1,上海唯晶科技待遇怎么样
上海唯晶有管理通道和技术通道两种发展途径,有相应的工资标准,具体多少要看你的资深程度了,总体来说低于市场行情,来学习经验还可以。
练手公司,台巴子的,不能加班就别去了
新手学点东西还行但是你得能撑住 老手不是本地的建议去大城市 南京物价高工资低
2,南京唯晶科技怎么样
新手学点东西还行但是你得能撑住 老手不是本地的建议去大城市 南京物价高工资低
维晶工资低本地人称霸 最近老人基本上走干净了本地人除外 而且它主要是用学校刚毕业的学生当苦力被叫做培训生 你要是来当培训生要强制签合同必须干满2年不然要付违约金 如果你不是南京人建议不要来
3,北京维晶科技有限公司怎么样?
北京维晶正方教学环境挺好的,有良好的教室,学生食堂用餐干净卫生,经济实惠,学生宿舍,干净整洁,可以洗澡,有空调,可以上网。
北京维晶正方教学环境挺好的,有良好的教室,学生食堂用餐干净卫生,经济实惠,学生宿舍,干净整洁,可以洗澡,有空调,可以上网。
北京维晶科技有限公司是2013-12-02在北京市海淀区注册成立的有限责任公司(自然人投资或控股),注册地址位于北京市房山区阎富路69号院46号楼1至4层101一层15。 北京维晶科技有限公司的统一社会信用代码/注册号是91110108085531627U,企业法人李兰英,目前企业处于开业状态。 北京维晶科技有限公司的经营范围是:技术开发、技术推广、技术转让、技术咨询、技术服务;计算机系统服务;基础软件服务;应用软件服务;技术进出口;数据处理;工程和技术研究与试验发展;销售首饰、工艺品、文化用品、日用品、电子产品、通讯设备、计算机、软件及辅助设备、建筑材料、五金、交电。(企业依法自主选择经营项目,开展经营活动;依法须经批准的项目,经相关部门批准后依批准的内容开展经营活动;不得从事本市产业政策禁止和限制类项目的经营活动。)。在北京市,相近经营范围的公司总注册资本为70642748万元,主要资本集中在 5000万以上 规模的企业中,共5914家。本省范围内,当前企业的注册资本属于一般。 通过百度企业信用查看北京维晶科技有限公司更多信息和资讯。
4,星球日报 | 国家互金整治办将封堵服务器在境外的平台;世界银行发售...
编者按:本文来自36氪战略合作区块链媒体“Odaily星球日报 ”(公众号ID:o-daily,APP下载)
头条
国家互联网金融整治办:将封堵服务器在境外的平台
今日上午,有媒体从国家互联网金融风险专项整治小组办公室获悉,下一步将对 124 家服务器设在境外的虚拟货币交易平台网站采取必要管控措施;定期摸排和关闭涉境内 ICO 及虚拟货币交易相关网站、公众号;同时,从支付结算端入手持续加强对虚拟货币交易的清理整顿力度等。下一步相关部门将进一步采取针对性清理整顿措施,维护金融秩序和社会稳定。
世界银行区块链债券月底发售,定价 1 亿澳元
世界银行推出的区块链债券邦迪(Bondi)已定价为1亿澳元(约合7316万美元);该债券为两年期,到期收益率为2.251%,并将于8月28日发售。
数字货币
熊市导致韩国主要加密数字货币交易所 Bithumb 净利润大跌
今日韩国金融监管局电子信息披露系统(DART)发布了Vidente上半期财务报告。报告显示,韩国加密货币交易所Bithumb今年上半年的净利润为393.4亿韩元;销售额330.6亿韩元,营业利润约2186.33亿韩元。由于虚拟货币市场萎缩导致市场价格下跌,Bithumb今年净利润大幅下滑。
今日14:58:07,Bitfinex钱包地址向Tether核心钱包地址之一Tether Treasury单向转入3000万枚USDT。这是自8月12日以来,Bitfinex首次向Tether Treasury钱包转回大额USDT。据之前统计,8月12日至23日,Tether Treasury累计转入4.15亿枚USDT至Bitfinex钱包。
泰国央行:将基于 R3 开发的区块链测试数字货币
据悉,泰国央行(BOT)将在R3开发的区块链基础上试点推出中央银行数字货币(CBDC)。泰国央行早前透露,预计到2019年第一季度末,将完成基于R3的区块链技术的CBDC的概念验证(PoC)。
区块链产业
伊利利用区块链等技术进行奶粉溯源
为了解决妈妈们对于奶粉质量的担忧,伊利建立了产品质量追溯体系,应用大数据、智能化工厂、区块链等技术,消费者可以通过平台查询奶粉的生产日期、批次、生产者、配料表等追溯信息。
人民法院报:征信服务公司可探索引入区块链技术
8月23日,人民法院报发表文章《规范纠纷化解 护航金融创新——浙江舟山中院关于涉P2P借贷仲裁案件执行情况的调研报告》。文章指出,征信服务公司可探索引入区块链技术,构建信用分散管理账簿,实时全面记录网贷借款人的各类日常履约场景,对其进行科学准确的信用赋分,进而提升个人征信的潜在价值。
韩国各政党讨论是否引入区块链投票系统
韩国各政党正讨论是否将区块链技术作为民主进程的一部分,倡导引入区块链投票系统。执政民主党(DP)议员Kim Jin-pyo曾对引入基于区块链技术的电子投票系统表示赞同,并称该技术可以提供“稳定的决策”和“积极确保参与”民主进程。本周,Bareunmirae党就如何实施基于区块链解决方案也进行辩论。Bareunmirae议员Kim Kwan-yeong表示,“我们应该利用区块链技术改变我们的政党结构,使决策过程更加民主和高效。
近日,360手机助手上线共享社区“烯晶部落”。据悉,烯晶部落中的居民通过对基础数字货币“晶体矿”的收集,在烯晶部落协议的平台中进行消费和兑换。通过对“晶体矿”的开采与兑换,实现现实世界中的资产积累。
招商银行总行 CIO:希望底层的资产可以放到区块链里面
招商银行总行首席信息官陈昆德表示,我们大概在前年就开始验证用区块链做跨境汇款,第二是在ABS上实现资产证券化,希望底层的资产可以放到区块链里面,放到公开的账本中分享,然后做产业供应链的事业。区块链这件事情,是要在互联网的世界里建立一个可信任的体系。在这个基础上,互联网的应用会有更多新模式出来。区块链建立在互联网开源的基础上,所以未来我们也需要进一步跟进。
全球政策
重庆市政协副主席:重庆已将发展区块链产业写入市发展计划
在中国国际智能产业博览会区块链创新应用论坛上,重庆市政协副主席周克勤表示,区块链是构建未来网络空间的关键技术,今年重庆将发展区块链产业写入市发展计划,支持区块链产业的创新和发展。
俄罗斯阿凡提企业家协会向政府提议在加里宁格勒和滨海边疆区建立两个“加密谷”,使其成为具有实验性立法的经济特区。
西安市大力支持以区块链等为代表的上市挂牌科技企业创新发展
西安市政府近日印发《西安市推进企业上市和并购重组“龙门行动”计划(2018—2021年)》。《计划》指出,大力支持以大数据、云计算、区块链等新技术为代表的上市挂牌科技企业创新发展,打造科创企业金融孵化“硅谷”。
人物·声音
Morningstar Equity Research分析师Kristoffer Inton认为,BTC不会很快取代黄金。他列举了黄金作为避险投资所具备的五大特性,分别是流动性、实用功能、供应的稀缺性、未来需求的确定性及持久性。Inton称,黄金成功地满足了所有的这些标准,而BTC只满足了两个。Inton认为,BTC不太可能会大量吸引避险投资远离黄金。BTC要想挑战黄金的投资地位,还需要区块链使用和BTC流行的确定性增强,而BTC的交易量也需要得到改善。
Ripple 首席执行官:XRP 不是证券
Ripple首席执行官Brad Garlinghouse在AMA(问我任何问题)中表示,美国证券交易委员会(SEC)表示比特币和以太坊不是证券,这是一件好事。谈及XRP时,他明确表示,XRP不是证券。
马云:不支持比特币,但相信区块链不全是比特币
在首届中国国际智能产业博览会上,马云表示自己并不支持比特币,但相信区块链不全是比特币。此外,他还指出未来将有三项核心技术:智能制造、IoT、区块链。IoT和区块链技术正在推进互联网本身发生巨大的变化。
(我是作者黄雪姣,区块链项目报道/交流可加微信hxjiapg,劳请备注职务和事由)
5,张小平离职背后:中国两大航天集团为何成不了NASA?_
本文转自微信公众号:寻找中国创客(ID:xjbmaker),记者:蔡浩爽,编辑 :魏佳。
中国航天业的“马斯克们”正在遭遇中国式困境:体制内院所的收入已经支撑不起他们的报国情怀,而选择出走,原单位又不愿轻易放人。
9月27日,一篇题为《离职能直接影响中国登月的人才,只配待在国企底层?》的文章在各大社交媒体上刷屏。
文章大意为:原西安航天动力研究所一名副主任设计师张小平此前在该单位不受重视,年薪只有12万,提出辞职也没引起领导重视。而当张小平跳槽到民营航天创业公司蓝箭航天后,年薪超百万,原体制内院所也幡然醒悟:这个“灵魂人物”的离职会“某种程度上会影响到我国载人登月重大战略计划的论证和策划工作”,发公文希望通过行政力量留下张小平。
西安航天动力研究所当日晚间作出回应,重点有二:一、这份公文是真实的,但张小平是“未经批准擅自离职,经多次谈心做工作无效。单位通过法律途径提起仲裁,要求张小平继续履行聘用合同,按脱密期管理规定回所脱密”。二、张小平本人的科研实力并不足以影响载人登月,“承办人因急于达到让其回所脱密的目的,在材料中措辞失当,夸大了张小平在所参与研制项目中的地位和作用”。
文章在互联网上引发轩然大波,而涉事的蓝箭航天和同为民营火箭创业公司的其他竞品公司对此事三缄其口。
Space X 的成功已经向世界证明了火箭这门生意的可行性,而要将航天由“事业”变为“行业”,“军转民”是必由之路,这其中也包括了体制内人才、技术向民营企业的转移。
未来太空竞赛的主角越来越由国家转变为商业公司,相较于研发出世界现役最强运力火箭、即将进行商业载人探月之旅的 Space X ,国内的民营火箭公司被一创业者自评为还是“小学生水平”。有业内人士表示,希望这次刷屏的张小平离职事件,不会给处在花苞期的民营航天事业带来阴霾。
渴求体制内人才:免于试错以节省时间
体制内人才对发展民营航天事业有多重要?
