宝马娱乐在线城-宝马娱乐在线

来自 世界互联 2019-10-01 21:34 的文章
当前位置: 宝马娱乐在线城 > 世界互联 > 正文

半年损失27亿美元,区块链成30万黑客的提款机?

这是以太坊非常流行的一个钱包,攻击的方式非常多,比如说被域名劫持,因为它是一个在线的情况,在网站上访问了之后,输入私钥就可以将以太币或者以太坊上面的Token都可以收发,很方便,但是黑客也就抓住了这个方便,把安全也就很容易把币转到他手里。比如钓鱼事件,现在有统计,统计了5000多种攻击,同时有1000多种都是针对于在线钱包的攻击。

2013年6月,他在十几家比特币交易所发现漏洞后,毫无阻碍地提走了所有的比特币。提币之后,他在localbitcoins.com上出售了这些比特币,那一天他赚了8000美元的现金,相当于4个月的工资,感觉就像在天堂。

谨慎对待慈基数或者时间戳这样的变量和数值,这样的在区块链的编程也是非常难的。我也在思考这个问题,让用户参与进来提供周边的环境信号,包括麦克风或者传感器的数据,混合本地的随机数据,这样也许会安全一点。时间戳也是一样的,重视安全用例的编写,一定要重视你写的每一个Library,哪怕是别人写的智能合约里面有BUG,您这个系统仍然是可能会被找到漏洞,会被击溃的。如果您的工作是基于比特币、以太坊的区块链去做的,不用重复发明文字,一定要同步去更新像比特币、以太坊攻击的安全代码,一般能够比较快的及时响应里面的安全问题,如果你的工作是基于他们的工作基础上来做,你又没有去跟进,等于是告诉黑客,比特币和以太坊等于是告诉黑客,告诫自己智能合约很难写,很难写的好写的安全,一定要谨小慎微,补齐密码学的基础知识。您开发的系统有多安全,这个取决于您。

其二,区块链生态安全问题。区块链生态中包括PoW机制下的矿场和矿池、PoS机制下的权益节点、加密数字货币交易所、软硬钱包、数据跟踪浏览器、DApp应用,以及面向未来DApp应用的区块链网关系统等。其中,围绕交易所发生的安全事件最为显著,交易所被盗远超其他事件类型。此外,交易所被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所账号失窃等问题,也同样值得关注。

宝马娱乐在线城 1

在赵伟看来,这波熊市跟区块链安全不无关系。

我们再看第二类,针对非交易所的,是一些在线服务商的安全事故,这样类型的也非常多。在去年的一个ICO的项目被攻击的原理是,服务器上有一个网站,很多程序员都知道,结果没有打好补丁,被人找到了一个漏洞,上传了木马,拿到服务器权限之后,把里面的币全都给转走了。

根据今年5月30日的区块链产业安全分析报告,全球发生区块链安全事件的趋势呈逐年上升态势。2011年出现了第一次比特币安全事件,当时丢失102万美金;2014年全球区块链的资金损失大概是4.6亿美金;而到了今年上半年,这个数字达到19亿美金。

第二个是和区块链相关的交易所和在线服务提供商。

其中,有“approve条件竞争问题”的合约有22981个,并且15325个合约甚至还处于交易状态,approve条件竞争漏洞的结果可能引发丢币的问题;有“循环DoS问题”的合约有1810个,其中1740个合约仍处于交易状态,以太坊中循环DoS则可能因gas消耗过大导致交易失败,合约无法执行。

直接切入正题。为什么很多人都说区块链技术很安全,属于一种数据安全保护,或者软件系统安全架构的一种技术。

宝马娱乐在线城 2

第一部分,应用侧的攻击,这个可能是爆发最多的,对于普通用户来说是最容易体会到,有一种很强烈的威胁感存在。这个币存在哪好呢?有可能存着存着就丢了。

《2018上半年区块链安全报告》中的数据显示,区块链因自身机制的安全、生态安全和使用者安全三个方面造成的经济损失,分别为12.5亿、14.2亿和0.56亿美元,共计高达27亿美元。

