近年來,,區(qū)塊鏈技術越來越受歡迎,。除了在加密貨幣領域的應用外,,區(qū)塊鏈技術已正被用于食品安全、醫(yī)療保健,、智能合約等諸多領域,。本質上看,區(qū)塊鏈就是一串使用密碼學方法相關聯(lián)產生的數(shù)據(jù)塊,,每個區(qū)塊中包含了一定時間內網絡中全部的信息交流數(shù)據(jù),,隨著時間推移,這條鏈會不斷增長,。
基于以上特點,,行業(yè)普遍認為區(qū)塊鏈技術可以基于共識機制、去中心化和密碼學的應用原理,,有效解決交易過程中產生的安全和信任問題,。然而,隨著區(qū)塊鏈應用的推廣,區(qū)塊鏈數(shù)字資產引發(fā)的各種安全問題也開始出現(xiàn),,包括盜幣,、詐騙、非法集資,、洗錢,、暗網非法交易、網絡犯罪等,。
2021年7月,,跨鏈橋項目Chainswap遭到黑客攻擊,超20個項目代幣被黑客盜取,,總損失價值400萬美元,;
同年7月,跨鏈橋項目Anyswap新推出的V3跨鏈流動性池遭到黑客攻擊,,總計損失超過787萬美元,;
2021年8月,區(qū)塊鏈應用孵化機構DAO Maker遭受黑客攻擊,,總計被盜走700萬美元,,有5521名用戶受影響;
2022年2月,,跨鏈橋項目Wormhole遭攻擊,,損失約3.2億美元;
2022年8月,,區(qū)塊鏈平臺Solana遭遇攻擊,價值數(shù)百萬美元的加密貨幣錢包被洗劫一空,。
根據(jù)相關數(shù)據(jù)統(tǒng)計,,2021年全球區(qū)塊鏈生態(tài)系統(tǒng)發(fā)生的相關安全事件數(shù)量超過300起,相較于2020年增幅達到22%,;所造成的經濟損失超153億美元,,同比增長了26%。大量事實表明,,區(qū)塊鏈已然成為網絡攻擊者重點關注的誘人目標,。而且隨著應用流行度的增加,未來還會出現(xiàn)更多區(qū)塊鏈安全問題,。以下將對目前最常見的8種區(qū)塊鏈應用安全威脅進行說明,,并給出應對建議。
01 女巫(Sybil)攻擊
在區(qū)塊鏈網絡中,,用戶創(chuàng)建新身份或者新節(jié)點的成本極低,,因此攻擊者大量利用這一特性來發(fā)動Sybil攻擊,通過偽造自己的身份加入區(qū)塊鏈網絡,,在控制了若干節(jié)點以及節(jié)點身份之后,,就可以做出一些惡意的行為:例如誤導正常節(jié)點的路由表,,降低區(qū)塊鏈網絡節(jié)點的查找效率等。Sybil攻擊對區(qū)塊鏈網絡的影響主要體現(xiàn)在以下幾個方面:
虛假節(jié)點加入:在遵循區(qū)塊鏈網絡協(xié)議的基礎上,,任何網絡節(jié)點都可以向區(qū)塊鏈網絡發(fā)送節(jié)點加入請求消息,。利用這個過程,Sybil攻擊者可以獲取大量的區(qū)塊鏈網絡節(jié)點信息來分析區(qū)塊鏈網絡拓撲,。
誤導區(qū)塊鏈節(jié)點的路由選擇:節(jié)點間路由信息的實時交互是保證區(qū)塊鏈網絡正常運行的關鍵因素之一,。節(jié)點只需定時地向其鄰居節(jié)點宣告自己的在線情況,就能保證自己被鄰居節(jié)點加入到其路由表中,。惡意的Sybil入侵者通過這個過程,,入侵正常區(qū)塊鏈節(jié)點的路由表并誤導其路由選擇,降低區(qū)塊鏈節(jié)點的路由更新和節(jié)點查找效率,。
虛假資源發(fā)布:Sybil攻擊者一旦入侵區(qū)塊鏈網絡節(jié)點的路由表,,就可以隨意發(fā)布自己的虛假資源。
防護建議
使用可接受的共識算法,,如工作量證明(PoW),、權益證明(PoS)、委托權益證明(DPoS)等,。雖然這些算法不能直接阻止女巫攻擊,,但可以有效降低攻擊者發(fā)起女巫攻擊的可能性。這些共識算法背后的共同特點就是增加區(qū)塊鏈網絡中創(chuàng)建身份的成本,;
身份認證,,可以是基于第三方可靠節(jié)點的認證,也可以是全節(jié)點制的認證,;
監(jiān)控替代節(jié)點的行為,,并檢查僅對來自一個用戶的轉發(fā)塊進行測量的節(jié)點。
02 端點漏洞
雖然區(qū)塊鏈技術被認為是幾乎“不可破解”,,但我們需要注意到的是,,大多數(shù)進行區(qū)塊鏈交易的終端計算設備卻并不安全。區(qū)塊鏈網絡的交易終端可能是用戶使用區(qū)塊鏈進行操作的任何地方:PC,、手機或者其他電子設備,。黑客會觀察用戶行為并針對利用終端系統(tǒng)的漏洞竊取密鑰。
防護建議