一个数字是:民营火箭公司零壹空间的研发人员80%来自体制内军工集团、科研院所,这一数字在另一公司更是几乎达到100%。这两家公司是目前中国“唯二”真正意义上成功发射过探空火箭的公司。
“火箭是个高度人才密集的行业,尤其需要参与过实际运载发射、型号设计,经历过失败、做过‘归零’的人。”蓝箭航天投资人、深圳前海通泰投资管理有限公司创始合伙人陈敏此前告诉寻找中国创客,而国内有过实际型号设计经验的研发人员,几乎都集中在体制内。
即便是如今拥有现役最大运载力火箭的 Space X,其成立之初也离不开 NASA(美国国家航空航天局)在人才和技术上的支持。
2008年之前,Space X 的猎鹰一号连续三次发射失败,马斯克卖掉了房子、飞机、跑车之后,Space X 依然濒临破产,最后,是 NASA主动抛出橄榄枝,给了 Space X 一个16亿美元的大订单。
NASA不仅将发射任务委派给 Space X,还将人才、技术等向 Space X 进行转移,免于其重复进行先期的技术研发,这才有了Space X 打破波音和洛克希德·马丁公司垄断,一举成为航天新贵。
民营火箭公司渴求体制内人才,一方面是由于无法像国家队一样,有充足的资本提供顶尖的科研环境。
“这就像欧立希通过606次试验才发现梅毒克星一样,科学研究是一个试错的过程,民企承担不起前面的605次。”军事专家、知名军事评论员董健告诉寻找中国创客,因为国企和研究机构有国家资本投入,底子上是民企不能比的,“体制内人才到了民企可能很快就能搞出成果,但前面605次试验的基础都有赖于国家投入。”
除了资本上的限制,迫切的还有时间。
曾有国内排名前三的民营火箭创业者告诉寻找中国创客,对于他们来讲,技术和资本都不构成太大问题,“我们要解决的是和时间赛跑”。
正如天仪研究院 CEO 杨峰此前曾公开表达的那样:火箭是一个赤裸裸的竞争市场。客户并不在乎你是大火箭还是小火箭、大厂商还是小厂商、固体还是液体、国内还是国外、可回收还是不可回收等等一系列问题,只在乎时间、成本和可靠性。
这时候,谁更安全可靠,谁就能先在民营火箭赛道跑出来。任用体制内研发人员,无疑会为这些公司大大节省先期基础研发所耗费的时间。
人才流动不畅:两大集团不是中国的NASA
而人才从体制内院所流向民营企业,面临着中国式困境。
去年长征五号遥二火箭发射失败后,原中国航天科技集团公司一院党委书记、副院长梁小虹曾做过一次演讲。其中在提到中美民营航天的差距时,梁小虹说:“中国航天缺的不是技术,而是政策。”这在一定程度上代表了体制内高层的态度和中国的现实情况。
有从航天科工集团出走的高级别技术人员曾对记者坦陈:“我们从体制里出来做这个事情(民营航天),站在国家的角度,肯定是支持和鼓励的;但是站在以前单位的角度,或多或少还是不是太高兴吧。”
这就涉及到中美本身的商业航天基础和环境。
就像Space X可以使用NASA的技术和人才,但却不能使用波音和洛马的技术和人才一样,中国的民营航天公司也不可以使用航天科工集团和航天科技集团的技术及人才。两大集团不是中国的 NASA,更适合对标波音和洛马。
因为1998年前后,中国航天科研体系改组为企业体制,中国航天的主要科研力量——就是我们经常听说的航天科技集团和航天科工集团,已经成为从事经营活动的企业实体。
据NASA中文官网介绍,NASA是美国联邦政府的一个行政性科研机构,负责制定、实施美国的太空计划,并开展航空科学暨太空科学的研究。而与NASA对标的中国国家航天局,其职责是执行中国的国家航天政策,履行政府相应的管理职责。
“这次事件绝对会影响人才外流。”零壹空间对寻找中国创客表达了对张小平事件后续影响的担忧。
实际上,在近两年越来越多科研院所技术人员选择加入创业公司后,相关单位已经加强了对人员流动的管控。
张小平此前上级主管单位一处级领导表示,事情之所以发展到发公文的地步,实际正是因为该所近两年离职人员较多,对科研影响较大。
也有航天领域创业者向记者透露:体制内研发人员离职难度正在增加。“比如拖慢办理离职手续的速度,辞呈交上去之后,半年不回复。”
另一创业者证实了这一说法:“普通密级人员,走离职手续流程的时间也在半年到两年之间。”基于这一情况,不少人选择在原单位离职手续未结束前(不是指脱密期未结束),提前进入新公司。
体制内院所的无奈:待遇和晋升局限
正如人民日报评论员所言:“据中国航天科技集团公司第六研究院院长的答复可知,这是单位在提起法律仲裁时,故意夸大其作用和贡献,试图留人。换句话说,夸大他的作用,并非爱才,而是为‘卡人’。以‘惜才’之名阻止人才的自由流动,与人们真正所期望的尊重人才,显然还有很大的差距。”
寻找中国创客在与多位原航天院所出走人员交流后得知,促使他们离开原单位的现实原因主要有二:待遇和晋升空间。
航空航天待遇低、影响科研热情此前也引发众多讨论。
某知识问答平台上,“航空航天系统的科研院所的实际待遇如何?”问题下有149个回答。在获得859人赞同的回答里有这样一句话:“好不容易于top2(院校)毕业,好不容易要开始拿工资,却发现没有多少闲钱可以找孝敬父母。我妈在听说我每周只在支付宝减免的那天去超市买打折菜,买够一个星期的时候,问,要不要家里给你打点钱。”
据该答主介绍,其入职一年以来,最高月工资3800元,最低一个月790元(扣了社保等之后),年终奖工作半年1700元。
前述处级干部在回应张小平一事时表示,有民营公司在研究所附近设点,针对性挖人,年薪高出好几倍。
“动辄开出年薪五六十万,稍有职称的上百万的年薪,与西安年薪二十万以内相比,没几个能经受住诱惑”,他表示,“换作其它商业公司,对手开出几倍的薪水也一样会出现这种情况。仅仅归结于体制,不是无知就是别有用心。”
其实,体制内院所也有自己的无奈。有研究员告诉记者:“说单位不重视这种离职问题,肯定是是假的”,但“确实开不出这么高的待遇”。
在 Space X 等商业公司兴起前,美国发射服务几乎由美国发射联盟ULA集团垄断,该集团商业发射标价高达1.4亿美金一枚火箭,被业内称为“黑店”。
相较于ULA,国内两大集团的发射服务则便宜得多。以长征三号火箭为例,其发射价格为3000万美金,虽比不上充分商业化的 Space X,但也比 ULA 便宜得多。中国航天因此吸引了巴基斯坦等不具备发射能力国家以及摩托罗拉等公司的商业卫星发射订单。
据业内人士透露,低价恰恰是市场尚未商业化的表现。这一切,都建立在廉价的劳动力成本和基础设施成本之上。
体制内航天院所确实存在收入天花板较低的情况,比如据寻找中国创客了解,航天某院一位高层的年薪为税前80万人民币,其他各级自然递减。
但通过降低研发人员收入来降低发射服务成本,显然不是可持续之道。“ 公司成立之初,我们就在研究吸引体制内人才问题。我们计划通过有竞争力的薪酬待遇、更好的发展平台、股权激励等吸引人才。国企如若想留住人才,也要从这些方面反思。”零壹空间方面称。当然,体制内院所也有其他优势,比如其顶尖的研发条件,现阶段还是民营公司难以望其项背的。
本文转自微信公众号:寻找中国创客(ID:xjbmaker),记者:蔡浩爽,编辑 :魏佳。
*文章为作者独立观点,不代表虎嗅网立场
虎Cares
这么大的太阳,每天上班还要生一堆闷气
谁不需要一个「职场保命利器」
怼天怼地怼到戏精昏过去
穿上这件「职场内心戏系列T恤」
老板想批评你都得三思而后行
6,区块链安全的攻防:安全是重中之重,需要各方企业加入促进生态健康...
编者按:本文来自36氪战略合作区块链媒体“Odaily星球日报”(公众号ID:o-daily,APP 下载)。
9 月 5 日,由 Odaily星球日报主办、36Kr 集团战略协办的 P.O.D 大会在北京举行。当日下午,在安全论坛主题为 “区块链安全的攻防” 的圆桌论坛上,星球日报资深分析师李雪婷担任主持人,库神 CTO 叶飞、看雪 CEO 段钢、慢雾科技安全负责人郭阳、北大区块链技术小组负责人任昆鹏共同探讨区块链安全的重要性、区块链领域的攻防技术、区块链游戏的安全建设以及安全服务公司在区块链生态扮演的角色。
如何看待区块链安全的重要性?
