请选择 进入手机版 | 继续访问电脑版
开启辅助访问
链路首页链路财经目前收录 币种 : 4908 交易所 : 310钱包 : 17 24H 交易量 : $43,403,137,051 总市值 : $245,388,183,835
2019
02/21
14:45
分享
评论
  • 一、前言

    2019年的到来开启了区块链的第十一年。截止至今,区块链已经从1.0时代历经2.0时代进入到了3.0时代。当下,我们看到监管、政策的利好不断释放与应用落地。我们能够清晰的看到、了解到区块链整体的进程。新生事物无到有,从有到具备知名度、影响力,足足的经历了漫长的阶段。随着区块链商业化应用开展与落地,我们看到越来越多的安全事件发生。俗话说的好,有黑就有白,要想一件有价值的事情得到发展,仅仅拥有鲜花还不足够,新事物还要经历落地的检验。政府、高校与以阿里巴巴为首的互联网巨头开始开展区块链实验室,基于区块链的商业应用的项目纷纷开始试水,落地。随着2019年各个国家颁布了治理政策,让区块链安全纳入监管的行业,区块链至此拨开乌云见明日,推动行业正向发展。

    回顾历史的长河,我们总能从历史当中看到、学到一些经验。从互联网浪潮上,整体互联网从出现到发展,我们足以窥得一些奥秘。我们会发现:新事物的出现会从不被大众所认可到被大众认可的过程。这个过程是漫长且艰辛,是不断经历市场的验证后被广为人知,并且真正的改变我们的生活。

    二、关于区块链

    区块链的本质是改变人的效率,去中心化并非妖魔化,并不是要与监管背离,而是将我们的生活、工作方式获得显著的提高,获得效率的提高,让生活与工作走向高效。如果传统的互联网会发生安全事件,那么新兴的区块链同样也会发生安全事件。笔者认为,凡是与财富有关的事物,都会存在安全隐患。同时区块链落地应用产品,作为新兴的产品由于其新,所经历的安全事件少,更加需要经历长时间的道路。

    故笔者依然延续每月撰写一篇安全态势,为从业者分析、观察月内的安全态势,在学习、了解、研究的基础上与区块链行业共同成长,本态势分析如有错误之处,欢迎各位同行指出并修正。

    三、区块链1月安全事件回顾2019年1月区块链安全事件

    5979985afde64cf3995accaeeea829de.png

    从上述数据所知,2019年1月仅根据BCSEC区块链安全网统计,在1月便发生25起安全事件。其中,重大的事件是cryptopia黑客攻击事件与ETC遭多次攻击,其中cryptopia黑客攻击事件已有警方介入调查。据此前报道,新西兰数字货币交易所Cryptopia发推声称遭黑客攻击,损失19390.6个ETH。在1月30日,新西兰Cryptopia交易所又遭黑客攻击。在进行了之前的1600万美元窃取休息了很多天后,Cryptopia黑客再次启动,从另外1700个的Cryptopia钱包中再窃取了1675个ETH(按1月30日的市场价格价值约18 万美元)。

    以下为新西兰交易所Cryptopia交易所两次被攻击新闻报道:

    5e7ff2c4469d473a8f30afdba5ecfcf4.jpeg

    84595f37ccce463883e493f2d50c094f.jpeg

    其次,第二重要事件便是ETC 51%发起攻击,如若拥有51%以上的算力,便可以发动双花。

    这两起事件在1月份凸显十分明显,在业界掀起了一波又一波的探讨。从安全的角度来看,公链如果被黑客掌握了51%以上的算力确实存在十足的安全风险。假设一下,如果被黑客发动双花攻击,资产是否安全?果然区块链当中最严重的依然是安全问题。

    四、区块链1月安全漏洞回顾

    在一月份,整个区块链生态中还是出现了不少的安全漏洞,其中有3起比较重大的安全漏洞。

      1、以太坊君士坦丁堡重入漏洞(中危)

    该漏洞由新启动的EIP 1283引起,漏洞危害准确的说应该是一种可能会让一些合约存在重入漏洞的隐患,而不是一定会使合约产生重入漏洞,但也因此并出于严谨的态度,以太坊基金会延迟了硬分叉升级。

    什么是重入漏洞?重入漏洞是指在同一笔交易中因两个合约互相调用而导致合约进行重复转账的一种现象,其产生的根源是没有使转账作为事务的最后一个步骤。

    比如说,如果在转账之后再进行状态变更的话就很容易重入漏洞,最经典的一起事件就是The DAO事件,所以最安全的做法是一笔事务中只有一笔转账,且在转账之前做好所有状态变更,转账作为最后一个操作进行,如果以这种标准来实现的话,是不会受EIP 1283影响的,所以这就是为什么说EIP 1283 只是可能使某些合约产生重入漏洞隐患。

    关于该漏洞的详细介绍可以在这里查看:

    https://bcsec.org/index/detail/tag/2/id/465

      2、PoS v3协议“假权益”漏洞(严重)

    该漏洞至少影响26个PoS币,其中5个在通知后已修复。据悉,该漏洞允许攻击者利用“假权益”攻击,以很小的成本导致网络中任何节点崩溃。公链一旦发生大量节点崩溃就存在51%攻击的风险,持该类币种用户需保持警惕。

    在一月份时,以下币种没有进行修复(Exploitable内容为✔代表已修复):

    18988c089c494106b53083580646137d.jpeg

    关于该漏洞的详细介绍可以在这里查看:

    https://bcsec.org/index/detail/tag/2/id/468

      3、EOS交易阻塞漏洞CVE-2019-6199(严重)

