隨著越來越的人參與到區塊鏈這個行業中來,為行業注入新活力的同時也由于相關知識的薄弱以及安全意識的匱乏,給了攻擊者更多的可乘之機。面對頻頻爆發的安全事件,慢霧特推出區塊鏈安全入門筆記系列,向大家介紹區塊鏈安全相關名詞,讓新手們更快適應區塊鏈危機四伏的安全攻防世界!系列回顧:區塊鏈安全入門筆記(一)|慢霧科普區塊鏈安全入門筆記(二)|慢霧科普區塊鏈安全入門筆記(三)|慢霧科普區塊鏈安全入門筆記(四)|慢霧科普區塊鏈安全入門筆記(五)|慢霧科普智能合約SmartContract
智能合約(SmartContract)并不是一個新的概念,早在1995年就由跨領域法律學者NickSzabo提出:智能合約是一套以數字形式定義的承諾(Promises),包括合約參與方可以在上面執行這些承諾的協議。在區塊鏈領域中,智能合約本質可以說是一段運行在區塊鏈網絡中的代碼,它以計算機指令的方式實現了傳統合約的自動化處理,完成用戶所賦予的業務邏輯。隨著區塊鏈智能合約數量的與日俱增,隨之暴露出來的安全問題也越來越多,攻擊者常能利用漏洞入侵系統對智能合約用戶造成巨大損失,據SlowMistHacked統計,截止目前僅ETH、EOS、TRON三條鏈上因智能合約被攻擊而導致的損失就高達$126,883,725.92,具有相同攻擊特征的手法更是呈現出多次得手且跨公鏈的趨勢,接下來我們將為大家介紹近年來一些常見的智能合約攻擊手法。交易回滾攻擊RollBackAttack
現場 | 閻冠和:區塊鏈技術應用為大數據提供了新一代精準化個性化的服務:金色財經現場報道,由中關村科技園區管理委員會、中國信息協會指導,中國信息化發展研究院、中國通信工業協會區塊鏈專委會主辦的區塊鏈&數字經濟高峰論壇暨2019第八屆中關村大數據日于12月12日北京中關村舉行。中國信息協會專家委員會主任委員、原副會長閻冠和發表致辭,他表示,本次論壇是一次對大數據的生動實踐,對充分發揮新一代信息技術對實體經濟具有充分的帶動作用。當前數字經濟進入數字化,全球化融合發展階段,引發全球產業變革,推動互聯網+、大數據、人工智能、區塊鏈等技術應用,為行業提供新一代精準化個性化服務,是中國信息協會探索的方向,中協會一直以來與中關村大數據產業聯盟助力企業成長,聚合產業,砥礪前行,為構建創新驅動攜手行業,構筑新的產業生態。[2019/12/12]
交易回滾攻擊(RollBackAttack),故名思義,指的是能對交易的狀態進行回滾。回滾具體是什么意思呢?回滾具體指的是將已經發生的狀態恢復成它未發生時候的樣子。那么,交易回滾的意思就是將已經發生的交易變成未發生的狀態。即攻擊者本來已經發生了支付動作,但是通過某些手段,讓轉賬流程發生錯誤,從而回滾整個交易流程,達到交易回滾的目的,這種攻擊手法多發于區塊鏈上的的智能合約游戲當中,當用戶的下注動作和合約的開獎動作在一個交易內的時候,即內聯交易。攻擊者就可以通過交易發生時檢測智能合約的某些狀態,獲知開獎信息,根據開獎信息選擇是否對下注交易進行回滾。該攻擊手法早期常用于EOSDApp上,后逐步向波場等其他公鏈蔓延,截止目前,已有12個DApp遭遇攻擊,慢霧安全團隊建議開發者們不要將用戶的下注與開獎放在同一個交易內,防止攻擊者通過檢測智能合約中的開獎狀態實現交易回滾攻擊。交易排擠攻擊TransactionCongestionAttack
動態 | 美國新罕布什爾大學法學院開設針對數字貨幣和區塊鏈的法律課程:據Coindesk報道,新罕布什爾大學法學院(UNH Law)開設針對區塊鏈和加密貨幣的法律課程,并向完成該課程的學生提供區塊鏈證書。超過100名學生表達了對該課程的興趣,院方計劃邀請眾多業內人士作為客座講師,包括美國證券交易委員會的Hester Peirce,以太坊基金會研究員Vlad Zamfir和MyCrypto首席執行官Taylor Monahan等。[2019/1/10]
