注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
一周十大热门主题
Github 今日推荐 WebGL2神技!deck.gl:秒渲海量数据的可视化神器"
Nginx和Apache要成旧爱了?PHP有了新搭档:缝合怪FrankenPHP!
ChatGPT化身生活操作系统:奥特曼预告下一代顶级AI
西南交通大学张云辉团队JH|利用无监督机器学习和正定矩阵因子分解模型驱动煤矿农业区域的地下水化学成因...
多邻国联姻瑞幸;if椰子水母企IPO市值冲上100亿;阿里巴巴美国站推B2B先买后付 | TopDi...
ChatGPT惨败Llama!MIT官宣AI开飞船0%失败率,马斯克火星殖民不再是梦
Altman嘲讽小扎挖走的都不是顶尖人才!OpenAI高管再营业曝内幕:ChatGPT爆红后,我火速...
ChatGPT 4o 国内直接用!
马斯克公布脑机接口重大进展:受试者增至7人,未来有望控制人形机器人;扎克伯格又从OpenAI挖走四位...
国产动漫,迎来ChatGPT时刻!
关注
Py学习  »  区块链

『回顾』区块链与业务安全的新思考

看雪学院 • 6 年前 • 542 次点击  

从年初到现在,没有人会怀疑区块链技术的火热程度,区块链甚至可能会取代互联网,已经逐渐成为众多技术人员心中的共识。面对区块链技术的日新月异,区块链安全问题逐渐显露出来。

区块链安全,既是传统安全的升级,也是传统安全人员新的机遇。面对区块链安全,讲技术的资料很多,讲实际操作的很少,讲密码学、讲算法的资料很多,讲实际的公链运维、合约审计、漏洞挖掘的却很少。

面对这样的现状,看雪学院决定开设【传统安全x区块链】栏目。

在这个栏目中,有传统安全转区块链的大咖专访,窥探大咖在面对区块链时的心路历程。我们定期输出漏洞成果CVE,分享漏洞详情与挖掘技巧。

在这个栏目中,我们有详细的视频+文字教学, 通过实际操作了解区块链及区块链安全的各种概念。

在这个栏目中,还有志同道合的小伙伴儿们,一起在区块链安全的道路上,开辟新的征程。

接下来,让我们一起来回顾一下【传统安全x区块链】的第一期内容吧!


《区块链业务安全新思考》



闫定国,极验技术研究院,极验资深区块链业务安全专家,主要负责行业研究。

极验是一家基于人工智能的业务安全服务提供商。要为企业提供成熟的业务安全解决方案,对抗黑产,保护企业账户安全,主要客户有华为,小米等全球20万家客户。


业务安全的发展历程

业务安全这个词从2013年才逐渐进入了人们的视野。

随着O2O模式(外卖平台,还是各种家政、维修上门服务),到P2P,从各种网约车、共享单车的兴起到目前出于风口上的区块链行业,可以说互联网每一个大的浪潮都是一次羊毛党发迹的盛宴。不论是那一个行业的兴起都势必经历初期的野蛮生长、商业模式的盲目复制、近乎疯狂的补贴大战。

随着资本的进入动辄千万、上亿级别的烧钱大战,如此大的资本投入所带来的利益空间逐步将羊毛党推向规模化、职业化、专业化,越来越多的企业认识到了业务安全的重要性,同时也出现了越来越多的针对业务安全的第三方服务提供商。


业务安全应该从哪几个层面来做?

