区块链作为当下最热门的一项技术,安全性威胁是其迄今所面临的最重要的问题之一,从底层安全技术研究曝光,到如今越来越多的虚拟货币被盗,交易所被攻击等,不难预见随着区块链技术所产生的价值越来越高,所遭受的攻击还会持续增加。为了帮助区块链从业者全面了解生态目前面临的安全问题,更好地助推区块链技术和产业发展,日前,知道创宇CEO赵伟受邀出席迭代成长营,围绕区块链安全主题,与众多业内人士分享了包括数字资产交易所安全、公链安全、智能合约安全等区块链全方位安全防御案例。
截至目前,全球区块链安全事件中,交易所攻击共计损失约15亿美金,智能合约攻击损失12亿美金,普通用户攻击损失1.73亿美金,矿工矿场安全事件、共识机制安全事件、钱包攻击等也带来上亿损失。区块链安全风险或已遍布区块链几乎全部结构中以及其项目的全生命周期、多业务场景中。
拿安全事件最密集、损失也最大的交易所来说,作为对外提供服务的中心化节点,大量的加密数字货币会沉淀在平台中,为黑客作恶提供了合适的攻击目标。通过DDoS攻击、CC攻击、安全漏洞审计、Web应用安全攻击等手段对应用平台的Web网站、APP、API接口等进行攻击和渗透,给平台的正常稳定运行造成威胁。黑产通过“猫池”、“接码平台”批量注册账号,在应用平台或项目方的各个渠道中“抢糖果”使应用平台及项目方用于推广获客的资金“打水漂”,严重影响应用平台的社群及声誉。
2015年7月19日,数字资产交易平台火币网在毫无征兆的情况下突然遭遇猛烈UDPFLOOD攻击,受到的攻击流量和数据包峰值瞬间飙升到84517Mbps和30953746pps。攻击者在此次闪电突袭受挫后转为麻雀战术,各种间歇性小规模攻击一直不断,企图消耗防御带宽。2015年7月28日,在纠集了58913个肉鸡僵尸后,攻击者开启了正面大决战,CC攻击流量急剧攀升到51023.30GB,火币的云防御平台的协同防御武器很快给予颜色,攻击者不得不鸣金收兵。没过多久,攻击者再次利用51890个肉鸡,制造12238.33GB CC流量试图最后一搏,但已被云防御标记过的僵尸肉鸡早已不能为非作歹。危机虽然已化解,但兵者诡道,日常防御巡检还需加强,安全防御仍需时刻准备迎接大波的网络攻击。
针对数字资产交易平台,需要做好从办公网络到业务网络的全方位防护,覆盖数字资产安全、算力安全、服务中心安全、外部系统安全、客户端安全等各节点,安全防御也需要贯穿从项目开发到平台推广到日常运营的全周期。
再来看当下十分棘手的智能合约安全问题,代码重入漏洞曾经导致了著名的 DAO 攻击,造成价值逾5000万美元的损失;Bitfinex发现的安全漏洞导致了每位用户的账户平均损失36%;Parity客户端附带的多重签名钱包被发现存在严重漏洞,黑客借此将里面所有的资产转移出来;BEC被爆遭遇严重攻击被持续砸盘,百亿美金项目瞬时归零,随后SMT也被爆出相似重大安全漏洞并被攻击者利用……
正是由于区块链公链以及智能合约的开源属性,智能合约一经发布,在区块链上的所有用户都可以看到该智能合约,这会导致包括安全漏洞在内的所有漏洞都可见,并且可能无法迅速修复。目前智能合约主要会面临隐私泄漏、交易的溢出与异常、拒绝服务攻击、权限控制漏洞等安全隐患,黑客攻击利用漏洞并配合金融手段将带来更惨重的损失。有调查显示,89%的智能合约代码都存在安全漏洞,这个令人震惊的数据对社区及产业而言都是一个巨大的风险因素。
上述安全事件,也只是区块链行业重重安全威胁的冰山一角。比如,数字钱包作为保存加密数字货币的载体,也成为黑客关注的重点,通过篡改钱包地址、恢复助记词以及窃取“根密钥”等方式窃取用户和机构的加密数字货币。矿机、矿场通过计算算力的积累进行“挖矿”来获取加密数字货币,黑客可以通过渗透控制矿机甚至矿场的管理权限,从而实现“窃取算力挖矿”。不少区块链项目务求用最短时间让公链、平台、项目上线运营,从而忽视了员工信息安全意识培养及内部办公环境中存在的安全隐患。针对普通投资用户,黑客通过社会工程学手段获取用户账号和密码,盗取用户在平台中的数字货币或利用金融手段非法套利。
正是由于区块链的“安全神话”早已破灭,因此区块链从业者需要把安全意识放在项目成长的全过程中,安全意识不是等房子点着了去救火,而是要尽早发现并掐灭每一个星星火种。针对每个阶段的安全侧重点,从技术安全、业务安全、商业安全以及合规安全等维度全面防护。如今,黑客的攻击已逐渐向精准化、定制化发展,防御方案也需要是定制的铠甲。
网友评论