比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > XLM > Info

幣虎全球交易所:如何應對針對區塊鏈的攻擊_以太坊

Author:

Time:1900/1/1 0:00:00

一、針對區塊數據的攻擊

針對區塊數據的安全風險,大致總結了以下攻擊方式:

1.惡意信息攻擊

在區塊鏈中寫入惡意信息,例如病特征碼、敏感話題等。借助區塊鏈數據不可刪除的特性,信息被寫入區塊鏈后很難刪除。若區塊鏈中出現惡意信息,將會遭到殺軟件、敏感等多方面的問題。

2.資源濫用攻擊

隨著時間的推移,區塊數據可能會爆炸式增長,也可能會呈線性增長,這主要取決于此區塊鏈應用的設計,依賴現有的計算機存儲技術,區塊數據若發生爆炸式增長,可能導致節點無法容納又或者使區塊鏈運轉緩慢,從而使穩定運行的節點越來越少,節點越少,則越趨于中心化,引發區塊鏈危機。

3.攻擊場景距離

若鏈中沒有設計相應的操作限制,攻擊者可以通過發送大量的垃圾信息來堵塞整個區塊鏈,使區塊鏈中真正的信息遲遲得不到處理,又或者使區塊鏈中的存儲節點超負荷運行。

二、針對加密簽名機制的攻擊

加密技術作為一個區塊鏈整體的支柱,其安全性顯得尤為重要,例如前些年所流行的MD5和SHA1哈希算法,目前已經證明安全性不足,現在已經不能被商用。目前大量使用的是SHA256算法,到目前為止,此算法還是安全的,雖然有人依然持有質疑,但是并沒有任何直接的公開證據表明此算法存在漏洞。但是還是建議后期的區塊鏈建設使用更新的SHA3算法。

針對加密簽名機制大致有如下攻擊方式:

1.窮舉攻擊

此類攻擊方式主要作用于散列函數中,且幾乎所有散列函數或多或少都受此攻擊方式影響,而且其影響程度與函數本身無關,而是與生成的HASH長度有關,主要是一個概率論的問題,其中最典型的的方式是基于生日悖論的“生日攻擊”。

以太坊L2網絡TVL跌至96.5億美元,7日跌幅3.27%:金色財經報道,據L2BEAT數據顯示,當前以太坊Layer2總鎖倉量(TVL)跌至96.5億美元,7日跌幅3.27%,其中,鎖倉量前五分別為:Arbitrum One(53.5億美元,7日跌幅4.91%);OP Mainnet(25.2億美元,7日跌幅3.03%);zkSync Era(4.01億美元,7日跌幅8.03%);dYdX(3.34億美元,7日跌幅1.08%);Base(2.46億美元,7日漲幅5.98%)。[2023/8/28 13:00:44]

生日悖論:如果一個房間里有23個或23個以上的人,那么至少有兩個人的生日相同的概率要大于50%。這就意味著在一個典型的標準小學班級中,存在兩人生日相同的可能性更高。對于60或者更多的人,這種概率要大于99%。

2.碰撞攻擊

此種攻擊方式主要作用于散列函數中,比較典型的案例是“MD5摘要算法”和“SHA1摘要算法”。它的攻擊原理是通過尋找算法的弱點,瓦解它的強抗碰撞性這一特性,使得散列函數原本要在相當長一段時間才能尋找到兩個值不同HASH相同的值的特性被弱化,攻擊者能在較短的時間能尋找到值不同但HASH相同的兩個值。

3.長度擴展攻擊

此種攻擊方式主要作用于散列函數中,準確的說是基于Merkle-Damgard構造的摘要算法。其原理是通過算法弱點,在已知密文HASH和密文長度的情況下,推導出密文與另一消息拼接后計算出來的HASH。

4.后門攻擊

此種攻擊方式作用于所有開源加密算法庫中,ECC算法是區塊鏈中身份驗證的基石,ECC算法本身是沒問題的,但是在實際情況中,人們可能更多的是選擇別人已經寫好的“輪子”直接拿來用,而不是自己再去實現一套加密函數。這就帶來了一個問題,在別人已經寫好的“輪子”中,可能被安插后門。

