區塊鏈安全入門筆記(五)_TAC

雖然有著越來越多的人參與到區塊鏈的行業之中，然而由于很多人之前并沒有接觸過區塊鏈，也沒有相關的安全知識，安全意識薄弱，這就很容易讓攻擊者們有空可鉆。面對區塊鏈的眾多安全問題，慢霧特推出區塊鏈安全入門筆記系列，向大家介紹區塊鏈安全相關名詞，讓新手們更快適應區塊鏈危機四伏的安全攻防世界！系列回顧：區塊鏈安全入門筆記(一)|慢霧科普區塊鏈安全入門筆記(二)|慢霧科普區塊鏈安全入門筆記(三)|慢霧科普區塊鏈安全入門筆記(四)|慢霧科普異形攻擊AlienAttack

異形攻擊(AlienAttack)實際上是一個所有公鏈都可能面臨的問題，又稱地址池污染，是指誘使同類鏈的節點互相侵入和污染的一種攻擊手法，漏洞的主要原因是同類鏈系統在通信協議上沒有對不同鏈的節點做識別。這種攻擊在一些參考以太坊通信協議實現的公鏈上得到了復現：以太坊同類鏈，由于使用了兼容的握手協議，無法區分節點是否屬于同個鏈，利用這一點，攻擊者先對以太坊節點地址進行收集并進行惡意握手操作，通過跟節點握手達成污染地址池的目的，使得不同鏈的節點互相握手并把各自地址池里已知的節點推送給了對方，導致更多的節點互相污染，最終擴散致整個網絡。遭受異形攻擊的節點通常會通信性能下降，最終造成節點阻塞、主網異常等現象。相關公鏈需要注意持續保持主網健康狀態監測，以免出現影響主網穩定的攻擊事件出現。具體詳情可參考慢霧安全團隊技術Paper：沖突的公鏈！來自P2P協議的異形攻擊漏洞釣魚攻擊Phishing

聲音 | 唐斯斯：區塊鏈服務網絡BSN將于4月上線:國家信息中心智慧城市發展研究中心副主任唐斯斯日前透露，由國家信息中心牽頭，會同中國移動、中國銀聯等單位聯合發起并建立的區塊鏈服務網絡（BSN）將于2020年4月正式上線商用運營。從2019年10月到2020年3月是網絡的內測期，提供給400個企業者和600個開發者免費內測，杭州是第一個試點城市。（中國電子報）[2020/1/6]

所謂“釣魚攻擊(Phishing)”，指的是攻擊者偽裝成可以信任的人或機構，通過電子郵件、通訊軟件、社交媒體等方式，以獲取收件人的用戶名、密碼、私鑰等私密信息。隨著技術的發展，網絡釣魚攻擊不僅可以托管各種惡意軟件和勒索軟件攻擊，而且更糟糕的是這些攻擊正在呈現不斷上升的趨勢。2018年2月19日，烏克蘭的一個黑客組織，通過購買谷歌搜索引擎中與加密貨幣相關的關鍵詞廣告，偽裝成合法網站的惡意網站鏈接，從知名加密貨幣錢包Blockchain.info中竊取了價值超過5000萬美元的數字加密貨幣。而除了上述這種域名釣魚攻擊(即使用與官網相似的網址)外，其他類型的釣魚攻擊包括郵件釣魚攻擊、Twitter1for10、假App和假工作人員等。2019年6月份，就有攻擊者向多家交易所發送敲詐勒索信息，通過郵件釣魚攻擊獲取了超40萬美元的收益。慢霧安全團隊建議用戶保持警惕，通過即時通訊App、短信或電子郵件獲取到的每條信息都需要謹慎對待，不要在通過點擊鏈接到達的網站上輸入憑據或私鑰，在交易時盡可能的使用硬件錢包和雙因素認證(2FA)，生態中的項目方在攻擊者沒有確切告知漏洞細節之前，不要給攻擊者轉賬，若項目方無法準確判斷和獨自處理，可以聯系安全公司協助處理。木馬攻擊TrojanHorseAttack

行情 | A股數字貨幣板塊上漲2.6% 區塊鏈板塊上漲1.21%:東方財富數據顯示，截止目前，上證指數2910.86，下跌0.05%。A股數字貨幣板塊上漲2.6%，31只股中26漲4跌1平。漲幅前三分別為：四方精創（+10.00%）、智度股份（+8.95%）、奧馬電器（+7.40%）；下跌前三：金固股份（-0.94%）、浙數文化（-0.71%）、國民技術（-0.16%）。

