频遭黑客光顾,区块链交易如何刮骨疗毒?

        拜占庭帝国的覆灭源于一扇没有关好的门,而今日交易额百万甚至上亿的交易所频遭黑客盗取,真正击溃这些交易所的,可能仅仅是代码中的一个bug。仅2018年上半年,全球加密货币交易所就有价值7.31亿美元的加密货币被黑客窃取,被盗的加密货币规模是去年的3倍,2017年这一数值约为2.66亿美元。忽视了根本的安全问题,区块链的交易说多了都是泪,祛除顽疾成为最基本而迫切的问题之一!

 

为什么“受伤”的总是交易所?
        其实交易平台出事故并不是新鲜事。今年1月,日本第二大虚拟币交易平台Coincheck约5.33亿美元新经币(NEM)不翼而飞。同年6月,韩国数字货币交易所Coinrail同样遭到了黑客攻击,损失了价值超过4000万美元的altcoins。这两大加密货币被盗事件在规模上堪称2018年“币圈之最”。
       为什么“受伤”的总是交易所?链上游戏在与业内多位人士沟通中得到最多的解释是,因为交易所攻击相对公链攻击较为容易。首先,交易所攻击难度低,单点突破就可以获得成功,相比之下,公链攻击难度大,需要控制多个节点,成本较高。另外,交易所软件功能更新频繁,难免安全测试环节有疏漏,成为黑客的可乘之机。此外,交易所运维复杂,风控策略复杂,高TPS情况下,黑客可以进行多次试探而不暴露;而公链交易量有限,有很多第三方监控,一旦出现问题,在第一时间就被发现。
        全球领先支持挖矿DAG(有向无环图,Directed Acyclic Graph,简称“DAG”)公有链TrustNote的人士对链上游戏表示,由于数字货币的匿名和交易不可篡改的特性,其在丢失、被盗的情况下是无法找回的,这无疑会使集中存放数字货币的交易所成为黑客攻击的第一目标,尤其是目前中心化的交易所。
        行业的过快发展和行情暴涨,使得区块连行业的基础设施建设都没有经历稳定坚实的铺垫便开始了新的竟备赛,行业内安全防护做的还不够踏实,这也是黑客新一轮攻击目标转换到区块链行业来的主要原因。
 
DAG技术或突破区块链交易安全瓶颈
        每一次黑客袭击对于整个区块链来说都是一场浩劫,是否是只有中心化的交易所才会被黑客攻击?答案是否定的。中心化交易所和去中心化交易所的最大的区别在于资产是否是托管在交易所平台上,两种交易所都存在被黑客攻击的可能,因为任何交易所背后都是代码,只要是代码就有可能有漏洞,成为黑客攻击的把柄。差别在于,去中心化交易所的用户资金相对安全。根据交易所公告,被盗ETH全部来自Bancor的储存账户和智能合约,没有用户钱包地址被盗。有些时候,表面上的黑客问题,实际上很可能是内部员工的管理问题,或者是程序设计上的漏洞。

 

76d96a9b85d2503555352b75302a4313846dd24a_size104_w1157_h337

TrustNote有向无环图

        基于有向无环图(DAG)技术,TrustNote提供了一种“DAG + TrustME”双层共识机制,试图从根本上解决区块链交易安全问题。TrustNote支持轻、微节点,节点根据交易占用的存储空间支付相应的加密数字货币作为交易费,解决来自任意类型节点的数据在开放网络传输时可能遇到的数据安全问题,更在属于不同利益主体的多个交易方之间就数据传输和存储上的利益分配问题达成一致,跨越了被称为“物联网悖论”的信任鸿沟。
        以太坊的智能合约系统由于使用图灵完备的合约语言,学习门槛较高,又没有很好的合约审查验证工具,导致智能合约漏洞引起的恶性安全事故频发,伤害了区块链技术的可信度。TrustNote非图灵完备的声明式智能合约系统,并对变量运算和合约内部数据的存储进行了改进,提升了对复杂应用场景的支持,使得类似货物交付后自动向供应商付款等“自动合约履行机制”得以普及。与图灵完备的智能合约(如 Solidity)相比,TrustNote智能合约能直接描述合约期望的目标,表达能力强、易于理解、安全性高,同时还降低了合约的编写难度和出错概率。
 