首先,第一个是应用层的攻击,主要是讲钱包合乎智能合约,像这两个范围内的攻击手段。

比特币的“数字黄金”之名由此得来。

这个BUG最早的时候是没有被公开的,这个程序员发了一个邮件给比特币的创始人,在邮件里讲,对于不知道BUG的人,千万别讲BUG的名字,如果你是很熟悉的人,你一听就知道到底怎么调用这个BUG,你可以想想当时的影响到底有多大。

区块链的共识机制是其运行的重要规则

第三个类别,如果您是一位区块链相关产品的创业者,如果你以前不是做这一块的,现在来做这一块,我们的建议是,如果您的项目还没有开始,还是问一问自己,是不是一定要用区块链。第二个,如果项目已经开始了,可以重新从安全的角度审查一下各个方面。应该充分了解,在区块链领域特别是这样的,要投入大量的人力、物力、财力是看不到的,一旦出现事故之后是影响很大的,追悔莫及。针对于自己,针对于关键团队成员,甭管C什么O,这里面一个关键人物出了问题,可能也会造成影响。非区块链服务系统的漏洞,这也是容易忽视的一个问题,服务器上放上您的代码,操作系统的漏洞就不用说了,他的问题也会导致您这个系统的问题。划拨资金池,最好还是有一个单独的资金,这样更多的放在社区里面会更有动机去介入进来,他会觉得这个项目是比较友好的,他也乐意去帮助你,聘任顾问,来审计第三方产品。建议使用两组人员,两种不同的语言来进行开发,把协议约定好。以太坊采用了这种路线,所以避免了好几次大的问题。同样也是针对供应链,开源才是最安全的,但是千万别等到明天上线今天宣布开源,上线的时候是开源产品,这样其实是最危险的,今年有几个数字货币就出现过这个问题,官方的钱包出现,第一天就找到了BUG。最后,做好思想准备,您这个系统一定会有漏洞,有漏洞就一定会有攻破的,至少有一个安全专员,要有一个应急预案。

其一,区块链自身机制问题。以以太坊为代表的区块链智能合约设计存在的漏洞问题,带来的经济损失极为严重。2016年6月,以太坊最大众筹项目The DAO被攻击,黑客获得超过350万个以太币,最终导致以太坊分叉为ETH和ETC。同时,真实的区块链网络是自由开放的,理论上若黑客控制节点中绝大多数计算机资源,就能重改共有账本,最终实现51%“双花攻击”。

以上演讲来自ISC2018区块链与安全论坛,雷锋网整理。返回搜狐,查看更多

实际上就连比特币,也曾遭遇过“灭顶之灾”。2010年8月15日,一名黑客曾在比特币高度为74,638的区块上,通过比特币的一个原生bug一夜间创造了1844亿枚比特币。

我们再回到区块链的安全主题上来。区块链到底是不是重新定义安全,我们觉得区块链技术并不是安全的一个万能钥,区块链系统里面仍然会继承现有的互联网安全、软件安全等问题,同时还引用了新的攻击向量。

再次是个人用户遭受到的攻击,比如电脑中病毒、私钥被窃取等,包括矿工的一些病毒事件等等。

第一,如果你是区块链资产的持有者(用户),私钥还是权利,以前你的法币的资产,或者什么东西丢了,去警察局报个案,去银行冻结谁动了你银行的卡好。这个是币圈或者老人说的一句话,如果说你买了币,第一时间把它提出来不要放到交易所,交易所里面的币都是欠条,你并不真正拥有这些币,它只是一个符号。不要重复使用密码,尽量使用自动生成的密码,很多人就是几位数的密码,最好都通过软件自动生成它,开启短信认证,这个是比短信验证码更安全的机制,学会识别各种推广链接,百度的,谷歌的,仔细阅读安全提示的相关内容,大额资产建议大家是离线存储,或者是考虑硬件钱包,当然硬件钱包也不一定安全,可能是比直接在电脑上直接存着被偷的概率低一些,最好是硬件存储。我的一个老朋友,是一个老兵,把私钥存到记事本里面,传到云盘上去,在本地把文件就删了,结果把删除的这一步步骤同步到云盘上去了,这样做也是非常危险的。保管好邮箱帐号是显而易见的。最后建议大家考虑优先使用苹果手机,我也很喜欢用安卓,只不过因为这些年安卓的碎片化是比较严重的,除了刚刚发布的第一年安全更新比较频繁,比较快,稍微老一点的安全更新很多做的是不到位的,不仅仅钱包有风险,短信验证码,包括两步验证的APP都有可能会被窃取里面的信息。