區塊鏈板塊上漲1.21%，197只股中129漲53跌14平1停牌。其中，四方精創、當代東方領漲；順豐控股、商贏環球領跌。[2019/12/9]

木馬攻擊(TrojanHorseAttack)是指攻擊者通過隱藏在正常程序中的一段具有特殊功能的惡意代碼，如具備破壞和刪除文件、發送密碼、記錄鍵盤和DDoS攻擊等特殊功能的后門程序，將控制程序寄生于被控制的計算機系統中，里應外合，對被感染木馬病的計算機實施操作。可用來竊取用戶個人信息，甚至是遠程控制對方的計算機而加殼制作，然后通過各種手段傳播或者騙取目標用戶執行該程序，以達到盜取密碼等各種數據資料等目的。在區塊鏈領域，諸如勒索木馬、惡意挖礦木馬一直是行業內令人頭疼的安全頑疾，據幣世界報道，隨著比特幣的飆升，推動整個數字加密貨幣價格回升，與幣市密切相關的挖礦木馬開始新一輪活躍，僅2019年上半年挖礦木馬日均新增6萬個樣本，通過分析發現某些新的挖礦木馬家族出現了快速、持續更新版本的現象，其功能設計越來越復雜，在隱藏手法、攻擊手法方面不斷創新，與殺軟廠商的技術對抗正在不斷增強。供應鏈攻擊SupplyChainAttack

動態 | 區塊鏈、股權轉讓概念持續火爆 相關上市公司備受市場青睞:據證券市場周刊報道，上半周，兩市熱點題材萎靡，區塊鏈、股權轉讓、殼資源是僅存的幾個亮點。消息面上，11月8日，《上市公司證券發行管理辦法》、《創業板上市公司證券發行管理暫行辦法》等再融資規則發布，股權轉讓概念受關注，區塊鏈則是自10月底以來持續火爆的概念。上市公司中兼具兩個概念的為數不多，如恒久科技(11.600,-0.19,-1.61%)（002808）近日收購信息安全企業閩保股份正式涉鏈就被市場所挖掘；九鼎新材(23.720,0.71,3.09%)（002201）則再度霸占股權轉讓概念上漲榜。[2019/11/13]

供應鏈攻擊(SupplyChainAttack)是一種非常可怕的攻擊方式，防御上很難做到完美規避，由于現在的軟件工程，各種包/模塊的依賴十分頻繁、常見，而開發者們很難做到一一檢查，默認都過于信任市面上流通的包管理器，這就導致了供應鏈攻擊幾乎已經成為必選攻擊之一。把這種攻擊稱成為供應鏈攻擊，是為了形象說明這種攻擊是一種依賴關系，一個鏈條，任意環節被感染都會導致鏈條之后的所有環節出問題。供應鏈攻擊形式多樣，它可能出現在任何環節。2018年11月，Bitpay旗下Copay遭遇供應鏈攻擊事件，攻擊者的攻擊行為隱匿了兩個月之久。攻擊者通過污染EvenStream(NPM包)并在后門中留下針對Copay的相關變量數值，對Copay發起定向攻擊從而竊取用戶的私鑰信息。而就在2019年6月4日，NPMInc安全團隊剛與Komodo聯手成功挫敗了一起典型的供應鏈攻擊，保護了超過1300萬美元的數字加密貨幣資產，攻擊者將惡意程序包放入Agama的構建鏈中，通過這種手段來竊取錢包應用程序中使用的錢包私鑰和其他登錄密碼。供應鏈攻擊防不勝防且不計代價，慢霧安全團隊建議所有數字加密貨幣相關項目(如交易所、錢包、DApp等)都應該強制至少一名核心技術完整審查一遍所有第三方模塊，看看是否存在可疑代碼，也可以通過抓包查看是否存在可疑請求。

陳偉星：區塊鏈需“設計鏈上經濟激勵模型”:剛剛區塊鏈投資人陳偉星在朋友圈表示：區塊鏈的技術只是手段，而且是開源的，甚至談不上多高深。怎么樣上鏈加密資產（encrypt assets) 、怎么樣治理具有公共財富和特定目的的組織（Decentralized organizational governance) 、怎么樣設計鏈上經濟激勵模型（incentive model )，這三樣才是區塊鏈要解決的問題。用技術的手段進行保護產權，治理組織，和建立“投資者、創造者、組織者、勞動者、消費者”這五類人最好的生產關系模型，才能讓所有人更加公平和愿意勞動與創造以創造實際財富。[2018/4/18]

Tags：區塊鏈ATTTAC加密貨幣區塊鏈通俗易懂的例子圖inchattokentac幣合法嗎加密貨幣市場分析圖

AAVE