区块链安全:从复盘后的EOS浅析区块链安全问题
区块链相比于互联网在理念和架构上更加注重“安全”,“分布式机制”又保证了数据流的完整一致、不可篡改的特点,所以区跨链技术逐渐被各个行业所接受,并着手进行开发。
但是,2018年5月29日,360公布了其发现EOSIO严重漏洞的消息。此新闻及后续一系列相关跟进事件迅速成为区块链领域内的舆论热点。
随着越来越多的声音与内容出现,各界对此次事件也逐渐有了更为清晰的认识。对数字货币监管、非法数字货币溯源、转账前风险提示、区块链威胁态势感知都有重要意义。
事件回顾:
对于当前的区块链攻击,主要都来自于区块链的应用层的服务,因为整个上层的业务对于攻击者来说是价值的所在。攻击者必然会尝试对应用层进行攻击,那么接下来,小编将要为大家梳理那些容易受到黑客攻击的领域:
比特币“交易所”黑客攻击的头号目标
黑客目的很简单,就是为窃取钱财而来,技术手段极为缜密,比特币、区块链安全问题显然也比传统网络安全更为复杂。
2017年12月份告破的全国首例比特币被盗案,戴某把正版钱包软件破解之后植入获取用户账户名和密码的爬虫文件,在聊天群中丢给吴某下载安装,随后吴某的电子钱包软件中181个比特币被清空。
戴某让多人下载其钱包软件的说辞极其简单:“比特币放在交易所不安全”,这是有前车之鉴的。
交易所目前是所有数字加密币的存储中心和流通中心,自然是黑客头号目标。
2014年,当时全球最大的比特币交易所Mt.Gox宣布因遭受黑客攻击,其CEO马克·卡尔普称“平台上85万个比特币因公司系统漏洞被盗一空”而MT.Gox在日本旋即申请破产保护,而Mt.Gox是否监守自盗成为一桩未了公案。
三年后,“黑客”再次成为背锅侠,2017年12月19日韩国比特币交易所Youbit同样因黑客攻击丢失4000个比特币后破产,故事惊人的相似。
利用“智能合约”,黑客信手拈来
2016年6月17日,众筹超过1.5亿美元的TheDAO由于出现安全漏洞,黑客攻击导致价值超过6000万美元的300万个以太币被盗。
经大量讨论、投票、争取、尝试后失败、再次尝试,在以太坊区块链官方的提议下,以太坊进行了“硬分叉”,数据回滚至整个网络中由于安全攻击而被影响的以太币,最终TheDAO黯然退市。
由于以太坊网络中所有矿工没有达成完全一致的回滚共识,最终酿成以太坊网络分裂成至今“以太坊”(ETH)和“以太坊经典”(ETC)的格局。
区块链的技术特性决定了智能合约带有病毒的传播特性,一旦本身出现漏洞被黑客加以利用,影响是传统网站的百倍计,并且很难短时间修复。
从某种程度上,去年WannaCry勒索病毒就是典型的区块链“智能合约”的应用场景之一,黑客把勒索病毒的智能合约发到网上,无须黑客进行任何其他操作实现比特币到账即自动解锁电脑自动化。
WannaCry就是典型的区块链智能合约应用,黑客玩的很溜了
值得庆幸的是,合约发布方们已经意识问题严重性,开始执行严格的智能合约审计,为智能合约筑起区块链“马其顿防线”成为趋势。
数字钱包区块链安全事件频发“重灾区”
“数字钱包”是用来存储数字货币的软件载体,其中,不联网存储私钥的是“冷钱包”,目前市面上的硬件钱包就是冷钱包;
而把私钥托管在网络的叫“热钱包”,比如如电脑客户端钱包、手机App钱包、网页端钱包等等。
数字钱包就像是直接在区块链世界里的“余额宝”,现在已经有一些实体店开始支持比特币支付了。但与余额宝、银联卡的货币存储在银行,即便被偷被骗也可追溯,毕竟银行账户都有实名认证。
而数字货币往往相对更难追溯,一旦被骗就很难找回,目前比特币及代币的监管难度比较高;而不可篡改则意味着钱一旦被骗走,交易就不可能回退,基于这两点,数字钱包成为黑客眼中的“肥肉”。
任何新事物在萌芽时期,都会存在一些缺陷,让我们多给区块链一些宽容,毕竟它是一个冉冉升起的希望。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場