澳门mgm880官网当我们谈论区块链安全时,大家在议论怎么着?

去中心化、不可篡改,这些堂而皇之的名词从每一个人的嘴中蹦出来,仿佛区块链的安全性是不证自明的真理;自诩学识渊博者还会搬出“茴”字的四种写法,从SHA到ECC,听者无不叹服。区块链仿佛从诞生的一刻起就被视为固若金汤的良药。然而现实是残酷的,无论是比特币还是以太坊,黑客的身影无处不在,数字货币被盗的新闻屡见报端。

关于区块链的安全问题,每一次事故都会有所警醒、有所改进。但这些警醒和改进都是暂时的,需要一个长期的、持续的安全管理机制来持久保证区块链长期安全。这也成为以360为代表的安全企业的莫大的机会。

距离the
DAO攻击事件已经过去了2年,这次事件让我们认识到区块链应用安全的重要性。the
DAO被攻击的漏洞是项目本身产生的,与智能合约无关,就像某一个网站出现了bug,不能说是互联网技术的问题一样。

51%

再比如BEC美链4月被黑客攻击事件。BEC的合约代码:BeautyChain
美蜜出现严重bug,可以通过合约的批量转账的功能,无限复制token。而类似美链这样的安全问题,有几十个基于以太坊ERC20的数字货币都有出现这样的问题

前两天,跟一位HiBlock区块链社区的用户私聊,他问我一个问题,同样是智能合约,为什么会有以太坊和以太经典,又为什么会有相应的ETH和ETC,两者价格还相差如此之大。

Code is
Law,和传统软件开发中的迭代更新不同,为了保证代码的可信性,以太坊中的合约一旦部署就再没有修改的可能。我们当然不能期智能合约一旦发布就可以完美无瑕地运行下去,一行有缺陷的代码可能就会将整个合约推向万劫不复之地。

The DAO之所以被攻击,也是由于它编写的智能合约存在着重大缺陷。The
DAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。

事件发生后,以太坊创始人Vitalik在以太坊官方博客发布文章,提出以软分叉的方案解决这次事件,软分叉将从高度1760000开始把任何与the
DAO和child
DAO相关的交易认做⽆效交易,以此来组织攻击者提现,软分叉之后会进行一次硬分叉找回被转走的以太币。

区块链系统的安全性并不单取决于区块链算法本身,从代码实现到合约逻辑,再到配套设施,当区块链技术从白皮书中走出来,落地生根成为现实中的技术时,要面临的问题就多得多。而根据木桶理论,一只木桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。

又比如今年1月日本最大比特币交易所之一的Coincheck新经币被非法转移至其他交易所事件。

2年里,类似这样的安全事故还有很多,2017年Parity钱包漏洞导致15万个ETH被盗,导致几家公司的ICO受阻,当时价值约三千万美元。此外还有类似于CoinDash
ICO攻击、Enigma项目欺诈、Tether代币攻击、比特币黄金欺诈以及EOS上线前被发现的安全漏洞。

2016年6月,攻击者利用区块链业界此前最大的众筹项目TheDAO智能合约中splitDAO函数的一个漏洞,将资金从The
DAO项⽬的资产池中源源不断地分离出来,转移到自己的子DAO中,在短短的三个小时内,300多万以太币被转出The
DAO 资产池,以太坊也因为这件事故被迫分叉。

C端用户的安全问题上,360也有推进——360安全卫士发布区块链防火墙功能,用于解决在用户使用数字货币等区块链相关的产品时,遇到的剪贴板被篡改、数字货币钱包被攻击、账户密码被窃取等安全问题。

澳门mgm880官网 1image

参考资料:

在目前已上线的360区块链安全平台上,360对外提供钱包、矿池、交易所、智能合约和EOS超级节点等安全解决方案,几乎涵盖了区块链生态中所有业务。

康奈尔大学计算机科学系副教授Emin Gün
Sirer在给他的一位学生发邮件时提到他正在研究智能合约第666行代码可能存在的问题,甚至在2016年5月份也呼吁过投资者停止对DAO的投资,因为存在这样的安全漏洞。

密码!密码!

