《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 區(qū)塊鏈真的安全嗎?8大應(yīng)用安全風(fēng)險(xiǎn)需關(guān)注!

區(qū)塊鏈真的安全嗎,?8大應(yīng)用安全風(fēng)險(xiǎn)需關(guān)注!

2022-11-04
來(lái)源:安全牛

  近年來(lái),,區(qū)塊鏈技術(shù)越來(lái)越受歡迎。除了在加密貨幣領(lǐng)域的應(yīng)用外,,區(qū)塊鏈技術(shù)已正被用于食品安全、醫(yī)療保健,、智能合約等諸多領(lǐng)域,。本質(zhì)上看,區(qū)塊鏈就是一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊,,每個(gè)區(qū)塊中包含了一定時(shí)間內(nèi)網(wǎng)絡(luò)中全部的信息交流數(shù)據(jù),,隨著時(shí)間推移,這條鏈會(huì)不斷增長(zhǎng),。

  基于以上特點(diǎn),,行業(yè)普遍認(rèn)為區(qū)塊鏈技術(shù)可以基于共識(shí)機(jī)制,、去中心化和密碼學(xué)的應(yīng)用原理,有效解決交易過(guò)程中產(chǎn)生的安全和信任問題,。然而,,隨著區(qū)塊鏈應(yīng)用的推廣,區(qū)塊鏈數(shù)字資產(chǎn)引發(fā)的各種安全問題也開始出現(xiàn),,包括盜幣,、詐騙、非法集資,、洗錢,、暗網(wǎng)非法交易、網(wǎng)絡(luò)犯罪等,。

  2021年7月,,跨鏈橋項(xiàng)目Chainswap遭到黑客攻擊,超20個(gè)項(xiàng)目代幣被黑客盜取,,總損失價(jià)值400萬(wàn)美元,;

  同年7月,跨鏈橋項(xiàng)目Anyswap新推出的V3跨鏈流動(dòng)性池遭到黑客攻擊,,總計(jì)損失超過(guò)787萬(wàn)美元,;

  2021年8月,區(qū)塊鏈應(yīng)用孵化機(jī)構(gòu)DAO Maker遭受黑客攻擊,,總計(jì)被盜走700萬(wàn)美元,,有5521名用戶受影響;

  2022年2月,,跨鏈橋項(xiàng)目Wormhole遭攻擊,,損失約3.2億美元;

  2022年8月,,區(qū)塊鏈平臺(tái)Solana遭遇攻擊,,價(jià)值數(shù)百萬(wàn)美元的加密貨幣錢包被洗劫一空。

  根據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì),,2021年全球區(qū)塊鏈生態(tài)系統(tǒng)發(fā)生的相關(guān)安全事件數(shù)量超過(guò)300起,,相較于2020年增幅達(dá)到22%;所造成的經(jīng)濟(jì)損失超153億美元,,同比增長(zhǎng)了26%,。大量事實(shí)表明,區(qū)塊鏈已然成為網(wǎng)絡(luò)攻擊者重點(diǎn)關(guān)注的誘人目標(biāo),。而且隨著應(yīng)用流行度的增加,,未來(lái)還會(huì)出現(xiàn)更多區(qū)塊鏈安全問題。以下將對(duì)目前最常見的8種區(qū)塊鏈應(yīng)用安全威脅進(jìn)行說(shuō)明,并給出應(yīng)對(duì)建議,。

  01 女巫(Sybil)攻擊

  在區(qū)塊鏈網(wǎng)絡(luò)中,,用戶創(chuàng)建新身份或者新節(jié)點(diǎn)的成本極低,因此攻擊者大量利用這一特性來(lái)發(fā)動(dòng)Sybil攻擊,,通過(guò)偽造自己的身份加入?yún)^(qū)塊鏈網(wǎng)絡(luò),,在控制了若干節(jié)點(diǎn)以及節(jié)點(diǎn)身份之后,就可以做出一些惡意的行為:例如誤導(dǎo)正常節(jié)點(diǎn)的路由表,,降低區(qū)塊鏈網(wǎng)絡(luò)節(jié)點(diǎn)的查找效率等,。Sybil攻擊對(duì)區(qū)塊鏈網(wǎng)絡(luò)的影響主要體現(xiàn)在以下幾個(gè)方面:

  虛假節(jié)點(diǎn)加入:在遵循區(qū)塊鏈網(wǎng)絡(luò)協(xié)議的基礎(chǔ)上,任何網(wǎng)絡(luò)節(jié)點(diǎn)都可以向區(qū)塊鏈網(wǎng)絡(luò)發(fā)送節(jié)點(diǎn)加入請(qǐng)求消息,。利用這個(gè)過(guò)程,,Sybil攻擊者可以獲取大量的區(qū)塊鏈網(wǎng)絡(luò)節(jié)點(diǎn)信息來(lái)分析區(qū)塊鏈網(wǎng)絡(luò)拓?fù)洹?/p>

