2013年--2018年上半年,數字貨幣市場,曾發生多起安全事件,好幾起重大事故,都是因為黑客攻擊。為何黑客屢屢能得手呢?下面,鏈知道來做具體分析:
先來說區塊鏈的現有技術架構,大致分為底層硬件、基礎層、中間層、應用層四個層次。這么多的環節,只要出現差錯,區塊鏈的安全就會受到威脅或攻擊。而區塊鏈作為新興行業,在各類攻擊當中,仍屬傳統攻擊最多。
從2011年--2018年,共發生了86起安全事故,造成的損失高達35.5 億美元。而這當中,傳統攻擊占66%,智能合約攻擊占22%,剩下的12%都是共識協議攻擊。
至于傳統攻擊,最典型的例子就是黑客攻擊和用戶電腦感染木馬。這主要是因為,區塊鏈技術組合了現有的各種設施,雖然加入新的經濟及治理,但是,傳統攻擊仍然存在。特別是中心化交易所,背后Web 系統,所以自然不可避免會遭到傳統攻擊。
交易所和智能合約是重點攻擊對象!
攻擊交易所的方式,不外乎這四種:服務器被攻擊、主機安全問題、惡意程序感染、DDoS 攻擊。
至于智能合約,有人員長期檢測過,以太坊智能合約當中,有近一半的智能合約有安全隱患。
很多代幣會被黑客攻擊,主要就是利用了合約漏洞,大都是代碼層面的邏輯漏洞。寫代碼時,若是智能合約開發沒能充分優化,就會消耗過多的Gas,從而使得用戶節點遭受 DDoS 攻擊。
當然,關于智能合約攻擊,也并非這些層才有漏洞,或許是因為某些層的研究門檻低造成的。區塊鏈技術,每一層都有獨特的攻擊面,對于每層的攻擊,事后都要作深入分析,發現設計上的缺陷。
安全問題該怎么解決?
要想降低智能合約的安全隱患,測試、驗證智能合約這一步很重要,必須要納入智能合約設計環節。因為智能合約不像傳統代友,可以修補,它一旦上鏈,就不可更改。若檢測到漏洞,只能部署新的智能合約來修復。
智能合約驗證工具如下:完善測試文檔,讓安全測試流程標準化;模糊(Fuzzing)智能合約的輸入;為智能合約開發變異工具;搜索區塊鏈已經部署智能合約的痕跡。
檢驗方式,一測試,靠程序自動跑;二審計,靠專家去審核;三形式化驗證,需要借助數字方法。
鏈知道提醒:從用戶角度來說,特別是剛入行業的非技術型用戶,并沒有判斷 Dapp 真正目的的能力,建議要保管好自己的密鑰/資產。
數字錢包密鑰多由無規律的字母、數字組成,很多用戶為了方便,喜歡將它存在剪貼簿,用的時候直接復制。不過,若是自己電腦感染了木馬,黑客就會追蹤剪貼簿,那你的錢包就要被盜了。建議用戶,最好是參與專業安全審計機構把關的DApp 或游戲,并讓項目方將代碼開源,避免后門或漏洞。
安全是區塊鏈的必要,而市場也渴望安全感 。目前,區塊鏈創業公司還不多,畢竟這個行業門檻很高。建議創業者也要從攻擊者角度,來思考問題。
手機版
相關新聞