加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

幣虎全球交易所:如何應對針對區塊鏈的攻擊_區塊鏈:藝術幣區塊鏈

Author:

Time:1900/1/1 0:00:00

一、針對區塊數據的攻擊

針對區塊數據的安全風險,大致總結了以下攻擊方式:

1.惡意信息攻擊

在區塊鏈中寫入惡意信息,例如病特征碼、敏感話題等。借助區塊鏈數據不可刪除的特性,信息被寫入區塊鏈后很難刪除。若區塊鏈中出現惡意信息,將會遭到殺軟件、敏感等多方面的問題。

2.資源濫用攻擊

隨著時間的推移,區塊數據可能會爆炸式增長,也可能會呈線性增長,這主要取決于此區塊鏈應用的設計,依賴現有的計算機存儲技術,區塊數據若發生爆炸式增長,可能導致節點無法容納又或者使區塊鏈運轉緩慢,從而使穩定運行的節點越來越少,節點越少,則越趨于中心化,引發區塊鏈危機。

3.攻擊場景距離

若鏈中沒有設計相應的操作限制,攻擊者可以通過發送大量的垃圾信息來堵塞整個區塊鏈,使區塊鏈中真正的信息遲遲得不到處理,又或者使區塊鏈中的存儲節點超負荷運行。

二、針對加密簽名機制的攻擊

加密技術作為一個區塊鏈整體的支柱,其安全性顯得尤為重要,例如前些年所流行的MD5和SHA1哈希算法,目前已經證明安全性不足,現在已經不能被商用。目前大量使用的是SHA256算法,到目前為止,此算法還是安全的,雖然有人依然持有質疑,但是并沒有任何直接的公開證據表明此算法存在漏洞。但是還是建議后期的區塊鏈建設使用更新的SHA3算法。

針對加密簽名機制大致有如下攻擊方式:

1.窮舉攻擊

此類攻擊方式主要作用于散列函數中,且幾乎所有散列函數或多或少都受此攻擊方式影響,而且其影響程度與函數本身無關,而是與生成的HASH長度有關,主要是一個概率論的問題,其中最典型的的方式是基于生日悖論的“生日攻擊”。

Starknet TVL跌破1億美元,較8月16日高點下跌逾50%:8月22日消息,L2BEAT數據顯示,Starknet TVL跌破1億美元,截至發稿時為9815萬美元,近7日減少51.45%。

此前,Starknet TVL于8月16日達到2.03億美元的高點。[2023/8/22 18:15:36]

生日悖論:如果一個房間里有23個或23個以上的人,那么至少有兩個人的生日相同的概率要大于50%。這就意味著在一個典型的標準小學班級中,存在兩人生日相同的可能性更高。對于60或者更多的人,這種概率要大于99%。

2.碰撞攻擊

此種攻擊方式主要作用于散列函數中,比較典型的案例是“MD5摘要算法”和“SHA1摘要算法”。它的攻擊原理是通過尋找算法的弱點,瓦解它的強抗碰撞性這一特性,使得散列函數原本要在相當長一段時間才能尋找到兩個值不同HASH相同的值的特性被弱化,攻擊者能在較短的時間能尋找到值不同但HASH相同的兩個值。

3.長度擴展攻擊

此種攻擊方式主要作用于散列函數中,準確的說是基于Merkle-Damgard構造的摘要算法。其原理是通過算法弱點,在已知密文HASH和密文長度的情況下,推導出密文與另一消息拼接后計算出來的HASH。

4.后門攻擊

此種攻擊方式作用于所有開源加密算法庫中,ECC算法是區塊鏈中身份驗證的基石,ECC算法本身是沒問題的,但是在實際情況中,人們可能更多的是選擇別人已經寫好的“輪子”直接拿來用,而不是自己再去實現一套加密函數。這就帶來了一個問題,在別人已經寫好的“輪子”中,可能被安插后門。

5.量子攻擊

此種攻擊方式作用于大部分密碼學算法。目前所有的加密算法以及摘要算法,其安全強度取決于它被窮舉的時間復雜度,這使得依賴現有的計算機的計算能力,針對比較強的加密算法要對它進行暴力破解是非常難的,但是量子計算機擁有傳統計算機無可比擬的算力,使得時間復雜度大大降低,于是,其安全強度便可能被瓦解。

