เกี่ยวกับ blockchain ปัญหาด้านความปลอดภัยที่ละเลยไม่ได้คืออะไร?

บทความนี้มาจาก:InfoQ（ID：infoqchina）ผู้เขียน: Pan Shaohua ส่งต่อโดยได้รับอนุญาต

คำอธิบายภาพ

สถานะปัจจุบันของการพัฒนาตลาด blockchain

ในปัจจุบัน แอปพลิเคชันหลักของบล็อกเชนอยู่ในขอบเขตของสกุลเงินดิจิทัลที่เข้ารหัส เช่น Bitcoin และ Ethereum เนื่องจากคุณสมบัติการกระจายอำนาจ โปร่งใส และไม่สามารถแก้ไขได้ของ blockchain จึงมีพื้นที่มากมายสำหรับจินตนาการในแง่ของตัวตนดิจิทัลและหลักฐานทางกฎหมาย บริษัท ในประเทศบางแห่งได้เริ่มทดลองเกี่ยวกับลิขสิทธิ์ดิจิทัลและการประกันภัยดิจิทัล นอกจากนี้ ในอุตสาหกรรมเกม อุตสาหกรรมบันเทิง เช่นเดียวกับในด้านการขนส่งดิจิทัลและอุปกรณ์ Internet of Things นั้น บล็อกเชนยังมีที่ว่างสำหรับการประยุกต์ใช้ทางเทคนิค

ชื่อเรื่องรอง

การวางแนวนโยบายบล็อกเชน

ในเดือนตุลาคม 2016 กระทรวงอุตสาหกรรมและเทคโนโลยีสารสนเทศได้ออก "สมุดปกขาวเกี่ยวกับเทคโนโลยีบล็อกเชนและการพัฒนาแอปพลิเคชันของจีน (2016)" ซึ่งสรุปสถานะการพัฒนาและสถานการณ์แอปพลิเคชันทั่วไปของบล็อกเชนในประเทศและต่างประเทศ และแนะนำแผนงานการพัฒนาเทคโนโลยีบล็อกเชนของประเทศ และทิศทางและกระบวนการสร้างมาตรฐานของเทคโนโลยีบล็อกเชนในอนาคต

ในเดือนธันวาคม 2016 "Blockchain" ได้ถูกเขียนลงใน "ประกาศของสภาแห่งรัฐว่าด้วยการพิมพ์และแจกจ่ายแผนข้อมูลแห่งชาติ" แผนห้าปีที่ 13 "ในฐานะเทคโนโลยีล้ำสมัยเชิงกลยุทธ์เป็นครั้งแรก

ในเดือนมกราคม พ.ศ. 2560 กระทรวงอุตสาหกรรมและเทคโนโลยีสารสนเทศได้ออก "แผนพัฒนาอุตสาหกรรมบริการซอฟต์แวร์และเทคโนโลยีสารสนเทศ (พ.ศ. 2559-2563)" ซึ่งเสนอข้อกำหนดสำหรับนวัตกรรมในสาขาต่างๆ เช่น บล็อกเชน เพื่อไปสู่ระดับขั้นสูงในระดับสากล ในเดือนสิงหาคม พ.ศ. 2560 สภาแห่งรัฐได้ออก "แนวทางความคิดเห็นเกี่ยวกับการขยายเพิ่มเติมและการยกระดับการบริโภคข้อมูลและการปลดปล่อยศักยภาพของอุปสงค์ในประเทศอย่างต่อเนื่อง" และเสนอให้ดำเนินการนำร่องโดยใช้เทคโนโลยีใหม่ เช่น บล็อกเชนและปัญญาประดิษฐ์

ในเดือนตุลาคม 2017 สภาแห่งรัฐได้ออก "แนวทางความคิดเห็นเกี่ยวกับการส่งเสริมนวัตกรรมและการประยุกต์ใช้ห่วงโซ่อุปทานอย่างจริงจัง" และเสนอให้ศึกษาและใช้เทคโนโลยีที่เกิดขึ้นใหม่ เช่น บล็อกเชนและปัญญาประดิษฐ์เพื่อสร้างกลไกการประเมินเครดิตตามห่วงโซ่อุปทาน

