關於區塊鏈,有哪些不可忽視的安全問題?
本文來自:InfoQ(ID:infoqchina)圖片描述
圖片描述
圖片描述
二級標題
二級標題
二級標題
區塊鏈政策導向
2016 年10 月,工業和信息化部發布《中國區塊鏈技術和應用發展白皮書(2016)》,總結了國內外區塊鏈發展現狀和典型應用場景,介紹了國區塊鏈技術發展路線圖以及未來區塊鏈技術標準化方向和進程。
2016 年12 月,“區塊鏈”首次被作為戰略性前沿技術寫入《國務院關於印發“十三五”國家信息化規劃的通知》。
2017 年1 月,工信部發布《軟件和信息技術服務業發展規劃(2016-2020 年)》,提出區塊鍊等領域創新達到國際先進水平等要求。 2017 年8 月,國務院發布《關於進一步擴大和升級信息消費持續釋放內需潛力的指導意見》提出開展基於區塊鏈、人工智能等新技術的試點應用。
二級標題
二級標題
二級標題
區塊鏈面臨的安全威脅
2018 年5 月29 號,根據coinmarketcap.com 發布的數據,目前比特幣市值1200 千億美金,緊隨其後的是以太坊,大概五百多億美金。 13 年比特幣大概600 塊錢,現在漲到了八千塊錢,這是大家能夠直觀感受到的。
錢突然變多,肯定會被壞人盯上。我們統計了全球區塊鏈安全事件的趨勢變化, 11 年出現了第一次比特幣安全事件,當時丟失102 萬美金,14 年全球區塊鏈的資金損失大概是4.6 億美金。 18 年上半年,這個數字達到19 億美金。
二級標題
二級標題
二級標題區塊鏈自身機制
數據層。區塊鏈數據可能是鍊式結構,也可能是DAG,它所使用的時間戳,哈希函數,包括一些非對稱加密算法可能有很多機制上的問題。發現這些漏洞對黑客的技術要求非常高,需要黑客對區塊鏈底層的實現、對合約的理解非常到位。
網絡層。我們遇到過一些比較知名的攻略號,缺乏自動的節點發現功能,比如它可能20 多個節點,其中幾個節點被人DoS 下線了,它的結點沒有自動恢復上線的功能,整個網絡的健壯性被黑客一下就擊垮了。
共識層。共識機制也非常重要,比特幣的共識算法PoW 決定誰算利高誰就先挖到礦,你要去攻擊它,就需要通過算力的投入進行對抗。目前PoS、DPoS 越來越多,PoS 涉及到非常嚴格的一個問題,每個節點都需要放大量的資產做抵押,這樣才能夠產生相應的挖礦收益,那麼這個節點的分析就被不斷放大,當這個節點的錢存到足夠多的時候,黑客可以採用技術更高的攻擊手段,甚至動用軍工級的技術能力。
二級標題
二級標題
二級標題
區塊鏈生態引發的安全威脅
區塊鏈生態引發的安全威脅包括:交易所,集中化和傳統架構設計,給黑客入侵提供了便利;軟硬錢包,軟件及硬件錢包由於各種實現上的漏洞,導致自身安全性大打折扣;區塊鏈節點,DDoS、51% 等攻擊的存在,導致區塊鏈數據的安全收到威脅。
交易所被DDoS 攻擊案例
2017.5 月,某區塊鏈貨幣交易平台突然遭遇猛烈UDP FLOOD 攻擊,受到的攻擊流量和數據包峰值瞬間飆升到84517Mbps 和30953746pps。攻擊者在此次閃電突襲受挫後轉為麻雀戰術,各種間歇性小規模攻擊一直持續了10 天。
10 天后,攻擊者糾集了6 萬個肉雞殭屍,CC 攻擊流量急劇攀升到51023.30GB。
目前,該平台每天仍遭受20 餘萬次惡意掃描,38 餘萬次危險攻擊。
數字錢包所面臨的風險
數字錢包是生成私鑰和保存私鑰的容器,它用來管理密鑰和地址,跟踪地址的餘額,創建和簽名交易。從載體上來區分,數字代幣錢包主要分為熱錢包和冷錢包兩種。
冷錢包從整體安全性來說較熱錢包更高,但就目前市場上的產品也存在一定安全風險。
- 某安全錢包雖然是由加密芯片製造,但不是由密碼學領域的專業研發專家參與研發,由於加密芯片的使用不當會導致加密芯片無法為錢包提供有效加密的情況出現。
使用者面臨的安全威脅
欺詐案例——釣魚攻擊
2018 年3 月7 日,某境外數字貨幣交易平台幣安遭到黑客攻擊,此次攻擊造成全球數字幣價格大跌。
- 根據交易所的公告,有31 個賬戶遭到黑客的釣魚入侵,黑客在掌握用戶的賬戶權限之後,使用機器掛單,進行程序化高頻交易,給用戶帶來巨大損失。
2017 年4 月14 日,在約翰霍普金斯大學研究數學的學生xudong zheng 發表了一篇論文,題目是《Phishing with Unicode Domains》,中文為“利用unicode 網址釣魚”。
欺詐案例——不了解私鑰的特性
2017 年7 月1 日,中原油田某小區居民188.31 個比特幣被盜。油田警方幾個月後將位於上海的竊賊戴某抓獲,價值280 萬美元。2017 年10 月,東莞一名imToken 用戶發現100 多個ETH(以太坊幣)被盜,最終確認是身邊的朋友盜取他的數字加密貨幣。更多案例詳細內容,可點擊