Midas Investments創始人推出了新的DeFi金融平臺Locus Finance:金色財經報道,已關閉的托管加密投資平臺Midas Investments的創始人Iakov Levin推出了一個新的DeFi金融平臺Locus Finance。Locus Finance在一份聲明中表示,Locus最初將提供三種基于以太坊質押、DeFi增長和Arbitrum交易的收益產品。

Midas Investments成立于2018年,在2021年的鼎盛時期積累了超過2.5億美元的管理資產。2022Midas 損失了超過5000萬美元。

同年12月,Levin宣布關閉Midas Investments。[2023/7/24 15:55:36]

三、針對分布式網絡的攻擊

去中心化的公鏈網絡節點可能是普通家庭PC,可能是云服務器等等,其安全性必然是參差不齊的,其中必有安全性較差的節點,對其進行攻擊將直接威脅節點的安全。針對分布式網絡的安全風險,大致總結了以下攻擊方式:

1.日食攻擊

是其他節點實施的網絡層面攻擊,其攻擊手段是囤積和霸占受害者的點對點連接間隙,將該節點保留在一個隔離的網絡中。這種類型的攻擊旨在阻止最新的區塊鏈信息進入到日食節點,從而隔離節點。

2.竊聽攻擊

攻擊者可以使用這種攻擊來讓區塊鏈中的用戶標識與IP關聯起來,在某些情況下甚至可以追溯到用戶的家庭地址。以比特幣為例,當你在比特幣網絡上執行交易時,你的比特幣客戶端通常通過連接到一組八臺服務器來加入網絡,這個初始連接集合就是你的入口節點,每個用戶都會獲得一組唯一的入口節點。當你的錢包發送比特幣完成購買時,入口節點將交易轉交給比特幣網絡的其余部分,研究人員發現,識別一組一口節點意味著識別一個特定的比特幣客戶端,以此來推導出某個用戶。那么,攻擊者要做的是與比特幣服務器建立多個連接,連接后,攻擊者必須聽取客戶端與服務端的初始連接,這會泄露客戶端的IP地址。隨著交易流經網絡,它們將會與客戶端的入口節點相關聯,如果匹配,那么攻擊者就知道這是來自一個特定客戶端的交易。

Justin Aversano推出基于比特幣網絡的攝影NFT系列Colin in the Car:金色財經報道,“Twin Flames”的創作者和NFT攝影創新者Justin Aversano準備推出基于比特幣網絡的攝影NFT系列“Colin in the Car”。每個NFT的鑄造價格為0.2 BTC,約合4300美元。(NFTEvening)[2023/2/13 12:03:12]

3.BGP劫持攻擊

邊界網關協議是因特網的關鍵組成部分,用于確定路由路徑。BGP劫持,即利用BGP操縱因特網路由路徑,最近幾年中已經變得越來越頻繁。無論是網絡犯罪分子還是政府,都可以利用這種技術來達到自己的目的,如誤導和攔截流量等,目前在區塊鏈網絡中節點的流量一但被接管又能對整個網絡造成巨大的影響,如破壞共識機制,交易等各種信息。

4.分割攻擊

攻擊者可以利用BGP劫持來講區塊鏈網絡劃分成兩個或多個不相交的網絡,此時的區塊鏈會分叉為兩條或多條并行鏈。攻擊停止后,區塊鏈會重新統一為一條鏈,以最長的鏈為主鏈,其他的鏈將被廢棄,其上的交易、獎勵等全部無效。

5.延遲攻擊

攻擊者可以利用BGP劫持來延遲目標的區塊更新,而且不被發現。因為它是基于中間人修改目標請求區塊的數據來做到的:在目標請求獲取最新區塊的時候,將它的這一請求修改為獲取舊區塊的請求,使得目標獲得較舊的塊。

6.節點客戶端漏洞

攻擊者在內網或者外網利用各種手段譬如漏洞掃描,0DAY漏洞利用等技術,對節點客戶端進行攻擊,此類攻擊主要針對客戶端自身軟件可能存在安全漏洞進行利用,獲取節點的控制權限。