  誤導(dǎo)區(qū)塊鏈節(jié)點(diǎn)的路由選擇:節(jié)點(diǎn)間路由信息的實(shí)時(shí)交互是保證區(qū)塊鏈網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵因素之一。節(jié)點(diǎn)只需定時(shí)地向其鄰居節(jié)點(diǎn)宣告自己的在線情況,,就能保證自己被鄰居節(jié)點(diǎn)加入到其路由表中,。惡意的Sybil入侵者通過(guò)這個(gè)過(guò)程,入侵正常區(qū)塊鏈節(jié)點(diǎn)的路由表并誤導(dǎo)其路由選擇,,降低區(qū)塊鏈節(jié)點(diǎn)的路由更新和節(jié)點(diǎn)查找效率,。

  虛假資源發(fā)布:Sybil攻擊者一旦入侵區(qū)塊鏈網(wǎng)絡(luò)節(jié)點(diǎn)的路由表,就可以隨意發(fā)布自己的虛假資源,。

  防護(hù)建議

  使用可接受的共識(shí)算法,,如工作量證明(PoW)、權(quán)益證明(PoS),、委托權(quán)益證明(DPoS)等,。雖然這些算法不能直接阻止女巫攻擊,但可以有效降低攻擊者發(fā)起女巫攻擊的可能性,。這些共識(shí)算法背后的共同特點(diǎn)就是增加區(qū)塊鏈網(wǎng)絡(luò)中創(chuàng)建身份的成本,;

  身份認(rèn)證,可以是基于第三方可靠節(jié)點(diǎn)的認(rèn)證,,也可以是全節(jié)點(diǎn)制的認(rèn)證,;

  監(jiān)控替代節(jié)點(diǎn)的行為,并檢查僅對(duì)來(lái)自一個(gè)用戶的轉(zhuǎn)發(fā)塊進(jìn)行測(cè)量的節(jié)點(diǎn),。

  02 端點(diǎn)漏洞

  雖然區(qū)塊鏈技術(shù)被認(rèn)為是幾乎“不可破解”,,但我們需要注意到的是,大多數(shù)進(jìn)行區(qū)塊鏈交易的終端計(jì)算設(shè)備卻并不安全,。區(qū)塊鏈網(wǎng)絡(luò)的交易終端可能是用戶使用區(qū)塊鏈進(jìn)行操作的任何地方:PC,、手機(jī)或者其他電子設(shè)備。黑客會(huì)觀察用戶行為并針對(duì)利用終端系統(tǒng)的漏洞竊取密鑰,。

  防護(hù)建議

  不要將區(qū)塊鏈密鑰作為文本文件保存在相關(guān)的終端設(shè)備上;

  為終端電子設(shè)備安裝并使用可靠的終端安全防護(hù)軟件;

  經(jīng)常檢查系統(tǒng),,跟蹤時(shí)間,、位置和設(shè)備訪問信息。

  03 51%攻擊

  51%攻擊是指攻擊者擁有超過(guò)全網(wǎng)算力中的50%以上算力資源,,便可以發(fā)動(dòng)51%算力攻擊,,修改自己的交易記錄、廢棄其余礦工開采的區(qū)塊,、阻止交易確認(rèn)等不道德行為,,這可能是災(zāi)難性的。在理論上,,如果掌握了50%以上的算力,,就擁有了獲得區(qū)塊鏈記賬權(quán)的絕對(duì)優(yōu)勢(shì),可以更快地生成區(qū)塊信息,,同時(shí)也擁有了篡改區(qū)塊鏈數(shù)據(jù)的能力,。研究人員已經(jīng)發(fā)現(xiàn),當(dāng)惡意攻擊者持有比特幣全網(wǎng)占比較高的算力時(shí),,即使尚未達(dá)到51%的比例,,也可以制造相應(yīng)的攻擊,比較典型的案例就是雙花問題,。

  防護(hù)建議

  確保哈希率更高,;

  增強(qiáng)對(duì)礦池的監(jiān)控能力。

  04 網(wǎng)絡(luò)釣魚攻擊

  針對(duì)區(qū)塊鏈網(wǎng)絡(luò)的網(wǎng)絡(luò)釣魚攻擊事件頻發(fā),,這已經(jīng)給整個(gè)網(wǎng)絡(luò)和用戶造成了較為嚴(yán)重的損失,。攻擊者在網(wǎng)絡(luò)釣魚攻擊中的目標(biāo)是竊取用戶的憑據(jù)(密碼、私鑰等),。他們會(huì)向錢包密鑰的所有者發(fā)送看似合法的電子郵件,,誘導(dǎo)用戶在虛假超鏈接中輸入登錄詳細(xì)信息。這會(huì)對(duì)用戶和區(qū)塊鏈網(wǎng)絡(luò)造成較嚴(yán)重的損害,,受害者也容易受到后續(xù)持續(xù)性的攻擊影響,。

