區塊鏈安全入門筆記（九）_ONE

隨著越來越的人參與到區塊鏈這個行業中來，為行業注入新活力的同時也由于相關知識的薄弱以及安全意識的匱乏，給了攻擊者更多的可乘之機。面對頻頻爆發的安全事件，慢霧特推出區塊鏈安全入門筆記系列，向大家介紹區塊鏈安全相關名詞，讓新手們更快適應區塊鏈危機四伏的安全攻防世界！越權訪問攻擊ExceedAuthorityAccessAttack

和傳統安全的定義一樣，越權指的是訪問或執行超出當前賬戶權限的操作，如本來有些操作只能是合約管理員執行的，但是由于限制做得不嚴謹，導致關鍵操作也能被合約管理員以外的人執行，導致不可預測的風險，這種攻擊在以太坊和EOS上都曾出現過多次。以EOS上著名的BetDice游戲為例，由于在游戲合約內的路由(EOS內可自定義的事件轉發器)中沒有對來源賬號進行嚴格的校驗，導致普通用戶能通過pushaction的方式訪問到合約中的關鍵操作transfer函數，直接繞過轉賬流程進行下注，從而發生了越權攻擊，事后雖然BetDice官方緊急修復了代碼，并嚴格限制了來源賬號，但這個漏洞已經讓攻擊者幾乎無成本薅走BetDice獎池內將近5萬EOS。又如在以太坊使用solidity版本為0.4.x進行合約開發的時候，很多合約開發者在對關鍵函數編寫的時候不僅沒有加上權限校驗，也沒有指定函數可見性，在這種情況下，函數的默認可見性為public，惡意用戶可以通過這些沒有進行限制的關鍵函數對合約進行攻擊。慢霧安全團隊建議智能合約開發者們在進行合約開發的時候要注意對關鍵函數進行權限校驗，防止關鍵函數被非法調用造成合約被攻擊。交易順序依賴攻擊Transaction-OrderingAttack

區塊鏈分布式網絡 (BDN) bloXroute宣布集成Polygon:區塊鏈分布式網絡 (BDN) bloXroute宣布集成Polygon。bloXroute是一種網絡解決方案，通過更快的交易和更高的吞吐量，為區塊鏈項目實現Web 3.0可擴展性。集成后Polygon上的項目可以選擇逐步將節點放在BDN上以加快交易速度，從戰略上幫助Polygon用戶和bloXroute擴展和加強彼此的生態系統。[2021/7/11 0:42:30]

在區塊鏈的世界當中，一筆交易內可能含有多個不同的交易，而這些交易執行的順序會影響最終的交易的執行結果，由于在挖礦機制的區塊鏈中，交易未被打包前都處于一種待打包的pending狀態，如果能事先知道交易里面執行了哪些其他交易，惡意用戶就能通過增加礦工費的形式，發起一筆交易，讓交易中的其中一筆交易先行打包，擾亂交易順序，造成非預期內的執行結果，達成攻擊。以以太坊為例，假如存在一個Token交易平臺，這個平臺上的手續費是通過調控合約中的參數實現的，假如某天平臺項目方通過一筆交易請求調高交易手續費用，這筆交易被打包后的所有買賣Token的交易手續費都要提升，正確的邏輯應該是從這筆交易開始往后所有的Token買賣交易的手續費都要提升，但是由于交易從發出到被打包存在一定的延時，請求修改交易手續費的交易不是立即生效的，那么這時惡意用戶就可以以更高的手續費讓自己的交易先行打包，避免支付更高的手續費。慢霧安全團隊建議智能合約開發者在進行合約開發的時候要注意交易順序對交易結果產生的影響，避免合約因交易順序的不同遭受攻擊。女巫攻擊SybilAttack

區塊鏈將推動產業變革，專家建議建立技術標準和行業規則:據中央廣播電視總臺經濟之聲《天下財經》報道，中國信息通信研究院、人民政協報文化傳媒有限公司最近聯合主辦“云”座談，探討產業區塊鏈的機遇與挑戰。專家認為，區塊鏈技術將推動我國產業變革，但當前還要著重解決標準問題，建立技術標準和行業規則。（央廣網）[2020/5/14]

傳聞中女巫是一個會魔法的人，一個人可以幻化出多個自己，令受害人以為有多人，但其實只有一個人。在區塊鏈世界中，女巫攻擊(SybilAttack)是針對服務器節點的攻擊。攻擊發生時候，通過某種方式，某個惡意節點可以偽裝成多個節點，對被攻擊節點發出鏈接請求，達到節點的最大鏈接請求，導致節點沒辦法接受其他節點的請求，造成節點拒絕服務攻擊。以EOS為例，慢霧安全團隊曾披露過的EOSP2P節點拒絕服務攻擊實際上就是女巫攻擊的一種，攻擊者可以非常小的攻擊成本來達到癱瘓主節點的目的。詳情可參考:https://github.com/慢霧安全團隊建議在搭建全節點的情況下，服務器需要在系統層面上對網絡連接情況進行監控，一旦發現某個IP連接異常就調用腳本配置iptables規則屏蔽異常的IP，同時鏈開發者在進行公鏈開發時應該在P2P模塊中對單IP節點連接數量添加控制。假錯誤通知攻擊FakeOnerrorNotificationAttack

聲音 | 京東數科研究員：區塊鏈技術成為監管科技的重要組成部分:財經雜志微信公共號今日發文《監管科技的八大發展趨勢》，作者為京東數字科技研究院法律與政策研究中心研究員何海鋒。文章表示，監管科技是在金融與科技更加緊密結合的背景下，以數據為核心驅動，以云計算、人工智能、區塊鏈等新技術為依托，以更高效的合規和更有效的監管為價值導向的解決方案。此外趨勢三為，區塊鏈技術成為監管科技的重要組成部分：區塊鏈技術在金融監管領域（例如智能合約、智能監管報告等）得到進一步開發與運用，在移動支付、證券、保險、票據、數據確權等方面都取得了較為顯著的應用效果。把區塊鏈作為現有監管的輔助工具，作為建立信任機制的基礎，而并非推翻現有中心化監管網絡，建立以區塊鏈為底層的分布式網絡趨勢漸顯。注：該文為2018年度國家社會科學基金一般項目“基于大數據的金融監管法律制度研究”（18BFX137）的階段性成果。[2019/4/7]

EOS上存在各種各樣的通知，只要在action中添加require_recipient命令，就能對指定的帳號通知該action，在EOS上某些智能合約中，為了用戶體驗或其他原因，一般會對onerror通知進行某些處理。如果這個時候沒有對onerror通知的來源合約是否是eosio進行檢驗的話，就能使用和假轉賬通知同樣的手法對合約進行攻擊，觸發合約中對onerror的處理，從而導致被攻擊合約資產遭受損失。慢霧安全團隊建議智能合約開發者在進行智能合約開發的時候需要對onerror的來源合約進行校驗，確保合約帳號為eosio帳號，防止假錯誤通知攻擊。

行情 | A股開盤：區塊鏈概念板塊低開0.06%:據公開數據顯示，A股開盤，區塊鏈板塊低開0.06%，72只概念股中，44只高開，4只平開， 20只下跌，4只停牌。漲幅前三為：巨人網絡（+4.78%），衛士通（+1.14%），用友網絡（+1.10%）；跌幅前三為：凱恩股份（-3.78%），北大荒（-1.83%），東旭藍天（-1.75%）[2018/7/12]

Tags：區塊鏈EOSACKONE如何做區塊鏈EOS RoyaleDaddy DogebackONES

中幣