7.拒絕服務攻擊

通過大流量,或者漏洞的方式攻擊P2P網絡中的節點,使網絡中部分節點網絡癱瘓,節點癱瘓意味著鏈中總算力受損,使得其更容易遭受51%攻擊,而目前進行拒絕服務攻擊成本也較低,大量的攻擊工具平臺能輕易在黑市購買用于攻擊。

Messari:2022年Balancer鎖倉量下降57%:1月10日消息,加密分析公司Messari發布《2022四季度Balancer狀態報告》。數據顯示,四季度Balancer在以太坊上的鎖倉量下降了10%,但是在Polygon、Arbitrum和Optimism上的鎖倉量卻分別增加了42%、71%和20%,這些Layer 2上的鎖倉量增長大部分歸功于來自Lido和Rocket Pool的外部激勵,這兩個DeFi協議在Arbitrum和Optimism鏈上Balancer流動性池鎖倉量中占比達到約50%。

縱觀整個2022 年,Balancer總鎖倉量下降了57%,但表現仍好于整體加密貨幣市場和其他DeFi協議,其跌幅小于競爭對手Uniswap(-61%)、Sushiswap(-90%)和Curve(-84%)。[2023/1/10 11:04:11]

8.雙重支出攻擊

雙重支出攻擊又稱雙花問題,指的是一個代幣花費在多筆交易中的攻擊,它的實現方法主要有以下幾種:

種族攻擊。在面對0確認的交易便立刻進行付款的商家可能會遭遇此攻擊。欺詐者直接向商家發送支付給商家的交易,并發送沖突的交易,將代幣投入自己到網絡的其余部分。第二個沖突的交易很可能會被開采出來,并被區塊鏈節點認為是真的,于是付款交易作廢。

芬尼攻擊。當接受0確認的付款時可能會遭遇此攻擊。假設攻擊者偶爾產生數據塊。在他生成的每個區塊中,他包括從他控制的地址A到地址B的轉移。為了欺騙你,當他生成一個塊時,他不會廣播它。相反,他打開您的商店網頁,并使用地址A向您的地址C付款。您可能會花費幾秒鐘的時間尋找雙重花費,然后轉讓商品。接著他廣播他之前的區塊,他的交易將優先于你的交易,于是付款交易作廢。

Vector76攻擊。也被稱為單一確認攻擊,是種族攻擊和芬尼攻擊的組合,因此即使有一次確認的交易仍然可以逆轉。對于種族攻擊,相同的保護措施顯然降低了發生這種情況的風險。值得注意的是,成功的攻擊會使攻擊者花費一個塊,他們需要通過不傳播它來“犧牲”一個塊,而是僅將其轉讓給被攻擊的節點。

匿名用戶在bitcointalk論壇發布比特幣問世一周后的礦工簽名:金色財經報道,早期比特幣論壇 bitcointalk.org 上一位成員發帖希望尋找最早的比特幣礦工,結果發現一位賬戶名為“OneSignature”的匿名成員分享了一個可以追溯到 2009 年 1 月的簽名,該簽名時間就在比特幣問世一周后,目前該簽名已經得到確認。在確認了迄今為止發現的“最古老簽名”的合法性后,社區發現“OneSignature”賬號是新創建的,并于 2022 年 11 月 26 日發布了改簽名。OneSignature 的帳戶歷史記錄顯示其在 bitcointalk 論壇上沒有其他活動,該用戶的 Twitter 賬戶創建于 2009 年 10 月,目前處于未公開受保護狀態。(Cointelgraph)[2022/12/4 21:21:47]

替代歷史攻擊。即使商家等待一些確認,這種攻擊也有機會成功,但風險較高。攻擊者向商家提交支付的交易,同時私下挖掘其中包含欺詐性雙重支出交易的分支。等待n次確認后,商家發送產品。如果攻擊者此時碰巧找到n個以上的區塊,他就會釋放他的分支并重新獲得他的硬幣。

51%攻擊。篇詳細介紹過51%攻擊問題,不再贅述。如果攻擊者控制全網算力的一半以上,則前面提到的替代歷史攻擊有100%的概率成功。由于攻擊者可以比網絡的其他部分更快地生成塊,所以他可以堅持自己的私有分支,直到它比誠實節點網絡建立的分支更長,它將代替主鏈。