幣安C2C新增支持FDUSD:金色財經報道,據官方公告,幣安C2C平臺現已支持FDUSD。用戶可以通過幣安C2C平臺的任意對應法幣交易對,購買和出售FDUSD。[2023/8/15 21:24:19]

5.量子攻擊

此種攻擊方式作用于大部分密碼學算法。目前所有的加密算法以及摘要算法,其安全強度取決于它被窮舉的時間復雜度,這使得依賴現有的計算機的計算能力,針對比較強的加密算法要對它進行暴力破解是非常難的,但是量子計算機擁有傳統計算機無可比擬的算力,使得時間復雜度大大降低,于是,其安全強度便可能被瓦解。

三、針對分布式網絡的攻擊

去中心化的公鏈網絡節點可能是普通家庭PC,可能是云服務器等等,其安全性必然是參差不齊的,其中必有安全性較差的節點,對其進行攻擊將直接威脅節點的安全。針對分布式網絡的安全風險,大致總結了以下攻擊方式:

1.日食攻擊

是其他節點實施的網絡層面攻擊,其攻擊手段是囤積和霸占受害者的點對點連接間隙,將該節點保留在一個隔離的網絡中。這種類型的攻擊旨在阻止最新的區塊鏈信息進入到日食節點,從而隔離節點。

2.竊聽攻擊

攻擊者可以使用這種攻擊來讓區塊鏈中的用戶標識與IP關聯起來,在某些情況下甚至可以追溯到用戶的家庭地址。以比特幣為例,當你在比特幣網絡上執行交易時,你的比特幣客戶端通常通過連接到一組八臺服務器來加入網絡,這個初始連接集合就是你的入口節點,每個用戶都會獲得一組唯一的入口節點。當你的錢包發送比特幣完成購買時,入口節點將交易轉交給比特幣網絡的其余部分,研究人員發現,識別一組一口節點意味著識別一個特定的比特幣客戶端,以此來推導出某個用戶。那么,攻擊者要做的是與比特幣服務器建立多個連接,連接后,攻擊者必須聽取客戶端與服務端的初始連接,這會泄露客戶端的IP地址。隨著交易流經網絡,它們將會與客戶端的入口節點相關聯,如果匹配,那么攻擊者就知道這是來自一個特定客戶端的交易。

馬斯克:推特正趨于收支平衡,過去三個月非常艱難:金色財經報道,馬斯克周日表示,在他不得不將推特從“破產”中拯救出來后,這家社交媒體公司正“趨于收支平衡”。Elon Musk去年10月以440億美元的價格收購了推特,在過去三個月里,除了繼續在特斯拉和SpaceX的日常工作外,他還經營著推特,這是“極其艱難的”,

Elon Musk表示:“我不希望任何人遭受這種痛苦。推特仍然面臨挑戰,但如果我們堅持下去,它現在有實現收支平衡的趨勢。非常感謝公眾的支持。”[2023/2/6 11:49:16]

3.BGP劫持攻擊

邊界網關協議是因特網的關鍵組成部分,用于確定路由路徑。BGP劫持,即利用BGP操縱因特網路由路徑,最近幾年中已經變得越來越頻繁。無論是網絡犯罪分子還是政府,都可以利用這種技術來達到自己的目的,如誤導和攔截流量等,目前在區塊鏈網絡中節點的流量一但被接管又能對整個網絡造成巨大的影響,如破壞共識機制,交易等各種信息。

4.分割攻擊

攻擊者可以利用BGP劫持來講區塊鏈網絡劃分成兩個或多個不相交的網絡,此時的區塊鏈會分叉為兩條或多條并行鏈。攻擊停止后,區塊鏈會重新統一為一條鏈,以最長的鏈為主鏈,其他的鏈將被廢棄,其上的交易、獎勵等全部無效。

5.延遲攻擊

攻擊者可以利用BGP劫持來延遲目標的區塊更新,而且不被發現。因為它是基于中間人修改目標請求區塊的數據來做到的:在目標請求獲取最新區塊的時候,將它的這一請求修改為獲取舊區塊的請求,使得目標獲得較舊的塊。

6.節點客戶端漏洞

攻擊者在內網或者外網利用各種手段譬如漏洞掃描,0DAY漏洞利用等技術,對節點客戶端進行攻擊,此類攻擊主要針對客戶端自身軟件可能存在安全漏洞進行利用,獲取節點的控制權限。

