曲速未来 透露:区块链应用正面临攻击者威胁

栏目: 服务器 · 发布时间: 5年前

内容简介:区块链安全咨询公司曲速未来表示:虽然区块链技术自带加密光环,并具分布式特性,外在表现为分散的、去中心化的,然而事实上其并非如之前所描述的无人可篡改。本文为作者“曲速未来安全区”,原创文章,转载时请保留本声明及附带文章链接。 内容仅供读者参考,并非投资建议,本网站将保留所有法律权益。

2019-01-07 16:59 区块链 技术 曲速未来 透露:区块链应用正面临攻击者威胁 23291 收藏

区块链安全咨询公司曲速未来表示:虽然区块链技术自带加密光环,并具分布式特性,外在表现为分散的、去中心化的,然而事实上其并非如之前所描述的无人可篡改。

区块链安全咨询公司 曲速未来 表示:虽然区块链技术自带加密光环,并具分布式特性,外在表现为分散的、去中心化的,然而事实上其并非如之前所描述的无人可篡改。由于技术应用、平台防护等原因,现阶段的区块链应用正在面临着攻击者的威胁。

对,区块链也不安全了。虽然区块链技术自带加密光环,并具分布式特性,外在表现为分散的、去中心化的,然而事实上其并非如之前所描述的无人可篡改。由于技术应用、平台防护等原因,现阶段的区块链应用正在面临着攻击者的威胁。

曲速未来 透露:区块链应用正面临攻击者威胁

1、针对协议的攻击

区块链,一个可理解为不断增长的存证与记录的"帐本链条",由记录的各个区块所连接,而这些区块则使用密码学进行相连和保护。凭借区块链的分布式特性,加密的"帐本"数据需由网络中的所有节点共享和验证,以确保其唯一性。

其运作模式为,所有参与节点需针对共同账本上的每一笔交易进行分布式记账。当交易发生后,信息会通知到所有节点,而各个节点要按照预设的规则独立地对交易进行确认。在这个过程中,信息是透明统一的,参与者资格权限完全对等。一笔交易确认后,交易记录和数据就形成一个区块,加上时间戳后编入链条,然后启动下一轮交易(块),而这些区块以时间顺序连接为"链"。在此基础上,只要参与节点数量足够多,"数据链条"上的篡改似乎的不可能的。

然而事实上,攻击者一旦拥有了大多数节点,其就可随意创建自己的区块,对链条进行篡改,而该区块链的安全性便不攻自破了,这就是着名的"51%攻击"或"大多数攻击"。这在一个区块链项目刚刚启动时威胁尤为突出,因为那时的节点总数往往很少,一旦节点拥有者形成共谋,这样的攻击即可实现。

不仅如此,区块链协议、智能合约机制、节点设备漏洞等安全缺陷,都是涉足其上的企业必须要面对解决的,不然的话,遭受巨大的经济损失就可能是分分钟的事情了。

2、针对用户的攻击

除了上述区块链协议、节点上的漏洞外,用户也是区块链里的一大薄弱环节。传统的网络钓鱼、恶意软件、字典攻击等,往往都十分奏效,亦会让用户丧失掉控制权。

此外,近期更有安全人员发现一种被称为ComboJack的木马程序,能够随时监控Windows的剪贴簿。用户主机一旦被植入该木马,其上存有的比特币或以太币地址便会被发现,即使是一个小小的复制粘贴行为。而攻击者在此后便可以通过该木马将这些地址篡改为他们自己的钱包地址。当用户复制被篡改后的地址来传送加密货币时,即会遭受拦截。

由于加密货币的钱包地址是由复杂的数字与字母字串所组成,很少人会背下自己的钱包地址,多半是在需要时先复制它,再粘贴到正在使用的应用程序中。而这些被复制的钱包地址则会短暂地保存到剪贴簿中,上述木马则能够持续地监控剪贴簿上的内容。

仅6月上旬就已有30万台PC受到该木马感染,而这些木马最多监控40万~60万的加密货币钱包地址。不过近日出现的新变种则能将监控地址的数量扩大到230万,威胁进一步扩大。

3、针对平台的攻击

随着加密货币的热炒,针对交易平台的攻击变得日益明显。近期,安全人员发现了EOS平台上的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

据悉,该漏洞令EOS区块链系统在解析WASM文件时,会出现缓冲区溢出的问题,而攻击者将能够利用这个缓冲区溢出漏洞实施攻击。在该漏洞的帮助下,攻击者将能够向EOS节点服务器上传恶意智能合约,当节点服务器完成对智能合约的解析之后,恶意Payload将会在服务器中执行,并完成远程接管。成功接管远程节点服务器之后,攻击者将能够把恶意智能合约封装到新的区块中,并进一步控制整个EOS网络。

近年来,以平台为目标的攻击事件不断爆发,已成主要的威胁之一。例如,着名的Mt.Gox攻击事件,导致2011年至2014年期间先后有价值4.5亿美金的比特币被盗,结果导致公司被清盘并关闭。而现在关于交易平台受袭的新闻仍不绝于耳,亦突出了其威胁性。

区块链安全咨询公司 曲速未来 表示:显而易见的是,面对上述三大维度的区块链攻击,除了一般用户难以察觉的技术复杂度及安全漏洞外,来自用户设备甚至是交易平台上的隐患都是挑战区块链技术安全应用的主要威胁,必须引发高度关注才行。

本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。

本文为作者“曲速未来安全区”,原创文章,转载时请保留本声明及附带文章链接。 内容仅供读者参考,并非投资建议,本网站将保留所有法律权益。

  • 曲速未来 透露:区块链应用正面临攻击者威胁

以上所述就是小编给大家介绍的《曲速未来 透露:区块链应用正面临攻击者威胁》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

SEO深度解析

SEO深度解析

痞子瑞 / 电子工业出版社 / 2014-3-1 / CNY 99.00

《SEO深度解析》以SEO从业人员普遍存在的疑问、经常讨论的问题、容易被忽视的细节以及常见的错误理论为基础,对SEO行业所包含的各方面内容进行了深入的讨论,使读者更加清晰地了解SEO及操作思路。内容分为两类:一类为作者根据自己真实、丰富的SEO经验对SEO所涉及的各种问题进行详细的讨论,主要包括SEO 基础原理剖析、SEO实操思路方法、常用工具数据剖析、竞争对手分析案例实操、网站数据分析思路指导、......一起来看看 《SEO深度解析》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具