交易延展性攻擊。延展性攻擊者偵聽P2P網絡中的交易,利用交易簽名算法的特征修改原交易中的input簽名,生成擁有一樣input和output的新交易,然后廣播到網絡中形成雙花,這樣原來的交易就可能有一定的概率不能被確認,在虛擬貨幣交易的情況下,它可以被用來進行二次存款或雙重提現。

驗證繞過。驗證機制的代碼是區塊鏈應用的核心之一,一旦出現問題將直接導致區塊鏈的數據混亂,而且核心代碼的修改與升級都涉及到區塊鏈分叉的問題,所以驗證機制的嚴謹性就顯得尤為重要。必須要結合驗證機制代碼的語言特性來進行大量的白盒審計或是模糊測試,來保證驗證機制的不可繞過。例如2010年8月15日,有人在比特幣區塊鏈的第74638塊上發現了一條讓人驚愕的交易,這筆交易里竟然出現了184,467,440,737.09551616個比特幣,其中各有922億個比特幣被發送到兩個比特幣地址。這次攻擊的根本原因則是比特幣的驗證機制中存在大整數溢出漏洞,由于大整數溢出為負數,網絡各個節點對黑客的交易均驗證通過,導致了比特幣區塊鏈中憑空出現了大量比特幣。

四、針對共識機制的攻擊

1.短距離攻擊

此類攻擊比較典型的是“賄賂攻擊”,此攻擊主要影響PoS共識機制,賄賂攻擊流程如下:

1)攻擊者購買某個商品或服務。

2)商戶開始等待網絡確認這筆交易。

3)此時,攻擊者開始在網絡中首次宣稱,對目前相對最長的不包含這次交易的主鏈進行獎勵。

4)當主鏈足夠長時,攻擊者開始放出更大的獎勵,獎勵那些在包含此次交易的鏈條中挖礦的礦工。

5)六次確認達成后,放棄獎勵。

6)貨物到手,同時放棄攻擊者選中的鏈條。

因此,只要此次賄賂攻擊的成本小于貨物或者服務費用,此次攻擊就是成功的。相比之下,PoW機制中賄賂攻擊就需要賄賂大多數礦工,因此成本極高,難以實現。

2.長距離攻擊

此類攻擊比較典型的是“51%”攻擊。雖然某一個節點控制了51%及以上算力,就有能力篡改賬本,但達到51%算力是件極其困難的事情。而在PoS中缺乏對算力的約束,那么就存在潛在可能篡改賬本。

3.幣齡累計攻擊

在最早的Peercoin版本中,挖礦難度不僅與當前賬戶余額有關,也與每個幣的持幣時間掛鉤。這就導致,部分節點在等待足夠長時間后,就有能力利用Age的增加來控制整個網絡,產生非常顯著的影響。

4.預計算攻擊

當PoS中的某一節點占有了一定量的算力后,PoS中占有特定算力的節點,就有能力通過控制Hprev來使自己所在算力范圍有能力去計算Hnext。

5.女巫攻擊

又稱Sybil攻擊,在Sybil攻擊中,攻擊者通過創建大量的假名標識來破壞對等網絡的信譽系統,使用它們獲得不成比例的大的影響。對等網絡上的實體是能夠訪問本地資源的一塊軟件。實體通過呈現身份在網絡上通告自身。多于一個標識可以對應于單個實體。換句話說,身份到實體的映射是多對一的。對等網絡中的實體為了冗余,資源共享,可靠性和完整性而使用多個標識。在對等網絡中,身份用作抽象,使得遠程實體可以知道身份而不必知道身份與本地實體的對應關系。默認情況下,通常假定每個不同的標識對應于不同的本地實體。實際上,許多身份可以對應于相同的本地實體。對手可以向對等網絡呈現多個身份,以便出現并充當多個不同的節點。因此,對手可能能夠獲得對網絡的不成比例的控制水平,例如通過影響投票結果。

五、針對應用層的攻擊

應用層安全主要囊括涉及數字貨幣交易,管理著大量資金的交易所等中心化節點的安全問題。這些節點處在整個區塊鏈網絡的單點失敗處,攻擊收益高而成本低,是攻擊者們的首選目標。