目前,区块链还处于一个相对早期的阶段,安全问题却屡报不止,人们就会质疑区块链技术是否具有安全这个特点。究竟应该如何看待区块链安全的重要性?对此,嘉宾们一致认为安全是区块链领域的重中之重。
库神 CTO 叶飞表示,安全毫无疑问是区块链领域的核心问题。目前区块链的安全问题主要集中在共治机制安全、私钥安全以及智能合约安全等方面。
看雪 CEO 段钢补充道,区块链项目的成与败,安全起到一票否决制。如果一个项目在开始之初没考虑到安全,那么有可能导致安全成为其失败最关键的一个因素。
区块链领域的攻防技术是否有创新?
安全也是互联网领域的一个永恒主题,互联网安全主要是从逻辑正确、技术计算结构来解决逻辑缺陷和被利用的问题,解决这些攻防问题。而针对区块链领域的攻防问题,嘉宾们表示,区块链没有绝对安全,需要从不同方面去解决问题。
段钢认为,区块链企业的安全建设和传统企业类似,最关键的是企业员工的安全意识和安全技能建设。企业需要建立安全规章制度,为员工提供安全意识和技能培训,提升技术人员的安全编码能力,才能从源头上解决企业安全问题。此外,可以邀请第三方企业对业务进行安全测试。
针对智能合约、DApp 安全问题,北大区块链技术小组负责人任昆鹏表示,区块链创业公司可能不具备足够的财力支持,就会用开源的智能合约形式化验证工具,或者开源工具检测 DApp 或者智能合约的安全。可是区块链技术不像一些传统的开发框架,具有很强的安全编码规范,因此推动开发者的安全编码意识是特别重要的。另外,DApp 需要完全审计程序的逻辑问题。
从私钥的角度来看,叶飞认为,针对私钥级别的攻击通常是以下几种情况:直接获取私钥文件、钓鱼网站、种子文件存在邮箱等中心化系统等。而防的方面,核心是要做冷存储、冷签名。这是降维的解决方案,想尽办法防御,还不如直接断网。
如何做好区块链游戏的安全建设?
最近热门的 Last Winner、Fomo3D 等区块链游戏存在一些漏洞,这类安全问题是否有解?对此,嘉宾们的看法不尽相同。
任昆鹏表示,如果公链安全技术能发展到一个很强的可信安全保障,这些安全问题就完全可以解决的。
另一方面,慢雾科技安全负责人郭阳认为,Fomo3D 等区块链游戏已经完全上升到人性层面,存在很多诱惑,不再是安全公司披露后能阻止的事情。很多仿 Fomo3D 游戏存在严重的问题,比如合约权限被项目方直接控制,存在提币跑路的可能性,建议大家不要去碰这类资金盘游戏。
叶飞表示,智能合约的安全是无止境的,有可能是程序问题,也可能是虚拟机问题。
那么区块链游戏应该如何提高自己的安全系数?嘉宾们认为开发者需要保持良好的编码习惯,项目方则需要做好审计工作。
任昆鹏认为,开发者要比黑客更了解底层的运行机制,平常需要注意编码习惯。段钢建议,区块链游戏公司在游戏上线之前做好代码审计,同时提高开发人员的安全意识和编码水平。
安全服务公司在区块链生态扮演什么角色?
现在区块链行业有各种各样的安全漏洞,一些技术安全公司也致力于生态安全的布局,为用户提供安全解决方案和服务,但是不同的公司有不同的切入点。
对此,段钢认为,越来越多的公司关注安全,以及各方面公司的加入,有利于区块链生态健康发展。他还表示,未来整个区块链行业安全发展,人才是至关重要的因素。
任昆鹏表示赞同。他认为,如果更多传统安全企业能够加入到区块链安全行业中,肯定能壮大安全力量。区块链安全还是需要借助原来的力量,不仅包括原来的传统安全力量,还有人工智能和大数据分析的力量去保证其安全建设。
以下是圆桌论坛实录:
主持人李雪婷:谢谢大家今天来参加我们这个会议,我先做一个自我介绍,我是星球日报研究院分析师李雪婷,我们今天圆桌论坛的主题是区块链安全的攻与防,是这样的,我们请各位嘉宾先做一个自我介绍,从叶总开始。
叶飞:大家好,我是库神的 CTO 叶飞,库神钱包的基本情况我们袁总刚才已经大概介绍了,总体而言,我们团队专注于存储环节,是国内最早专业做冷钱包的团队。我个人也比较早进入这个行业里面,一直在做技术,我是一个不折不扣的比特币脑残粉,自从看到中本聪论文之后就为之着迷,希望今天我的分享对大家有帮助。
段钢:大家好,我是看雪创始人段钢,看雪是一个开发者社区, 创建于 2000 年,历经 18 年的发展,现在专注于 PC、移动、智能设备、区块链安全研究及逆向工程,欢迎大家多多参与。
郭阳:大家好,我是慢雾科技安全负责人郭阳,叫我海贼王也可以,因为在安全行业大家都会有个花名。我们慢雾科技专注于区块链安全领域,本身基于传统安全,但是相对于传统安全,我们觉得区块链安全领域有更多的发展空间和想象力,所以我们慢雾决定专注于区块链安全领域。不管是比特币、以太坊、EOS,这块的安全我们都保持持续的关注,包括国内的公链唯链、本体和我们都有具体的合作,如果有项目方或者其他合作伙伴需要提供安全服务可以到厦门来参观一下慢雾顺便谈谈业务,毕竟厦门的海鲜很棒。
任昆鹏:大家好,我是北大区块链技术小组的研究负责人,北大区块链技术小组也是正在筹办北大区块链协会,我们研究小组方向分为公链开发还有链上数据安全分析两个方向,我们小组开发了一款针对 BCH 的交易安全分析系统,我本人也对 Web 包括二进制安全有点研究。
李雪婷:谢谢各位嘉宾介绍,现在讨论开始,我们大家都知道区块链作为一种新兴技术,发展势头非常迅猛,但是不够安全,我们认为现在这个行业正处于一个薛定谔的现状,区块链似乎也在一个成功被黑、还没有出事之间徘徊,区块链安全似乎也一直在攻与防中前进,今天请到各位专家和我们一起探讨这个话题。首先我们知道区块链还处于一个相对早期的阶段,但是安全问题却屡报不止,人们就会质疑,区块链技术是否具有安全这个特点了,请问现场这四位嘉宾,如何看待区块链安全的重要性?
叶飞:安全毫无疑问是区块链领域的核心问题。不过这个议题有点大,可以简单分类,首先是区块链层面,共识机制的安全问题其实一直存在,现在有很多链容易受到 PoW 攻击;在数字资产层面,核心安全问题是私钥的保管问题;另外,近期还有一类安全问题经常被提及,就是智能合约的安全问题。无论是个人还是企业,如果想进入这个行业,都需要优先考虑安全问题,安全一出问题搞不好就是玩完的结局。
段钢:安全来说,在计算机所有系统,所有应用都会存在一个安全问题,区块链安全本质,就是传统计算机网络或者一些应用安全的综合体现,黑客之所以对区块链安全比较重视,一个重要原因是利益,传统一些安全漏洞的挖掘,那些黑客要变现,他们要找一个靠谱买家才可以变现。区块链有一个特殊性,这些黑客通过一些技术,利用交易所或者漏洞,或者矿基直接获得虚拟币,这个给他经济上的刺激是很大的。另外还有就是法律上来说,比如像我们银行系统,也是会有安全问题,但是为什么我们很少听说银行有什么漏洞曝出来,或者造成一些损失,因为大家不敢越雷池一步,有可能会有刑事犯罪问题。区块链是跨国、无政府无趋势性质,造成犯罪成本低,所以那些黑客由于利益,或者这方面风险评估,在这方面进行一个大的精力投入,安全在区块链之中,像刚才叶飞总说的,是重中之重,区块链一个项目的成与败,安全起到一票否决制,如果这个项目开始之初安全没考虑到,有可能会导致这个安全成为这个项目的失败的最关键的一个因素,谢谢。
郭阳:我非常认同前面两位前辈的观点,安全是重中之重,我举个例子,比如说在现实工作中,你在银行说你账户上有一百万,丢了,这时候你可以找银行,银行可以说帮你把这个记录追踪回来找到。在区块链的世界中是几乎不可能找回的,比如某人丢了几万枚比特币,我觉得目前没有任何一个公司或者个人敢站出来说他一定能把这个币找回来,对任何人来说你拥有的比特币,其他人在没有你的私钥的时候都无法转走,当然对受害者和攻击者都是如此,都很难找回。所以这个例子一举大家就明白了:安全重中之重。
任昆鹏:从一个开发者角度来看,我们是希望区块链系统会变得越来越安全,我们开发者的资产,包括用户的资产都在链上保持,如果黑客会发现一个漏洞,他们就可能很轻易把我们和用户的资产转移出去,而区块链本身是建立在完整的密码学基础上,但是有一些去中心化、安全、不可篡改的优点,就是这些优点成为这些漏洞的曝露点,包括数据隐私性暴露出来,我认为区块链技术发展,安全是放在第一位,因为在互联网兴起之前,如果没有公钥密码的发展,互联网也不能走到今天,所以我感觉安全的区块链发展是重中之重的。
李雪婷:谢谢四位嘉宾,四位专家都在各自领域术业有专攻,大家都达成一个共识,就是安全这一环节对于区块链发展至关重要,区块链的安全问题解决确实是迫在眉睫,刚才任总也提到了互联网的发展,我们知道在互联网领域,安全也一直是一个永恒的主题,互联网安全主要是从逻辑正确、技术计算结构来解决逻辑缺陷和被利用的问题,解决这些攻防问题。在区块链领域,作为一个新兴领域,在攻防的环节有什么技术创新,也想请各位老师分享一下。
