展開
            湖北國聯(lián)計算機(jī)科技有限公司
          1. 首頁HOME
          2. 公司簡介INTRODUCTION
          3. 安全防御DEFENSE
          4. 軟件開發(fā)SOFTWARE
          5. 物聯(lián)網(wǎng)IOT
          6. 運(yùn)行維護(hù)SRE
          7. 成功案例CASE
          8. 聯(lián)系我們CONTACT
          9. Defense Event |業(yè)界動態(tài)

            區(qū)塊鏈也不安全 三大攻擊維度必須了解
            來源:湖北國菱編輯部 時間:2018-07-12

            雖然區(qū)塊鏈技術(shù)自帶加密光環(huán),并具分布式特性,外在表現(xiàn)為分散的、去中心化的,然而事實(shí)上其并非如之前所描述的無人可篡改。由于技術(shù)應(yīng)用、平臺防護(hù)等原因,現(xiàn)階段的區(qū)塊鏈應(yīng)用正在面臨著攻擊者的威脅。

            1. 針對協(xié)議的攻擊

            區(qū)塊鏈,一個可理解為不斷增長的存證與記錄的“帳本鏈條”,由記錄的各個區(qū)塊所連接,而這些區(qū)塊則使用密碼學(xué)進(jìn)行相連和保護(hù)。憑借區(qū)塊鏈的分布式特性,加密的“帳本”數(shù)據(jù)需由網(wǎng)絡(luò)中的所有節(jié)點(diǎn)共享和驗證,以確保其唯一性。

            其運(yùn)作模式為,所有參與節(jié)點(diǎn)需針對共同賬本上的每一筆交易進(jìn)行分布式記賬。當(dāng)交易發(fā)生后,信息會通知到所有節(jié)點(diǎn),而各個節(jié)點(diǎn)要按照預(yù)設(shè)的規(guī)則獨(dú)立地對交易進(jìn)行確認(rèn)。在這個過程中,信息是透明統(tǒng)一的,參與者資格權(quán)限完全對等。一筆交易確認(rèn)后,交易記錄和數(shù)據(jù)就形成一個區(qū)塊,加上時間戳后編入鏈條,然后啟動下一輪交易(塊),而這些區(qū)塊以時間順序連接為“鏈”。在此基礎(chǔ)上,只要參與節(jié)點(diǎn)數(shù)量足夠多,“數(shù)據(jù)鏈條”上的篡改似乎的不可能的。

            然而事實(shí)上,攻擊者一旦擁有了大多數(shù)節(jié)點(diǎn),其就可隨意創(chuàng)建自己的區(qū)塊,對鏈條進(jìn)行篡改,而該區(qū)塊鏈的安全性便不攻自破了,這就是著名的“51%攻擊”或“大多數(shù)攻擊”。這在一個區(qū)塊鏈項目剛剛啟動時威脅尤為突出,因為那時的節(jié)點(diǎn)總數(shù)往往很少,一旦節(jié)點(diǎn)擁有者形成共謀,這樣的攻擊即可實(shí)現(xiàn)。

            不僅如此,區(qū)塊鏈協(xié)議、智能合約機(jī)制、節(jié)點(diǎn)設(shè)備漏洞等安全缺陷,都是涉足其上的企業(yè)必須要面對解決的,不然的話,遭受巨大的經(jīng)濟(jì)損失就可能是分分鐘的事情了。

            2. 針對用戶的攻擊

            除了上述區(qū)塊鏈協(xié)議、節(jié)點(diǎn)上的漏洞外,用戶也是區(qū)塊鏈里的一大薄弱環(huán)節(jié)。傳統(tǒng)的網(wǎng)絡(luò)釣魚、惡意軟件、字典攻擊等,往往都十分奏效,亦會讓用戶喪失掉控制權(quán)。

            3. 針對平臺的攻擊

            隨著加密貨幣的熱炒,針對交易平臺的攻擊變得日益明顯。近期,安全人員發(fā)現(xiàn)了EOS平臺上的一系列高危安全漏洞。經(jīng)驗證,其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼,即可以通過遠(yuǎn)程攻擊,直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。

            據(jù)悉,該漏洞令EOS區(qū)塊鏈系統(tǒng)在解析WASM文件時,會出現(xiàn)緩沖區(qū)溢出的問題,而攻擊者將能夠利用這個緩沖區(qū)溢出漏洞實(shí)施攻擊。在該漏洞的幫助下,攻擊者將能夠向EOS節(jié)點(diǎn)服務(wù)器上傳惡意智能合約,當(dāng)節(jié)點(diǎn)服務(wù)器完成對智能合約的解析之后,惡意Payload將會在服務(wù)器中執(zhí)行,并完成遠(yuǎn)程接管。成功接管遠(yuǎn)程節(jié)點(diǎn)服務(wù)器之后,攻擊者將能夠把惡意智能合約封裝到新的區(qū)塊中,并進(jìn)一步控制整個EOS網(wǎng)絡(luò)。

            顯而易見的是,面對上述三大維度的區(qū)塊鏈攻擊,除了一般用戶難以察覺的技術(shù)復(fù)雜度及安全漏洞外,來自用戶設(shè)備甚至是交易平臺上的隱患都是挑戰(zhàn)區(qū)塊鏈技術(shù)安全應(yīng)用的主要威脅,必須引發(fā)高度關(guān)注才行。

            荊州地區(qū)政府網(wǎng)站建設(shè) 解決方案 專業(yè)團(tuán)隊 騰訊第三方平臺 地址:湖北省荊州市沙市區(qū)荊沙大道楚天都市佳園一期C區(qū)29棟112       地址:湖北省松滋市新江口街道才知文化廣場1幢1146-1151室     郵編:434200 聯(lián)系電話:0716-6666211     網(wǎng)站編輯部郵箱:business@gl-ns.com 鄂公網(wǎng)安備 42100202000212號 備案號:鄂ICP備2021015094號-1     企業(yè)名稱:湖北國菱計算機(jī)科技有限公司
            2020国自产拍精品免费观看,国产经典aⅴ三级观看,国产午夜99视频精品免费播放,亚洲开心网激情五月,91久久精品无码,久久综合香蕉久久久久久久,亚洲中亚洲中文字幕无线乱码,在线播放对白太大了