http://www.7klian.com

一文看懂主流区块链进攻底层逻辑

系统应用层安详风险主要会合在用户节点、数字资产钱包以及生意业务平台上。

一是设计隐私掩护技能方案,区块链在设计和实现时,宜思量提供适当的隐私掩护方案来增强对其上运行的隐私数据的掩护。

为防御智能合约层的安详风险,首先,在开拓数值计较相关的智能合约时应该利用安详数值计较库,并做完整的生命周期式安详合规查抄,防备整数溢出裂痕;应充实考量智能合约执行的成果,不能对数据完整性、安详性僻静台不变性发生负面影响。

公有链对插手个中的用户不设任何会见授权机制,恶意节点可在插手后决心扰乱运行秩序,粉碎正常业务;而许可链尽量配置了差异品级的会见节制机制,也大概存在恶意节点操作裂痕混入进而展开进攻,或产生节点连系等环境。

大部门公有区块链系统以P2P网络为基本,P2P网络技能重要的特点就是开放性,它在带来利便的同时,也陪伴着各类安详问题。

整数溢出进攻是指假如进攻者向智能合约提供了一个超出代码处理惩罚范畴的参数,就会发生瓦解功效,这样的瓦解助长了多重进攻。瓦解大概触发拒绝处事进攻,更严重地,关于系统内部的重要信息大概会在错误动静中泄漏。2018年头,区块链形式化验证平台VaaS(Verification as a Service)检测发明,基于EOS区块链的代币合约同样大概存在BEC代币合约雷同的整数溢出裂痕。

该安详进攻手段使得热钱包和冷钱包都面对较大的风险。2018年7月11日上午,在宣布EOS账户存在”彩虹“进攻风险的高危预警后,区块链安详公司PeckShield紧张启动陈设了一系列应急处理惩罚方案。个中启用的EOS Rescuer民众查询处事已累计提供数万次查询,监测到的受影响的高危账户资产也已做妥善打点。

为代表的公有链多利用POW共鸣机制。POW共鸣机制本质上就是在所有提供算力资源的集群中通过一种算法机制选择出一个幸运节点,因POW算法不存在终局性(即可被后期追赶的最长链推翻)状态,一旦总算力过小,则很是容易被进攻者挟制整个区块链,严重影响区块链系统的安详性。

以Peercoin为代表的加密钱币利用POS共鸣机制。回收事情量证明机制刊行新币,回收权益证明机制维护网络安详。POS机制按照每个节点拥有代币的比例和时间,依据算法等比例地低落节点的挖矿难度,从而加速了寻找随机数的速度。这种共鸣机制可以缩短告竣共鸣所需的时间,但本质上仍然需要网络中的节点举办挖矿运算。

三是会见节制,区块链在设计和实现时,应采纳技能法子节制隐私相关数据的会见权限,对隐私数据会见者举办身份验证并查抄其授权。

区块链技能连年来快速成长,其代价获得越来越多承认的同时,技能与应用方面的安详挑战也逐渐凸显。

在CIA三要素中,区块链在确保完整性和可用性方面天然具有某种优势,但在确保机要性方面尚存在较大挑战。

2017年10月2日,OKCoin旗下生意业务所呈现大量账户被盗环境,不完全统计损失金额在1000万元人民币阁下,用户猜疑平台已被进攻,或有已被封锁平台的生意业务所员工向黑客泄漏了平台用户的账户信息,黑客通过用户信息破解账户暗码登录平台,然后在平台上完成数字资产转移。

竣事语

虽然,在实现匿名的进程中,所需的价钱大概较高,也大概给追踪与禁锢带来很是大的挑战。

安详多方计较是办理一组互不信任的参加方之间隐私掩护的协同计较问题,安详两方计较作为其特例,一般基于夹杂电路和不经意传输等技能实现。TEE技能则是在信任特定硬件设备(如Intel芯片的SGX成果)难以攻破的前提下选择在受硬件掩护的Enclave情况中解密外部输入数据、执行智能合约代码、加密输出数据,此进程中明文信息只呈此刻Enclave中但不能被外部看到。

P2P网络依赖四周的节点举办信息传输会袒露对方的IP,进攻者可以操作这个裂痕给其他节点带来安详威胁,区块链节点大概是普通家庭PC,大概是云处事器等等,其安详性东倒西歪,个中安详性较差的节点更易蒙受进攻,进而影响P2P网络的整体安详。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。