叶飞:攻防这个议题也很大,我还是针对自己比较熟悉的私钥保管,简单说一下,针对私钥的攻,如果是针对个人,一般来说,有直接拿走私钥的,或者间接盗走助记词,比如用户不注重备份,放在邮箱等中心化服务器;再一个就是钓鱼网站,对交易平台进行攻击,也有直接攻击热钱包的,或者攻击平台数据库,制造虚假提现,间接盗走资产。
我们发现以上这些问题有一个共同点,就是私钥触网,所以基本上这个行业到 2014 年的时候,大家有一个共识,就是要做冷钱包、冷签名,保证私钥彻底不触网,这就是我们防的核心思路。但是彻底冷就比较难,因为当我们发起一笔交易的时候,无论如何都会有联网的环节。因此我们想到了冷热分离架构,硬件冷钱包负责管理私钥,比如生成私钥,签名,联网端 App 负责查询网络信息、广播交易等,两者通过二维码交互信息。
我们将这个方案跟传统的密码学专家讨论,他们觉得很有意思,认为这是一种降维的解决方案,与其保持联网,然后想尽办法架起一道坚固的防线,努力防御,还不如直接断网,这就是库神钱包的防的核心思路。
段钢:区块链企业的安全建设和传统企业类似,大部分企业在发展初期,往往把用户量和业务发展速度放在第一位,常常会忽视了企业的安全建设,从而带来了大量的安全问题。从企业内部,把企业安全规章制度建立起来,特别是员工意识和安全技能进行一个培训,这方面是一个比较重要的,还有一些企业的规章制度,包括代码的审计,安全编程的技能,从内进行一个提高,从源头上解决企业安全问题。包括区块链本身也是这样。
这个做好了以后,可以邀请第三方企业对这个平台或者这些交易所进行一些安全性测试,从内跟外进行配合,可以把安全做到一个新的台阶上。最关键就是员工安全意识和安全技能和安全制度。
郭阳:我这边观点跟两位不谋而合,做安全做到最后就是人的问题了,但是有句话先放在这里,没有绝对的安全。不管做什么,做传统行业也好,区块链行业也好,安全没有绝对。但是当黑客来攻击的时候,我们慢雾相当于在帮客户做防守,但是未知攻焉知防,所以我们在对一个项目提供安全服务的时候,首先我们会以黑盒的方式从外围模拟黑客攻击,找到系统的薄弱点和存在的安全隐患,然后以灰盒方式配合项目方从内部做好防御措施。之前北京有一个事件是运维盗取公司比特币,这种属于内部的攻击需要做好内部风控和建立一套完善的安全体系,一个是来自外部的黑客攻击,如果你没有做过专业的安全审计,或者本身员工安全意识不够高,交易所很容易就成了受害的一方。
针对不同的项目有不同的安全解决方案,比如做一款钱包你的私钥该如何在用户手机中存储,比如交易网站你的私钥签名服务该如何设计等。核心思想就是保证私钥安全和数据的安全。
最近爆发一个漏洞,我们发现有很多黑客拿恶意构造的图片,去所有可以上传图片的交易网站上上传恶意构造的假的身份证 “图片”,身份证” 图片“一上传过去整个服务器触发恶意命令执行,黑客就拿到这个服务器的 SSH 连接,进一步拿到数据库用户名密码,黑客就可以直接改数据库,给账上加点钱直接交易,完成了交易之后,黑客会删除数据库所有关于他的操作记录,把对应的账平上。交易网站这边对账是很难查到异常情况的,除非说发现了服务器异常的进程,或者发现一些恶意脚本,这种情况下如果不是专业安全的人员,或者运维没有安全意识根本查不出来。我们在为客户提供安全服务的时候会提供对应的解决方案,比如如何防御,以及出问题后如何迅速止损,引导客户复盘如何避免下次不再发生类似安全事件。
当然做安全一定是建立在双方互相信任的基础上,如果客户不信任你,那么你的安全是很难进行下去的。目前来看,我们服务的客户对我们慢雾是非常信任的,因为我们能给他们带来安全感,安全感很重要。
任昆鹏: 我这边特别同意前面三位前辈的看法,因为我本身是做区块链开发,对区块链安全比较感兴趣,我们这边开发平常可能会遇到一些智能合约包括 Dapp 的安全问题,我从这两个方面简单讲一下我对区块链攻防的看法。
首先在传统行业,传统安全可能大家如果想保证自己的网站安全,会买一些防火墙、入侵检测系统,可能还有一些渗透测试,代码审计服务,但是对于现在一些区块链的创业公司,或者技术团队,往往没有这么大的财政支持,他们可能就会去用一些开源的智能合约形式化验证工具,或者一些开源工具检测他们的 DApp 或者智能合约安全,我非常同意段前辈的看法,我们开发者首先要培养一个安全编码的意识,因为区块链技术才有几年时间,不像一些传统的开发框架,他们都有很强的安全编码规范,在区块链这方面,我感觉推动这种安全编码规范是特别重要的。
从攻击而言,我本身不是专门做攻防的,像做攻击的,我感觉 DApp 开发者这边要完全审计自己程序的逻辑问题,因为可能现在形式化验证工具会发现一些溢出漏洞,或者一些危险函数漏洞,但是如果一个 DApp 本身应用逻辑有问题,本身可能会损失很大一部分资产。我这边的观点大概就是这些。
李雪婷:好的,各位嘉宾从不同的维度,包括个人跟用户钱包,还有用户的意识,还有一些制度技术方面维度来讲安全,所以说互联网跟区块链没有绝对安全,我们需要从不同方面解决这个问题,因为区块链技术运用有不同的业务场景,我们知道有金融有法律,有一些版权,还有一些医疗领域,我们最近比较追捧的就是区块链的游戏,我们熟知的 Last Winner、Fomo3D 这些游戏之后也存在一些漏洞,我就想问一下像这种区块链安全问题有解还是无解,区块链游戏应该注重哪些方面建设提高自己的安全系数,我们先从这边开始。
任昆鹏:这个有解和无解是一个很难回答的问题,但是针对 Fomo3D 那两个漏洞我感觉是有解的,我个人的畅想它是以太坊自身一个安全缺陷,如果我们公链安全技术能够发展到一个很强的可信安全保障,这些安全问题就完全可以解决的。另外一个就是我们怎么在这一个不完全完善的区块链底层技术之上开发出安全的区块链程序,我们就要去比黑客更要了解底层的运行机制,比如你以太坊的敏感函数、Gas 机制,这些我感觉是更像是我们一些开发者和黑客之间进行较量。
因为我们技术小组也有开发过一些以太坊上面的游戏,包括其他公链层面的游戏,我们这边可能针对在游戏上线之前会邀请一些测试,包括我们本身请一些比较有名的安全团队,我们自己用一些开源的测试框架,包括小组内部测试,我感觉区块链本身现在安全问题支撑不了游戏,我们开发者如果注意一些平常的编码习惯,还是能解决这些问题。
郭阳:站在我们安全公司的角度,我们发现有一个很奇怪的现象,就是我们慢雾披露出来说这个游戏存在漏洞或者不安全建议大家不要去玩的时候发现里面钱越多,越来越多人去玩了,这个时候我们就会思考到底该不该披露 Fomo3D 这种游戏,报出来以后有更多的人学习如何复现攻击,成为攻击者。由此可见,像 Fomo3D 已经完全上升到人性层面,不再是安全公司披露后能阻止的事情了,有时候我们知道并不一定会中奖,但是有一个侥幸心理,安全可以解决技术上的问题,但是归根到人性本身是没办法的。所以说对于这个资金盘游戏,建议大家不要去玩。并且像 Fomo3D 这个设计还算良心的,我见过很多仿 Fomo3D 的,权限全在项目方手里控制,里面的以太坊完全由他控制,存在随时跑路的可能,建议大家不要去碰这种游戏,谢谢大家。
段钢:就是刚才说的区块链游戏有解还是无解问题,因为随着区块链技术发展,目前这些游戏主要是合约,由于这个特性决定,游戏上线以后代码没法修改,所以在游戏上线之前做好代码审计,以及提高开发人员的安全意识和编码水平,成为了区块链游戏公司必须要面对的问题。
叶飞:这是智能合约的安全问题,智能合约的安全是无止境的,有可能是程序开发的问题,也有可能是底层虚拟机的问题。一个现在看来没有问题的合约,可能过一段时间就会发现问题,所以说安全是无止境的。往前有什么样的坑我们是不知道的,但过往的别人踩过的坑,应该尽量避免,能做到这一点已经是非常不错的了。我们看现在链上很多有问题的合约,其实大部分是一样的问题,现在有很多人发布合约,还是随便找一份源码、或者自己搞一搞就发布,这就容易踩前人的坑,最好的办法是找专业的团队提供一份,或者写好的合约交由他们审核。
李雪婷:好的,就像叶总刚才说的,比如说区块链游戏项目开发方,如果他要开发这个智能合约,一些游戏智能合约之前,需要一些安全审计,因为像 Fomo3D 这种区块链游戏影响范围比较大,一旦发生被攻击的事件损失是比较严重的,也呼吁这些广大的用户开发者也谨慎。
由于时间的关系,我们最后一个问题,是这样的,现在我们区块链行业在这个生态领域有各种各样的安全漏洞,因为我们一些技术安全公司也致力于生态安全的布局,为用户提供一些安全解决方案跟服务,但是不同的公司有不同的切入点,有的像比较重视形式化验证,有的提供一些安全审计,有的提供一些专业的安全顾问这些服务。有的也比较重视一些隐私性跟可用性,还有一些公司比较重视全球社区的一些建立,吸引更多的极客加入社区,所以我想问一下各位嘉宾,在整个区块链生态中,这些安全服务公司在扮演着一个什么样的角色,在未来这些角色是否会有延伸或者变化?
