比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

采用區塊鏈之前需要了解八大區塊鏈安全風險_加密貨幣

Author:

Time:1900/1/1 0:00:00

為什么企業區塊鏈現在這么火?毛球科技歸結為兩個主要原因:現有的多方數據共享和處理的門檻太高,每個人都想強迫其他人使用自己的系統和數據格式。

而企業區塊鏈可以以兩種方式解決這些問題。首先,區塊鏈和智能合約可以讓每個人就數據格式和處理規則達成一致,更重要的是,這些規則是由系統強制執行的。沒有可用的手動覆蓋,除非每個人都統一進行更改。

其次,因為區塊鏈和智能合約是新興技術,對于每個人來說基本上都是一個綠地部署。很有可能現在沒有一個人擁有現成的解決方案,所以有一些人會試圖把區塊鏈和智能合約強加給其他人。

不過新技術也會帶來新的風險,這些風險通常是人們不太了解的風險。目前,企業區塊鏈和智能合約部署在毛球科技看來存在三大新風險:舊軟件、軟件缺陷和操作缺陷。

回顧過去50年,好像這些都是一直在處理的計算機風險。在元級別上,當你深入到細節時,像任何其他技術一樣,區塊鏈和智能合約已經找到了新的和創造性的方法來創造安全風險。

以太坊自合并以來流通量已減少超16.6萬枚:金色財經報道,據ultrasound.money數據顯示,以太坊自合并以來流通量已減少超16.6萬枚,當前的7日年化通縮率跌破1%,達1.05%。[2023/5/6 14:46:35]

下面一起來看看毛球科技整理的8個區塊鏈安全風險:

1.老軟件

雖然企業區塊鏈軟件很少是“老的”,但對于軟件來說,任何超過一兩年的軟件在變化速度和改進方面基本上都是石器時代的工具。

R3的開源Corda區塊鏈平臺就是一個很好的例子。從2016年5月的初始版本到2021年5月,Corda有182個版本,大約每10天一個。其中許多也不是小版本;主要的新功能和重構或刪除代碼是司空見慣的。在大多數企業項目中,有一種真正的趨勢是選擇一個軟件版本,然后永遠不升級,因為升級有可能會破壞一些東西。

肯尼亞將開始對加密貨幣交易所的收入征稅:金色財經報道,肯尼亞財政部表示,將開始對估計有 400 萬當地居民使用的加密貨幣交易所賺取的收入征稅。據《非洲商業日報》報道,肯尼亞當局將依賴于 2021 年 1 月 1 日生效的 1.5% 數字稅服務。

數字稅最初于 2020 年提出,是肯尼亞政府試圖從領先的加密貨幣交易所和避稅數字資產平臺中獲取收入的嘗試。2021 年 1 月初肯尼亞稅務局 (KRA) 表示,預計將從這項稅收中獲得 4550 萬美元(50 億肯尼亞先令)。

同時,正如財政部內閣秘書 Njuguna Ndung'u 公布的 2023 年法規增值稅(電子、互聯網和數字市場供應)所示,肯尼亞現在可以瞄準全球加密貨幣交易所。[2023/4/30 14:35:21]

這里的教訓是:確保軟件是最新版本并且還可以持續保持更新,但如果不能,為什么不呢?

馬斯克宣布推特上的創作者現在可以將他們的內容貨幣化:金色財經報道,特斯拉首席執行官馬斯克宣布,推特上的創作者現在可以將他們的內容貨幣化。最新的以用戶為中心的改革——允許用戶在全球范圍內通過推特上的所有形式的帖子獲利——旨在提高粉絲的參與度,并在社交媒體平臺上創造新的收入來源。[2023/4/29 14:34:24]

2.缺乏安全漏洞覆蓋

企業區塊鏈軟件在安全漏洞數據庫中幾乎沒有覆蓋。這意味著大多數用戶,除非他們明確跟蹤供應商的發布說明,否則不會意識到安全更新。

這種缺乏覆蓋面,特別是公共漏洞和暴露數據庫和美國國家漏洞數據庫是一個巨大的問題,因為如果漏洞沒有得到官方認可,那么對于許多大型組織來說,它們就不存在。

不確定為什么區塊鏈的CVE和NVD覆蓋率如此之差,但一個可能的罪魁禍首是缺乏特定區塊鏈漏洞的官方文檔。

消息人士:預計Gemini馬上將強迫Genesis進入破產程序:金色財經報道,據消息人士Andrew發推特透露,預計加密交易所Gemini馬上將強迫Genesis進入破產程序,而Genesis破產將觸發DCG資產的清算(基于可贖回貸款),DCG或將破產,灰度信托資產將面臨重大風險。[2023/1/3 22:22:01]

3.缺乏安全漏洞知識

傳統軟件有很好理解的漏洞類型,其中許多在網上的《常見弱點列舉》字典中都有記載,例如,緩沖區溢出和整數溢出的區別是黑客利用的流行弱點。CWE是一個重要的資源。許多代碼掃描工具將它作為它們試圖檢測的漏洞類型的基礎。

然而,截至2021年5月,CWE并沒有含有區塊鏈或智能合約的漏洞類型記載。好消息是有兩項工作可以記錄這些問題,一是SWC注冊中心,二是云安全聯盟的區塊鏈DLT攻擊和弱點列舉數據庫,有200多個條目,涵蓋各種智能合約語言、區塊鏈技術和一般概念。