    01月11日起,区块链安全公司 PeckShield 率先披露了 EOS.Win 等一系列EOS竞猜类游戏遭到了新型交易阻塞攻击事件。不同于以往频发的随机数或交易回滚攻击等合约层的攻击行为,这是一种利用底层公链缺陷而发起的攻击行为。PeckShield 研究人员进行深入分析后发现,这是存在于主网层的致命拒绝服务漏洞,攻击者可发起大量垃圾延迟交易导致 EOS 全网超级节点(BP)无法打包其它正常交易,即通过阻断打包正常用户的交易进而瘫痪 EOS 网络。

    同时,该漏洞也对链上竞猜类游戏造成致命威胁。目前已经有EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等多款热门游戏遭到攻击。由于该漏洞本质上属于底层主网问题,任何DApp游戏,只要依赖如账号余额或时间等相关链上因素产生随机数,都存在被攻击的可能。

    PeckShield 安全人员已确认并复现该问题,并认为这是迄今为止 EOS 主网出现的最为致命的高危拒绝服务漏洞,可被黑客用来大面积攻击现有DApp,直接会影响现有几乎全部 EOS 竞猜类 DApp 的正常开奖,进而严重制约 EOS DApp 生态的发展,甚至可能导致主网瘫痪。

    这也是为什么在一月份出现大量EOS的DApp被攻击的原因。

    关于该漏洞的详细介绍可以在这里查看:

    https://bcsec.org/index/detail/tag/2/id/458

     

    五、黑客眼中的区块链,财富窃取如此简单?           

    国内外擅长理财的人期望通过比特币来进行财富保值增值,通过上述案例内容,我们不难发现,黑客同样瞄准了区块链的财富效应,想要让财富具备存储的安全性,有待验证,根据互联网资料查证,曾有人购买比特币存入钱包仍被黑客窃取。

    那么假如是投资到项目当中呢?即便是安全审计过的项目,依然会发起攻击。知名的案例便是THE DAO项目。即便如此,随着越来越多的攻击事件发生,安全审计已被众多新项目创建过程当中必要的程序中,安全被越来越多的业内人士注重起来。

     

    六、通过DVP平台数据来看看2019年1月的区块链的安全情况:      

    DVP平台一月漏洞数据

    216e905fba844aa29815835ed34a8424.png

    1月安全态势各大数据指标依然处于攀上当中,我们从上图可以看到风险厂商的数量是1151家,环比上月增长0.52%;资产损失风险率高达99.49%,环比上月增长0.69%;盗用篡改风险率为61.83%,环比上月增长0.08%;隐私泄露的风险率相较于上月为28.53%,环比上增长0.42%,均与12月相比持上升趋势。

    47ea4fc3dd7948149aab7578c0f6c26c.png

     风险厂商类型在2019年1月当中,交易平台占比72.09%、矿池占比23.26%、钱包占比2.33%、其他项目方占比2.32%。 我们可以看出交易平台依然是风险厂商系数最高的平台。

    213af4ffcb1a498d86a6009a1b31667a.png

    漏洞类型统计在2019年1月占比分别为:Web缺陷占比75.81%、智能合约缺陷占比22.58%、服务器缺陷占比1.61%。

    1f9996d573af4617b93fc5956ded5af9.jpeg

    DVP风险厂商榜单TOP 6(移步DVP官网看完整榜单)

    通过1月DVP平台漏洞数据,我们能够看出目前区块链安全漏洞资产损失事件仍然是区块链项目当中相当重要的一个环节之一,是行业内应该注重关注的方面。区块链项目唯有安全做的好,才会长久并且有源源的生命力,并且将未来的道路能够走的更宽、更长。

    笔者认为,当下区块链安全漏洞高居不下有以下三点原因:

      1、技术仍缺乏标准与规范

    针对区块链发展中存在的技术异构、标准和规范不统一,各家都有自己的基础构架。基础构架五花八门,仍然缺乏标准。

     2、安全意识仍需普及

    业内开发人员在编写代码时应着重安全意识的培养,企业团队加强团队开发人员的安全意识,避免因同样的问题造成重大安全问题。

      3、安全机构和人才队伍亟待建设

    行业仍需更多专业的机构与安全行业的人才的加入保护,去对抗花样翻新的黑客攻击手段,提升整体安全保障能力。

    综上所述,2019年随着区块链落地应用场景逐步增多、币价回温、国家政策等综合因素,区块链逐渐更加前进一步。2019年区块链将成为人们探索、改变世界的高价值产品,期待越来越多的好消息传送到每一个行业人的手中。我们能够确定的是:安全成为了人们逐步开始意识的重要角色。从现在来看,如果项目上线,首先对用户来讲,最开始关心的就是安全问题,如果企业产品安全没有做到位,首先遭到质疑的就是企业的技术水平与安全认知。同样用户使用产品的时候也会考虑到资产安全方面的问题。此时,有没有做安全审计就成了用户与企业信任的关键。故,不论是基于区块链还是传统行业,安全审计是必须做的功课。笔者认为,不论任何一款产品,想要拥有源源不断的生命力,就需要提高开发者的安全认知,从第一条代码开始,减少基础上会遇到的安全问题,让项目减少为认知所付出的成本。

主题帖 64 关注 0 粉丝 0
情感指数

链路大数据分析置信度 13.28 %

TA的主题帖
主题相关
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表