网络安全解决方案提供商趋势科技在一份新研究中表示,网络犯罪分子的注意力正从快速的勒索软件攻击转为较慢的、更隐蔽的窃取计算机计算资源以挖掘加密货币。该研究结果显示,与2017年全年相比,2018年上半年检测到的加密货币挖矿增加了96%,检测到的挖矿病毒与2017年上半年相比增加了956%。

责任编辑:

宝马娱乐在线城 3

可能许多人都已经听说过了,包括像数据公开透明、记录不可篡改,还有经常说的分布式共识,相信代码,相信数学,相信组织,今天很多老师和同学都已经分享过了。

在他看来,比特币诞生之初的目标是数字黄金。“黄金不是为了小额交易和支付,而是价值保存,用数学算法快速达成共识。它的目标是安全,所以一代的比特币,持有量排名靠前的全是安全人员。”

我们重点还是讲讲它不安全的地方。为什么我们要说区块链还不是很安全?

从2011年,赵伟便开始关注比特币,2013年知道创宇开始为加密数字货币领域的交易所、钱包等平台提供数字资产的安全防御。

我们重点讲一讲第三部分,很多人觉得这个技术像比特币,很多年没有出过大的安全问题,所以这个数字货币是非常可信的。其实这个数字不是特别严谨,不是没有出现过,而且出现过不仅一次,各种因素化险为夷了。第一个案例,德国的一个码农,发现比特币的脚本程序里面有一处潜在的破坏力极强的BUG,这个BUG基本内容是,右上角是原始代码的逻辑,case,黑客利用BUG可以调用语句,使得可以用之前钱包里面的比特币。如果我能花你钱包里的钱,这个钱还值钱吗?

2014年,曾发生一起著名的“门头沟”事件,曾经是全球最大的比特币交易平台Mt.Gox因被黑客盗币最终破产,大约75万枚比特币(价值3.75亿美元)付之东流,引发比特币价格大跌。

以下为赵赫(钟隐)在ISC2018区块链与安全论坛上的演讲,雷锋网编辑整理。

就在此前,知道创宇也发布了一份颇为相似的报告。

刚才讲过门头沟被盗其实有一部分被交易延展性比特币的BUG给坑了,根据这个基础协议上的,我没确认吗?黑客这部分的交易被确认了,我就把这个币再重发一遍,就是发币过程有问题。造成的影响还是挺大的,比特币的协议升级已经把这个问题解决掉了。第二个是日蚀攻击,也是很常见的一个手段,在比特币和以太坊的节点里都被找出了BUG,都被人修复了,原理也是通俗易懂的,节点在连上区块链网络的时候需要有很多连接来看,比如说现在的区块高度是多少,现在网上哪些交易已经被确认了,相关的交易有没有被确认,交易的是什么,你连接的节点都是黑客控制的节点,他可以告诉你某一个交易的时间根本就没有,现在的高度是某一个区块高度,其实你根本就不是这个高度,浪费了你的算力,告诉你的时间冲也是不对的等等,这个问题就在于,如果说我们写新的系统的时候,比特币和以太坊都出过这种BUG。

“我们追踪的全球黑客,有30多万的人或组织在攻击区块链,基本90%的黑客在盯着区块链,把区块链当作取款机一样。”北京知道创宇信息技术有限公司创始人兼CEO赵伟对区块链Truth(ID:chaintruth)说。 

