佳射手...

  农场游戏app模式开发定制系统设计,农场游戏软件开发,农场复合游戏系统开发设计,农场种植游戏系统开发设计,农场种植...

  区块链技术作为一种分布式共享数据库技术正在方兴未艾,其分散性、透明性、公平性和开放性与互联网的理念是一致的,它...

  我使用LAMP做为NextCloud的运行环境-MariaDB, PHP-FPM 和 Apache(Ubuntu 16.04)。 (一)配置 LA...

  未来是光明的,它是由区块链驱动的。 区块链技术已经通过颠覆性的应用程序改变了金融行业,但金融业只是冰山一角。...

  第一次工业革命始于18世纪的水蒸汽动力,第二次工业革命始于电力,第三次工业革命始于互联网,后面两次工业革命都发生...


Copyright © 2002-2011 DEDECMS. 织梦科技 版权所有 Power by DedeCms
一点红冰水论坛| 小鱼儿主页玄机跑狗图| 满地红图库满地红图源铁算盘| 四海图库总站小六图库| 有钱人高手论坛 有钱人心水论坛| 诸葛神算网平特一肖| 香港老牌金财神中特网| 香港挂牌网| 三中三准确高的网站是?| 特彩吧高手网高手论坛|