區(qū)塊鏈有哪些安全軟肋
區(qū)塊鏈?zhǔn)潜忍貛胖械暮诵募夹g(shù)���,在無(wú)法建立信任關(guān)系的互聯(lián)網(wǎng)上,區(qū)塊鏈技術(shù)依靠密碼學(xué)和巧妙的分布式算法�����,無(wú)需借助任何第三方中心機(jī)構(gòu)的介入���,用數(shù)學(xué)的方法使參與者達(dá)成共識(shí)��,保證交易記錄的存在性���、合約的有效性以及身份的不可抵賴性�����。
區(qū)塊鏈技術(shù)常被人們提及的特性是去中心化、共識(shí)機(jī)制等��,由區(qū)塊鏈引申出來(lái)的虛擬數(shù)字貨幣是目前全球最火爆的項(xiàng)目之一�����,正在成就出新的一批億萬(wàn)級(jí)富豪���。像幣安交易平臺(tái)�����,成立短短幾個(gè)月��,就被國(guó)際知名機(jī)構(gòu)評(píng)級(jí)市值達(dá)400億美金�����,成為了最富有的一批數(shù)字貨幣創(chuàng)業(yè)先驅(qū)者�。但是自從有數(shù)字貨幣交易所至今����,交易所被攻擊����、資金被盜事件層出不窮����,且部分?jǐn)?shù)字貨幣交易所被黑客攻擊損失慘重,甚至倒閉�����。
一�����、 令人震驚的數(shù)字貨幣交易所被攻擊事件
從最早的比特幣�,到后來(lái)的萊特幣、以太幣�,目前已有幾百種數(shù)字貨幣。隨著價(jià)格的攀升��,各種數(shù)字貨幣系統(tǒng)被攻擊��、數(shù)字貨幣被盜事件不斷增加,被盜金額也是一路飆升����。讓我們來(lái)回顧一下令人震驚的數(shù)字貨幣被攻擊、被盜事件�����。
2014年2月24日���,當(dāng)時(shí)世界最大的比特幣交易所運(yùn)營(yíng)商Mt.Gox宣布其交易平臺(tái)的85萬(wàn)個(gè)比特幣已經(jīng)被盜一空,承擔(dān)著超過(guò)80%的比特幣交易所的Mt.Gox由于無(wú)法彌補(bǔ)客戶損失而申請(qǐng)破產(chǎn)保護(hù)����。
經(jīng)分析,原因大致為Mt.Gox存在單點(diǎn)故障結(jié)構(gòu)這種嚴(yán)重的錯(cuò)誤����,被黑客用于發(fā)起DDoS攻擊:
比特幣提現(xiàn)環(huán)節(jié)的簽名被黑客篡改并先于正常的請(qǐng)求進(jìn)入比特幣網(wǎng)絡(luò),結(jié)果偽造的請(qǐng)求可以提現(xiàn)成功�����,而正常的提現(xiàn)請(qǐng)求在交易平臺(tái)中出現(xiàn)異常并顯示為失敗�,此時(shí)黑客實(shí)際上已經(jīng)拿到提現(xiàn)的比特幣了,但是他繼續(xù)在Mt.Gox平臺(tái)請(qǐng)求重復(fù)提現(xiàn)�����,Mt.Gox在沒(méi)有進(jìn)行事務(wù)一致性校驗(yàn)(對(duì)賬)的情況下,重復(fù)支付了等額的比特幣��,導(dǎo)致交易平臺(tái)的比特幣被竊取����。
2016年8月4日,最大的美元比特幣交易平臺(tái)Bitfinex發(fā)布公告稱����,網(wǎng)站發(fā)現(xiàn)安全漏洞,導(dǎo)致近12萬(wàn)枚比特幣被盜����,總價(jià)值約為7500萬(wàn)美元。
2018年1月26日���,日本的一家大型數(shù)字貨幣交易平臺(tái)Coincheck系統(tǒng)遭遇黑客攻擊���,導(dǎo)致時(shí)價(jià)580億日元、約合5.3億美元的數(shù)字貨幣“新經(jīng)幣”被盜�����,這是史上最大的數(shù)字貨幣盜竊案。
2018年3月7日���,世界第二大數(shù)字貨幣交易所幣安(Binance)被黑客攻擊的消息讓幣圈徹夜難眠����,黑客竟然玩起了經(jīng)濟(jì)學(xué)�,買空賣空“炒幣”割韭菜。根據(jù)幣安公告�����,黑客的攻擊過(guò)程包括:
1) 在長(zhǎng)時(shí)間里�����,利用第三方釣魚(yú)網(wǎng)站偷盜用戶的賬號(hào)登錄信息�。黑客通過(guò)使用Unicode字符冒充正規(guī)Binance網(wǎng)址域名里的部分字母對(duì)用戶實(shí)施網(wǎng)頁(yè)釣魚(yú)攻擊���。
2) 黑客獲得賬號(hào)后�����,自動(dòng)創(chuàng)建交易API�����,之后便靜默潛伏�����。
3) 3月7日黑客通過(guò)盜取的API Key��,利用買空賣空的方式��,將VIA幣值直接拉暴100多倍���,比特幣大跌10%���,以全球總計(jì)1700萬(wàn)個(gè)比特幣計(jì)算,比特幣一夜丟了170億美元��。
二���、黑客攻擊為什么能屢屢得手
基于區(qū)塊鏈的數(shù)字貨幣其火熱行情讓黑客們垂涎不已��,被盜金額不斷刷新紀(jì)錄��,盜竊事件的發(fā)生也引發(fā)了人們對(duì)數(shù)字貨幣安全的擔(dān)憂�,人們不禁要問(wèn):區(qū)塊鏈技術(shù)安全嗎?
