本文目录一览:
区块链有哪些安全软肋
区块链有哪些安全软肋
区块链是比特币中的核心技术,在无法建立信任关系的互联网上,区块链技术依靠密码学和巧妙的分布式算法,无需借助任何第三方中心机构的介入,用数学的方法使参与者达成共识,保证交易记录的存在性、合约的有效性以及身份的不可抵赖性。
区块链技术常被人们提及的特性是去中心化、共识机制等,由区块链引申出来的虚拟数字货币是目前全球最火爆的项目之一,正在成就出新的一批亿万级富豪。像币安交易平台,成立短短几个月,就被国际知名机构评级市值达400亿美金,成为了最富有的一批数字货币创业先驱者。但是自从有数字货币交易所至今,交易所被攻击、资金被盗事件层出不穷,且部分数字货币交易所被黑客攻击损失惨重,甚至倒闭。
一、 令人震惊的数字货币交易所被攻击事件
从最早的比特币,到后来的莱特币、以太币,目前已有几百种数字货币。随着价格的攀升,各种数字货币系统被攻击、数字货币被盗事件不断增加,被盗金额也是一路飙升。让我们来回顾一下令人震惊的数字货币被攻击、被盗事件。
2014年2月24日,当时世界最大的比特币交易所运营商Mt.Gox宣布其交易平台的85万个比特币已经被盗一空,承担着超过80%的比特币交易所的Mt.Gox由于无法弥补客户损失而申请破产保护。
经分析,原因大致为Mt.Gox存在单点故障结构这种严重的错误,被黑客用于发起DDoS攻击:
比特币提现环节的签名被黑客篡改并先于正常的请求进入比特币网络,结果伪造的请求可以提现成功,而正常的提现请求在交易平台中出现异常并显示为失败,此时黑客实际上已经拿到提现的比特币了,但是他继续在Mt.Gox平台请求重复提现,Mt.Gox在没有进行事务一致性校验(对账)的情况下,重复支付了等额的比特币,导致交易平台的比特币被窃取。
2016年8月4日,最大的美元比特币交易平台Bitfinex发布公告称,网站发现安全漏洞,导致近12万枚比特币被盗,总价值约为7500万美元。
2018年1月26日,日本的一家大型数字货币交易平台Coincheck系统遭遇黑客攻击,导致时价580亿日元、约合5.3亿美元的数字货币“新经币”被盗,这是史上最大的数字货币盗窃案。
2018年3月7日,世界第二大数字货币交易所币安(Binance)被黑客攻击的消息让币圈彻夜难眠,黑客竟然玩起了经济学,买空卖空“炒币”割韭菜。根据币安公告,黑客的攻击过程包括:
1) 在长时间里,利用第三方钓鱼网站偷盗用户的账号登录信息。黑客通过使用Unicode字符冒充正规Binance网址域名里的部分字母对用户实施网页钓鱼攻击。
2) 黑客获得账号后,自动创建交易API,之后便静默潜伏。
3) 3月7日黑客通过盗取的API Key,利用买空卖空的方式,将VIA币值直接拉暴100多倍,比特币大跌10%,以全球总计1700万个比特币计算,比特币一夜丢了170亿美元。
二、黑客攻击为什么能屡屡得手
基于区块链的数字货币其火热行情让黑客们垂涎不已,被盗金额不断刷新纪录,盗窃事件的发生也引发了人们对数字货币安全的担忧,人们不禁要问:区块链技术安全吗?
随着人们对区块链技术的研究与应用,区块链系统除了其所属信息系统会面临病毒、木马等恶意程序威胁及大规模DDoS攻击外,还将由于其特性而面临独有的安全挑战。
1. 算法实现安全
由于区块链大量应用了各种密码学技术,属于算法高度密集工程,在实现上比较容易出现问题。历史上有过此类先例,比如NSA对RSA算法实现埋入缺陷,使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞,可以说构成区块链整个大厦的地基将不再安全,后果极其可怕。之前就发生过由于比特币随机数产生器出现问题所导致的比特币被盗事件,理论上,在签名过程中两次使用同一个随机数,就能推导出私钥。
2. 共识机制安全
当前的区块链技术中已经出现了多种共识算法机制,最常见的有PoW、PoS、DPos。但这些共识机制是否能实现并保障真正的安全,需要更严格的证明和时间的考验。
3. 区块链使用安全
区块链技术一大特点就是不可逆、不可伪造,但前提是私钥是安全的。私钥是用户生成并保管的,理论上没有第三方参与。私钥一旦丢失,便无法对账户的资产做任何操作。一旦被黑客拿到,就能转移数字货币。
4. 系统设计安全
像Mt.Gox平台由于在业务设计上存在单点故障,所以其系统容易遭受DoS攻击。目前区块链是去中心化的,而交易所是中心化的。中心化的交易所,除了要防止技术盗窃外,还得管理好人,防止人为盗窃。
