盡管區塊鏈的防篡改、分布式存儲、用戶匿名等技術優勢為其發展應用提供了大量的創新空間,但目前區塊鏈技術在各領域的應用模式仍處于大量探索階段,其深入應用仍需漫長的整合和發展過程。
“區塊鏈技術本身仍存在一些內在安全風險,去中心化、自組織的顛覆性本質也可能在技術應用過程中引發一些不容忽視的安全問題。其主要分為系統安全和應用安全兩大類。”
1.系統安全
系統安全主要指的是底層代碼安全、密碼算法的安全以及共識機制的安全。
底層代碼安全是其應用和再開發的保障,其底層代碼的漏洞對于其區塊鏈項目的打擊是致命,需要及時地進行修補。
密碼算法的安全是區塊鏈不可篡改性和匿名性的一個保證,密碼協議永遠是跟隨著當前科技的發展不斷變化的,在量子時代,需要研究更加安全的抗量子密碼協議確保密碼算法的安全。
在共識算法的設計中存在著著名的Trilemma,即Secure、Scalability和Decentralization三者不可兼得,而目前幾乎所有的區塊鏈項目都遇到這種挑戰。
1.1底層代碼的安全性
區塊鏈底層相當于操作系統,由于開發者在開發過程中的疏忽造成的系統漏洞極大程度上影響系統的安全性,并且區塊鏈的更新十分繁瑣和困難,出現漏洞后的更新很可能造成硬分叉,因此底層代碼的安全性十分重要。
Haun Ventures首席政策官:兩黨立法者努力推進將保護美國消費者和國家的創新能力:金色財經報道,Haun Ventures首席政策官Tomicah Tilleman表示,最近的加密貨幣冬天伴隨著加密貨幣政策世界的小冰河時代。幸運的是,由兩黨立法者組成的不同聯盟現在正在推進嚴肅的立法,這將在競爭日益激烈的全球環境中保護美國消費者和國家的創新能力。
參議員 Lummis表示,過去幾周已經非常清楚地表明,國會有興趣通過加密資產立法。在重新推出《Lummis-Gillibrand負責任金融創新法案》兩周后,該法案中非法金融標題的部分內容就被納入了參議院通過的《國防授權法案》。眾議院在加密資產立法方面的進展也讓我感到鼓舞,并期待參議院繼續就這一重要問題開展工作。[2023/8/2 16:13:51]
2018年8月的BitcoinABC代碼漏洞事件向我們展現了底層代碼漏洞的危害性。根據BitcoinABC的官方報告,黑客可以通過這個漏洞構建一個惡意交易,該交易將被某一特定版本的BitcoinABC接收,但會被其他所有版本的比特幣現金拒絕。這樣一個漏洞的結果可能是形成比特幣現金的分叉,即使使用敏感版本的礦工接受了惡意交易,其他礦工也不會接受的。BitcoinABC表示他們已經直接向相關的礦業池運營商提供了補丁。這一事件說明漏洞總是會發生,但在重構這樣一個關鍵代碼時,應該花更多的時間和精力進行代碼審查。
某釣魚網站的鏈接被張貼在了BNBCHAIN Discord服務器上:金色財經消息,據CertiK監測,有報告稱某釣魚網站的鏈接被張貼在了 @BNBCHAIN Discord服務器上。在團隊確認他們重新獲得服務器控制權之前,請不要點擊鏈接。[2023/6/7 21:20:21]
1.2密碼算法的安全性
隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密算法生成數字簽名來安全地交易,目前最常用的ECDSA、RSA、DSA等在理論上都不能承受量子攻擊,將會存在較大的風險,越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼算法。
1.3共識機制的安全性
對于一個共識協議,要滿足以下三個特性:
·CommonPrefix:對于任何兩個誠實節點,他們的本地視圖除卻最后有限個塊之后,所有誠實節點看到的鏈的視圖是一致的。
·ChainGrowth:保證區塊鏈能夠正常的增長,并且增長速度穩定。
·ChainQuality:對于一條鏈,任意截取其中一段,總有一部分是誠實節點產生的塊。
以下列出目前一些針對共識的攻擊手段。
1.3.151%攻擊
在比特幣中,若惡意用戶控制節點中大多數的計算資源,就有能力新改寫整個公有賬本,這被稱為51%攻擊。由于區塊鏈網絡的開放性和當前整個網絡的算力不均衡性,尤其是專業挖礦芯片公司的產生與大礦池的形成,使其發生51%攻擊的可能性顯著提高。51%攻擊會引發對于區塊鏈的破壞以及對整個密碼貨幣的破壞,不管攻擊成功與否都會讓其置于自私挖礦,雙花攻擊,分叉攻擊等危險之下。
Crypto Punks地板價跌破10萬美元:4月23日消息,根據NFT Price Floor的數據,Crypto Punks地板價已跌破10萬美元以下。當前地板價為49.5ETH(約9.18萬美元),這是2022年6月以來的最低價。[2023/4/23 14:21:02]
最近Horizen團隊,對于51%攻擊提出了其創新的解決方案:通過“延時函數”升級他們的工作量驗證共識算法,來處罰蓄謀這種攻擊的礦工。
1.3.2自私挖礦
比特幣的經濟激勵機制和自身的去中心化的特性是比特幣系統依然能夠良好運行的關鍵。但是,由于礦工的逐利性和當前比特幣系統算力的不均衡,使得當前比特幣系統受到了嚴峻的挑戰,以色列學者IttayEyal在2014年提出了自私挖礦(selfishmining)的攻擊方式。攻擊者只要能控制全網超過1/3的算力,就可以發起自私挖礦攻擊,獲取更大的收益,并對網絡安全造成威脅。
最近,康奈爾大學兩位研究員CyrilGrunspan和RicardoPerez-Marco的論文中通過探討攻擊向量與時間的關系,給出其相應的解決方案。
1.3.3分區攻擊
在P2P網絡里,只要控制一定數量的節點,就可以進行EclipseAttack[,從而發起51%攻擊,控制整個網絡。這是一種分區攻擊。分區攻擊通過區塊鏈部分網絡的完全隔離實現即使當前控制的算力小于51%,但仍能發起51%攻擊。由于分區攻擊發起的前提為控制被隔離網絡的所有節點,所以攻擊成本較大,分區攻擊并不是單獨發起的往往伴隨著雙花,自私挖礦等攻擊,使其攻擊者獲得較大利益。
CFTC委員:鼓勵進行加密行業進行舉報,此類舉報在執法方面發揮著關鍵作用:11月19日消息,商品期貨交易委員會(CFTC)委員Kristin Johnson敦促加密行業的告密者在FTX集團破產后挺身而出,稱告密者因其幫助此前已收到數百萬美元。
Kristin Johnson表示,舉報者將獲得匿名,并補充說,鑒于一些加密世界的不透明性,此類舉報在執法方面發揮著關鍵作用。(彭博社)[2022/11/19 22:06:47]
1.3.4NAS攻擊
針對PoW共識算法的出現的算力集中問題,PoS的提出在一定程度上解決了上述問題,然而伴隨而來的是區塊分叉的NAS攻擊。由于在類似于PoS的共識算法中,區塊分叉的成本支付是極小,礦工為實現自身利益的最大化和風險的最小化,會同時在多個分叉上進行挖礦,使其區塊鏈網絡得不到及時的收斂,從而破壞共識。
當前對于NAS攻擊的解決方案主要是保證金機制,即為了有資格獲得塊投票的獎勵,用戶必須付保證金,如果用戶被發現在多個叉投票,那個交易證明將被放在原來的鏈上,取消用戶的獎勵。
2.應用安全
應用安全主要指的是智能合約安全、數字錢包安全以及隱私保護。