巴西新法案要求使用區塊鏈技術規范黃金開采和交易流程:8月13日消息,巴西聯邦眾議員Joenia Wapichana提出的一項新法案要求該國開采的所有黃金都在區塊鏈上進行代幣化,以此增加該行業的透明度,并打擊非正規開采行為。據悉,巴西大約一半的黃金開采來自非法作業。

該計劃旨在為巴西的黃金購買、銷售和交易建立新的法規,然后在區塊鏈上注冊。為了改進檢查措施并提高該行業的透明度,還規定國家礦業局實施一個單一的數字系統,使用區塊鏈技術進行安全記錄,以整合所有礦產運營數據和流程,包括交易和銷售的額外電子記錄和文檔,甚至允許您創建警報以供檢查。相關文件沒有提供其實施的技術細節,也沒有提及使用哪個區塊鏈網絡。(Cryptoglobe)[2022/8/13 12:22:54]

7.拒絕服務攻擊

通過大流量,或者漏洞的方式攻擊P2P網絡中的節點,使網絡中部分節點網絡癱瘓,節點癱瘓意味著鏈中總算力受損,使得其更容易遭受51%攻擊,而目前進行拒絕服務攻擊成本也較低,大量的攻擊工具平臺能輕易在黑市購買用于攻擊。

8.雙重支出攻擊

雙重支出攻擊又稱雙花問題,指的是一個代幣花費在多筆交易中的攻擊,它的實現方法主要有以下幾種:

種族攻擊。在面對0確認的交易便立刻進行付款的商家可能會遭遇此攻擊。欺詐者直接向商家發送支付給商家的交易,并發送沖突的交易,將代幣投入自己到網絡的其余部分。第二個沖突的交易很可能會被開采出來,并被區塊鏈節點認為是真的,于是付款交易作廢。

芬尼攻擊。當接受0確認的付款時可能會遭遇此攻擊。假設攻擊者偶爾產生數據塊。在他生成的每個區塊中,他包括從他控制的地址A到地址B的轉移。為了欺騙你,當他生成一個塊時,他不會廣播它。相反,他打開您的商店網頁,并使用地址A向您的地址C付款。您可能會花費幾秒鐘的時間尋找雙重花費,然后轉讓商品。接著他廣播他之前的區塊,他的交易將優先于你的交易,于是付款交易作廢。

泰國SEC:正在調查Zipmex暫停提款后給公眾帶來的損失:金色財經消息,泰國證券交易委員會今日表示,在加密貨幣交易所Zipmex上周暫停提款后,它正在與執法部門合作調查公眾的潛在損失。此前,泰SEC在一份聲明中表示,它正在要求Zipmex的受影響用戶通過在線論壇提交信息,說明他們如何受到平臺的影響。(路透社)[2022/7/25 2:35:56]

Vector76攻擊。也被稱為單一確認攻擊,是種族攻擊和芬尼攻擊的組合,因此即使有一次確認的交易仍然可以逆轉。對于種族攻擊,相同的保護措施顯然降低了發生這種情況的風險。值得注意的是,成功的攻擊會使攻擊者花費一個塊,他們需要通過不傳播它來“犧牲”一個塊,而是僅將其轉讓給被攻擊的節點。

替代歷史攻擊。即使商家等待一些確認,這種攻擊也有機會成功,但風險較高。攻擊者向商家提交支付的交易,同時私下挖掘其中包含欺詐性雙重支出交易的分支。等待n次確認后,商家發送產品。如果攻擊者此時碰巧找到n個以上的區塊,他就會釋放他的分支并重新獲得他的硬幣。

51%攻擊。篇詳細介紹過51%攻擊問題,不再贅述。如果攻擊者控制全網算力的一半以上,則前面提到的替代歷史攻擊有100%的概率成功。由于攻擊者可以比網絡的其他部分更快地生成塊,所以他可以堅持自己的私有分支,直到它比誠實節點網絡建立的分支更長,它將代替主鏈。

