雖然有著越來越多的人參與到區塊鏈的行業之中,然而由于很多人之前并沒有接觸過區塊鏈,也沒有相關的安全知識,安全意識薄弱,這就很容易讓攻擊者們有空可鉆。面對區塊鏈的眾多安全問題,慢霧特推出區塊鏈安全入門筆記系列,向大家介紹十篇區塊鏈安全相關名詞,讓新手們更快適應區塊鏈危機四伏的安全攻防世界。
系列回顧:
區塊鏈安全入門筆記(一) | 慢霧科普
公鏈 Public Blockchain
公有鏈(Public Blockchain)簡稱公鏈,是指全世界任何人都可隨時進入讀取、任何人都能發送交易且能獲得有效確認的共識區塊鏈。公鏈通常被認為是完全去中心化的,鏈上數據都是公開透明的,不可更改,任何人都可以通過交易或挖礦讀取和寫入數據。一般會通過代幣機制(Token)來鼓勵參與者競爭記賬,來確保數據的安全性。
Ripple CEO:監管不確定性導致區塊鏈公司外流,歐盟為重要受益者:金色財經報道,Ripple首席執行官Brad Garlinghouse表示,一系列監管執法行動和規則的不確定性導致區塊鏈公司、資本和投資從美國海岸外流,由于這一趨勢,歐盟被列為重要受益者。Garlinghouse將責任歸咎于美國證券交易委員會(SEC),稱該機構一直“處于混亂的最前沿”。[2023/5/18 15:11:46]
由于要檢測所有的公鏈的工作量非常大,只靠一家公司不可能監測整個區塊鏈生態安全問題,這就導致了黑客極有可能在眾多公鏈之中找尋到漏洞進行攻擊。2017 年 4 月 1 日,Stellar 出現通脹漏洞,一名攻擊者利用此漏洞制造了 22.5 億的 Stellar 加密貨幣 XLM,當時價值約 1000 萬美元。
動態 | 交行依托區塊鏈技術打造國內首個資產證券化系統:據證券時報報道,日前,交行依托區塊鏈技術打造的國內首個資產證券化系統“鏈交融”正式上線,首批用戶同步上鏈。作為國內市場首創、基于分布式理念和區塊鏈技術的證券化系統,“鏈交融”依托第三方專業機構重點布局企業資產證券化業務,將原始權益人、信托、券商、投資人、評級、會計、律師、監管等參與方組成聯盟鏈,有效連接資金端與資產端,利用區塊鏈技術實現ABS業務體系的信用穿透,從而實現項目運轉全過程信息上鏈,使整個業務過程更加規范化、透明化及標準化。[2018/12/21]
圖片來自 SlowMist Hacked
動態 | Moneynetint簽約使用Ripple區塊鏈即時支付rails:據Coincryptorama消息,英國電子貨幣機構Moneynetint簽約使用Ripple公司的區塊鏈即時支付rails。為全球企業客戶提供跨境轉賬和貨幣兌換服務的Moneynetint已經完成了與RippleNet的整合過程。該公司已經開始收到另外兩家網絡合作伙伴的付款指令,并以安全分散的方式處理這些付款。[2018/10/16]
交易所 Exchange
與買賣股票的證券交易所類似,區塊鏈交易所即數字貨幣買賣交易的平臺。數字貨幣交易所又分為中心化交易所和去中心化交易所。
去中心化交易所:交易行為直接發生在區塊鏈上,數字貨幣會直接發回使用者的錢包,或是保存在區塊鏈上的智能合約。這樣直接在鏈上交易的好處在于交易所不會持有用戶大量的數字貨幣,所有的數字貨幣會儲存在用戶的錢包或平臺的智能合約上。去中心化交易通過技術手段在信任層面去中心化,也可以說是無需信任,每筆交易都通過區塊鏈進行公開透明,不負責保管用戶的資產和私鑰等信息,用戶資金的所有權完全在自己手上,具有非常好的個人數據安全和隱私性。目前市面上的去中心化交易所有 WhaleEx、Bancor、dYdX 等
精選 | 英國電力儲備公司使用區塊鏈能源交易平臺完成交易:據edie.net消息,EDF能源和英國電力儲備公司使用Electron開發的基于區塊鏈的能源交易平臺完成了首次容量市場交易。Electron公司表示,傳統交易可能需要長達五天的時間來處理,將容量市場交易規則納入平臺,可以自動執行合規性檢查,從而大大提高交易的速度和效率,現在幾乎可以立即處理。[2018/9/17]
中心化交易所:目前熱門的交易所大多都是采用中心化技術的交易所,使用者通常是到平臺上注冊,并經過一連串的身份認證程序(KYC)后,就可以開始在上面交易數字貨幣。用戶在使用中心化交易所時,其貨幣交換不見得會發生在區塊鏈上,取而代之的可能僅是修改交易所數據庫內的資產數字,用戶看到的只是賬面上數字的變化,交易所只要在用戶提款時準備充足的數字貨幣可供匯出即可。當前的主流交易大部分是在中心化交易所內完成的,目前市面上的中心化交易所有幣安,火幣,OKEx 等。