ในเดือนกันยายน 2017 ธนาคารประชาชนจีนและกระทรวงและคณะกรรมาธิการอีกเจ็ดแห่งได้ร่วมกันออก "ประกาศเรื่องการป้องกันความเสี่ยงทางการเงินของการออกโทเค็น" โดยมีเงื่อนไขว่าในประเทศจีน แพลตฟอร์มการซื้อขายไม่ได้รับอนุญาตให้มีส่วนร่วมในธุรกิจการแลกเปลี่ยนระหว่างผู้ประมูลตามกฎหมายและ " สกุลเงินเสมือน"

ชื่อเรื่องรอง

ภัยคุกคามด้านความปลอดภัยที่ต้องเผชิญกับ Blockchain

เมื่อวันที่ 29 พฤษภาคม 2018 ตามข้อมูลที่เผยแพร่โดย coinmarketcap.com มูลค่าตลาดปัจจุบันของ Bitcoin อยู่ที่ 120 พันล้านดอลลาร์สหรัฐ ตามมาด้วย Ethereum ซึ่งมีมูลค่าประมาณ 50 พันล้านดอลลาร์สหรัฐ ในปี 2013 Bitcoin มีมูลค่าประมาณ 600 หยวน และตอนนี้ได้เพิ่มขึ้นเป็น 8,000 หยวน นี่คือสิ่งที่ทุกคนสามารถรู้สึกได้โดยสัญชาตญาณ

เงินที่เพิ่มขึ้นอย่างกะทันหันจะต้องตกเป็นเป้าของผู้ไม่หวังดีอย่างแน่นอน เราได้นับแนวโน้มของเหตุการณ์ด้านความปลอดภัยของ blockchain ทั่วโลก เหตุการณ์ด้านความปลอดภัยของ Bitcoin เกิดขึ้นครั้งแรกในปี 2011 เมื่อเงินหายไป 1.02 ล้านดอลลาร์ และการสูญเสียเงินทุนของ blockchain ทั่วโลกในปี 2014 อยู่ที่ประมาณ 460 ล้านดอลลาร์ ในช่วงครึ่งแรกของปี 2018 ตัวเลขนี้สูงถึง 1.9 พันล้านเหรียญสหรัฐ

ในอดีต แฮ็กเกอร์ต้องการความร่วมมือทั้งต้นน้ำและปลายน้ำเพื่อเปลี่ยนเว็บไซต์ที่ถูกแฮ็กให้กลายเป็นรายได้เงินสด แต่ตอนนี้มันง่ายมาก แค่แฮ็กบางเว็บไซต์และขโมยเหรียญ และรายได้จากเหรียญเหล่านี้ก็เพียงพอแล้วสำหรับเขาในการล้างมือ และที่สำคัญคือหลังจากการโจมตีของแฮ็กเกอร์แล้ว การติดตามแหล่งที่มาก็เป็นไปได้ยาก

จากการรวมเหตุการณ์ด้านความปลอดภัยของบล็อกเชนก่อนหน้านี้ เราพบว่าปัญหาด้านความปลอดภัยที่เกิดจากโทเค็นบล็อกเชนส่วนใหญ่มาจากภัยคุกคามด้านความปลอดภัยที่เกิดจากกลไกของบล็อกเชนเอง ภัยคุกคามความปลอดภัยที่เกิดจากระบบนิเวศของบล็อกเชน และภัยคุกคามความปลอดภัยที่เกิดจากผู้ใช้บล็อกเชน ภัยคุกคามความปลอดภัยมีสามด้าน

ชื่อเรื่องรอง

กลไกของ Blockchain เองชั้นข้อมูล

ข้อมูลบล็อกเชนอาจเป็นโครงสร้างลูกโซ่หรืออาจเป็น DAG การประทับเวลาและฟังก์ชันแฮชที่ใช้รวมถึงอัลกอริทึมการเข้ารหัสแบบไม่สมมาตรอาจมีปัญหากลไกหลายอย่าง การค้นพบช่องโหว่เหล่านี้ต้องการข้อกำหนดทางเทคนิคที่สูงมากสำหรับแฮ็กเกอร์ และแฮ็กเกอร์ต้องมีความเข้าใจที่ดีเกี่ยวกับการนำบล็อกเชนและสัญญาไปใช้ชั้นเครือข่าย