智能合約安全是當前區塊鏈安全問題中一個重要的問題,當前許多區塊鏈的安全事件都與智能合約的安全有一定的聯系,這也是區塊鏈應用發展的一個不可避免的問題。
區塊鏈錢包是儲存和使用數字虛擬貨幣的工具,區塊鏈錢包對虛擬幣的持有者們是非常重要的其重要性等同于現實生活中的銀行卡,所以區塊鏈錢包安全是至關重要的。
印度加密稅收計算服務公司TaxCryp推出基于SAAS的解決方案:8月3日消息,提供加密稅收計算服務的印度公司TaxCryp推出了一種基于軟件即服務(SAAS)的解決方案,旨在簡化當地加密稅收計算、合規和報告要求。(Forkast)[2022/8/3 2:55:57]
隱私保護一直是隱私性和安全性兩難的問題,對于用戶我們希望不要泄露其自身信息的同時享有其安全性,通過環簽名、承諾協議和零知識證明可以有效地在保護隱私的同時保障其安全性。
2.1智能合約的安全性
智能合約具有不可更改的性質,并且和密碼貨幣強相關,因此智能合約出現安全問題會造成嚴重后果和經濟損失。
2010年8月15日,比特幣區塊鏈的第74638塊上被發現了一條包含有92233720368.54277039BTC的交易記錄,而且這些比特幣僅被發送到兩個比特幣地址。而導致這次攻擊的原因,是由于比特幣代碼中的大整數溢出漏洞。為使這筆交易失效,比特幣核心開發人員開發了比特幣補丁版本,并啟動了硬分叉。在33個區塊的競爭之后,帶補丁版本的區塊鏈才成為主鏈,消除了原有漏洞的影響。
2016年6月,以太坊最大眾籌項目TheDAO被攻擊,黑客獲得超過350萬個以太幣,后來導致以太坊分叉為ETH和ETC。
新加坡國立大學的LoiLuu提出了現在的智能合約存在的幾種安全漏洞。
2.1.1交易順序依賴合約
交易順序依賴就是智能合約的執行隨著當前交易處理的順序不同而產生差異。智能合約在執行交易時,會將合約狀態進行更新,在傳統公有鏈上其未處理的交易順序并沒有完全確定,不同的交易順序的執行會產生不同的合約狀態,這樣就會導致用戶期待的調用合約時的狀態與實際的合約狀態產生差異;當前合約的狀態取決于礦工在執行智能合約時對交易的調用順序,而這種合約狀態的不一致往往是其安全漏洞的來源。
2.1.2時間戳依賴合約
按照以太坊的對于時間戳的要求,礦工在處理一個新的區塊時,如果新的區塊的時間戳大于上一個區塊,并且時間戳之差小于900秒,那么這個新區塊的時間戳就是合法的。攻擊者可以更改時間戳值或者可以選擇不同的塊的時間戳來操縱依賴于時間戳的智能合約的結果。
2.1.3誤操作異常
在以太坊中,一個合約調用另一個合約可以通過send指令或直接調用另一個合約的函數。然而在調用過程中出現異常時,被調用的合約會中止執行,回退到調用前的狀態并返回false給調用合約。但是取決于合約調用方式的不同,被調用合約的異常可能無法立即被調用者獲知。這種不一致的異常傳播策略導致多種異常處理不當的情況發生。
2.1.4可重入攻擊
在以太坊中,當一個合約調用另一個合約的時候,當前的操作就要等到調用結束之后才會繼續。這時,如果被調用者需要使用調用者當前所處的狀態,不考慮被調用方可能的惡意行為就可能產生了問題,而且該問題可能再合約編寫時不能立即被發現。著名的DAO攻擊事件就是因為這個漏洞而發生的,導致了3,600,000個以太幣被盜取,總價值達60,000,000美元。
2.1.5智能合約檢測
智能合約本質是一段運行在區塊鏈網絡中的代碼,它完成用戶所賦予的業務邏輯。通俗的來說,相當于是一個“不可改變”且“公正”的“中間人”。但是由于代碼是程序員編寫的,不免會產生各種各樣的bug,但是由于智能合約一旦部署就不能修改的特點,一旦智能合約存在安全性隱患就會造成不可挽回的惡劣后果。