从硬件、游戏到广告、搜索,对于区块链360在其力所能及之处都留下了涉水前行的谨慎痕迹。但对于其起家的安全领域,360的动作则是大刀阔斧,有纵横捭阖之势。

澳门mgm880官网 2image

如果算法的实现不出纰漏的话,即便是最有效的攻击方法,其难度依然是指数级的。

网络安全风险正从传统的信息安全扩展到涉及基础设施、经济社会等诸多层面。

澳门mgm880官网 3image

澳门mgm880官网 4

9月11日,奇虎360在联合国区块链国际安全标准会议上,提交了5项关于分布式账本技术安全的标准提案,位列中国第一,获多国专家赞同。

也许今年的6月17日有人因重注墨西哥队而大赚一笔,但无论如何也比不上2年前6月17日黑客攻击the
DAO转走了300多万以太币资产,当时价值6千万美元,而以今年6月18日的ETH价格计算,则价值15亿美元。

题图来自 Pixabay,基于 CC0 协议返回搜狐,查看更多


5月25日,360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞,部分漏洞可以远程控制和接管EOS上运行的所有节点,完全控制虚拟货币交易。360安全大脑“史诗级漏洞”的发现,帮助EOS避免了百亿美金的损失


5月29日,360与币安、北京欧链科技有限公司(OracleChain)达成安全方面的深度合作,为其提供一系列智能合约项目的代码审计,且在项目方代码升级后持续提供安全审计服务。


6月28日,360集团与雄安新区签署战略合作,将充分发挥360在网络安全、大数据、人工智能、区块链等技术领域的优势,为建设安全可靠的“数字雄安”提供全面的网络安全服务。

技术工坊|利用智能合约漏洞攻击,转走大量以太币是如何做到的?

丘吉尔说,民主并不是什么好东西,但它是我们迄今为止所能找到的最好的。

单点防御就是“只见树木不见森林”,把大数据、人工智能、区块链等技术结合起来,才能“既见树木又见森林”

澳门mgm880官网 5image

2018年3月20日,慢雾科技披露以太坊黑色情人节盗币事件,曝光长达两年之久的自动化盗币行为,其造成的损失达近5万多枚以太币及数量巨大的各类代币。

对360而言,安全业务是区块链这场乱战之局的大龙,也是其守护网络安全环境义不容辞的责任。

那么,the
DAO被攻击后,是如何应对解决的呢?在攻击事件发生后,攻击者并不能马上转走这些资产,而是有一个28天的等待期,在这28天里白帽黑客登场,V神提出方案,目的是要阻止黑客转出这些资产。

  1. 工信部、起风财经《2018中国区块链产业白皮书》
  2. 腾讯安全、知道创宇《腾讯安全2018上半年区块链安全报告》
  3. 国家互联网金融安全技术专委员、上海圳链公司《2018区块链技术安全概述》
  4. Filippo Valsorda Exploiting ECDSA Failures in the Bitcoin Blockchain
  5. Nicolas T. Courtois Bitcoin Security: Cryptographic Risks
  6. Steve Giguere Blockchain security and the cryptocurrency boom, Part
    1: Theory
  7. 360网络安全响应中心《360公司Vulcan(伏尔甘)团队披露区块链平台EOS严重漏洞》
  8. 慢雾科技《慢雾科技:区块链黑暗森林里的安全庇护所》
  9. 伍旭川、秦谊《The DAO 事件,区块链征途上的一场暴风雨》
  10. 安全牛《什么是智能合约漏洞?》
  11. odaily星球日报《2018年区块链技术安全服务行业报告》
  12. 算力分布参考自
  13. 51%攻击成本参考自
  14. 宇宙原子数参考自

除此之外,区块链自身存在的51%攻击,秘钥安全隐患等问题也都时有发生。

但是,Gün教授对于代码漏洞无能为力,因为代码发布在以太坊区块链上就无法修改。事实上,发现这行代码漏洞的并不止Gün教授,2016年6月9日,在互联网上出现了与这次黑客攻击相同手法的预警,6月10日智能合约语言Solidity的作者
Christian在以太坊官方博客上发表文章说明这个问题,the
DAO团队也接到了安全报告,但做出了不会受到攻击的结论。

相关文章