交易延展性攻擊。延展性攻擊者偵聽P2P網絡中的交易,利用交易簽名算法的特征修改原交易中的input簽名,生成擁有一樣input和output的新交易,然后廣播到網絡中形成雙花,這樣原來的交易就可能有一定的概率不能被確認,在虛擬貨幣交易的情況下,它可以被用來進行二次存款或雙重提現。

驗證繞過。驗證機制的代碼是區塊鏈應用的核心之一,一旦出現問題將直接導致區塊鏈的數據混亂,而且核心代碼的修改與升級都涉及到區塊鏈分叉的問題,所以驗證機制的嚴謹性就顯得尤為重要。必須要結合驗證機制代碼的語言特性來進行大量的白盒審計或是模糊測試,來保證驗證機制的不可繞過。例如2010年8月15日,有人在比特幣區塊鏈的第74638塊上發現了一條讓人驚愕的交易,這筆交易里竟然出現了184,467,440,737.09551616個比特幣,其中各有922億個比特幣被發送到兩個比特幣地址。這次攻擊的根本原因則是比特幣的驗證機制中存在大整數溢出漏洞,由于大整數溢出為負數,網絡各個節點對黑客的交易均驗證通過,導致了比特幣區塊鏈中憑空出現了大量比特幣。

四、針對共識機制的攻擊

1.短距離攻擊

此類攻擊比較典型的是“賄賂攻擊”,此攻擊主要影響PoS共識機制,賄賂攻擊流程如下:

1)攻擊者購買某個商品或服務。

2)商戶開始等待網絡確認這筆交易。

3)此時,攻擊者開始在網絡中首次宣稱,對目前相對最長的不包含這次交易的主鏈進行獎勵。

4)當主鏈足夠長時,攻擊者開始放出更大的獎勵,獎勵那些在包含此次交易的鏈條中挖礦的礦工。

5)六次確認達成后,放棄獎勵。

6)貨物到手,同時放棄攻擊者選中的鏈條。

因此,只要此次賄賂攻擊的成本小于貨物或者服務費用,此次攻擊就是成功的。相比之下,PoW機制中賄賂攻擊就需要賄賂大多數礦工,因此成本極高,難以實現。

2.長距離攻擊

此類攻擊比較典型的是“51%”攻擊。雖然某一個節點控制了51%及以上算力,就有能力篡改賬本,但達到51%算力是件極其困難的事情。而在PoS中缺乏對算力的約束,那么就存在潛在可能篡改賬本。

3.幣齡累計攻擊

在最早的Peercoin版本中,挖礦難度不僅與當前賬戶余額有關,也與每個幣的持幣時間掛鉤。這就導致,部分節點在等待足夠長時間后,就有能力利用Age的增加來控制整個網絡,產生非常顯著的影響。

4.預計算攻擊

當PoS中的某一節點占有了一定量的算力后,PoS中占有特定算力的節點,就有能力通過控制Hprev來使自己所在算力范圍有能力去計算Hnext。

5.女巫攻擊

又稱Sybil攻擊,在Sybil攻擊中,攻擊者通過創建大量的假名標識來破壞對等網絡的信譽系統,使用它們獲得不成比例的大的影響。對等網絡上的實體是能夠訪問本地資源的一塊軟件。實體通過呈現身份在網絡上通告自身。多于一個標識可以對應于單個實體。換句話說,身份到實體的映射是多對一的。對等網絡中的實體為了冗余,資源共享,可靠性和完整性而使用多個標識。在對等網絡中,身份用作抽象,使得遠程實體可以知道身份而不必知道身份與本地實體的對應關系。默認情況下,通常假定每個不同的標識對應于不同的本地實體。實際上,許多身份可以對應于相同的本地實體。對手可以向對等網絡呈現多個身份,以便出現并充當多個不同的節點。因此,對手可能能夠獲得對網絡的不成比例的控制水平,例如通過影響投票結果。

五、針對應用層的攻擊

應用層安全主要囊括涉及數字貨幣交易,管理著大量資金的交易所等中心化節點的安全問題。這些節點處在整個區塊鏈網絡的單點失敗處,攻擊收益高而成本低,是攻擊者們的首選目標。