叶飞:我们知道现在行业已经形成一个生态链了,比如上游的挖矿,在这个环节有专门做矿机、专门做矿池、或者部署矿场的;挖出资产后,有交易环节,这一直是最热闹的一个环节;也有专门做支付的团队、或者金融衍生产品方向的。库神从事于存储环节,我们的使命是做区块链资产的保护神,再具体一些就是提供私钥安全保管解决方案。我们公司现在是一家金融科技公司,现在最核心的是专注于做好硬件冷钱包。
段钢:区块链安全行业和技术的发展,离不开行业上的每一家公司的共同努力,更多专业公司和团队进入这个领域是好事,可以让这个领域更加健康发展。看雪的思路就是为大家提供安全理念和技能的学习和交流。安全这个环境跟别的领域不太一样,安全的环境是靠人解决,不像有些领域是靠一些自动化机械,通过一些规则就能解决问题,而安全这个领域必须靠人才去解决,而人才现在来说竞争是很激烈的,BAT 基本把核心人才抢跑了。那些中小的创业公司,包括一些新的公司安全人才这方面是很困难的,一个是你不一定能找到合适的人,另外一个薪水待遇成本也上去了,我觉得未来整个区块链行业安全发展,人才是一个起着至关重要的因素。接下来我觉得各行各业企业会进入这个领域,大家共同推进这个生态发展,大家一起把区块链安全市场越做越大、越做越好。
李雪婷:我们区块链行业希望越来越多的力量加入安全行业。
郭阳:在回答这个问题前我先问个问题,有人知道慢雾这个名字来自于哪里呢?恭喜那边两位小伙伴答对了,我等一下送出小礼品。在公司成立之初命名为慢雾科技,慢雾的灵感来自于科幻小说《三体》中的迷雾森林,所有的魔法攻击进入这个森林都失效了,这里是一个安全区域,我们慢雾就是要成为区块链世界里的安全区域,不管是做钱包也好,做 DApp 也好或者其他项目方,我们都能为你们带来安全和安全感,当然我们欢迎更多做安全的前辈,比如 TK 教主和袁哥等大牛进入区块链安全这个领域。包括我们在做一些项目审计的时候,有的客户对安全比较重视需要多家安全公司审计,我们也会推荐优质的同行,比如国内的知道创宇等,或者国外的 Cure53 等,包括后面段老师这块有什么合作我们非常欢迎。我们以非常开放的心态去面对这些,在我们慢雾科技官网所有审计的关键点包括一些技能全部对外开放,毕竟区块链世界就要以区块链的玩法去玩、去拥抱整个生态,谢谢大家。
任昆鹏:首先作为一个区块链开发者,我非常感到欣慰,因为听了几位前辈的介绍,我感觉现在区块链安全建设对以后区块链安全技术发展特别重要,慢雾包括看雪还有库神,可能看雪对区块链安全技术爱好者是一个很好的交流平台,我也看了慢雾他们公开一些开源项目,也是一个很好学习的途径,库神能够保证我们个人钱包的安全是特别重要的。我这边感觉如果更多的传统安全企业能够加入到区块链安全行业中,肯定能壮大这方面安全力量,我本身也是原来在 360 做 Web 安全,后面是跟着研究生导师转做区块链技术,我们北大区块链技术小组这边和区块链安全方面可能做的比较多的是区块链链上数据安全分析。我感觉区块链本身是一个很大的数据库,而且公开透明查询的。但是很多安全事件,包括交易所被盗事件,往往很难去溯源,因为本身区块链安全分析是必须要用数据分析,靠工具来进行分析,如果只有代码级的安全是无法做到链上数据分析的,这也是安全的两个方面,一个是代码级安全,另外一个数据级安全,在数据级安全方面,我认为区块链本身还是一个没有很多人探索的区域。我认为区块链安全还是需要借助原来的力量,不仅包括原来的传统安全力量,还有人工智能的力量去保证它的建设。
李雪婷:正如各位嘉宾所说的,相信未来攻防将会是区块链发展常态,区块链复杂性跟潜在的经济价值将会使得区块链安全日趋激烈,如何采取新的安全机制和发展新的安全手段,并且让这些技术和手段运行安全,将是区块链发展的下一个风口,我们也期待未来更多的力量加入到区块链安全行业内,为我们区块链发展保驾护航,也谢谢各位嘉宾分享,由于时间关系我们分享到此为止,谢谢大家。
7,星球研报 | 2018年区块链技术安全服务行业报告_
编者按:本文来自36氪战略合作区块链媒体“Odaily星球日报”(公众号ID:o-daily,APP下载)
文 | 李雪婷,郝方舟 图 | 孔繁星
谈到区块链安全,Odaily星球日报认为行业处于“薛定谔的”中间态。攻击事件层出不穷、安防等级难以量化、风控权责不易划分……区块链生态参与者似乎一直在“成功被黑”和“还没出事”间徘徊。
行业中既出现过颇具影响的风险事件:
2016 年 6 月,以太坊最大众筹项目 The DAO 被攻击,黑客获得超过 360 万个ETH(当时价值约 6000 万美元),后直接导致以太坊硬分叉。
2017 年 7月,以太坊多重签名钱包 Parity 出现漏洞,攻击者从多重签名合约中窃取超过 15 万个 ETH(当时价值约 3000 万美元)。
2018 年 1 月,日本大型数字货币交易所 Coincheck 遭黑客攻击,平台上价值超过 5.2 亿美元的 NEM(新经币)被非法转移。
近半年,“防守一方”也积累了不少“成功案例”:
2018 年 3 月 ,慢雾安全团队披露了一起由于以太坊生态缺陷导致的亿级数字资产盗窃事件:攻击者利用以太坊节点 Geth/ParityRPCAPI鉴权缺陷,恶意调用 eth_sendTransaction,盗取数字资产,持续时达两年。
2018 年 5 月,360 发现了 EOS 区块链系统在解析智能合约 WASM 文件时的一个越界缓冲区溢出漏洞,验证了该漏洞的完整攻击链并进行披露,防止黑客最终控制整个 EOS 网络。
2018 年上半年,派盾PeckShield 陆续曝出美链 BEC、SMT、EDU 等能合约的重大安全漏洞,并持续发布有关公链与交易所的各类攻击预警。
据 BCSEC 统计,自 2011 年到 2018 年 7 月,全球范围内因区块链安全事件造成的损失近 30 亿美元。
站在区块链技术架构层级的角度,风险事故最频发的受攻击面依次是业务层(71.17%)、合约层(20.72%)、共识层(4.51%)和网络层(3.6%)。从受攻击点来看,交易平台(34%)、智能合约(20%)和普通用户(19%)成为核心的受害人。
区块链真的比“传统”互联网更安全吗?
去中心化系统有经济机制加防,攻击目标分散;中心化系统经历过更严谨的攻防测试,安保级别更高。两者似乎很难横向比较。
单聊区块链技术,其安全的边界和维度该如何定义?安全服务企业又能向哪些客户提供何种防护?