隨著人們對(duì)區(qū)塊鏈技術(shù)的研究與應(yīng)用�,區(qū)塊鏈系統(tǒng)除了其所屬信息系統(tǒng)會(huì)面臨病毒、木馬等惡意程序威脅及大規(guī)模DDoS攻擊外����,還將由于其特性而面臨獨(dú)有的安全挑戰(zhàn)。
1. 算法實(shí)現(xiàn)安全
由于區(qū)塊鏈大量應(yīng)用了各種密碼學(xué)技術(shù)�,屬于算法高度密集工程,在實(shí)現(xiàn)上比較容易出現(xiàn)問(wèn)題��。歷史上有過(guò)此類先例�,比如NSA對(duì)RSA算法實(shí)現(xiàn)埋入缺陷,使其能夠輕松破解別人的加密信息�。一旦爆發(fā)這種級(jí)別的漏洞��,可以說(shuō)構(gòu)成區(qū)塊鏈整個(gè)大廈的地基將不再安全���,后果極其可怕。之前就發(fā)生過(guò)由于比特幣隨機(jī)數(shù)產(chǎn)生器出現(xiàn)問(wèn)題所導(dǎo)致的比特幣被盜事件��,理論上�����,在簽名過(guò)程中兩次使用同一個(gè)隨機(jī)數(shù),就能推導(dǎo)出私鑰��。
2. 共識(shí)機(jī)制安全
當(dāng)前的區(qū)塊鏈技術(shù)中已經(jīng)出現(xiàn)了多種共識(shí)算法機(jī)制���,最常見(jiàn)的有PoW�����、PoS�����、DPos����。但這些共識(shí)機(jī)制是否能實(shí)現(xiàn)并保障真正的安全�����,需要更嚴(yán)格的證明和時(shí)間的考驗(yàn)����。
3. 區(qū)塊鏈?zhǔn)褂冒踩?
區(qū)塊鏈技術(shù)一大特點(diǎn)就是不可逆���、不可偽造,但前提是私鑰是安全的��。私鑰是用戶生成并保管的,理論上沒(méi)有第三方參與。私鑰一旦丟失����,便無(wú)法對(duì)賬戶的資產(chǎn)做任何操作�。一旦被黑客拿到�����,就能轉(zhuǎn)移數(shù)字貨幣����。
4. 系統(tǒng)設(shè)計(jì)安全
像Mt.Gox平臺(tái)由于在業(yè)務(wù)設(shè)計(jì)上存在單點(diǎn)故障,所以其系統(tǒng)容易遭受DoS攻擊��。目前區(qū)塊鏈?zhǔn)侨ブ行幕?����,而交易所是中心化的����。中心化的交易所,除了要防止技術(shù)盜竊外�,還得管理好人,防止人為盜竊�。
總體來(lái)說(shuō),從安全性分析的角度��,區(qū)塊鏈面臨著算法實(shí)現(xiàn)�����、共識(shí)機(jī)制�����、使用及設(shè)計(jì)上挑戰(zhàn)��,同時(shí)黑客通過(guò)利用系統(tǒng)安全漏洞��、業(yè)務(wù)設(shè)計(jì)缺陷也可達(dá)成攻擊目的�。目前,黑客攻擊已經(jīng)在對(duì)區(qū)塊鏈系統(tǒng)安全性造成越來(lái)越大的影響��。
三��、如何保證區(qū)塊鏈的安全
為了保證區(qū)塊鏈系統(tǒng)安全,建議參照NIST的網(wǎng)絡(luò)安全框架��,從戰(zhàn)略層面����、一個(gè)企業(yè)或者組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的整個(gè)生命周期的角度出發(fā)構(gòu)建識(shí)別、保護(hù)�、檢測(cè)����、響應(yīng)和恢復(fù)5個(gè)核心組成部分,來(lái)感知�����、阻斷區(qū)塊鏈風(fēng)險(xiǎn)和威脅���。
除此之外�����,根據(jù)區(qū)塊鏈技術(shù)自身特點(diǎn)重點(diǎn)關(guān)注算法、共識(shí)機(jī)制�、使用及設(shè)計(jì)上的安全�����。
針對(duì)算法實(shí)現(xiàn)安全性:一方面選擇采用新的�、本身經(jīng)得起考驗(yàn)的密碼技術(shù)����,如國(guó)密公鑰算法SM2等。另一方面對(duì)核心算法代碼進(jìn)行嚴(yán)格�����、完整測(cè)試的同時(shí)進(jìn)行源碼混淆����,增加黑客逆向攻擊的難度和成本。
針對(duì)共識(shí)算法安全性:PoW中使用防ASIC雜湊函數(shù)���,使用更有效的共識(shí)算法和策略�����。
針對(duì)使用安全性:對(duì)私鑰的生成���、存儲(chǔ)進(jìn)行保護(hù)�,敏感數(shù)據(jù)加密存儲(chǔ)�����。
針對(duì)設(shè)計(jì)安全性:一方面要保證設(shè)計(jì)的功能盡量完善����,如采用私鑰白盒簽名技術(shù),防止病毒���、木馬在系統(tǒng)運(yùn)行過(guò)程中提取私鑰����;設(shè)計(jì)私鑰泄露追蹤功能�����,盡可能減少私鑰泄露后的損失���。另一方面�,應(yīng)對(duì)某些關(guān)鍵業(yè)務(wù)設(shè)計(jì)去中心化���,防止單點(diǎn)故障攻擊��。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試�����,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情���;
? 想學(xué)習(xí)CDA考試教材,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫(kù)��,點(diǎn)擊>>> “CDA題庫(kù)” 了解CDA考試詳情���;
? 想了解CDA考試含金量�,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情�����;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營(yíng)許可證編號(hào):京B2-20210330