区块链技术促进解决游戏资产安全
        游戏行业天然是区块链的优质土壤,区块链与游戏的结合,让很多人看到前景无限的同时,也勾起了不法分子的非分之想。在区块链游戏的发展过程中,信息安全问题成为一大技术考验。黑客通过破坏区块链环境,进行非法操作,将造成巨大的经济损失,甚至可能导致整个项目的倾覆。

 

        基于有向无环图(DAG)技术的TrustNote公有链项目从最早项目成立便致力于解决这些问题,由于具有支持高流量、高并发、强扩展性和去中心化特点,它的出现帮助区块链游戏行业从目前的诸如《CryptoKitties》(俗称加密猫)的养成类游戏阶段向前更进一步。
        虽然游戏行业发展快速,但仍存在明显的痛点。目前各个游戏品类独占山头、各自为政,不同游戏之间的用户不能达成价值交易; 此外游戏装备、角色无法为拥有者确权,作为数据的生产者,用户也不能因此获益等等。而随着对于区块链技术中的不可篡改、加密算法、隐私保护深入探索利用,可以为传统游戏带来更安全的、多方参与的、分布式交易与事物处理,以及更可信的数据存储、保护与归属机制,更便捷的流通结算体验,促进游戏行业透明度与效率,增强多方互信度并有效避免欺诈。

区块链平台现高危安全漏洞,黑客可取走所有数字货币

原标题:区块链平台现高危安全漏洞,黑客可取走所有数字货币

日前,区块链平台EOS1.0正式版发布,同一时间,EOS官方就近期出现的一系列高危漏洞做出回应,对其中3个漏洞分别给出1万美元的赏金,同时表示,欢迎安全社区人员共同努力保证EOS1.0软件安全性的持续提高。

资料显示,EOS是被称为“区块链3.0”的新型区块链平台,目前其代币市值高达690亿人民币,在全球市值排名第五。

360董事长周鸿祎日前表示,区块链作为这两年新火起来的技术,它遇到的安全威胁属于新威胁。区块链行业,应该与网络安全行业,做到协同开放,共同构建安全生态。

5月29日,360Vulcan(伏尔甘)团队宣布,发现了EOS平台的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。29日凌晨,漏洞公布前,360已第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。

由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞,可能引发成千上万的节点遭到攻击。甚至,在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞,在区块链网络中则可能引发整个网络瘫痪的风暴攻击,对整个数字货币系统造成巨大冲击。

据介绍,360也曝光了EOS系统三个漏洞,如果被人利用,可以控制EOS网络里面的每一个节点、每一个服务器,不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。可以说,如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走。

EOS漏洞的攻击可以以秒级的速度在多个节点和超级节点之间传播,从控制节点到生成新块继续传播是连续的、链式的爆炸动作,很可能20秒就接管了所有的节点,完成了操作。

360方面表示,此次发现EOS的重大漏洞,是基于360安全大脑体系。360安全大脑的网络安全空间大数据,现在是全球规模最大的。也因为有这些大数据和数据中心,360安全大脑的态势感知、智能查杀、攻防与溯源,包括应急响应上,现在在全球都非常具备竞争力。

事实上,360早已关注人工智能和区块链,他们的共同点是无论是AI的算法,还是区块链的算法,都是通过写代码实现的,而代码是人写的,肯定会有漏洞的。据悉,开源软件中,每千行平均就有6-8个安全漏洞。

【记者】 叶丹

【作者】 叶丹

【来源】

责任编辑:

投诉