關於區塊鏈,有哪些不可忽視的安全問題?
8 月 2 日,知道創宇北京研發中心總監潘少華做客極客 Live 直播間,為大家分享了最新的區塊鏈安全態勢,本文對分享內容做了梳理,
更多案例詳細內容,可點擊直播視頻了解
。區塊鏈跟金融領域一樣,競爭非常激烈、門檻非常高,如果你在技術、安全方面沒有足夠的準備就貿然進入這個行業,風險遠超過大家的想像。——潘少華
建議在WiFi環境下觀看,土豪隨意
區塊鏈市場發展現狀
區塊鏈在幾個方向有很大的應用前景。
目前,區塊鏈最主要的應用還是加密數字貨幣領域,比如比特幣、以太坊。因為區塊鏈去中心化和透明不可篡改的特性,在數字身份和法律存證方面也有很多想像空間,國內有些企業在數字版權、數字保險等方面開始進行嘗試了。另外,在遊戲、娛樂行業,以及數字交通和物聯網設備等領域區塊鏈都有一些技術應用的空間。
區塊鏈政策導向
2016 年 10 月,工業和信息化部發布《中國區塊鏈技術和應用發展白皮書 (2016)》,總結了國內外區塊鏈發展現狀和典型應用場景,介紹了國區塊鏈技術發展路線圖以及未來區塊鏈技術標準化方向和進程。
2016 年 12 月,「區塊鏈」首次被作為戰略性前沿技術寫入《國務院關於印發「十三五」國家信息化規劃的通知》。
2017 年 1 月,工信部發布《軟體和信息技術服務業發展規劃 (2016-2020 年)》,提出區塊鏈等領域創新達到國際先進水平等要求。2017 年 8 月,國務院發布《關於進一步擴大和升級信息消費持續釋放內需潛力的指導意見》提出開展基於區塊鏈、人工智慧等新技術的試點應用。
2017 年 10 月,國務院發布《關於積極推進供應鏈創新與應用的指導意見》提出要研究利用區塊鏈、人工智慧等新興技術,建立基於供應鏈的信用評價機制。
2018 年 3 月,工信部發布《2018 年信息化和軟體服務業標準化工作要點》,提出推動組建全國信息化和工業化融合管理標準化技術委員會、全國區塊鏈和分散式記賬技術標準化委員會。
2017 年 9 月,中國人民銀行等七部委聯合發布《關於防範代幣發行融資風險的公告》,規定在中國,交易平台不得從事法定貨幣與「虛擬貨幣」之間的兌換業務。
區塊鏈面臨的安全威脅
2009 年比特幣正式發布,2011 年左右國際上有些比較潮的極客、金融人士意識到區塊鏈技術的重要性。比特幣發展到今天經歷了無數次的暴漲暴跌,大家現在不會覺得它是一個純粹的騙局了。
2018 年 5 月 29 號,根據國外網站 coinmarketcap.com 發布的數據,目前比特幣市值 1200 千億美金,緊隨其後的是以太坊,大概五百多億美金。13 年比特幣大概 600 塊錢,現在漲到了八千塊錢,這是大家能夠直觀感受到的。
錢突然變多,肯定會被壞人盯上。我們統計了全球區塊鏈安全事件的趨勢變化, 11 年出現了第一次比特幣安全事件,當時丟失 102 萬美金,14 年全球區塊鏈的資金損失大概是 4.6 億美金。18 年上半年,這個數字達到 19 億美金。
以前黑客黑網站需要上下游配合,才能把黑掉的網站變成現金收入,但是現在很簡單,只需要黑一些網站,盜一些幣,這些幣的收入就足夠讓他金盆洗手了。而且最關鍵的是黑客攻擊之後,很難進行相關的溯源。
我們按照不同的事情進行統計,損失最多的是數字貨幣交易平台,總共是有 13.4 億美金。其次是智能合約,主要是集中在以太坊上,比如因為代碼的漏洞或者私鑰的泄露等原因導致的資金損失達到了 12.4 億美金。再次是個人用戶遭受到的攻擊,比如電腦中病毒、私鑰被竊取等,包括礦廠礦工的一些病毒事件等等。
根據對以往區塊鏈安全事件的梳理,我們發現基於區塊鏈代幣引起的安全問題主要來自於區塊鏈自身機制引發的安全威脅、區塊鏈生態引發的安全威脅、區塊鏈使用者面臨的安全威脅三個方面。
區塊鏈自身機制
數據層。
區塊鏈數據可能是鏈式結構,也可能是 DAG,它所使用的時間戳,哈希函數,包括一些非對稱加密演算法可能有很多機制上的問題。發現這些漏洞對黑客的技術要求非常高,需要黑客對區塊鏈底層的實現、對合約的理解非常到位。網路層。
我們遇到過一些比較知名的攻略號,缺乏自動的節點發現功能,比如它可能 20 多個節點,其中幾個節點被人 DoS 下線了,它的結點沒有自動恢復上線的功能,整個網路的健壯性被黑客一下就擊跨了。
共識層。