因此,在智能合約部署之前對其進行安全性檢測尤為重要。目前,智能合約的檢測的發展方向有以下三個方向:
·交由專業的檢測機構進行檢測
·智能合約檢測工具進行檢測
·形式化證明的檢測方式進行檢測
2.2數字錢包的安全性
數字錢包保存著用戶的密碼貨幣,主要存在的安全風險有以下三點。
第一,設計缺陷。2014年底,某簽報因一個嚴重的隨機數問題造成用戶丟失數百枚數字資產。
第二,數字錢包中包含惡意代碼。
第三,電腦、手機丟失或損壞導致的丟失資產。
應對措施主要有四個方面:
·確保私鑰的隨機性;
·在軟件安裝前進行散列值校驗,確保數字錢包軟件沒有被篡改過;
·使用冷錢包;
·對私鑰進行備份。
3隱私保護
在公有鏈中,需要對交易數據、地址、身份等敏感信息進行保護,同時又能讓記賬節點驗證交易的合法性;對于聯盟鏈,在構建隱私保護方案的同時,需考慮可監管性/授權追蹤。可以通過采用高效的零知識證明、承諾、證據不可區分等密碼學原語與方案來實現交易身份及內容隱私保護;基于環簽名、群簽名等密碼學方案的隱私保護機制、基于分級證書機制的隱私保護機制也是可選方案;“也可通過采用高效的同態加密方案或安全多方計算方案來實現交易內容的隱私保護;還可采用混幣機制實現簡單的隱私保護。”
混幣技術
對于單個用戶的交易圖進行大數據分析可以進行交易追蹤,有鑒于此研究人員提出了混幣技術旨在將多筆不相關的輸入進行混合后輸出,使得外界無法關聯交易的輸入與輸出,從而分辨不出數字貨幣的流向。GregoryMaxwell于2013年提出了CoinJoin匿名混幣技術,CoinJoin的使用者需要委托可信的第三方,來構造一筆混合多筆輸入的交易,其提供服務的第三方可以知道混幣交易的流向。TumbleBit協議提出了不同于CoinJoin的混幣協議方案,雖然仍然需要第三方參與,但第三方無法知道交易細節,僅僅是提供服務,即第三方可以是任意第三方而不僅僅是可信的第三方。
鏈喬教育資源庫“區塊鏈安全問題研究”
鏈喬教育資源庫“區塊鏈隱私保護”
來源:金色財經
Tags:區塊鏈比特幣OINCOIN區塊鏈的未來發展前景作者是誰比特幣市值跌破5000億美元了嗎FourCoinEUROe Stablecoin
采訪 1月7日,Cointelegraph中文主辦線上訪談欄目HUB,本次活動主題為《加密交易所新范式:Deepcoin重新定義價值分配》.
1900/1/1 0:00:00提供給大家一個公眾號搜題的接口,福利無償使用的 選擇高清模式觀看 https://v.qq.com/x/page/x3164tugusg.html杭州余杭區首次實現數字人民幣小貸發放場景應用:金.
1900/1/1 0:00:00隨著存儲的使用不斷增長,存儲服務器的壓力隨之不斷增加,數據承載能力以及數據存儲的可靠性等都不斷涌現出新的問題.
1900/1/1 0:00:00尊敬的58COIN交易所用戶: 您好! 季度合約已于香港時間2021年1月8日17:58啟動該年第一季度第2次結算,現已結算完畢,分攤機制未啟用.
1900/1/1 0:00:00別因為落入了一把牛毛就把一鍋奶油潑掉,別因為犯了一點錯誤就把一生的事業扔掉。當努力工作的時候,你會發現時間根本不夠用,會辛苦一陣子,不會辛苦一輩子,人最害怕在奮斗的過程中忘了初衷,喪失了原有的激.
1900/1/1 0:00:00暴走時評:比特幣突破40,000美元上方,以及多個山寨幣強勁的兩位數漲幅,都證明牛市正在進行。但也有分析師提出,4萬美元并非一個重要的價格水平,難以借此預測比特幣何時將迎來重大回調.
1900/1/1 0:00:00