总体来说,从安全性分析的角度,区块链面临着算法实现、共识机制、使用及设计上挑战,同时黑客通过利用系统安全漏洞、业务设计缺陷也可达成攻击目的。目前,黑客攻击已经在对区块链系统安全性造成越来越大的影响。
三、如何保证区块链的安全
为了保证区块链系统安全,建议参照NIST的网络安全框架,从战略层面、一个企业或者组织的网络安全风险管理的整个生命周期的角度出发构建识别、保护、检测、响应和恢复5个核心组成部分,来感知、阻断区块链风险和威胁。
除此之外,根据区块链技术自身特点重点关注算法、共识机制、使用及设计上的安全。
针对算法实现安全性:一方面选择采用新的、本身经得起考验的密码技术,如国密公钥算法SM2等。另一方面对核心算法代码进行严格、完整测试的同时进行源码混淆,增加黑客逆向攻击的难度和成本。
针对共识算法安全性:PoW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。
针对使用安全性:对私钥的生成、存储进行保护,敏感数据加密存储。
针对设计安全性:一方面要保证设计的功能尽量完善,如采用私钥白盒签名技术,防止病毒、木马在系统运行过程中提取私钥;设计私钥泄露追踪功能,尽可能减少私钥泄露后的损失。另一方面,应对某些关键业务设计去中心化,防止单点故障攻击。
币圈怎么第一时间知道黑客攻击
自加密货币面世以来,就一直不断的遭遇黑客的攻击,这也就不断的引起了投资者们的担忧,就在今年2月,日本的数字货币交易所Coincheck被盗了价值五十亿美元的加密货币;4月份,AMO区块链在上线首日就被黑客攻击,下面币圈子就来支招:区块链如何应对面对黑客攻击?
区块链如何应对面对黑客攻击?
面对黑客接二连三的攻击,有的交易所显得惊慌失措,有的则是立即采取手段,回击黑客的攻击。最典型例子是以太坊选择对区块链进行硬分叉,以拿回所有以太币,有效解决了这一问题。
当时,The DAO基于以太坊智能合约建立了一个众筹平台,却被黑客转移了市值五千万美元的以太币。随后,为挽回投资者资产,以太坊社区投票决定更改以太坊代码。因此,以太坊在第1920000区块进行硬分叉,回滚所有以太币(包括被黑客占有的)。
看到这儿,估计有人可能会问:硬分叉又是什么?
我们先弄懂为什么会出现分叉,主要是因为某一个新的区块被挖出之后,区块链系统会产生新的协议,而这个协议又与旧协议难以兼容。而硬分叉就是指,新协议将不再允许旧协议继续工作。就像以太坊,为了拿回资金才更改了协议,所以发生了硬分叉。
有先例在前,以太坊(ETH)和以太经典(ETC)就是硬分叉的典型案例。可见区块链能够借助硬分叉的方式,有效保证用户数据安全和个人资产安全,对黑客的攻击作出回击。
另外,除了通过硬分叉来回击黑客攻击,有交易所也提出了其他解决方案,如区块链可扩展性解决方案、多重签名技术等等。
区块链可扩展性解决方案
以太坊联合创始人Vitalik Buterin提出了区块链可扩展性解决方案,名为Plasma Cash,能够帮助交易所抵御黑客攻击。同时他表示:用户可以在交易过程中随时通过Plasma退出程序,取出现金。
因此,哪怕黑客使用Plasma Cash进行交易,用户资产也不会受到损失,甚至加密交易所可能会用此技术来抵御黑客攻击。
多重签名技术
黑客曾披露,Coincheck在遭受攻击时,甚至没有做过一些基本安全措施。被盗的加密货币存放于一个连网的钱包里,而资金则保存在硬件中,不禁让人担心起钱包的问题,如何更安全地访问自己的钱包呢?
有人提出了解决方案:可以结合multisig技术,实现多重签名抵制,就好比需要多个钥匙才能打开家门一样,多重签名即表示需要多个密钥才能执行一个任务,能够使黑客更难获得资金。
上面就是关于区块链如何应对面对黑客攻击的相关内容,不过以上方案的安全性也还是需要完善的,这些都将随着技术的更新而进一步得到解答,得到完善解决,我们拭目以待。
区块链科普指南:什么是51%攻击?
在加密世界中,当一个人或一群人控制了50% + 1的网络单元时,就会发生51% 的攻击。没有人说50% + 1单位,所以简称为51%攻击。
当一个团队设法控制链接到一个特定区块链的网络的大部分,它被认为对它有绝对的权力控制整个区块链,这意味着交易的完整性和安全性不能再得到保证。
区块链如何抵御51% 的攻击?