在区块链生态中,风险是多点、复合的,安全是全流程、多环节的,而技术安全只是其中的一个“组件”。技术相关的风险之外,还有操作风险、道德风险、投机风险、政策风险等,均不在安全服务公司的保护范围内,故不纳入本次的讨论范围。
在本报告中,Odaily星球日报将按“事件回顾-攻击方式-防御策略”的逻辑顺序,分析交易所、智能合约、钱包、矿池这些业务场景对应的区块链技术安全问题,并探讨区块链安全服务行业的概况与企业案例。
(文末附pdf版报告下载链接)
目录
I 不同业务场景下的区块链技术安全
一、 数字货币交易所安全性分析
二、 智能合约安全性分析
三、 数字货币钱包安全性分析
四、 矿池安全性分析
II 区块链技术安全服务企业概括与案例
III 参考文献和相关阅读
IV 致谢和免责声明
I 不同业务场景下的区块链技术安全
在区块链技术安全范畴中,既有“传统”互联网世界中存在的漏洞(如 SQL 注入、拒绝服务等),也包含区块链独有的风险点(如智能合约漏洞)。为方便 C 端用户理解,我们在分类时选择站在安全服务公司的视角,即按行业需求(业务场景和攻击点)将区块链安全分类。
数字货币交易所、智能合约、钱包、矿池等场景的背后对应着巨额资产,吸引了潜在的攻击者,也是安全服务公司的重点保护对象。
一、 数字货币交易所安全性分析
据 CoinMarketCap 数据显示,截至 2018 年 7 月 27 日,全球有 1690 种虚拟货币在“二级市场”交易,有 12137 个虚拟货币交易市场在运营。其中,以币安、Bitfinex、OKEx、火币等为代表的中心化数字货币交易所,既是数字货币交易流通和价格确定的场所,也是财富的汇聚中心。
然而,对于中心化数字货币交易所来说,其精力重心放在盈利、品牌与生态布局,具体体现在流量获取、交易深度和产业布局。安防与风控更像是效果不好量化的成本项,因此,被重视程度和投入比例还远远不够。
(一)数字货币交易所安全事件回顾
从 2011 年 6 月至 2018 年 6 月,发生在数字货币交易所的安全事故从未停止。
从表 1 可见,数字货币交易所的安全问题已成为制约其发展的重大隐患。
(二)数字货币交易所存在的安全漏洞
目前中心化数字货币交易所最大的安全隐患在于其薄弱的线上防护体系。
在传统金融市场中,证券交易所、期货交易所等除了线上防护体系,还受系统性安全网络(比如局域网、离线网络)保障,再加上严格的法律监管条文和国家级的追查体系,都抬升了黑客的攻击成本。
中心化数字货币交易所集成了多个角色功能(如获客、交易、清结算等),却只有一层线上防护体系,一旦被黑客突破,几乎毫无还手之力。
通过对表 1 中安全事故的分析,Odaily星球日报发现,中心化数字货币交易所的线上防护体系在网络带宽、账户体系、支付体系和业务撮合系统等多个环节存在安全隐患。
1. 网络带宽
网络带宽易受拒绝服务攻击(Distributed Denial-of-service Attack,DDoS)。DDoS 攻击亦称洪水攻击,是黑客通过傀儡机生成大量“合法”请求或模拟多个用户不停访问、占用网络资源的网络攻击手法。其目的在于使目标网络或系统资源耗尽,直至服务中断,导致正常用户无法访问。若数字货币交易所遭遇 DDoS 攻击,不仅交易所将蒙受巨大损失,数字货币交易量也会大大减少,间接影响数字货币价格。
2. 交易所账户体系
黑客通过钓鱼网站、终端逆向破解、植入木马、欺诈、穷举、后门、撞库等手段对交易所账户体系进行盗号,转移用户的数字资产。在 Binance 事件里,官方说法是黑客利用钓鱼网站劫持了用户登录信息,再创建了用于交易的 API 密钥,并在 2018 年 3 月 7 日使用密钥在 VAI/BTC 市场中进行大笔订单交易从而推高 VIA 币价,之后将 VIA 转移到 31 个账户,待最高价时卖出,完成资产的转移。
3. 交易所支付体系
为防止黑客攻击,中心化交易所通常会将 95% 以上的资产存储在冷钱包中。但为维持支付等日常功能的正常使用,热钱包必不可少。有关热钱包的安全风险将在下文数字钱包业务场景中具体展开。
4. 交易所业务撮合系统
交易所外部业务接口以及后台管理系统并非完美,或存在业务逻辑漏洞。黑客可通过攻击这些逻辑漏洞来实施非法操作,比如盗取用户信息数据、卖出用户资产。
(三)数字货币交易所如何应对安全漏洞
剑桥大学 Judge 商学院发布的《2017 Global Cryptocurrency Benchmarking Study》曾对数字货币交易所安全问题进行研究,并提出相关安全系统架构方案,主要包括“冷热钱包”隔离、多重签名、两步验证、密钥保存机制、外部密码审核机制等,对于数字货币交易所的安全防护有一定的借鉴意义。
1. 组建安全团队
交易所安全团队需占团队总人数的 13%,需花费 17% 的预算用于保证交易所安全运行,并建立完善的安全保障机制。Odaily星球日报在采访安全链SECC时,发起人钱科铭也建议各交易所建立自己的安全团队,或至少要有一位足够了解交易所风险点的 CTO。
2. “冷热钱包”隔离
采用“冷热隔离”机制,将 95% 的币值储存在冷钱包中,只预留 5% 用于提现等,以此降低可能损失的金额。
3. 独立第三方审查
聘用外部安全团队,就外部密码审核、多重签名钱包、两步验证等方面展开合作。
4. 进行多重测试
智能合约的测试不同于普通软件的测试,合约的并发能力测试需要得到足够的重视。同时,由于智能合约的语言在不断迭代,也要加强复用代码的管理。
二、 智能合约安全性分析
传统的合约需要有独立于交易双方的第三方存在,这不可避免地造成交易效率低、成本高。智能合约则利用区块链点对点的技术特性,允许在没有第三方的情况下进行可信、可追踪的交易。
然而与传统程序一样,智能合约也存在安全漏洞。虽然以太坊智能合约提升了交易的可信性,但一旦部署就无法修改的特性为攻击者创造了机会。从 2016 年 6 月 The DAO 被盗取 6000 万美元,到 Beautychain 价值归零、Smartmesh 出现类似 BEC 的重大溢出漏洞,再到近期 EOS 漏洞允许恶意合约穿透虚拟机、危害矿工节点……愈加频繁的智能合约漏洞将区块链安全推向风口浪尖。
据 BCSEC 数据,2018 年,区块链行业因智能合约漏洞而引发的经济损失累计为 11.6 亿美元,占区块链安全事故的 54.66%,已超过交易平台事故(37.68%),成为区块链安全的重灾区。
(一)智能合约安全事件回顾
(二)智能合约存在的安全隐患
智能合约以数字形式来定义承诺。如果在创建过程中不够严谨,容易留下隐患。
安比实验室(SECBIT)认为智能合约的安全隐患主要包含三个方面:
1.智能合约代码中是否有常见的安全漏洞;
2.智能合约是否可信;
3.智能合约是否符合一定规范和流程。
360 代码卫士团队盘点的目前常见的智能合约安全漏洞主要包括整数溢出、越权访问、拒绝服务、逻辑错误、信息泄露和函数误用等漏洞:
由于智能合约的基石是代码,伴随代码技术的演化,未来将出现更多的安全隐患。
(三)智能合约安全漏洞如何应对
1.代码安全审计和升级
在智能合约上线之前,交由专业机构团队对其进行全面深入的代码安全审计,尽可能的消除漏洞,降低安全风险。并在任何新的攻击手法被发现后及时的测试和更新。
2.设置应急响应
智能合约上线后,组建应急响应团队,设置应急响应机制,比如监控智能合约有没有异常等交易情况。
3.开发验证工具
开发验证工具包括:一是开发证明辅助生成?具,提?形式化验证的?动化?平。二是在区块链共识协议中引?必要的形式化证明验证流程。三是支持链下的证明检查流程等。
4.漏洞奖励机制
如果智能合约开发者定期发布一些漏洞奖励计划,也将促使区块链行业形成一个健康的生态环境。
三、 数字货币钱包安全性分析
由于历史数据、网络同步和使用不便等原因,由个人运行维护庞大的比特币客户端来管理资产并不现实。越来越多的数字货币资产管理厂商开发了钱包应用或硬件。在数字资产相关各业态中,数字货币钱包作为与数字货币共生的存储管理工具,是安全防护最为关键的一环。
钱包也往往是区块链全产业链中最重视安全的,毕竟对于钱包来说,兼顾安全和体验是核心竞争力。
(一)数字货币钱包安全事件回顾
(二)数字货币钱包存在的安全隐患
数字货币钱包根据联网状态不同,可分为热钱包和冷钱包。总的来说,在线的热钱包的安全漏洞要多于永不触网的冷钱包,攻击点也更多。
1.热钱包安全隐患
热钱包,又称在线钱包,可再细分为中心化钱包和去中心化钱包(暂不列入讨论范围)。中心化热钱包通常面临两种安全隐患:一是网络运行风险,黑客通过网络漏洞攻击钱包、以勒索软件持续威胁,进而转移用户数字资产;二是钓鱼网站和 APP 风险,当用户误登钓鱼网站或假冒 APP 时,黑客窃取其私钥和助词器,造成用户资产损失。
2.冷钱包安全隐患
冷钱包,又称硬件钱包。冷钱包通常会面临三种安全隐患:一是设备遗失,黑客直接获得硬件钱包,采取物理攻击或非侵入式攻击:二是在交易的操作流程上进行伪造,通过攻破计算机、手机的客户端软件,诱骗用户签署伪冒交易;三是对硬件系统(如芯片)进行篡改。
(三)数字货币钱包安全漏洞如何应对
1.钱包应用开发商
升级钱包系统。重新创建新一版本的钱包,让用户将资产转账到新的钱包地址,再将旧地址作废。
收集并建立全面的恶意地址库、恶意合约库、恶意网址库以及区块链安全事件库等。当最新安全事件发生时,及时提醒用户防范要点。
实时监控。当发现用户向恶意地址转账或使用恶意合约时,或发现可能不是用户本人的操作时,及时提醒用户注意。