不要將區(qū)塊鏈密鑰作為文本文件保存在相關的終端設備上,;
為終端電子設備安裝并使用可靠的終端安全防護軟件,;
經常檢查系統(tǒng),跟蹤時間,、位置和設備訪問信息,。
03 51%攻擊
51%攻擊是指攻擊者擁有超過全網算力中的50%以上算力資源,便可以發(fā)動51%算力攻擊,修改自己的交易記錄,、廢棄其余礦工開采的區(qū)塊,、阻止交易確認等不道德行為,這可能是災難性的,。在理論上,,如果掌握了50%以上的算力,就擁有了獲得區(qū)塊鏈記賬權的絕對優(yōu)勢,,可以更快地生成區(qū)塊信息,,同時也擁有了篡改區(qū)塊鏈數(shù)據(jù)的能力。研究人員已經發(fā)現(xiàn),,當惡意攻擊者持有比特幣全網占比較高的算力時,,即使尚未達到51%的比例,也可以制造相應的攻擊,,比較典型的案例就是雙花問題,。
防護建議
確保哈希率更高;
增強對礦池的監(jiān)控能力,。
04 網絡釣魚攻擊
針對區(qū)塊鏈網絡的網絡釣魚攻擊事件頻發(fā),,這已經給整個網絡和用戶造成了較為嚴重的損失。攻擊者在網絡釣魚攻擊中的目標是竊取用戶的憑據(jù)(密碼,、私鑰等),。他們會向錢包密鑰的所有者發(fā)送看似合法的電子郵件,誘導用戶在虛假超鏈接中輸入登錄詳細信息,。這會對用戶和區(qū)塊鏈網絡造成較嚴重的損害,,受害者也容易受到后續(xù)持續(xù)性的攻擊影響。
防護建議
及時更新系統(tǒng)版本,,并通過安裝經過驗證的加載項或擴展程序來提高瀏覽器的安全性,;
通過安裝終端安全防護軟件來提高設備安全性;
加強相關人員的網絡安全意識培養(yǎng),;
避免使用開放或公共的Wi-Fi網絡。
05 路由攻擊
區(qū)塊鏈技術安全和隱私的主要挑戰(zhàn)將會是路由攻擊,。區(qū)塊鏈網絡和應用程序依賴于大量數(shù)據(jù)的實時傳輸,,黑客可以使用賬戶的匿名性來攔截正在傳輸?shù)臄?shù)據(jù),這便是路由攻擊,。在遭遇路由攻擊的情況下,,區(qū)塊鏈參與者通常不會意識到威脅,因為數(shù)據(jù)傳輸和操作照常進行,。風險在于這些攻擊會經常竊取用戶的機密數(shù)據(jù)或在用戶不知情的情況下提取數(shù)字化資產,。
防護建議
使用更可靠的數(shù)據(jù)加密技術;
實施帶有證書的安全路由協(xié)議;
加強密碼管理,,并且使用強密碼策略,。
06 私鑰破解
私鑰是確保交易合法性校驗的唯一證明,私鑰丟失或者被盜也就意味著失去了對該賬戶下所有資產和數(shù)據(jù)的操作權,,所以保證私鑰的安全成為了區(qū)塊鏈應用的命門,。如果私鑰不夠安全,黑客可能很容易破解,,如此一來,,他們就可以在無需任何密碼的情況下輕而易舉地轉移走用戶賬戶的資產。
防護建議
私鑰應該保密且足夠強大,;
私鑰不能以明文的方式出現(xiàn)在可被竊取的服務器或者第三方平臺上,;
需要進行備份以便于私鑰丟失后的找回。
07 惡意節(jié)點
惡意節(jié)點通過攻擊者通過偽裝,,可自由加入或離開區(qū)塊鏈網絡,,并可利用區(qū)塊鏈節(jié)點的局限性來發(fā)動攻擊或破壞網絡的完整性。一旦攻擊者進入區(qū)塊鏈網絡并試圖破壞它,,這種情況就會發(fā)生,,他們將通過向網絡發(fā)送虛假交易請求或嘗試撤銷有效交易來開展破壞活動。
防護建議
加強節(jié)點安全檢測,;
采用拜占庭容錯(PBFT)模型,,即便存在少數(shù)惡意節(jié)點、故障節(jié)點時,,也能保證大部分忠誠節(jié)點的一致性和正確性,。
08 可擴展性問題
可擴展性是指隨著用戶數(shù)量的增加,系統(tǒng)能夠自動應對不斷增長的計算需求,。但區(qū)塊鏈由于去中心化的要求,,其可擴展性往往難以滿足。區(qū)塊鏈應用中有一個術語:TPS(Transactions Per Second),,即每秒交易的數(shù)量,,這個數(shù)量代表了某個區(qū)塊鏈應用系統(tǒng)的交易能力。而這個交易能力受到區(qū)塊鏈的“不可能三角”的制約:“不可能三角”是指無法同時達到可擴展性(Scalability),、去中心化(Decentralization),、安全(Security),三者最多只能得其二,,這極大地限制了區(qū)塊鏈技術的商業(yè)落地進程,。
應對建議
積極嘗試應用側鏈(sidechains)或Rollups等創(chuàng)新主鏈擴展解決方案,提升區(qū)塊鏈網絡的可擴展性,。
更多信息可以來這里獲取==>>電子技術應用-AET<<
