DVP全球黑客松奏响“江南style”

10月19日，在韩国首尔江南区CNN的The Biz会场，DVP全球黑客松大赛韩国站正式拉开帷幕。

本场大赛由DVP主办，MIXMARVEL、Contentos、Bibox、ONTology、YEECO、Elastos协办，由白帽汇、PeckShield、长亭科技提供安全战略支持，巴比特、火星财经、深链财经、HOLD、区块律动提供媒体战略支持，上百位安全研究人员、韩国社区民众到场支持。

DVP CEO Daniel Wen、亦来云联合创始人韩锋、韩国HaechiLabs代表Lee Kyutaek、韩国BOB著名黑客代表panghoddari、PeckShield漏洞研究总监Edward Lo、长亭科技区块链安全负责人于晓航、白帽汇高级安全研究专员R3start受邀参加并做了主题演讲和讨论。

DVP CEO Daniel Wen向与会嘉宾和观众介绍了区块链行业安全的最新发展情况，“随着区块链行业规模和影响力不断扩大，每年因为漏洞造成的经济损失呈指数增长，区块链行业安全形势非常严峻。”针对这些问题，他谈到DVP模式的作用：“DVP的逻辑是建立一个更加去中心化的平台，因为社区的建立，覆盖面会更广，参与人员多角度众测，提供的安全报告会更全面、质量会更高。另外，在厂商诉求和白帽子利益的平衡方面，也更容易做到平衡。一方面通过不对称加密通讯的方式，保证漏洞的机密不会被泄漏，另一方面通过区块链智能合约的设计，可以把白帽子的利益锁定在其中，以及通过经济模型设计，可以对白帽子有更好的激励。”

亦来云联合创始人韩锋非常赞同韩国在区块链和5G的发展方向和系列举措，如：韩国是全球首个5G商用国家，并在釜山设立区块链特区。韩锋认为5G时代的数据资产化运动将势不可挡，并在个人信用额度的普遍提升、大数据挖掘转化成数据权益证明挖矿、个人数字创作变成可交易数字资产等方面孕育巨大的红利。同时，韩锋认为.随着5G时代和区块链技术的成熟，全人类上网条件和参与数字经济将有彻底的革命性变革，数据资产化运动的基础已经具备：“1.以亦来云为代表的第二代互联网的基础底层架构逐步完善的情况下，对于机构和个人数据的保护提供了颠覆式的创新；2.互联网数字经济的迅猛发展帮助中、美、韩等各国积累了大量数据；3.各国都在研究法定数字货币，如中国央行法定数字货币可能率先推出。”

韩国知名智能合约审计公司HAECHI LABS代表LeeKyutaek发表了关于智能合约和安全漏洞的主题演讲。“随着智能合约服务的多样化不断提高，不仅是智能合约的安全问题，服务架构方面也需要考虑更多的因素。如近期Synthetix发生的安全事故，在开发利用智能合约的相关服务的时候，不仅是要注意智能合约本身，还需要格外注意从外部导入的一些信息情报。”谈到与DVP的合作，LeeKyutaek认为：“与DVP和更多白帽黑客合作交流，有利于我们快速进行知识迭代，了解最前沿的安全动态和技术，大幅提升智能合约审计质量。”

韩国BoB著名黑客代表panghoddari分享了自己的经历和对于Bug Bounty的看法。BoB（Best of the Best）是由韩国政府集中国家资源重点资助的超级黑客培训机构，每年仅招收极少数黑客天才进行深造，可以说是韩国的黑客国家队。panghoddari认为：“相比传统CTF比赛，在DVP这样的BugBounty平台上寻找漏洞更加接近现实世界，能帮助自己很好地磨炼技术。寻找漏洞的过程不确定性更大也更加刺激。奖励方式对白帽黑客的激励作用也很大，让我体会到了传统CTF中所没有的乐趣。”未来，panghoddari将作为DVP白帽领袖，更多地参与到DVP平台的建设中，并向更多韩国白帽社群推广DVP。

PeckShield漏洞研究总监Edward Lo对于安全专业人士如何抓住当前行业形势所带来的机遇问题作出了回答：“相比其他领域，安全对于区块链尤为重要，因为几乎所有的攻击都会对受害者造成一定的财务损失。从另一个角度看，这对安全专业人士来说也是一个很好的机遇。大家应该比较熟悉用于智能合约的solidity编程语言，大部分支持智能合约的公链都使他们VM与以太坊的VM兼容。对公链有兴趣的朋友，需要至少学习golang或rust中的一门语言，两者都学最好。而更关键的是了解DApps或公链背后的业务逻辑，明白它们为什么以及如何设计和实现。”

长亭科技区块链安全负责人于晓航则对项目方提出了安全建议：“我觉得项目方需要同时重视攻与防两个方面。攻击方面可以使用渗透测试、源码审计服务来先于黑客发现风险，防守方面可以使用优质安全防御和安全管理产品，包括WAF、蜜罐、扫描器等，管理产品包括冷热钱包等。另外很重要的一点是安全培训——‘盾牌很好，前提是会使用它’。多数安全事件是由于开发者或用户的安全意识不足导致的，因此安全培训是从根本上提高安全水平的一个方法。我们也需要借助DVP这样的平台，开源共享一些安全事件和攻击手法的解析。专业人士虽然具备了丰富的安全知识，但无法凭一己之力解决安全这个大问题，我们应该把这些知识分享给社区，只有这样才能真正推动整个生态的安全水平提升，这也是我们正在和DVP合作推进的事情。”

白帽汇高级安全研究专员R3start作为CTF比赛主管评委，赛后谈到了本次比赛题目的特点：“本次比赛设有Web、公链、合约三大类型考题，公链和合约题目涉及到公链拒绝服务、RCE的复现模拟、智能合约的可预测随机数和重入攻击漏洞，Web题则更偏向于传统CTF题加渗透实战，主要涉及到SSRF绕过安全限制渗透内网redis拿shell和mysql伪造恶意服务端造成任意文件读取，获取php源码绕过过滤限制，执行恶意代码等操作。可以说，这次CTF比赛内容涵盖了区块链行业各类项目方的主要技术特点，能比较全面地考察白帽黑客的能力。”

下午1:00-17:15，晋级决赛的10支白帽黑客韩国代表队和国际代表队进行了激烈的CTF比赛角逐。

最终，来自韩国的Posix摘得桂冠，获得了价值1000万韩元的一等奖。

Minivet团队获得了价值600万韩元的二等奖。

$wag，HeungbuBudaeJjigae，SCVSoft三支团队均获得了价值300万韩元的三等奖。

颁奖结束，DVP团队还和所有嘉宾、白帽黑客共进晚餐，比赛结束，烤肉继续~

DVP将继续深耕韩国和国际白帽社区，通过黑客松全球行推广DVP理念，与更多安全团队和白帽子合作，共建区块链安全新生态。