亚洲成1区2区3区在线,九七在线看视频免费福利,黄色片A阴毛特多的肥胖老太婆

區(qū)塊鏈有哪些安全軟肋

2018-03-19 10:49:06 來源：51CTO搶沙發(fā)

2018-03-19 10:49:06 來源：51CTO

摘要：區(qū)塊鏈是比特幣中的核心技術，在無法建立信任關系的互聯(lián)網(wǎng)上，區(qū)塊鏈技術依靠密碼學和巧妙的分布式算法，無需借助任何第三方中心機構的介入，用數(shù)學的方法使參與者達成共識，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。
關鍵詞：區(qū)塊鏈

　　區(qū)塊鏈是比特幣中的核心技術，在無法建立信任關系的互聯(lián)網(wǎng)上，區(qū)塊鏈技術依靠密碼學和巧妙的分布式算法，無需借助任何第三方中心機構的介入，用數(shù)學的方法使參與者達成共識，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。

　　區(qū)塊鏈技術常被人們提及的特性是去中心化、共識機制等，由區(qū)塊鏈引申出來的虛擬數(shù)字貨幣是目前全球最火爆的項目之一，正在成就出新的一批億萬級富豪。像幣安交易平臺，成立短短幾個月，就被國際知名機構評級市值達400億美金，成為了最富有的一批數(shù)字貨幣創(chuàng)業(yè)先驅(qū)者。但是自從有數(shù)字貨幣交易所至今，交易所被攻擊、資金被盜事件層出不窮，且部分數(shù)字貨幣交易所被黑客攻擊損失慘重，甚至倒閉。

　　一、令人震驚的數(shù)字貨幣交易所被攻擊事件

　　從最早的比特幣，到后來的萊特幣、以太幣，目前已有幾百種數(shù)字貨幣。隨著價格的攀升，各種數(shù)字貨幣系統(tǒng)被攻擊、數(shù)字貨幣被盜事件不斷增加，被盜金額也是一路飆升。讓我們來回顧一下令人震驚的數(shù)字貨幣被攻擊、被盜事件。

　　2014年2月24日，當時世界最大的比特幣交易所運營商Mt.Gox宣布其交易平臺的85萬個比特幣已經(jīng)被盜一空，承擔著超過80%的比特幣交易所的Mt.Gox由于無法彌補客戶損失而申請破產(chǎn)保護。

　　經(jīng)分析，原因大致為Mt.Gox存在單點故障結構這種嚴重的錯誤，被黑客用于發(fā)起DDoS攻擊：

　　比特幣提現(xiàn)環(huán)節(jié)的簽名被黑客篡改并先于正常的請求進入比特幣網(wǎng)絡，結果偽造的請求可以提現(xiàn)成功，而正常的提現(xiàn)請求在交易平臺中出現(xiàn)異常并顯示為失敗，此時黑客實際上已經(jīng)拿到提現(xiàn)的比特幣了，但是他繼續(xù)在Mt.Gox平臺請求重復提現(xiàn)，Mt.Gox在沒有進行事務一致性校驗(對賬)的情況下，重復支付了等額的比特幣，導致交易平臺的比特幣被竊取。

　　2016年8月4日，最大的美元比特幣交易平臺Bitfinex發(fā)布公告稱，網(wǎng)站發(fā)現(xiàn)安全漏洞，導致近12萬枚比特幣被盜，總價值約為7500萬美元。

　　2018年1月26日，日本的一家大型數(shù)字貨幣交易平臺Coincheck系統(tǒng)遭遇黑客攻擊，導致時價580億日元、約合5.3億美元的數(shù)字貨幣“新經(jīng)幣”被盜，這是史上最大的數(shù)字貨幣盜竊案。

　　2018年3月7日，世界第二大數(shù)字貨幣交易所幣安(Binance)被黑客攻擊的消息讓幣圈徹夜難眠，黑客竟然玩起了經(jīng)濟學，買空賣空“炒幣”割韭菜。根據(jù)幣安公告，黑客的攻擊過程包括：

　　在長時間里，利用第三方釣魚網(wǎng)站偷盜用戶的賬號登錄信息。黑客通過使用Unicode字符冒充正規(guī)Binance網(wǎng)址域名里的部分字母對用戶實施網(wǎng)頁釣魚攻擊。

　　黑客獲得賬號后，自動創(chuàng)建交易API，之后便靜默潛伏。

　　3月7日黑客通過盜取的API Key，利用買空賣空的方式，將VIA幣值直接拉暴100多倍，比特幣大跌10%，以全球總計1700萬個比特幣計算，比特幣一夜丟了170億美元。

　　二、黑客攻擊為什么能屢屢得手

　　基于區(qū)塊鏈的數(shù)字貨幣其火熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀錄，盜竊事件的發(fā)生也引發(fā)了人們對數(shù)字貨幣安全的擔憂，人們不禁要問：區(qū)塊鏈技術安全嗎?

