区块链技术逐渐被各个行业所接受,并着手进行开发。近日于北京,由华顺信安承办的2018区块链安全高峰论坛上,国家信息技术安全研究中心俞克群主任、工业和信息化部电子工业标准化研究院区块链研究室李鸣主任、国家互联网应急中心运行部严寒冰主任、公安部第一研究所信息安全部胡光俊副主任等,都对区块链在不同领域的发展潜力给与了肯定。

但是区块链自身是否是真的完全安全的?是否加入了区块链技术就能保证安全?隶属于华顺信安的白帽汇安全研究院负责人邓焕,在会上发布了他们编写的《区块链产业安全分析报告》,详细分析了区块链在实际运用中存在的安全问题。

攻击者攻击的本质,是为了追求利益的最大化。在目前的案例中,攻击基本围绕着加密货币展开。邓焕认为,针对区块链的攻击可以理解为传统攻击的另一种变体:之前的网站挂木马如今变为更直接利益相关的挖矿恶意脚本,曾经的DDos攻击进行勒索改为加密货币勒索——这些对攻击者来说,都是更好的变现手段。另一方面,有些用户会无意中把自身的比特币私钥文件上传到公开的代码托管平台中,攻击者可以通过一些工具挖掘到网站中这些私钥文件,通过一系列自动化工具验证,将其他人钱包里的虚拟货币转为己有。

不仅仅是用户本身的钱包可能会成为攻击者的攻击目标,攻击者还可以将目标放到币的生产者上——矿机。攻击者可以通过嗅探的手段,拿到矿机的 在线管理地址,利用常规漏洞,在矿机后台替换钱包地址,将整个矿机,甚至矿池的收益转到自己的钱包里。

邓焕表示,对于当前的区块链攻击,主要都来自于区块链的应用层的服务,因为整个上层的业务对于攻击者来说是价值的所在。攻击者必然会尝试对应用层进行攻击,进行直接的变现操作。而对于底层技术来说,需要大量的算法知识和密码学知识,攻击者需要非常专业的背景以及大量的投入才能做到,对攻击者来说,收益是有限的。这种针对应用层的攻击只影响单个项目,对整个生态不会有太大的影响。然而,随着越来越多的人对上层应用的关注,安全性会越来越强,而黑客自然会转攻底层技术——而算法一旦被攻破,将会对整个区块链应用带来严重的影响。

另一位演讲者,派盾的创始人蒋旭宪教授也对区块链安全表达了自己的观点。他提到,智能合约在编写当中也会存在漏洞——比如之前的美密事件。他提到被发现有漏洞却未被公开的智能合约超过80个,并在现场演示了两种加密货币漏洞的利用。

应对这些问题,华顺信安会提供对智能合约审计服务。同时将对全球网络进行监控,发现钓鱼网站以及恶意转账行为。而对于未来,也会根据不同的安全需求,发展不同的安全服务。

这一份《区块链产业安全报告》在安全牛记者看来,是比较值得对区块链安全有兴趣的人阅读的。报告中对很多当今区块链应用场景中的遇到的各种安全问题进行了分析,能帮助人们对区块链的安全性与潜在威胁有更好的了解。

报告下载:

https://www.bcsec.org/blockchainsecurity_v1.pdf

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。