2.普通用户
在开发商完成漏洞修补升级版本前,普通用户应立即换用其他安全数字货币钱包,并创建全新的钱包地址,保护并离线备份自己的私钥,作废旧地址。
使用冷钱包时做到“三个不要”:不要将冷钱包上的二维码拍照发给别人;不要向任何人交出私钥或助记词;不要轻信“客服”、“升级”,或任何“代操作”。
四、 矿池安全性分析
比特币等数字货币的获得一般是通过购买,或加入区块链节点挖矿。
不过,以现有比特币全网的挖矿难度,个人矿工很难承受高昂的电力和时间成本,或抵御波动风险。为此,矿池应运而生。普通个人使用矿池提供的专用挖矿软件,连接矿池服务器,按照算力贡献获利分成。
据 BTC.com 数据显示,截至 2018 年 7 月 27 日,近一年矿池份额排名前六的分别是BTC.com(20.1%)、蚂蚁矿池(16.6%)、BTC.TOP(11.5%)、ViaBTC( 10.7% )、SlushPool(9.5%)和 F2Pool(7.8%)。
因此,矿池作为数字货币的上游环节,为广大个人矿工提供稳定的挖矿收益,其安全的重要性不言而喻。
(一)矿池安全事件回顾
(二)矿池存在的安全隐患
分析上述安全事件,矿池的风险主要在于 DDoS 攻击和扣块攻击。
DDoS 攻击(前文曾介绍)下,黑客可通过大量合法的请求占用大量网络资源,达到瘫痪网络的目的,使得旷工无法正常运行挖矿软件。
扣块攻击,也称藏块攻击。通俗的解释是,矿池的旷工解题成功,但未将“解”回传给矿池,而是选择私吞,因此,其他的旷工无法共享此次解题带来的收入奖励。
当然,矿池也存在其他风险:一是矿池服务器域名被 BGP 劫持,客户端加入了假的矿池进行挖矿;二是挖矿服务器中病毒或被黑,挖矿过程中钱包地址被替换;三是挖矿软件本身异常导致的数字货币钱包地址被替换。
(三)矿池安全漏洞如何应对
1.矿池开发者
首先,采用高性能的网络硬件产品,保证网络设备不会成为限制防御的瓶颈;其次,尽可能地保证网络带宽富余;再次,定时优化升级硬件配置,提高服务器的负载能力;此外,选择专业的 DDoS 高防服务,将大流量攻击交给运营商及云端清洗。
2.旷工
要从官方可靠渠道下载挖矿软件,使用专门的挖矿电脑;不要将钱包等重要信息保留在挖矿电脑上。
小结一下,上述安全事件造成的影响:
1.投资者资产流失,维权困难
数字货币交易所、智能合约、钱包等安全事件会直接导致投资者资产被窃或减值,且一旦黑客事件,很难追回,在匿名机制下维权困难。
2.评级受损,声誉降低
数字货币交易所、钱包等遭遇黑客事件后,其在用户财产保障和应急处理措施的缺陷暴露出来,将影响自身声誉,甚至一蹶不振。
3.市场信心受挫,相关企业存续难
大型安全事件通常会造成较大范围的市场行情波动,引发市场恐慌。受市值暴跌影响,发币项目的资产减值,承受更大的生存压力。
数字货币交易所、智能合约、钱包以及矿池是事故多发地,但区块链安全问题并不仅限于此。底层设计(如公链的共识机制等)也决定安全性,不过,底层设计不在安全服务公司的业务范围内。
只有区块链项目、用户自身、交易平台、存储工具、安全服务公司多方共同保证安全,数字货币和区块链生态才能持续健康发展。
II 区块链技术安全服务企业概括与案例
在区块链安全领域,安全服务企业各有切入点。比如,CertiK 擅长形式化验证;派盾PeckShield 、慢雾科技注重区块链生态安全性和隐私性;库神、碧盾、Bepal币派等则专于私钥安全存储方案;安全链SECC的重心在于建立全球社群,吸引更多极客加入社区。
案例一·库神
2016 年底,库神从冷钱包切入市场,是国内较早进场的数字资产硬件钱包开发商。2017 年 6 月,库神第一代产品上线,之后持续增添支持币种,并迭代热钱包 APP。目前,硬件已更新至第二代,支持 20 多条公链,囊括大部分主流币种,累计销量超过 4 万台。
团队现有 90 余人,以研发人员为主,产品、运营、销售、客服等部门配合支撑。创始人兼 CEO 袁大伟,北京大学金融科技创新实验室学术委员。联创兼 CTO 叶飞,中国科学院智能控制博士,清华大学区块链公开课讲师。联创兼 COO 张玉,北京大学硕士,中国人工智能学会会员。联创兼 CMO Wendy,前火币海外负责人。联创孙泽宇,北京大学金融科技创新实验室区块链顾问委员。首席硬件架构师刘建兵,曾主导研发 SHA-256 挖矿设备、xPAD3-TD-LTE 移动通话终端、基于 Zigbee 协议的智能系统等。
库神曾于 2017 年 6 月完成数百万人民币天使轮融资,资方包括节点资本、比特大陆、火币网;又于 2017 年 12 月获来自首都金融服务商会的千万美元 A 轮投资,截至今年 5 月,公司估值约 5 亿人民币。
在区块链生态中,钱包的作用是管理私钥,以及记录部分链上数据;集中解决数字资产安全存储和流通的问题;从不同的角度,可分为中心化/去中心化钱包,冷/热钱包,软件/硬件钱包等。
库神主要瞄向安全性最强的冷钱包(可想象成是保险柜),通过物理隔离、永不触网,保证无法被网络黑客发现或攻击。因此,相比通过更新增添新币种的热钱包,也牺牲了一定灵活性。
从地域来看,欧美已有较为成熟的钱包品牌,库神的用户目前集中在亚洲市场。此外,美国、日本用户的定制化需要较为明确。
库神的目标用户既有交易所、矿场、项目方等持币大户,也有注重资产安全的个人用户。针对前者,库神根据客户个性化需求提供定制化的安全解决方案,比如支持多重签名等。面向后者,库神注重并承担安全教育工作,旨在降低操作风险,拓展增量市场。
用户教育包括如何备份和保管私钥等内容,以操作指南、指导视频等形式通过社群及售后服务传递。普通个人用户感知明显的是密码强弱、私钥位置和操作流程,同时需了解,一旦丢失私钥,无法找回资产。
回到安全的主题,叶飞认为,安全无止境,任何环节都可能出问题。库神现阶段的核心研发方向是不断优化冷钱包解决方案,防御网络和物理攻击,并继续探索商业化路线。
防护既要靠技术(如底层架构和代码优化等),也离不开制度。“设计-制造-销售-运输-交易”全流程都要考虑防伪和反黑客细节。
为此,像大多硬件产品一样,库神每个新版本钱包在发售前,会交予白帽子、专业团队等从各维度做多轮测试;另一方面,收集专业用户的意见反馈,对新出现的攻击方式、安全漏洞保持动态关注、研究学习,预防未知的攻击方式和潜在风险。
钱包、交易所、DAPP Store、行情资讯等都称得上币圈流量入口。但叶飞认为,钱包的门槛较低,要想稳固先发优势,需向专业化发展。考虑到钱包细分赛道尚未出现巨头垄断,且安全理念相似,行业高速发展中窗口期不大,技术团队的执行力就成了竞争的关键。
不同于互联网世界用中心化的服务器存储私钥,区块链世界中 “如何处理私钥” 衍生出更多的可能。库神选择计算私钥,而非存储完整私钥的方式,并采用非电磁波(无法被监听)的二维码作为信道,被安全领域人士评价为“降维打击型防御”。
简述下库神钱包使用流程:
1.首次使用,生成种子密码(助记词),设置交易密码(与种子密码配合防护,可用于恢复清除的账户)。
2.需要发起交易时,输入交易密码,签名在冷钱包内完成,用库神 APP 扫码硬件显示屏上的二维码,将交易信息广播到区块链网络中。
3.库神 APP 可用于查询余额,以及向硬件提供二维码,同步地址余额信息。
据其官网,库神冷钱包专业版 P2+(Coldlar Pro 2+)定价 4288 元,并将于近期推出新产品 ColdLar P3。整体发展路线为:软硬件并行优化,在安全性基础上,兼顾专业化、扩展性和便捷性,从交互、信道、外观等方面进一步优化用户体验。
案例二·慢雾科技
区块链因其去中心化、匿名性和金融基因,一旦发生安全问题,后果或比传统互联网更严重。同时,区块链面临的底层代码、密码算法、共识机制、智能合约、数字钱包等安全问题,又具有一定的独特性。慢雾正是看好这一服务机会,为机构客户提供区块链生态相关的安全服务解决方案,包含安全审计、安全顾问、防御部署、威胁情报、漏洞赏金五大模块。
慢雾科技成立于 2018 年 3 月,总部位于厦门,团队现有 30 余人,由一线网络安全攻防实战成员组建,具有十几年的攻防实战经验,曾服务过 Google、微软、W3C、公安部、腾讯、阿里、百度等公司和机构。据介绍,截至 2018 年 8 月末,慢雾科技尚未接受任何形式的融资。
对区块链安全风险进行划分时,业内有两套常见标准:技术层级和业务形态。前者主要面向技术专家,后者更适合无专业知识积累的普通用户。
慢雾根据业务形态,将目标用户分为五大类型:交易所、钱包,公链、智能合约和矿池;并根据不同客户的需求,提供定制化解决方案;依据合作方体量和案例复杂程度收取服务费。
1.交易所风险,主要存在于 APP 安全设计、服务端安全配置、节点安全、输入安全、业务逻辑、热钱包架构、私钥管理系统等;
2.智能合约风险,主要存在于对溢出漏洞、权限控制、条件竞争、安全设计、拒绝服务、设计逻辑、“假充值”等漏洞进行攻击;
3.热钱包风险,主要存在于数据传输(如流量劫持)、私钥存储(如钓鱼)等方面;
4.冷钱包被攻击的前提是接触到物理硬件,黑客虽然无法直接获取私钥,但可读取相关信息进行破解;
5.公链风险,主要存在于节点配置、节点通信、节点共识、合约虚拟机、钱包等。
慢雾安全团队对上述风险点逐一审计。
今年,慢雾陆续推出多项成果:3 月,慢雾安全团队上线“以太坊黑色情人节”专题页面,对以太坊自动化盗币隐患进行持续追踪和披露;8 月慢雾安全团队推出 EOS 合约验证平台,功能包括:对已验证 EOS 合约账户源代码的查询,项目方自行上传源代码进行一致性校验等。