　　隨著人們對區(qū)塊鏈技術的研究與應用，區(qū)塊鏈系統(tǒng)除了其所屬信息系統(tǒng)會面臨病毒、木馬等惡意程序威脅及大規(guī)模DDoS攻擊外，還將由于其特性而面臨獨有的安全挑戰(zhàn)。

　　1. 算法實現(xiàn)安全

　　由于區(qū)塊鏈大量應用了各種密碼學技術，屬于算法高度密集工程，在實現(xiàn)上比較容易出現(xiàn)問題。歷史上有過此類先例，比如NSA對RSA算法實現(xiàn)埋入缺陷，使其能夠輕松破解別人的加密信息。一旦爆發(fā)這種級別的漏洞，可以說構成區(qū)塊鏈整個大廈的地基將不再安全，后果極其可怕。之前就發(fā)生過由于比特幣隨機數(shù)產(chǎn)生器出現(xiàn)問題所導致的比特幣被盜事件，理論上，在簽名過程中兩次使用同一個隨機數(shù)，就能推導出私鑰。

　　2. 共識機制安全

　　當前的區(qū)塊鏈技術中已經(jīng)出現(xiàn)了多種共識算法機制，最常見的有PoW、PoS、DPos。但這些共識機制是否能實現(xiàn)并保障真正的安全，需要更嚴格的證明和時間的考驗。

　　3. 區(qū)塊鏈使用安全

　　區(qū)塊鏈技術一大特點就是不可逆、不可偽造，但前提是私鑰是安全的。私鑰是用戶生成并保管的，理論上沒有第三方參與。私鑰一旦丟失，便無法對賬戶的資產(chǎn)做任何操作。一旦被黑客拿到，就能轉(zhuǎn)移數(shù)字貨幣。

　　4. 系統(tǒng)設計安全

　　像Mt.Gox平臺由于在業(yè)務設計上存在單點故障，所以其系統(tǒng)容易遭受DoS攻擊。目前區(qū)塊鏈是去中心化的，而交易所是中心化的。中心化的交易所，除了要防止技術盜竊外，還得管理好人，防止人為盜竊。

　　總體來說，從安全性分析的角度，區(qū)塊鏈面臨著算法實現(xiàn)、共識機制、使用及設計上挑戰(zhàn)，同時黑客通過利用系統(tǒng)安全漏洞、業(yè)務設計缺陷也可達成攻擊目的。目前，黑客攻擊已經(jīng)在對區(qū)塊鏈系統(tǒng)安全性造成越來越大的影響。

　　三、如何保證區(qū)塊鏈的安全

　　為了保證區(qū)塊鏈系統(tǒng)安全，建議參照NIST的網(wǎng)絡安全框架，從戰(zhàn)略層面、一個企業(yè)或者組織的網(wǎng)絡安全風險管理的整個生命周期的角度出發(fā)構建識別、保護、檢測、響應和恢復5個核心組成部分，來感知、阻斷區(qū)塊鏈風險和威脅。

　　除此之外，根據(jù)區(qū)塊鏈技術自身特點重點關注算法、共識機制、使用及設計上的安全。

　　針對算法實現(xiàn)安全性：一方面選擇采用新的、本身經(jīng)得起考驗的密碼技術，如國密公鑰算法SM2等。另一方面對核心算法代碼進行嚴格、完整測試的同時進行源碼混淆，增加黑客逆向攻擊的難度和成本。

　　針對共識算法安全性：PoW中使用防ASIC雜湊函數(shù)，使用更有效的共識算法和策略。

　　針對使用安全性：對私鑰的生成、存儲進行保護，敏感數(shù)據(jù)加密存儲。

　　針對設計安全性：一方面要保證設計的功能盡量完善，如采用私鑰白盒簽名技術，防止病毒、木馬在系統(tǒng)運行過程中提取私鑰;設計私鑰泄露追蹤功能，盡可能減少私鑰泄露后的損失。另一方面，應對某些關鍵業(yè)務設計去中心化，防止單點故障攻擊。
第三十四屆CIO班招生
國際CIO認證培訓
首席數(shù)據(jù)官（CDO）認證培訓

責編：zhangxuefeng

免責聲明：本網(wǎng)站（http://www.www.gypb.net/）內(nèi)容主要來自原創(chuàng)、合作媒體供稿和第三方投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
本網(wǎng)站刊載的所有內(nèi)容（包括但不僅限文字、圖片、LOGO、音頻、視頻、軟件、程序等）版權歸原作者所有。任何單位或個人認為本網(wǎng)站中的內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，請及時通知本站，予以刪除。