区块链:关于区块链,有哪些不可忽视的安全问题?

本文来自:InfoQ,作者:潘少华,星球日报经授权转发。

区块链市场发展现状区块链在几个方向有很大的应用前景。目前,区块链最主要的应用还是加密数字货币领域,比如比特币、以太坊。因为区块链去中心化和透明不可篡改的特性,在数字身份和法律存证方面也有很多想象空间,国内有些企业在数字版权、数字保险等方面开始进行尝试了。另外,在游戏、娱乐行业,以及数字交通和物联网设备等领域区块链都有一些技术应用的空间。区块链政策导向

2016年10月,工业和信息化部发布《中国区块链技术和应用发展白皮书(2016)》,总结了国内外区块链发展现状和典型应用场景,介绍了国区块链技术发展路线图以及未来区块链技术标准化方向和进程。2016年12月,“区块链”首次被作为战略性前沿技术写入《国务院关于印发“十三五”国家信息化规划的通知》。2017年1月,工信部发布《软件和信息技术服务业发展规划(2016-2020年)》,提出区块链等领域创新达到国际先进水平等要求。2017年8月,国务院发布《关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》提出开展基于区块链、人工智能等新技术的试点应用。2017年10月,国务院发布《关于积极推进供应链创新与应用的指导意见》提出要研究利用区块链、人工智能等新兴技术,建立基于供应链的信用评价机制。2018年3月,工信部发布《2018年信息化和软件服务业标准化工作要点》,提出推动组建全国信息化和工业化融合管理标准化技术委员会、全国区块链和分布式记账技术标准化委员会。2017年9月,中国人民银行等七部委联合发布《关于防范代币发行融资风险的公告》,规定在中国,交易平台不得从事法定货币与“虚拟货币”之间的兑换业务。区块链面临的安全威胁

2018年5月29号,根据coinmarketcap.com发布的数据,目前比特币市值1200千亿美金,紧随其后的是以太坊,大概五百多亿美金。13年比特币大概600块钱,现在涨到了八千块钱,这是大家能够直观感受到的。

钱突然变多,肯定会被坏人盯上。我们统计了全球区块链安全事件的趋势变化,11年出现了第一次比特币安全事件,当时丢失102万美金,14年全球区块链的资金损失大概是4.6亿美金。18年上半年,这个数字达到19亿美金。以前黑客黑网站需要上下游配合,才能把黑掉的网站变成现金收入,但是现在很简单,只需要黑一些网站,盗一些币,这些币的收入就足够让他金盆洗手了。而且最关键的是黑客攻击之后,很难进行相关的溯源。

我们按照不同的事情进行统计,损失最多的是数字货币交易平台,总共是有13.4亿美金。其次是智能合约,主要是集中在以太坊上,比如因为代码的漏洞或者私钥的泄露等原因导致的资金损失达到了12.4亿美金。再次是个人用户遭受到的攻击,比如电脑中病、私钥被窃取等,包括矿厂矿工的一些病事件等等。

根据对以往区块链安全事件的梳理,我们发现基于区块链代币引起的安全问题主要来自于区块链自身机制引发的安全威胁、区块链生态引发的安全威胁、区块链使用者面临的安全威胁三个方面。区块链自身机制

数据层。区块链数据可能是链式结构,也可能是DAG,它所使用的时间戳,哈希函数,包括一些非对称加密算法可能有很多机制上的问题。发现这些漏洞对黑客的技术要求非常高,需要黑客对区块链底层的实现、对合约的理解非常到位。网络层。我们遇到过一些比较知名的攻略号,缺乏自动的节点发现功能,比如它可能20多个节点,其中几个节点被人DoS下线了,它的结点没有自动恢复上线的功能,整个网络的健壮性被黑客一下就击垮了。共识层。共识机制也非常重要,比特币的共识算法PoW决定谁算利高谁就先挖到矿,你要去攻击它,就需要通过算力的投入进行对抗。目前PoS、DPoS越来越多,PoS涉及到非常严格的一个问题,每个节点都需要放大量的资产做抵押,这样才能够产生相应的挖矿收益,那么这个节点的分析就被不断放大,当这个节点的钱存到足够多的时候,黑客可以采用技术更高的攻击手段,甚至动用军工级的技术能力。合约层和业务层。今年2月份我们发现一个攻击团伙,利用以太坊的漏洞,总共窃取了四万七千个以太坊,按照当时的价格来算,总计两千多万美金,折合人民币一个多亿,大概三千多人受害。这次事件涉及的漏洞一年多之前就被网络曝光过了,是以太坊自己协议上的漏洞,很难恢复。那么这个漏洞被公开之后,很多脚本黑客就知道这个漏洞怎么利用了,不需要太深的技术水平。区块链生态引发的安全威胁

区块链生态就目前看来,是为支撑区块链运行及与现实世界相对接的一系列支撑系统或应用。区块链生态中包括PoW机制下的矿场和矿池、PoS机制下的权益节点、代币交易所、软硬钱包、数据跟踪浏览器、dApp应用,以及面向未来dApp应用的区块链网关系统等。区块链生态引发的安全威胁包括:交易所,集中化和传统架构设计,给黑客入侵提供了便利;软硬钱包,软件及硬件钱包由于各种实现上的漏洞,导致自身安全性大打折扣;区块链节点,DDoS、51%等攻击的存在,导致区块链数据的安全收到威胁。交易所被DDoS攻击案例2017.5月,某区块链货币交易平台突然遭遇猛烈UDPFLOOD攻击,受到的攻击流量和数据包峰值瞬间飙升到84517Mbps和30953746pps。攻击者在此次闪电突袭受挫后转为麻雀战术,各种间歇性小规模攻击一直持续了10天。10天后,攻击者纠集了6万个肉鸡僵尸,CC攻击流量急剧攀升到51023.30GB。三个小时后,攻击者再次利用51890个肉鸡,制造高达12238.33GB的CC流量。目前,该平台每天仍遭受20余万次恶意扫描,38余万次危险攻击。数字钱包所面临的风险数字钱包是生成私钥和保存私钥的容器,它用来管理密钥和地址,跟踪地址的余额,创建和签名交易。从载体上来区分,数字代币钱包主要分为热钱包和冷钱包两种。冷钱包从整体安全性来说较热钱包更高,但就目前市场上的产品也存在一定安全风险。某品牌冷钱包的实体是由智能手机改造而成,这就导致冷钱包的整体安全性受限于智能手机系统的安全底线,同时基于智能手机系统制作的冷钱包,性能往往都不可靠。某安全钱包虽然是由加密芯片制造,但不是由密码学领域的专业研发专家参与研发,由于加密芯片的使用不当会导致加密芯片无法为钱包提供有效加密的情况出现。使用者面临的安全威胁欺诈案例——钓鱼攻击2018年3月7日,某境外数字货币交易平台币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。根据交易所的公告,有31个账户遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限之后,使用机器挂单,进行程序化高频交易,给用户带来巨大损失。2017年4月14日,在约翰霍普金斯大学研究数学的学生xudongzheng发表了一篇论文,题目是《PhishingwithUnicodeDomains》,中文为“利用unicode网址钓鱼”。欺诈案例——不了解私钥的特性2017年7月1日,中原油田某小区居民188.31个比特币被盗。油田几个月后将位于上海的窃贼戴某抓获,价值280万美元。2017年10月,东莞一名imToken用户发现100多个ETH被盗,最终确认是身边的朋友盗取他的数字加密货币。更多案例详细内容,可点击直播视频回放了解。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:15ms0-8:463ms