第三种是针对云平台或者云服务器的攻击,这也是早前发生过的一个案例。国外有一个云平台,类似阿里云、腾讯云,当时国际上也有很多矿池的云平台服务,当时它的管理权限被人获取了,有好几个比较早的创业企业被偷了2万多个比特币。

《2018上半年区块链安全报告》中,腾讯安全技术专家将区块链加密数字货币引发的安全问题归结为三个主要方面:

原标题:赵赫:区块链现在是黑客的提款机,很容易变现 | ISC2018

当黑客过境,把人们认为最安全的“数字黄金”盗取后,大家发现它并不安全,“没有共识了,就容易砸盘,黑客在这里面是收割了所有人,而且是极端的杀鸡取卵。”

第二个是共识机制里面的攻击,这个叫IOTA缠结缝合攻击,缠结是区块链的一个名词,今年有一个科幻电影《湮灭》,IOTA经历了这样的事情,黑客造出来的各种垃圾交易,并且在这两个链之间不停的用链串联出来。这个造成什么结果呢?IOTA当时的共识算法是不需要交手续费的,交易的确认是需要打包前面两个交易,就造成了普通的用户去确认的时候,大家基本上都在确认大量的垃圾交易,黑客也在确认垃圾交易,这样造成整个网络是无法使用很长一段时间,整个系统等于是不可用了。后面通过共识机制的升级,才解决了这个问题。

一个笔名为Hacker的宝马娱乐在线城,黑客曾经如此回忆:

51%攻击的风险在于其它的币种,而不是比特币,这种攻击是史诗级的,或者是毁灭级的攻击。大部分都是一些所谓的空气币或者是山寨币。BitcoinGold、Zencash、Vnrge,这些币种都比较小,没有特别强的保护措施,很容易被人通过租用云端算力,租用大量算力冲进来到这个小比重里面去挖矿,超过原始整个网络的算力,一下就造成了51%攻击双花。我们预计未来可能会越来越多。也有学者做过研究,ETC采用的共识算法和挖矿的机制和以太币是完全一样的。巴西的学者研究出来,可能5000多万的攻击成本就有可能造成10个亿的收益。

在知道创宇发布的《知道创宇以太坊合约审计CheckList》中,披露了知道创宇404区块链安全研究团队针对全网公开的共39548个合约代码扫描的结果。结果显示,截止2018年8月10日,发现共24791个(占比62%)合约涉及到以太坊智能合约设计缺陷问题(包括“条件竞争问题”、“循环DoS问题”等问题)。

最新的360安全卫士已经增加了预警功能,这个值得点赞,如果发现钱包的地址被换了会提示,黑客会不停的收到币。比较普遍的方式是针对手机邮箱的,是基于社会工程学的一种东西,2016年年底的时候,国内的区块链大V在手机上被黑了,当时不仅自己损失了一大笔钱,而且造成了市场剧烈的振荡。智能合约的攻击事件我就不多说了。

宝马娱乐在线城 4

雷锋网编者按:经常主打安全概念的区块链到底是不是安全的?作为多年研究区块链的专家,如何看待频出的安全事件?这背后的原因有哪些?

宝马娱乐在线城 5

宝马娱乐在线城 6

“黑客盗币,攻击区块链系统,最大的伤害是破坏了区块链的共识,打破了信任。”赵伟说。

区块链确实在有些方面是显著提高安全性的。比如这里提出了两点,容忍部分节点做,但是系统还是不影响的。还有一个没列出来的,能够抗审查,在微博、微信上的东西可能被删,存在这个上面的东西是没法儿被删的。要达成这样的安全性显著提升的目标,有一个前提,在它的设计研发和运营之中还要要对问题充分的重视,做好防范。我们觉得现有的安全技术和区块链技术是相辅相成,良性循环的过程。区块链技术在很多方面补齐了现有安全技术不足的地方,但是现有安全技术又反过来可以促进区块链的技术提升,两个是相互促进良性循环的关系。

黑客,正是盯住了加密数字货币的这一安全问题。

本文由宝马娱乐在线城发布于世界互联,转载请注明出处:半年损失27亿美元,区块链成30万黑客的提款机?

关键词: