2018年區塊鏈系統中的攻擊與安全防護.pdf

《2018年區塊鏈系統中的攻擊與安全防護.pdf》由會員分享，可在線閱讀，更多相關《2018年區塊鏈系統中的攻擊與安全防護.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、區塊鏈系統中的攻擊與安全防護關于我趙赫(鐘隱)ZHAOHHFCAS.AC.CN 中國科學技術大學 博士中科院合肥研究院 高級工程師中科智鏈 聯合創始人、CTO巴比特區塊鏈版主推特公眾號cnLedger創辦者首批獲國家基金資助開展區塊鏈技術研究Eric Zhao為什么我們說 區塊鏈很安全？為什么我們說區塊鏈很安全？數據公開透明&身份隱私保密記錄不可篡改&交易無法抵賴去中心化網絡&分布式共識“至2025年，全球GDP總量的10%，將在區塊鏈上記錄和交易?！盬EF 2017為什么我們說 區塊鏈還不是很安全？為什么我們說區塊鏈還不是很安全？區塊鏈的安全現狀：=黑客的提款機區塊鏈系統中的攻擊分類（1）應

2、用層攻擊：錢包和智能合約（2）系統層攻擊：交易所和服務商（3）基礎設施層攻擊：共識、算法、P2P網絡（1）應用層攻擊：錢包和智能合約案例：MyEtherWallet 在線錢包攻擊案例：本地PC錢包地址替換攻擊案例：社會工程學&手機/郵箱攻擊2016年12月，黑客通過攻擊區塊鏈VC投資人沈波(Bo Shen)的手機，成功竊取大量ETH幣和Augur幣，造成至少$300,000的損失。案例：著名的智能合約攻擊事件2016年，黑客攻擊DAO智能合約，成功盜取360萬個ETH（現在相當于72億元）2017年，Parity多重簽名合約存在漏洞，被兩次攻擊，先后造成15.3萬個ETH、93萬個ETH的損失

3、2018年4月，美鏈BEC出現合約無限復制token的Bug，市值蒸發64億2018年7月，Bancor智能合約更新程序遭黑客攻擊，損失約2.5萬個ETH和一些其他加密貨幣“(Not So)Smart Contract”（2）系統層攻擊：交易所和服務商案例：加密貨幣交易所屢遭攻擊服務器被攻破Bitfinex,Poloniex,Bithumb,Youbit,CoinCheck,GateCoin,Bitcoinica,BitGrail 監守自盜（內鬼作案 or 跑路）Mt.Gox，ShapeShift,CoinSecure,Bit LC,Bitcoin7,區塊鏈底層Bug被利用Coinbase，M

4、t.Gox,案例：一些加密貨幣在線服務商的典型安全事故 針對服務器軟件的攻擊Tether(USDT)Blockchain.infoCoinDash ICOSteem.it(STEEM)針對管理人員的攻擊(釣魚)BitPay 針對云服務器提供商的攻擊Slush Pool（3）基礎設施層攻擊：共識、算法、P2P網絡案例：比特幣“1 RETURN”Bug（核心代碼缺陷）2010年7月，德國程序員ArtForz發現比特幣腳本程序中有一處潛在破壞力極強的Bug該Bug被惡意用戶利用后，可以越權動用他人錢包中比特幣，從而可能導致比特幣變得一文不值比特幣的創始人中本聰在郵件中給加文說（加文是比特幣早期的另一

5、位主要開發者，中本聰消失后接手比特幣代碼管理權）：“對 于 其 他 不 知 道 該 Bug 的 人，要 避 免描述這個 Bug的名字（1 Return）“該Bug在大多數比特幣節點經過更新修復、不再受此問題影響后，才被公之于眾程序員ArtForz在發現Bug后選擇悄悄告訴中本聰，成為比特幣區塊鏈歷史上鮮為人知的安全救星case OP_RETURN:pc=pend;break;OP_1 OP_RETURNDigital Gold:Bitcoin and the Inside Story of the Misfits and Millionaires Trying to Reinvent Mone

6、y案例：比特幣天量刷幣漏洞（核心代碼缺陷）2010年8月，美國程序員Jeff Garzik發現比特幣區塊鏈中第#74638個區塊，包含了一筆涉及3個地址、金額超過1800億BTC的交易經核實，代碼中檢查交易的邏輯存在求和溢出漏洞，而未被妥善處理發現此Bug后，比特幣開發者很快發布了含有補丁的新版本軟件在第#74691塊，帶補丁版本的比特幣區塊鏈的長度終于追趕上并且超越了包含天量BTC漏洞的鏈，最終是有驚無險地解決了這次比特幣區塊鏈歷史上最為重大的危機事件。案例：51%/雙花 攻擊（共識機制攻擊）We propose a solution to thedouble-spending proble