加密货币有不同的方式可以保护自己免受51% 的攻击。毫无疑问,最为人所知的是,全球拥有庞大的矿商网络,其中包括数万甚至数十万人,这使得控制这一网络极为昂贵。
在这种情况下,区块链通常是自动保护的,因为接管加密货币所需的资源要重要得多,而且一旦网络得到控制,攻击不一定涵盖费用。
不需要太多的细节,我们只想说,可以添加额外的安全机制,目的是使这种攻击不可能发生。这可以通过使用一个具有多个控件的系统来实现,这有时会将这种攻击的需求从计算能力的51% 提高到75% 、90% ,有时甚至是99% 。
在其他情况下,一些区块链已经选择授权交易验证的有信誉的集中参与者,以避免这种攻击。然而,一些纯粹主义者不喜欢这个想法,因为它违背了区块链的宗旨,即分散交易。
我们真的应该担心51% 的攻击吗?
比特币自诞生以来从未遭受过51% 的攻击,也不太可能遭受这样的攻击。这个网络如此庞大,以至于做这件事的成本会高得惊人。
此外,当一个区块链正在经历一个51% 的攻击变得清晰时,几乎可以肯定的是,所有令牌持有者将决定立即出售他们的资产,这将导致资产的价值损失。所以,从数学上来说,一群人试图控制一种加密货币是没有多大意义的。
为了了解实施51% 攻击所需的资源,有一个不错的小网站叫做 Crypto51,它可以让你找出实施这种攻击所需的散列速率和每小时的美元成本。
对51%攻击的结论
我们希望您现在有一个更好的理解的概念,51% 的攻击和他们如何工作。正如你所看到的,他们需要巨大的资源,可能仍然不值得麻烦。
51% 的攻击,理论上,是工作证明(PoW)系统的一个主要问题。然而,在实践中,一旦一个区块链已经足够发达,风险接近于零。
对于新的或小盘数字货币,再一次,没有真正的利益为黑客进行这样的攻击,因为加密货币的价格可以下降到0非常快,防止该组收获经济利益。
币圈答案,价值40亿元加密货币被盗,黑客究竟是如何操作的?
黑客利用区块链数据协同平台Poly Network中的一个漏洞进行攻击,成功的把这40亿加密货币给盗走,转到了其他的账户当中,目前整个平台正在紧锣密鼓地扎捕这些黑客,因为一旦这些货币流入到币圈市场当中,肯定会给市场造成非常大的破坏,甚至还会影响整个大盘的波动。那么币圈将会导致一定的价格下跌情况出现。
从这一个事情上,我们可以看出现在区块链技术也非常的不成熟,而且黑客的技术明显要比防御技术高出很多,如果防御技术非常强大,那么黑客根本没有办法盗取40亿的加密货币。加密货币的诞生在法律上没有任何的合法性,只是被一些人拥有并且赋予了金钱价值而已,但由于这种技术并不是非常完善,而且这种技术破解程度比较高,因此很多国家担心这种加密货币会影响本国安全,所以对于这种货币都是拒绝的。
但因为这种货币已经形成了独特的金融市场,并且价值正在不断的攀升,因此很多人都会选择用现实中的金钱购买这种虚拟货币,从2021年上半年的形势来看加密数字货币的总体价值是在不断上升的,包括一些著名的货币:以太币、比特币等。这些加密货币整体的价值也拉动了很多人的投资热情,但是由于这种货币风险性比较高,所以很多人在投资之后血本无归。
总结:虚拟货币的出现无疑于给人们的金融提供了一条可以发展的途径,但是这条发展的途径势必会充满风险和艰辛,尤其是现在各个国家政府对这种货币不承认,导致这种货币完全没有合法性。所以我们要选择投资这种货币时,一定要擦亮眼睛,经过深思熟虑之后才可以确定是否要投资。
数字加密区块链会被黑客攻击吗?
从我的理解而言,区块链是一种“共识”实现技术,通过区块链可以记录网际间所有的交易,供区块链的用户见证实现“共识”,且链上信息内容“不可篡改”。而这种“不可篡改”性是通过系统内多个副本的存在增加了内容被恶意篡改的成本。以比特币系统而言,下图中的所有亮点代表一套内容一致的账本。因此,当所有的记录得到公示,就解决了现实生活中的“两表不可测”问题。两表不可测的原因是没有中心,两表数值各异观者无从可知。但中心不是必须,当存在多只表,且多数指针指向一个时间,少数服从多数,观者也就心知肚明。所以区块链要解决的一个问题就是“少数服从多数”,少数的存在有可能是数据生成的错误或者是恶意篡改的内容。也就是说你要篡改成功,就必须要改变系统中51%的副本[ 即51%攻击],由少数成为多数。可想而知,篡改成本从技术难度、时间消耗、人员使用上都是巨大的。同时,区块链的另一个关键结合,是同智能合约的结合。通过程序执行合约,因为前者已经做到了合约内容的“原汁原味”,后者成为“观察者”用机器执行杜绝了合约双方的违约和执行中断。金融活动从最早的支付到金融衍生品的高度发展,背后都是一个个合约的签订和执行。同时各种金融创新绝大多数也是保证合约的执行和违约偿付。如果合约的达成变得扁平且执行贯彻,那么整个流程将更为简洁和高效,这便是区块链亦将提出就被金融领域重视的一个前提。