4.缺乏代碼掃描和安全測試

目前的區塊鏈和智能合約代碼掃描工具還不是很成熟,原因很簡單,因為這個領域太新了。雪上加霜的是,許多智能合約的部署沒有經過安全審計。但是這種情況正在開始改變,已經有許多安全事件讓人們認識到在部署之前審計代碼和生成新的秘鑰的重要性。

例如,PaidNetwork是一家為金融交易提供區塊鏈去中心化應用的供應商,當它部署了一個它付錢給開發人員創建的智能合約時,它被破壞了,但它從未刪除開發人員的秘密密鑰。當開發者的密鑰后來在Git提交中被公開曝光時,一次攻擊耗盡了付費網絡合同。

該合同已經通過了安全審計。審計員不能審計生產秘鑰,因為這會暴露它,所以他們會認為PaidNetwork會用一個安全生成的密鑰來替換,但它沒有這樣做。

5.操作風險

假設有一個安全的區塊鏈和形式良好的智能合約,不存在任何安全缺陷。仍然要在某些東西上運行區塊鏈和智能合約代碼,最好是連接良好和可靠的。如果選擇云或第三方托管,將需要確保它們也是安全的。

6.加密密鑰和HSM

每個區塊鏈服務和客戶端的核心都是加密密鑰。即使使用專用系統,將重要的加密密鑰保存在計算機上也不再足夠。

而是使用硬件安全模塊(HSM)。HSM基本上提供了普通計算機無法提供的兩件事。首先,可以設置密鑰,使其無法從HSM導出或復制。其次,可以通過HSM更可靠地記錄密鑰的使用情況。

這很關鍵,因為如果網絡遭到入侵,將能夠確定攻擊者使用密鑰的目的,而不是推測他們可能做了壞事。

7.網絡釣魚、SIM卡交換和其他惡作劇

企業區塊鏈一般不會使用網絡釣魚或SIM卡交換等技術進行攻擊,這些技術通常是為攻擊加密貨幣的客戶保留的。

然而,勒索軟件和相關攻擊正越來越多地轉向網絡釣魚和魚叉式網絡釣魚,原因很簡單:它很有效。對這些類型的攻擊的一般答案是使用強大的多因素認證,最好是基于硬件令牌,以防止用戶向壞人提供信息,即使他們被愚弄。

8.51%攻擊

最后,在大多數企業區塊鏈部署中,使用的共識機制不是工作量證明(PoW)。更常見的是,使用權益證明或更傳統的投票機制,例如多數票。

51%的攻擊,即一個實體占據了大部分的區塊鏈哈希率或計算資源,試圖破壞網絡,對基于PoW的系統最有用。即使有一個簡單的共識機制,如多數票,攻擊者也需要劫持51%的組織——這比簡單地調集計算資源要難得多,因為計算資源往往可以租借。

結論

有一個好消息和壞消息。壞消息是區塊鏈和智能合約軟件比幾乎任何其他東西都要復雜和難以保障。好消息是他們試圖解決的問題確實很難。

想建立信息處理系統,知道攻擊者正在惡意攻擊,但不允許他們破壞系統。解決這個問題將開辟各種新的市場和機會。

來源:金色財經

Tags:區塊鏈加密貨幣GENESGENE區塊鏈專業是什么意思加密貨幣市場Alpha GenesisIncooom Genesis Psychedelic

幣安下載
全國首筆數字人民幣繳納執行案款落地雄安法院_USHI

中國雄安官網12月14日電12月9日,全國首筆數字人民幣繳納執行案款在雄安新區雄縣人民法院成功落地.

1900/1/1 0:00:00
歡樂圣誕 ALPEX 100萬USDT大贈送活動第二期_PEX

?為回饋新老用戶的大力支持,ALPEX將開啟“百萬真U大狂送”專屬活動第二期,充值送USDT,可提現!全民狂歡.

1900/1/1 0:00:00
?DAOrayaki |Vitalik 等人《自由激進主義》3.5w 字全文詳解(下)_LEA

本篇文章,是VitalikButerin最初提出基金自由主義的MatchingFund通用模型的原文,但因全文較長、文字艱澀、公式較多使得理解門檻較高,導致目前尚未被翻譯和解讀.

1900/1/1 0:00:00
FreeRossDAO 能復制 PEOPLE 的成功么?_ROSS

本文作者:ChelseaJiangDAO的情緒依然還沒下來,ConstitutionDAO讓人們看到了meme+DAO的魅力,在新公鏈與DeFi等板塊暫時冷靜的市場里,人們把資金瞄準了DAO.

1900/1/1 0:00:00
數字人民幣千億市場空間可期 IDA助推數字經濟創新發展_SHARD

數字人民幣是由中國人民銀行發行的數字形式的法定貨幣,由指定運營機構參與運營并向公眾兌換。在依法合規、安全便捷、開放包容的原則上,數字人民幣的設計兼顧實物人民幣和電子支付工具的優勢,既具有實物人民.

1900/1/1 0:00:00
大陸用戶如何贖回質押在HECO節點的HT及領取收益?_HEC

近期,HECO已宣布清退大陸用戶,那么如果你參與了HECO節點質押鎖倉,如果將收益領取及贖回HT呢,在HECO鏈上如何完成交易,小編整理了相關教程。注意,大陸用戶需打開VPN科學上網.

1900/1/1 0:00:00
ads