เราพบ Raiders ที่รู้จักกันดีซึ่งไม่มีฟังก์ชันการค้นหาโหนดอัตโนมัติ ตัวอย่างเช่น อาจมีโหนดมากกว่า 20 โหนด ซึ่งหลายโหนดออฟไลน์โดย DoS และโหนดไม่มีฟังก์ชันการกลับมาออนไลน์โดยอัตโนมัติ เครือข่าย ความแข็งแกร่งของระบบถูกทำลายโดยแฮกเกอร์ในบัดดลชั้นฉันทามติ

กลไกฉันทามติก็มีความสำคัญเช่นกัน อัลกอรึธึมฉันทามติของ Bitcoin PoW กำหนดว่าใครก็ตามที่คำนวณกำไรสูงสุดจะได้รับเหมืองก่อน หากคุณต้องการโจมตี คุณต้องลงทุนในพลังคอมพิวเตอร์เพื่อต่อสู้ ในปัจจุบันมี PoS และ DPoS มากขึ้นเรื่อย ๆ PoS เกี่ยวข้องกับปัญหาที่เข้มงวดมาก แต่ละโหนดจำเป็นต้องวางสินทรัพย์จำนวนมากเพื่อเป็นหลักประกัน เพื่อสร้างรายได้การขุดที่สอดคล้องกัน จากนั้นการวิเคราะห์โหนดนี้จะถูกขยายอย่างต่อเนื่อง เมื่อฝากเงินในโหนดนี้เพียงพอแฮ็กเกอร์สามารถใช้วิธีการโจมตีทางเทคนิคได้มากขึ้นและแม้แต่ใช้ความสามารถทางเทคนิคระดับทหารชั้นสัญญาและชั้นธุรกิจ

ช่องโหว่ที่เกี่ยวข้องกับเหตุการณ์นี้ถูกเปิดเผยบนอินเทอร์เน็ตเมื่อกว่า 1 ปีที่แล้ว ช่องโหว่เหล่านี้เป็นช่องโหว่ในโปรโตคอลของ Ethereum และเป็นการยากที่จะกู้คืน หลังจากช่องโหว่นี้ถูกเผยแพร่สู่สาธารณะ แฮ็กเกอร์สคริปต์จำนวนมากจะรู้วิธีใช้ประโยชน์จากช่องโหว่นี้ และพวกเขาไม่ต้องการระดับเทคนิคที่ลึกเกินไป

ชื่อเรื่องรอง

ภัยคุกคามด้านความปลอดภัยที่เกิดจากระบบนิเวศของบล็อกเชน

จากมุมมองปัจจุบัน ระบบนิเวศของบล็อกเชนคือชุดของระบบสนับสนุนหรือแอปพลิเคชันที่สนับสนุนการทำงานของบล็อกเชนและเชื่อมต่อกับโลกแห่งความจริง ระบบนิเวศของบล็อกเชนรวมถึงเหมืองและพูลภายใต้กลไก PoW, โหนดหุ้นภายใต้กลไก PoS, การแลกเปลี่ยนโทเค็น, กระเป๋าเงินแบบอ่อนและแบบแข็ง, เบราว์เซอร์ติดตามข้อมูล, แอปพลิเคชัน dApp และเกตเวย์บล็อกเชนสำหรับระบบแอปพลิเคชัน dApp ในอนาคต เป็นต้น

กรณีการแลกเปลี่ยนถูกโจมตีโดย DDoS

ในเดือนพฤษภาคม 2017 จู่ๆ แพลตฟอร์มการซื้อขายสกุลเงินบล็อกเชนก็ประสบกับการโจมตี UDP FLOOD ที่รุนแรง และปริมาณการโจมตีและมูลค่าแพ็กเก็ตข้อมูลพุ่งสูงถึง 84517Mbps และ 30953746pps ในทันที ผู้โจมตีหันไปใช้กลยุทธ์นกกระจอกหลังจากการโจมตีแบบสายฟ้าแลบผิดหวัง และการโจมตีขนาดเล็กต่อเนื่องหลายครั้งดำเนินต่อไปเป็นเวลา 10 วัน