1.交易所服務器未授權訪問

交易所往往存放著大量資金,極易成為被攻擊目標。一旦獲得交易所服務器權限或訪問,修改關鍵信息,攻擊者便可盜取資金密鑰、篡改交易金額或者泄漏敏感信息等,給交易所造成經濟和名譽上的毀滅性打擊。

2.交易所DDoS攻擊

據Incapsula2017年Q3季度DDoS威脅報告分析稱,盡管其行業規模依然相對較小,比特幣已經成為十大最容易被DDoS攻擊的行業之一。這一定程度反映了整個區塊鏈行業面臨著嚴峻的DDoS攻擊安全挑戰。

六、針對合約層的攻擊

在使用類似Ethereum,EOS,Zilliqa等DApp開發平臺進行智能合約及DApp應用項目開發時,需要尤其注意合約的安全性。由于區塊鏈不可篡改的特點,使得智能合約一旦發布極難修改,合約的安全與否往往決定了一個項目的生死。合約開發者應該充分重視并在部署合約前做好智能合約的安全審計工作。

針對合約層的攻擊主要是重入攻擊,即Reentrancy攻擊,本質是劫持合約控制流,破壞事務原子性,可以理解為一種邏輯上的條件競爭問題。

TheDAO是一個眾籌合約,在2016年6月18日被攻擊前募集了$150M。攻擊者利用合約中的漏洞發動了Reentrancy攻擊,獲得了$60M。為了追回這部分資金,以太坊社區決定進行硬分叉,在新分支中回滾自攻擊開始后的所有交易記錄并修復合約漏洞,但因為此舉違背了‘Codeislaw’精神,部分成員拒絕新分支,導致最終形成了兩個分支。舊分支稱為以太坊經典,新分支為現行以太坊。攻擊者最終離開以太坊經典,帶走了數千萬美元。

總結與展望

總體而言,區塊鏈的發展引起了產業界與學術界的廣泛關注,盡管其不斷得到研究與應用,但是目前區塊鏈技術在系統安全何應用安全等方面都存在著很多亟待解決的問題。這些問題也是區塊鏈技術應用于更多核心領域時需要重視且解決的關鍵問題,值得進一步探索與深入研究。

Tags:區塊鏈比特幣ANCNCE藝術幣區塊鏈比特幣行情圖分析rbase.financeAdvanced United Continent

歐易okex官網
幣贏網Coinw即將推出“ Coinw Priority雙優計劃”_OIN:RiseCoin

親愛的Coinw用戶:幣贏網Coinw即將推出行業首創的“打新”模式——Priority雙優計劃,平臺將甄選優質項目上幣,并提前將項目的打新額度免費贈送給平臺的核心用戶.

1900/1/1 0:00:00
BALIC 上線預告_BIT:glory幣還可以交易嗎

親愛的Bit-Z用戶: Bit-Z將于近期上線BALIC,敬請期待。具體上線時間請留意后續官方公告.

1900/1/1 0:00:00
拿騰訊王思聰投資做宣傳的Atlas真實業務情況如何?_ATLAS:Atlant

|作者:區塊律動BlockBeats0x30|歡迎添加作者微信qkldlinda與他進行交流!未經授權禁止轉載!「Atlas核心團隊來自贊那度zanadu,背后由騰訊、經緯和普思資本投資.

1900/1/1 0:00:00
趙長鵬手撕澳本聰:你個辣雞!帶著BSV好走不送_NAUT:DLO幣

“澳本聰根本不是中本聰。夠了,我們要下架!”今日,幣安CEO趙長鵬發推稱,該交易所可能會下架BitcoinSV——目前市值排名第12位的加密貨幣.

1900/1/1 0:00:00
【公告】首期Bibox Orbit項目公布_BOX:CBITBOX幣

尊敬的用戶:?首期BiboxOrbit將于北京時間2019年4月22日正式開啟,并將一次性推出4個優質項目,分別是:TheForceProtocol、Ludos、Staking和X-Block.

1900/1/1 0:00:00
阿富汗貨幣販子手里的兌換券 就是開啟賽博朋克大門的鑰匙_比特幣:SARS幣

撰文:李畫 在貨幣崩塌下的伊朗,在戰火紛飛中的阿富汗,人們最重要的事情之一是找到方法來保護自己的財產。現在,他們多了一種選擇.

1900/1/1 0:00:00
ads