共識機制也非常重要,比特幣的共識演算法 PoW 決定誰算利高誰就先挖到礦,你要去攻擊它,就需要通過算力的投入進行對抗。目前 PoS、DPoS 越來越多,PoS 涉及到非常嚴格的一個問題,每個節點都需要放大量的資產做抵押,這樣才能夠產生相應的挖礦收益,那麼這個節點的分析就被不斷放大,當這個節點的錢存到足夠多的時候,黑客可以採用技術更高的攻擊手段,甚至動用軍工級的技術能力。合約層和業務層。
今年 2 月份我們發現一個攻擊團伙,利用以太坊的漏洞,總共竊取了四萬七千個以太坊,按照當時的價格來算,總計兩千多萬美金,摺合人民幣一個多億,大概三千多人受害。這次事件涉及的漏洞一年多之前就被網路暴光過了,是以太坊自己協議上的漏洞,很難恢復。那麼這個漏洞被公開之後,很多腳本黑客就知道這個漏洞怎麼利用了,不需要太深的技術水平。
區塊鏈生態引發的安全威脅
區塊鏈生態就目前看來,是為支撐區塊鏈運行及與現實世界相對接的一系列支撐系統或應用。區塊鏈生態中包括 PoW 機制下的礦場和礦池、PoS 機制下的權益節點、代幣交易所、軟硬錢包、數據跟蹤瀏覽器、dApp 應用,以及面向未來 dApp 應用的區塊鏈網關係統等。
區塊鏈生態引發的安全威脅包括:交易所,集中化和傳統架構設計,給黑客入侵提供了便利;軟硬錢包,軟體及硬體錢包由於各種實現上的漏洞,導致自身安全性大打折扣;區塊鏈節點,DDoS、51% 等攻擊的存在,導致區塊鏈數據的安全收到威脅。
交易所被 DDoS 攻擊案例
2017.5 月,某區塊鏈貨幣交易平台突然遭遇猛烈 UDP FLOOD 攻擊,受到的攻擊流量和數據包峰值瞬間飆升到 84517Mbps 和 30953746pps。攻擊者在此次閃電突襲受挫後轉為麻雀戰術,各種間歇性小規模攻擊一直持續了 10 天。
10 天后,攻擊者糾集了 6 萬個肉雞殭屍,CC 攻擊流量急劇攀升到 51023.30GB。
三個小時後,攻擊者再次利用 51890 個肉雞,製造高達 12238.33GB 的 CC 流量。
目前,該平台每天仍遭受 20 余萬次惡意掃描,38 余萬次危險攻擊。
數字錢包所面臨的風險
數字錢包是生成私鑰和保存私鑰的容器,它用來管理密鑰和地址,跟蹤地址的餘額,創建和簽名交易。從載體上來區分,數字代幣錢包主要分為熱錢包和冷錢包兩種。
冷錢包從整體安全性來說較熱錢包更高,但就目前市場上的產品也存在一定安全風險。
某品牌冷錢包的實體是由智能手機改造而成,這就導致冷錢包的整體安全性受限於智能手機系統的安全底線,同時基於智能手機系統製作的冷錢包,性能往往都不可靠。
某安全錢包雖然是由加密晶元製造,但不是由密碼學領域的專業研發專家參與研發,由於加密晶元的使用不當會導致加密晶元無法為錢包提供有效加密的情況出現。
使用者面臨的安全威脅
欺詐案例——釣魚攻擊
2018 年 3 月 7 日,某境外數字貨幣交易平台幣安遭到黑客攻擊,此次攻擊造成全球數字幣價格大跌。
根據交易所的公告,有 31 個賬戶遭到黑客的釣魚入侵,黑客在掌握用戶的賬戶許可權之後,使用機器掛單,進行程序化高頻交易,給用戶帶來巨大損失。
2017 年 4 月 14 日,在約翰霍普金斯大學研究數學的學生 xudong zheng 發表了一篇論文,題目是《Phishing with Unicode Domains》,中文為「利用 unicode 網址釣魚」。
欺詐案例——不了解私鑰的特性
2017 年 7 月 1 日,中原油田某小區居民 188.31 個比特幣被盜。油田警方几個月後將位於上海的竊賊戴某抓獲,價值 280 萬美元。
2017 年 10 月,東莞一名 imToken 用戶發現 100 多個 ETH(以太坊幣)被盜,最終確認是身邊的朋友盜取他的數字加密貨幣。
更多案例詳細內容,可點擊直播視頻回放了解。
TGO 鯤鵬會最近推出了年度共創夥伴計劃,為技術領導者提供形式多樣的優質內容,為其所在企業提供宣傳機會。
TGO 鯤鵬會會員所在企業加入年度共創夥伴計劃可以享有大幅優惠。
2018/2019 年度共創夥伴共有 10 家企業,分別為:七牛雲、知道創宇、貝殼金服、大搜車、融雲、雲杉、coding、騰訊雲、kyligence、IPIP;其中 7 家都是 TGO 鯤鵬會會員所在企業,知道創宇就是其中一家。
TAG:InfoQ |