區塊鏈行業屢次被攻擊,為何黑客總能得手?問題在這里!區塊鏈

                  鏈知道 2018-10-28 10:42
                  分享到:
                  導讀

                  2013年--2018年上半年,數字貨幣市場,曾發生多起安全事件,好幾起重大事故,都是因為黑客攻擊。為何黑客屢屢能得手呢?

                  2013年--2018年上半年,數字貨幣市場,曾發生多起安全事件,好幾起重大事故,都是因為黑客攻擊。為何黑客屢屢能得手呢?下面,鏈知道來做具體分析:

                  先來說區塊鏈的現有技術架構,大致分為底層硬件、基礎層、中間層、應用層四個層次。這么多的環節,只要出現差錯,區塊鏈的安全就會受到威脅或攻擊。而區塊鏈作為新興行業,在各類攻擊當中,仍屬傳統攻擊最多。

                  從2011年--2018年,共發生了86起安全事故,造成的損失高達35.5 億美元。而這當中,傳統攻擊占66%,智能合約攻擊占22%,剩下的12%都是共識協議攻擊。

                  至于傳統攻擊,最典型的例子就是黑客攻擊和用戶電腦感染木馬。這主要是因為,區塊鏈技術組合了現有的各種設施,雖然加入新的經濟及治理,但是,傳統攻擊仍然存在。特別是中心化交易所,背后Web 系統,所以自然不可避免會遭到傳統攻擊。

                  1.png

                   

                  交易所和智能合約是重點攻擊對象!

                  攻擊交易所的方式,不外乎這四種:服務器被攻擊、主機安全問題、惡意程序感染、DDoS 攻擊。

                  至于智能合約,有人員長期檢測過,以太坊智能合約當中,有近一半的智能合約有安全隱患。

                  很多代幣會被黑客攻擊,主要就是利用了合約漏洞,大都是代碼層面的邏輯漏洞。寫代碼時,若是智能合約開發沒能充分優化,就會消耗過多的Gas,從而使得用戶節點遭受 DDoS 攻擊。

                  當然,關于智能合約攻擊,也并非這些層才有漏洞,或許是因為某些層的研究門檻低造成的。區塊鏈技術,每一層都有獨特的攻擊面,對于每層的攻擊,事后都要作深入分析,發現設計上的缺陷。

                  2.png

                   

                  安全問題該怎么解決?

                  要想降低智能合約的安全隱患,測試、驗證智能合約這一步很重要,必須要納入智能合約設計環節。因為智能合約不像傳統代友,可以修補,它一旦上鏈,就不可更改。若檢測到漏洞,只能部署新的智能合約來修復。

                  智能合約驗證工具如下:完善測試文檔,讓安全測試流程標準化;模糊(Fuzzing)智能合約的輸入;為智能合約開發變異工具;搜索區塊鏈已經部署智能合約的痕跡。

                  檢驗方式,一測試,靠程序自動跑;二審計,靠專家去審核;三形式化驗證,需要借助數字方法。

                  3.png

                   

                  鏈知道提醒:從用戶角度來說,特別是剛入行業的非技術型用戶,并沒有判斷 Dapp 真正目的的能力,建議要保管好自己的密鑰/資產。

                  數字錢包密鑰多由無規律的字母、數字組成,很多用戶為了方便,喜歡將它存在剪貼簿,用的時候直接復制。不過,若是自己電腦感染了木馬,黑客就會追蹤剪貼簿,那你的錢包就要被盜了。建議用戶,最好是參與專業安全審計機構把關的DApp 或游戲,并讓項目方將代碼開源,避免后門或漏洞。

                  安全是區塊鏈的必要,而市場也渴望安全感 。目前,區塊鏈創業公司還不多,畢竟這個行業門檻很高。建議創業者也要從攻擊者角度,來思考問題。

                  攻擊 安全 合約 智能 區塊
                  分享到:

                  1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
                  2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
                  3.作者投稿可能會經TMT觀察網編輯修改或補充。