隨著越來越多的人參與到區塊鏈這個行業中來,為行業注入新活力的同時也由于相關知識的薄弱以及安全意識的匱乏,給了攻擊者更多的可乘之機,面對頻頻爆發的安全事件,擺渡人特意以自己看過的認知向新入圈的朋友們介紹區塊鏈的知識,
公鏈Public Blockchain
公有鏈(Public Blockchain)簡稱公鏈,是指全世界任何人都可隨時進入讀取、任何人都能發送交易且能獲得有效確認的共識區塊鏈,公鏈通常被認為是完全去中心化的,鏈上資料都是公開透明的,不可更改,任何人都可以通過交易或挖礦讀取和寫入資料,一般會通過代幣機制(Token)來鼓勵參與者競爭記賬,來確保資料的安全性,
由于要監測所有的公鏈的作業量非常大,只靠一家公司不可能監測整個區塊鏈生態安全問題,這就導致了黑客極有可能在眾多公鏈之中找尋到漏洞進行攻擊,2017年4月1日,Stellar出現通脹漏洞,一名攻擊者利用此漏洞制造了22.5億的Stellar加密貨幣XLM,當時價值約1000萬美元,
交易所Exchange
與買賣股票的證券交易所類似,區塊鏈交易所即數字貨幣買賣交易的平臺,數字貨幣交易所又分為中心化交易所和去中心交易所,
**去中心化交易所:**交易行為直接發生在區塊鏈上,數字貨幣會直接發回使用者的錢包,或是保存在區塊鏈上的智能合約,這樣直接在鏈上交易的好處在于交易所不會持有用戶大量的數字貨幣,所有的數字貨幣會儲存在用戶的錢包或平臺的智能合約上,去中心化交易通過技術手段在信任層面去中心化,也可以說是無需信任,每筆交易都通過區塊鏈進行公開透明,不負責保管用戶的資產和私鑰等資訊,用戶資金的所有權完全在自己手上,具有非常好的個人資料安全和隱私性,目前市面上的去中心化交易所有WhaleEx、Bancor、dYdX等
中心化交易所:目前熱門的交易所大多都是采用中心化技術的交易所,使用者通常是到平臺上注冊,并經過一連串的身份認證程式(KYC)后,就可以開始在上面交易數字貨幣,用戶在使用中心化交易所時,其貨幣交換不見得會發生在區塊鏈上,取而代之的可能僅是修改交易所資料庫內的資產數字,用戶看到的只是賬面上數字的變化,交易所只要在用戶提款時準備充足的數字貨幣可供匯出即可,當前的主流交易大部分是在中心化交易所內完成的,目前市面上的中心化交易所有幣安、火幣、OKEx等,
由于交易所作為連接區塊鏈世界和現實世界的樞紐,儲存了大量數字貨幣,它非常容易成為黑客們覬覦的目標,截止目前全球數字貨幣交易所因安全問題而遭受損失金額已超過29億美元,
數字貨幣領域,攻擊者的屠戮步伐從未停止,激烈的攻防對抗之下,防守方處于絕對的弱勢,其攻擊手法多種多樣,職業黑客往往會針對數字貨幣交易所開啟定向打擊,因此我們建議各方交易所加強安全建設,做好風控和內控安全,做到:“早發現,早預警,早止損,”
節點Node
在傳統互聯網領域,企業所有的資料運行都集中在一個中心化的服務器中,那么這個服務器就是一個節點,由于區塊鏈是去中心化的分布式資料庫,是由千千萬萬個“小服務器”組成,區塊鏈網路中的每一個節點,就相當于存盤所有區塊資料的每一臺電腦或者服務器,所有新區快的生產,以及交易的驗證與記賬,并將其廣播給全網同步,都由節點來完成,節點分為“全節點”和“輕節點”,全節點就是擁有全網所有的交易資料的節點,那么輕節點就是只擁有和自己相關的交易資料節點,由于每一個全節點都保留著全網資料,這意味著,其中一個節點出現問題,整個區塊鏈網路世界也依舊能夠安全運行,這也是去中心化的魅力所在,
RPC
遠程程序呼叫(Remote Procedure Call,縮寫為RPC)是一個計算機通信協議,以太坊RPC介面是以太坊節點與其他系統互動的視窗,以太坊提供了各種RPC呼叫:HTTP、IPC、WebSocket等等,在以太坊原始碼中,server go是核心邏輯,負責API服務的注入,以及請求處理、回傳,http.go實作HTTP的呼叫,websocket.go實作WebSocket的呼叫,ipc.go實作IPC的呼叫,以太坊節點默認在8545埠提供了JSON RPC介面,資料傳輸采用JSON格式,可以執行Web3庫的各種命令,可以向前端提供區塊鏈上的資訊,
以太坊黑色情人節漏洞ETH Black Valentine‘s Day
2018年3月20日,我們觀測到一起自動化盜幣的攻擊行為,攻擊者利用以太坊節點Geth/Parity RPC API鑒權缺陷,惡意呼叫eth-sendTransaction盜取代幣,持續時間長達兩年,單被盜的且還未轉出的以太幣價值就高達現價2千萬美金(以當時ETH市值計算),還有代幣種類164種,總價值難以估計(很多代幣還未上交易所正式發行),
通過我們對全球約42億IPv4空間進行掃描探測,發現暴露在公網且開啟RPC API的以太坊節點有1萬多個,這些節點都存在被直接盜幣攻擊的高風險,這起利用以太坊RPC鑒權缺陷實施的自動化盜幣攻擊,已經在全球范圍內對使用者造成了非常嚴重的經濟損失,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/209049.html
標籤:其他