  防護(hù)建議

  及時(shí)更新系統(tǒng)版本,并通過(guò)安裝經(jīng)過(guò)驗(yàn)證的加載項(xiàng)或擴(kuò)展程序來(lái)提高瀏覽器的安全性,;

  通過(guò)安裝終端安全防護(hù)軟件來(lái)提高設(shè)備安全性,;

  加強(qiáng)相關(guān)人員的網(wǎng)絡(luò)安全意識(shí)培養(yǎng);

  避免使用開放或公共的Wi-Fi網(wǎng)絡(luò),。

  05 路由攻擊

  區(qū)塊鏈技術(shù)安全和隱私的主要挑戰(zhàn)將會(huì)是路由攻擊,。區(qū)塊鏈網(wǎng)絡(luò)和應(yīng)用程序依賴于大量數(shù)據(jù)的實(shí)時(shí)傳輸,黑客可以使用賬戶的匿名性來(lái)攔截正在傳輸?shù)臄?shù)據(jù),,這便是路由攻擊,。在遭遇路由攻擊的情況下,區(qū)塊鏈參與者通常不會(huì)意識(shí)到威脅,因?yàn)閿?shù)據(jù)傳輸和操作照常進(jìn)行,。風(fēng)險(xiǎn)在于這些攻擊會(huì)經(jīng)常竊取用戶的機(jī)密數(shù)據(jù)或在用戶不知情的情況下提取數(shù)字化資產(chǎn),。

  防護(hù)建議

  使用更可靠的數(shù)據(jù)加密技術(shù);

  實(shí)施帶有證書的安全路由協(xié)議,;

  加強(qiáng)密碼管理,,并且使用強(qiáng)密碼策略。

  06 私鑰破解

  私鑰是確保交易合法性校驗(yàn)的唯一證明,,私鑰丟失或者被盜也就意味著失去了對(duì)該賬戶下所有資產(chǎn)和數(shù)據(jù)的操作權(quán),,所以保證私鑰的安全成為了區(qū)塊鏈應(yīng)用的命門。如果私鑰不夠安全,,黑客可能很容易破解,,如此一來(lái),他們就可以在無(wú)需任何密碼的情況下輕而易舉地轉(zhuǎn)移走用戶賬戶的資產(chǎn),。

  防護(hù)建議

  私鑰應(yīng)該保密且足夠強(qiáng)大,;

  私鑰不能以明文的方式出現(xiàn)在可被竊取的服務(wù)器或者第三方平臺(tái)上;

  需要進(jìn)行備份以便于私鑰丟失后的找回,。

  07 惡意節(jié)點(diǎn)

  惡意節(jié)點(diǎn)通過(guò)攻擊者通過(guò)偽裝,,可自由加入或離開區(qū)塊鏈網(wǎng)絡(luò),并可利用區(qū)塊鏈節(jié)點(diǎn)的局限性來(lái)發(fā)動(dòng)攻擊或破壞網(wǎng)絡(luò)的完整性,。一旦攻擊者進(jìn)入?yún)^(qū)塊鏈網(wǎng)絡(luò)并試圖破壞它,,這種情況就會(huì)發(fā)生,他們將通過(guò)向網(wǎng)絡(luò)發(fā)送虛假交易請(qǐng)求或嘗試撤銷有效交易來(lái)開展破壞活動(dòng),。

  防護(hù)建議

  加強(qiáng)節(jié)點(diǎn)安全檢測(cè),;

  采用拜占庭容錯(cuò)(PBFT)模型,即便存在少數(shù)惡意節(jié)點(diǎn),、故障節(jié)點(diǎn)時(shí),,也能保證大部分忠誠(chéng)節(jié)點(diǎn)的一致性和正確性。

  08 可擴(kuò)展性問題

  可擴(kuò)展性是指隨著用戶數(shù)量的增加,,系統(tǒng)能夠自動(dòng)應(yīng)對(duì)不斷增長(zhǎng)的計(jì)算需求,。但區(qū)塊鏈由于去中心化的要求,其可擴(kuò)展性往往難以滿足,。區(qū)塊鏈應(yīng)用中有一個(gè)術(shù)語(yǔ):TPS(Transactions Per Second),,即每秒交易的數(shù)量,這個(gè)數(shù)量代表了某個(gè)區(qū)塊鏈應(yīng)用系統(tǒng)的交易能力,。而這個(gè)交易能力受到區(qū)塊鏈的“不可能三角”的制約:“不可能三角”是指無(wú)法同時(shí)達(dá)到可擴(kuò)展性(Scalability),、去中心化(Decentralization)、安全(Security),,三者最多只能得其二,,這極大地限制了區(qū)塊鏈技術(shù)的商業(yè)落地進(jìn)程,。

  應(yīng)對(duì)建議

  積極嘗試應(yīng)用側(cè)鏈(sidechains)或Rollups等創(chuàng)新主鏈擴(kuò)展解決方案,提升區(qū)塊鏈網(wǎng)絡(luò)的可擴(kuò)展性,。


更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。