7、m usinga peer-to-peer network.案例：雙花攻擊（共識機制攻擊）BitcoinGold2018年5月，損失1.3億元 ZenCash2018年6月，損失340萬元 Verge2018年4月、5月，損失1900萬元 Monacoin2018年5月，損失62萬元 LitecoinCash,Krypton,Shift Who will be next?有學者的研究表明，ETC:$5千萬 攻擊成本-$10億 收益案例：交易延展性攻擊（基礎協議缺陷）https:/ Bitcoin:Large-scale Network Attacks on Cryptocurrencies案例

8、：IOTA哈希沖突漏洞（加密算法漏洞）2017年5月，IOTA團隊請求MIT的研究組審計其軟件及代碼7月，MIT研究者告知IOTA團隊，他們發現了IOTA的加密哈希功能函數Curl中存在嚴重的漏洞（哈希碰撞），因此IOTA的數字簽名及POW安全性均無法保障8月，IOTA團隊采用SHA-3替代掉了備受質疑的Curl哈希算法9月，MIT研究者公布了之前發布的漏洞審查報告。IOTA團隊隨即強烈抗議，認為MIT人員違反學術道德，并聲稱：“之前MIT學者發現的所謂的漏洞，實際上是我們有意為之，目的是防止代碼被他人抄襲拷貝?！保喊咐篒OTA纏結縫合攻擊（共識機制攻擊）問題：區塊鏈技術重新定義了安全嗎？區

9、塊鏈技術 不是 安全的萬能藥區塊鏈系統中仍會繼承現有的互聯網安全問題、軟件安全問題，同時還會引入新的攻擊向量。但是，區塊鏈系統能夠在下述方面 顯著提升 安全性：1、容忍部分節點作惡，而不影響系統整體安全2、沒有“單點失敗”前提：在區塊鏈系統的設計、研發和運營中，對于安全問題充分重視、做好防范SECURITYBLOCKCHAIN關于區塊鏈系統安全防護的一些建議如果你是一位區塊鏈資產的 持有者（用戶）：牢記：私鑰即權利“買買提”不要重復使用密碼，使用自動生成的密碼 開啟2FA 從收藏夾訪問交易所、檢查SSL標志。學會識別并避免百度、谷歌等的推廣鏈接 仔細閱讀產品或網站上的“安全提示”相關內容 大額

10、資產離線存儲，或使用知名廠商的硬件錢包 慎用云盤、云筆記軟件等備份私鑰數據 保管好您的郵箱賬號 建議使用蘋果手機（我也很喜歡安卓，但大多數安卓手機的安全更新不及時）Bitcoin The Halving by Crypto Art如果你是一位區塊鏈項目的 開發者：Dont Trust.Verify!習慣“去中心化”思維，您面對的是拜占庭節點不要嘗試使用自己發明的加密算法謹慎對待隨機數不要輕信時間戳重視安全測試用例的編寫，在開發時即充分開展安全測試檢視您引用的每一個Library如果您的工作基于其他項目（如BTC/ETH），應關注并同步更新其漏洞補丁部分的代碼告誡自己寫好智能合約很難，對合約安全

11、檢查應謹小慎微補齊加密學和安全基礎知識，并學會看論文您開發的區塊鏈系統有多安全，完全取決于您，而不是取決于高大上的“區塊鏈技術”Ethereum Abstractions by Frankreddit5如果你是一位區塊鏈相關產品的 創業者：如您的項目尚未開始：問一問自己，一定要用區塊鏈嗎？如您的項目已經開始：重新從安全的角度審視它的各個方面應充分了解：在安全上您將投資大量資源，但看不到短期回報；只有當安全事故出現的時候，才能知道代價有多么大確保為用戶提供了足夠的安全提示和安全教育防范針對自己以及關鍵團隊成員（人）的安全攻擊修復服務器上非區塊鏈系統（網站系統、操作系統等）的漏洞劃撥資金設立Bug Bounty；聘用安全顧問，請第三方審計代碼如果產品為公鏈，建議用兩組人員、兩種不同語言獨立開發開源的，才是安全的（但不要等到上線前一天才開源）做好思想準備：系統一定有漏洞、一定會被攻破的。因此要有：安全專員、應急小組、安全預案Strategy of Blockchain Painting by Daniel Loveday謝 謝！