团队已累计审计 300 多份智能合约,涵盖以太坊、EOS、AChain、唯链(VeChain)、本体( ONT )、星云链( Nebulas )等公链,发现数十个高危、中危漏洞。
目前,慢雾获客主要依靠口碑传播。下一步,慢雾希望通过品牌效应,巩固与客户之间的信任与合作。团队表示,区块链处于早期发展阶段,加之国家政府、各大机构对技术创新愈加重视、积极布局,安全服务市场尚不存在天花板。未来,慢雾科技将继续聚焦行业生态建设与布局。
案例三·CertiK
由于智能合约一旦上传,即公开且不可更改,因此“区块链 2.0 ”时代的大多项目都产生了安全性验证的需求。CertiK 看好这一服务机会,致力于应用形式化验证技术,为智能合约和区块链生态提供安全保护。
在传统测试方法中,开发者会预想哪些情况下系统会遭攻击,再针对这些情景测试。这套方法的缺陷在于,黑客往往是从程序员想象之外的路径“下手”。而 CertiK 采用的形式化验证 ( Formal Verification ),将智能合约转化为数学模型,通过逻辑上的推理演算来验证模型,从而证明智能合约的安全性。因为整个演算过程符合严谨缜密的数学逻辑,所以其检验的结果很难被黑客攻克。
CertiK 的核心产品是 CertiKOS 防黑客操作系统。此系统花费千万美元的科研经费,两位创始人邵中和顾荣辉用 6 年多的时间来研究安全系统。目前 CertiKOS 不仅在商业市场中通过验证,也被应用到军事防御系统上,并引起耶鲁大学等美国学术界的关注。
由于军方需求相对复杂,创始团队于 2015 年中提出了分层结构理论,即将复杂的合约模块化,先逐个验证,再复合证明。
CertiK 的商业模式分两步走:
1.依靠 CertiK 自身算力的中心化验证服务。如果客户本身有强大的硬件设备和系统,可向 CertiK 提交智能合约和需求,CertiK 将合约转化为数学模型,进行形式化验证,并生成报告,指明合约中哪一行可能出现漏洞,系统在什么状态或条件下可能被侵入。CertiK 根据合约的复杂程度收取不同的服务费。
2.去中心化的安全验证生态系统,借助社区参与者的算力,共同生成报告。前文提到的分层结构理论可将复杂任务拆分成小的模块,CertiK 接到客户需求后,将“任务”和技术工具分发给社区,奖励提供算力、帮助检验小型模块的贡献者。交叉验证机制可以确保社区内无人投机取巧、没完成任务还“骗取奖励”。CertiK 认为,这种任务分发要比算 hash 值挖矿更有意义、更低能耗。
CertiK 现已与 NEO 、量子链等机构达成战略合作,同时对市面上的智能合约进行安全性验证,发现安全漏洞后主动联系团队,说明问题,提供解决方案,获取信任和口碑,逐步积累成功案例,再进行市场宣传。
据介绍,CertiK 已获耶鲁大学,丹华资本,光速中国等机构种子轮融资(金额暂未透露)。
CertiK 的核心优势在于团队。位于硅谷的技术团队从学术圈出身,去年开始商业化,工程师全部来自 Google、Facebook、Freewheel。联合创始人邵中,普林斯顿大学博士、耶鲁大学计算机系系主任/终身教授、中科大名誉院长、清华大学大师讲习团成员,20 余年安全领域经验。联合创始人顾荣辉,清华大学本科、耶鲁大学博士、哥伦比亚大学助理教授。
案例四·派盾PeckShield
派盾科技是面向全球的区块链安全公司,由前 360 首席科学家、美国北卡州立大学终身教授蒋旭宪于 2018 年创办。派盾科技曾发现并命名了 BEC、SMT、EDU 等智能合约的安全漏洞。今年 5 月,派盾科技完成来自高榕资本的数千万元天使轮融资。
派盾的优势主要体现在三个方面:
1.数据驱动。通过整理分析链上数据,发现安全隐患。派盾已将上百万个智能合约整理汇总,主动分析查找安全问题。“可以无限生成代币的漏洞”就是通过这种方式被发现的。
2.关注区块链生态各环节(包括交易所、钱包、矿池等)的安全问题。
3.学术背景和工业界经验。团队核心成员拥有美国计算机博士学位,来自国内一线互联网公司,拥有前瞻性国际视野。
蒋旭宪认为区块链最大的问题,是在 POW 机制下的 51% 算力攻击。他认为,公链的安全风险涉及到的不仅是某个项目方,而是会波及整个生态。另外,公链底层的节点安全问题也很重要。比如 360 曝出的 EOS “史诗级”安全漏洞;还有 PeckShield 报过的以太坊“致命报文”漏洞,可使三分之二以上的 geth 节点瞬间停摆,这些节点背后对应着交易所、矿池、和钱包等。
派盾选择曝出漏洞的时间秉持两大原则:
1.只要漏洞没被利用,派盾会先与项目方进行沟通,等待他们修复漏洞。比如以太坊“致命报文”漏洞,派盾发现漏洞后,先与以太坊基金会沟通协商,待漏洞修复完成才予以公开,整个过程超过了一个月。
2.如果漏洞被利用,那么派盾会选择将漏洞公开。
案例五·安全链
安全链是一个区块链化、开源的安全社区。互联网公司研发人员、区块链项目方等作为需求方,付出 SECC(安全链的 token)在社区内发布“任务”,自由极客、安全专家(甚至可以是安全服务公司的内部员工)可作为供方“接单”,帮助查漏洞、提出安全建议来赚取 SECC。这样,供方可接触到更多的“客户”,并在链上查看更透明的劳务关系和收入分配,享受更高效公平的结算;需方可公开部分安全组件的数据,“分包”给有不同思维角度的极客。
安全链涉及到的安全问题不只围绕区块链安全(to 交易所、钱包和项目),也包括“传统”的网络安全、系统安全、结构性安全等方面。
因此,安全链的要务将是做好社区内“安全任务”的标准化和数据化,建立合理的 token 定价体系。
安全链于 2018 年 1 月启动,近几个月的重心在于建立全球社群,吸引更多极客加入社区。目前安全链正沿两个方向纵深:一是团队在做关于区块链底层安全的前沿研究,预计年底前发布技术黄皮书,包含区块链经济的技术实现路径、更严格的权限管理等部分,进一步竖立在“安全圈内”的权威;二是与 66 硬件钱包合作,提供包括软件、服务器、硬件各层面的综合安全方案。安全链更长远的规划是,与社区共建规则后,向 DAPP 开发者们提供 API。
团队现有 10 余人,具有一定跨界资源整合和行业理解力,以及丰富的安全领域经验,认同“社群即共识”。钱科铭,星安资本合伙人,连续创业者,曾创办非营利性安全组织和区块链安全公司,有亿级用户线上社群建设经验。
III 参考文献和相关阅读
参考文献
区块链是什么:从技术架构到哲学核心
区块链技术可能用于哪些方面?
区块链与新经济:数字货币 2.0 时代
区块链技术中文社区
中心化与去中心化
区块链是什么,如何简单易懂地介绍区块链?
Parity 官方针对第二次攻击事件的回顾
交易所协议路漏洞分析
Dr Garrick Hileman & Michel Rauchs,2017 Global Cryptocurrency Benchmarking Study
阿尔法公社,链圈必读:一文看懂区块链安全 6 大分类 3 大问题
腾讯安全,2018 上半年区块链安全报告
长亭科技、ConsenSys、比特大陆,区块链安全生存指南
白帽汇安全研究院,区块链产业安全分析报告
相关阅读
星球独家 | 360 安全负责人:EOS 存在更多漏洞,但有漏洞的不止 EOS
PeckShield创始人蒋旭宪:互联网思维在 code is law 的区块链世界行不通
“军用级别”防黑客?「CertiK」要用形式化验证技术保护智能合约和区块链生态的安全
星球首发 | 区块链安全公司「曲速未来」获首轮融资, 百度风投、薛蛮子、圣山资本投资
你的币安全吗?「Bepal」认为比卖冷钱包更重要的是培养数字资产用户的安全意识
一文看懂“挖矿劫持”,拒绝成为“免费矿工”
一文读懂 EOS 抵押漏洞细节
主网上线在即,价值 2000 多万美金的 EOS 映射无效
BEC 美蜜现重大漏洞价值几乎归零,OKEx 暂停 BEC 提现和交易
有加密币的地方就有黑客,FAB 矿池被盗币 10 万枚后永久关闭
你居然还以为区块链更安全,我也是醉了
IV 致谢和免责声明
致谢
安全链、Bepal币派、Certik、库神、 慢雾、派盾PeckShield、 360、知道创宇等(排名不分先后)对本报告提供智慧支持,在此表示感谢!
免责声明
本报告版权归北京星球节点传媒文化有限公司(简称:Odaily星球日报),未经书面许可任何机构和个人不得以任何形式使用、复制或传播。任何有关本报告的摘要或节选都不代表本报告正式完整的观点,一切须以本报告完整版本为准。本报告基于已公开和采访的资料或信息撰写,但不保证该资料及信息的完整性、准确性。本报告所载的信息、资料、建议及推测仅反映Odaily星球日报于本报告公开发布当日的判断,在不同时期,Odaily星球日报可能撰写并发布与本报告所载资料、建议及推测不一致的报告。Odaily星球日报不保证本报告所含信息及资料处于最新状态;Odaily星球日报将随时补充、更新和修订有关信息及资料,但不保证及时公开发布。
本报告仅供参考之用。在任何情况下,本报告中的信息和意见均不构成对任何个人的投资建议。投资者应结合自己的投资目标和财务状况自行判断是否采用本报告所载内容和信息并自行承担风险,Odaily星球日报对投资者使用本报告及其内容而造成的一切后果不承担任何法律责任。
点击下载 pdf 版完整报告
文章TAG:唯晶科技 上海唯晶科技待遇怎么样 唯晶科技 科技 上海