交易排擠攻擊(TransactionCongestionAttack)是針對EOS上的使用defer進行開獎的游戲合約的一種攻擊手法,攻擊者可以通過某些手段,在游戲合約的defer開獎交易前發送大量的defer交易,惡意侵占區塊內的CPU資源,使得智能合約內本應在指定區塊內執行的defer開獎交易因資源不足無法執行,只能去到下一個區塊才執行。由于很多EOS上的游戲智能合約使用區塊信息作為智能合約本身的隨機數,同一個defer開獎交易在不同區塊內的執行結果是不一樣的。通過這樣的方式,攻擊者在獲知無法中獎的時候,就通過發送大量的defer交易,強行讓智能合約重新開獎,從而達到攻擊目的。該攻擊手法最早在黑客loveforlover向EOS.WIN發起攻擊時被發現,隨后相同的攻擊手法多次得手,據SlowMistHacked統計僅2019年就有22個競猜類DApp因此損失了大量資金,慢霧安全團隊建議智能合約開發者對在不同區塊內執行結果不同的關鍵的操作不要采用defer交易的方式,降低合約被攻擊的風險。隨機數攻擊RandomNumberAttack
動態 | 印度移動電話運營商協會欲用區塊鏈技術遏制垃圾電話和短信:據印度時報消息,印度移動電話運營商協會(COAI)目前正在審查各個運營商基于區塊鏈技術的解決方案,已遏制未經電信監管機構批準的商業通信(UCC)或垃圾電話和短信。據悉,COAI代表印度所有主要的電信公司,包括Bharti Airtel、Vodafone India,Idea Cellular和Reliance Jio。[2018/8/28]
隨機數攻擊(RandomNumberAttack),就是針對智能合約的隨機數生成算法進行攻擊,預測智能合約的隨機數。目前區塊鏈上很多游戲都是采用的鏈上信息作為游戲合約的隨機數源,也稱隨機數種子。使用這種隨機數種子生成的隨機數被稱為偽隨機數。偽隨機數不是真的隨機數,存在被預測的可能。當使用可被預測的隨機數種子生成隨機數的時候,一旦隨機數生成的算法被攻擊者猜測到或通過逆向等其他方式拿到,攻擊者就可以根據隨機數的生成算法預測游戲即將出現的隨機數,實現隨機數預測,達到攻擊目的。2018年11月11日,攻擊者向EOS.WIN發起連續隨機數攻擊,共獲利20,000枚EOS,在此慢霧安全團隊建議智能合約開發者使用安全的隨機數源作為合約隨機數,如通過使用鏈下的隨機數種子生成隨機數的方式上傳至鏈上,降低合約被攻擊的風險。
現場 | 火幣韓國首席區塊鏈分析師:比特幣ETF會成為現實:金色財經現場報道,8月2日,在火幣嘉年華(HUOBI CARNIVAL)嘉賓討論環節,火幣韓國首席區塊鏈分析師就比特幣ETF問題表示,比特幣ETF一定會成為現實,但是具體在什么時候并不能確定,因為要經過很多的程序,以預防比特幣價格被操縱。[2018/8/2]
編者按:本文來自Coindesk,作者DanielKuhn;由Odaily星球日報秦曉峰編譯、盧曉明編輯,轉載時請務必注明出處。針對ICO項目,美國證券交易委員會近日再次行動.
1900/1/1 0:00:00編者按:本文來自谷燕西,星球日報經授權發布。Libra當然不是一只紙老虎。否則的話,它也不會引起全球金融監管的高度重視,美國國會也不會很快就此召開聽證會,調查Libra項目的真實企圖和以及它會帶.
1900/1/1 0:00:00作者|秦曉峰編輯|盧曉明出品|Odaily星球日報據Coindesk報道,英國稅務機關——英國稅務海關總署(HMRevenue&Customs)正向加密貨幣交易所施壓.
1900/1/1 0:00:00文字及數據|Carol編輯|TongEOS作為PoS類共識機制中最知名的項目,隨著今年Staking的興起,EOS超級節點的經營之道也一直備受關注.
1900/1/1 0:00:00編者按:本文來自區塊律動BlockBeats,作者:0x30,Odaily星球日報經授權轉載。如果今天對你說,比特幣在2年前有機會被控制在中國人手里,你會相信么?比特幣這個全球最知名、最神秘的投.
1900/1/1 0:00:00Odaily星球日報譯者|念銀思唐美國證券監管機構正在評估FacebookInc.計劃推出的加密貨幣Libra是否應該置于他們的監管之下.
1900/1/1 0:00:00