หลังจากผ่านไป 10 วัน ผู้โจมตีรวบรวมบ็อตได้ 60,000 ตัว และทราฟฟิกการโจมตี CC เพิ่มขึ้นอย่างรวดเร็วเป็น 51,023.30GB

สามชั่วโมงต่อมา ผู้โจมตีใช้บอท 51890 อีกครั้งเพื่อสร้างการรับส่งข้อมูล CC สูงสุด 12238.33GB

ความเสี่ยงต่อกระเป๋าเงินดิจิทัล

กระเป๋าเงินดิจิทัลเป็นคอนเทนเนอร์สำหรับสร้างและจัดเก็บคีย์ส่วนตัว ใช้เพื่อจัดการคีย์และที่อยู่ ติดตามความสมดุลของที่อยู่ และสร้างและลงนามธุรกรรม ในแง่ของผู้ให้บริการ กระเป๋าโทเค็นดิจิทัลส่วนใหญ่จะแบ่งออกเป็นกระเป๋าเงินร้อนและกระเป๋าเงินเย็น

กระเป๋าเงินเย็นมีความปลอดภัยมากกว่ากระเป๋าเงินร้อนในแง่ของความปลอดภัยโดยรวม แต่ผลิตภัณฑ์ในตลาดปัจจุบันก็มีความเสี่ยงด้านความปลอดภัยเช่นกัน

เอนทิตีของ cold wallet บางยี่ห้อถูกแปลงจากสมาร์ทโฟนซึ่งส่งผลให้ความปลอดภัยโดยรวมของ cold wallet ถูกจำกัดโดยบรรทัดล่างสุดของระบบสมาร์ทโฟน พร้อมกันนี้ ประสิทธิภาพของ cold wallet ตาม ระบบสมาร์ทโฟนมักไม่น่าเชื่อถือ

1. ภัยคุกคามด้านความปลอดภัยที่ผู้ใช้ต้องเผชิญ

   กรณีการฉ้อโกง - การโจมตีด้วยฟิชชิ่ง

   เมื่อวันที่ 7 มีนาคม 2018 Binance ซึ่งเป็นแพลตฟอร์มการซื้อขายสกุลเงินดิจิทัลในต่างประเทศ ถูกแฮ็กเกอร์โจมตี การโจมตีนี้ทำให้ราคาของสกุลเงินดิจิทัลทั่วโลกดิ่งลง

   ตามประกาศของ Exchange บัญชี 31 บัญชีถูกแฮ็กโดยแฮ็กเกอร์ หลังจากควบคุมสิทธิ์บัญชีของผู้ใช้แล้ว แฮ็กเกอร์ก็ใช้เครื่องเพื่อสั่งซื้อและทำธุรกรรมความถี่สูงแบบเป็นโปรแกรม ซึ่งทำให้ผู้ใช้สูญเสียจำนวนมาก

2. เมื่อวันที่ 14 เมษายน 2017 Xudong zheng นักศึกษาที่เรียนวิชาคณิตศาสตร์ที่มหาวิทยาลัย Johns Hopkins ได้ตีพิมพ์บทความเรื่อง "Phishing with Unicode Domains" ซึ่งในภาษาจีนแปลว่า "Using unicode URLs to fish"

   ตัวอย่างการฉ้อโกง - ไม่รู้ลักษณะของคีย์ส่วนตัว

   เมื่อวันที่ 1 กรกฎาคม 2017 188.31 bitcoins ถูกขโมยจากชุมชนใน Zhongyuan Oilfield ตำรวจบ่อน้ำมันจับได หัวขโมยจากเซี่ยงไฮ้ ไม่กี่เดือนต่อมา มูลค่า 2.8 ล้านดอลลาร์

ในเดือนตุลาคม 2017 ผู้ใช้ imToken ในตงกวนพบว่ามากกว่า 100 ETH (สกุลเงิน Ethereum) ถูกขโมยไป และในที่สุดก็ได้รับการยืนยันว่าเพื่อนที่อยู่รอบตัวเขาขโมยสกุลเงินดิจิตอลดิจิทัลของเขารายละเอียดคดีเพิ่มเติม คลิกเล่นวิดีโอสด