動態 | 法國建筑公司將與中國開發商合作建造區塊鏈驅動的摩天大樓:根ethnews援引福布斯7月10日報道,上個月,法國建筑公司XTU Architects與法國商業財團Systematic以及一家未公開的中國開發商合作,將建造一個環保的由區塊鏈檢測的摩天大樓。該項目在中國杭州市引入,目前仍然處于“愿景”階段。杭州一家工程公司將設計一個基于區塊鏈的網絡,旨在管理空氣質量,能源儲存以及在該建筑的四座塔樓之間交互的許多其他環境系統。[2018/7/13]
由于交易所作為連接區塊鏈世界和現實世界的樞紐,儲存了大量數字貨幣,它非常容易成為黑客們覬覦的目標,截止目前全球數字貨幣交易所因安全問題而遭受損失金額已超過 29 億美元(數據來源 SlowMist Hacked)。
圖片來自 SlowMist Hacked
數字貨幣領域,攻擊者的屠戮步伐從未停止。激烈的攻防對抗之下,防守方處于絕對的弱勢,其攻擊手法多種多樣,我們會在之后的文章中為大家進行介紹。職業黑客往往會針對數字貨幣交易所開啟定向打擊,因此慢霧安全團隊建議各方交易所加強安全建設,做好風控和內控安全,做到:“早發現,早預警,早止損。”
相關交易所防御建議可參考:
慢霧紅色警報:交易所接連被黑的防御建議
節點 Node
在傳統互聯網領域,企業所有的數據運行都集中在一個中心化的服務器中,那么這個服務器就是一個節點。由于區塊鏈是去中心化的分布式數據庫,是由千千萬萬個“小服務器”組成。區塊鏈網絡中的每一個節點,就相當于存儲所有區塊數據的每一臺電腦或者服務器。所有新區塊的生產,以及交易的驗證與記帳,并將其廣播給全網同步,都由節點來完成。節點分為“全節點”和“輕節點”,全節點就是擁有全網所有的交易數據的節點,那么輕節點就是只擁有和自己相關的交易數據節點。由于每一個全節點都保留著全網數據,這意味著,其中一個節點出現問題,整個區塊鏈網絡世界也依舊能夠安全運行,這也是去中心化的魅力所在。
RPC
遠程過程調用(Remote Procedure Call,縮寫為 RPC)是一個計算機通信協議。以太坊 RPC 接口是以太坊節點與其他系統交互的窗口,以太坊提供了各種 RPC 調用:HTTP、IPC、WebSocket 等等。在以太坊源碼中,server.go 是核心邏輯,負責 API 服務的注入,以及請求處理、返回。http.go 實現 HTTP 的調用,websocket.go 實現 WebSocket 的調用,ipc.go 實現 IPC 的調用。以太坊節點默認在 8545 端口提供了 JSON RPC 接口,數據傳輸采用 JSON 格式,可以執行 Web3 庫的各種命令,可以向前端(例如 imToken、Mist 等錢包客戶端)提供區塊鏈上的信息。
以太坊黑人節漏洞
ETH Black Valentine's Day
2018 年 3 月 20 日,慢霧安全團隊觀測到一起自動化盜幣的攻擊行為,攻擊者利用以太坊節點 Geth/Parity RPC API 鑒權缺陷,惡意調用 eth_sendTransaction 盜取代幣,持續時間長達兩年,單被盜的且還未轉出的以太幣價值就高達現價 2 千萬美金(以當時 ETH 市值計算),還有代幣種類 164 種,總價值難以估計(很多代幣還未上交易所正式發行)。
通過慢霧安全團隊獨有的墨子(MOOZ)系統對全球約 42 億 IPv4 空間進行掃描探測,發現暴露在公網且開啟 RPC API 的以太坊節點有 1 萬多個。這些節點都存在被直接盜幣攻擊的高風險。這起利用以太坊 RPC 鑒權缺陷實施的自動化盜幣攻擊,已經在全球范圍內對使用者造成了非常嚴重的經濟損失。
作者 | Fiona出品|白話區塊鏈挖礦最直接的獎勵莫過于出塊獎勵了。拿BTC來說,目前每挖出一個區塊會得到12.5個BTC的出塊獎勵(按現價大約是32.5萬RMB).
1900/1/1 0:00:00近期,美國區塊鏈項目Blockstack稱他們獲得了美國SEC的批準,發行價值2800萬美元的代幣,是首個符合Reg A+規則的合法STO項目.
1900/1/1 0:00:004 月 22 日至 24 日,ETHGlobal 在阿姆斯特丹舉辦 ETHAmsterdam 線下黑客松.
1900/1/1 0:00:00作者 | 芳芳出品|白話區塊鏈3月1日,以太坊進行了硬分叉——君士坦丁堡/圣彼得堡升級。在這之前,或許你有看到一部分業內人士在紛紛猜測以太坊的這次升級會不會最后分叉成兩條鏈,產生分叉幣.
1900/1/1 0:00:00來源:老雅痞 PoolTogether是一個以Premium Bonds為基礎的加密貨幣驅動的儲蓄協議,是最早和最廣泛使用的DeFi(去中心化金融)應用之一,已經上線三年多了.
1900/1/1 0:00:00近期,Yield Guild Games 在其合作伙伴名單中又添加了一批新的 P2E 游戲,旨在將其數萬 scholars 帶入到各類豐富的元宇宙中.
1900/1/1 0:00:00