1.交易所服務器未授權訪問

交易所往往存放著大量資金,極易成為被攻擊目標。一旦獲得交易所服務器權限或訪問,修改關鍵信息,攻擊者便可盜取資金密鑰、篡改交易金額或者泄漏敏感信息等,給交易所造成經濟和名譽上的毀滅性打擊。

2.交易所DDoS攻擊

據Incapsula2017年Q3季度DDoS威脅報告分析稱,盡管其行業規模依然相對較小,比特幣已經成為十大最容易被DDoS攻擊的行業之一。這一定程度反映了整個區塊鏈行業面臨著嚴峻的DDoS攻擊安全挑戰。

六、針對合約層的攻擊

在使用類似Ethereum,EOS,Zilliqa等DApp開發平臺進行智能合約及DApp應用項目開發時,需要尤其注意合約的安全性。由于區塊鏈不可篡改的特點,使得智能合約一旦發布極難修改,合約的安全與否往往決定了一個項目的生死。合約開發者應該充分重視并在部署合約前做好智能合約的安全審計工作。

針對合約層的攻擊主要是重入攻擊,即Reentrancy攻擊,本質是劫持合約控制流,破壞事務原子性,可以理解為一種邏輯上的條件競爭問題。

TheDAO是一個眾籌合約,在2016年6月18日被攻擊前募集了$150M。攻擊者利用合約中的漏洞發動了Reentrancy攻擊,獲得了$60M。為了追回這部分資金,以太坊社區決定進行硬分叉,在新分支中回滾自攻擊開始后的所有交易記錄并修復合約漏洞,但因為此舉違背了‘Codeislaw’精神,部分成員拒絕新分支,導致最終形成了兩個分支。舊分支稱為以太坊經典,新分支為現行以太坊。攻擊者最終離開以太坊經典,帶走了數千萬美元。

總結與展望

總體而言,區塊鏈的發展引起了產業界與學術界的廣泛關注,盡管其不斷得到研究與應用,但是目前區塊鏈技術在系統安全何應用安全等方面都存在著很多亟待解決的問題。這些問題也是區塊鏈技術應用于更多核心領域時需要重視且解決的關鍵問題,值得進一步探索與深入研究。

Tags:區塊鏈比特幣以太坊HASH為什么現在不提區塊鏈了比特幣美元走勢以太坊銀行幣值錢嗎BTC Hashrate Token

XLM
大餅拒絕深調,各IEO繼續吸血_區塊鏈

今天封面是《商量打獵的日子》,阿道夫.亞歷山大。近來一直在關注行業的落地環節,區塊鏈納入到行政的一些領域,已經開始和大家的生活息息相關,雖然我們還感覺不到,只是目前處在試運行階段,還沒到大規模推.

1900/1/1 0:00:00
KuCoin上線Crypto.com Chain (CRO)!_Kucoin

親愛的KuCoin用戶:KuCoin現在已上線Crypto.comChain(CRO)并支持交易對:CRO/BTC.

1900/1/1 0:00:00
Solidity Optimizer and ABIEncoderV2 Bug_Solana

通過以太坊漏洞賞金計劃,我們收到了關于新的實驗性ABI編碼器(名為ABIEncoderV2)中的一個缺陷報告。經研究,我們發現該組件存在一些相同類型的不同變化.

1900/1/1 0:00:00
大佬手札:POW、POS、Staking詳解_POS

共享財經 媒體|營銷|咨詢 摘要:什么是POS?在POS共識機制下,小白用戶如何staking代幣獲得獎勵?POS幣種如何躺著賺錢.

1900/1/1 0:00:00
比特幣無法被禁的五大理由(上篇)_MIC

點擊上方“藍色字”可關注我們!暴走時評:縱觀全球,大多數國家都在掙扎著要監管比特幣。像保加利亞、埃及、沙特阿拉伯等甚至想要徹底禁止它。可問題是,無論怎么監管,比特幣其實都是禁不了的.

1900/1/1 0:00:00
區塊鏈加速進入國內司法領域 美國最大券商將開比特幣交易_加密貨幣

一周行情回顧 本周加密貨幣受消息影響走勢振蕩。最高值出現在周二,總市值1852.17億美元,成交量512.94億美元;最低值出現在周五,總市值1674.99億美元,成交量499.17億美元.

1900/1/1 0:00:00
ads