现在一般分三个层面

1、威胁情报,提前预警

通过舆情监控(社交工具、暗网、羊毛论坛…)提前发现威胁情报,采取行动,规避风险

2、实时对抗

通过增减风控规则、修改业务逻辑、训练防御模型与灰黑产实时对抗。

3、通过法律途径解决(最有效)

通过取证、团伙定位与警方合作直接抓人,一般目前只有少数几个大厂才有能力。 羊毛党已经在资本的推动下变得更加规模化、职业化、专业化。

前不久和一个阿里的朋友聊天,他们之前和警方配合跨两省6个城市抓捕了100多人的淘宝刷单产业链人员,这种事一般小公司,警方懒得理你。


第一张是群控系统,就是很所真实的硬件手机或者平板,第二张是改机软件,可以一键新机(需要手机root之后),可以直接改掉手机品牌、操作系统版本、imei号(安卓手机)、idfaios),通常群控设备和改机软件一起使用,用于批量求改设备信息后注册、登陆等行为。

目前,在国内是几百亿的规模,从业人员有几十万。


这条黑色产业链是如何运作的呢?


产业链


上两张是猫池卡池设备和手机黑卡,他们也是配合使用的,把手机黑卡插到卡池里面,再把卡池接到猫池上,可以同时控制上千个手机卡,一般用于自动接收短信验证码。


这张是批量的身份证还有手持身份证照片成套出售的情况,多用于一些类似于金融或者数字货币kyc比较严格的行业,价格相对较高。

据说现在交易所一个新客户的获客成本,已经达到了几千元。


一般交易所的业务安全的现状如何?

拿fcoin来说

fcoin这个上币规则说白了就是看持币用户的数量,所以fcoin的账号或者对应的地址一度被炒的很高。

之前10万个账号需要10w人民币左右,最近只要2-3万,因为存在很多转卖行为。有的项目方会在购买后转买给其他客户。


行业业务安全现状



在排名靠前的一些短信接码平台,只要收一下关于币的关键字就会出来非常多的项目,直接就可以对接。

搜索bit就出来近20家公司已经被接码平台接过,而且这只是其中一家接码平台。

如果想薅到交易所的羊毛必须注册新手送一些项目方的币,或者投票之类的场景。

主要是账号层面和kyc两方面的问题。

针对这两个层面,解决羊毛党的方法如下:

这个是账号层面的解决思路。

我们这个风控系统就是通过采集用户行为轨迹、ip、手机号、设备指纹等维度,实时给客户打分。业务方可以根据分数作出业务决策。

这个是kyc的解决思路,我们提供完整的解决方案,各种要素认证。


调用公安接口,这个作为合作方还是有很多途径可以调用到的,具体不能透露。


Q&A

粉丝A:这些整套的身份证一般都是怎么来的?可以讲讲吗?

闫定国:其实现在这种方案非常成熟,很多厂商都在提供这项服务;身份证跟人脸实时比对,或者手持身份证进行动态比对,查看是否是同一个人,现在做这种技术的市面上也就那几家厂商,我们也是用的常规的供应商,跟他们签的技术框架协议,然后调用接口来实现的。还要就是有些会跟公安部和运营商也有合作,因为需要用户注册时的手机卡号等信息。

粉丝B:现在区块链进入“冬天”了,对交易所业务影响大吗?

闫定国:很大,主要就是政策方面。国内很多项目都在等政策,搁置了。


粉丝C:你们现在还看好区块链业务吗?未来还会以区块链为重心吗?

闫定国:我们只是一家乙方公司,给客户提供安全解决方案,哪里有羊毛党我们就会在哪里。

每个国家的政策不一样,区块链本身其实是一个非常好的技术,但是大家为了变现周期更快,因此所有的技术都是围绕着数字货币在做,到最后都渐渐演变成割韭菜的情况,因为这样变现最快。本来区块链是非常好的技术,可以用在物流、溯源、取证等等很多方面,如果大家都踏踏实实来做的话,估计会在今后一两年好起来。但是目前所有的点还是围绕在数字货币上。

 


活动预告

10月6日 19点~20点

【传统安全x区块链】公开课第一期《区块链概念入门》

我们不见不散!






去论坛看看!


今天看啥 - 高品质阅读平台
本文地址:http://www.jintiankansha.me/t/siMocN7CuB
Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/24676
Reply
 
542 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号