隨著越來越的人參與到區塊鏈這個行業中來,為行業注入新活力的同時也由于相關知識的薄弱以及安全意識的匱乏,給了攻擊者更多的可乘之機。面對頻頻爆發的安全事件,慢霧特推出區塊鏈安全入門筆記系列,向大家介紹區塊鏈安全相關名詞,讓新手們更快適應區塊鏈危機四伏的安全攻防世界!系列回顧:區塊鏈安全入門筆記(五)|慢霧科普區塊鏈安全入門筆記(六)|慢霧科普區塊鏈安全入門筆記(七)|慢霧科普區塊鏈安全入門筆記(八)|慢霧科普區塊鏈安全入門筆記(九)|慢霧科普粉塵攻擊DustingAttack
粉塵攻擊(DustingAttack)最早發生于比特幣網絡當中,所謂粉塵,指的是交易中的交易金額相對于正常交易而言十分地小,可以視作微不足道的粉塵。通常這些粉塵在余額中不會被注意到,許多持幣者也很容易忽略這些余額。但是由于比特幣或基于比特幣模型的區塊鏈系統的賬本模型是采用UTXO模型作為賬戶資金系統,即用戶的每一筆交易金額,都是通過消費之前未消費的資金來產生新的資金。別有用意的用戶,就能通過這種機制,給大量的賬戶發送這些粉塵金額,令交易粉塵化,然后再通過追蹤這些粉塵交易,關聯出該地址的其他關聯地址,通過對這些關聯地址進行行為分析,就可以分析一個地址背后的公司或個人,破壞比特幣本身的匿名性。除此之外,由于比特幣網絡區塊容量大小的限制,大量的粉塵交易會造成區塊的擁堵,從而使得交易手續費提升,進而產生大量待打包交易,降低系統本身的運行效率。對于如何避免粉塵攻擊,可以在構造交易的過程中,根據交易的類型,計算出交易的最低金額,同時對每個輸出進行判斷,如果低于該金額,則不能繼續構造該筆交易。特別的,如果這個輸出剛好發生在找零上,且金額對于你來說不太大,則可以通過舍棄該部分的粉塵輸出,以充作交易手續費來避免構造出粉塵交易。其次,為了保護隱私性,慢霧安全團隊建議可以在構造交易時把那些金額極小的UTXO舍棄掉,使用大額的UTXO組成交易。C2攻擊C2Attack
A股開盤:深證區塊鏈50指數下跌0.13%:金色財經消息,A股開盤,上證指數報3435.02點,下跌0.24%,深證成指報14121.33點,開盤下跌0.20%,深證區塊鏈50指數報4299.01點,開盤下跌0.13%。[2020/7/14]
C2全稱CommandandControl,翻譯過來就是命令執行與控制,在傳統的網絡攻擊中,在通過各種漏洞進入到目標服務器后,受限于空間,通常通過網絡拉取二段exploit進行駐留,實現后滲透流程。所以,C2架構也就可以理解為,惡意軟件通過什么樣的方式獲取資源和命令,以及通過什么樣的方式將數據回傳給攻擊者。在傳統的攻擊手法中,攻擊者一般通過遠程服務器拉取命令到本地執行,但是這種方式也有很明顯的缺點,就是一旦遠程服務器被發現,后續滲透活動就無法正常進行。但是區塊鏈網絡提供了一個天然且不可篡改的大型數據庫,攻擊者通過把攻擊荷載(payload)寫進交易中,并通過發送交易把該命令永久的刻在區塊鏈數據庫中。通過這種方法,即使攻擊命令被發現,也無法篡改鏈上數據,無需擔心服務器被發現然后下線的風險。新技術不斷發展,舊有的攻擊手法也在隨著新技術的變換而不斷迭代更新。在區塊鏈的世界中只有在各方面都做好防范,才能避免來自各方面的安全攻擊。洗幣MoneyLaundering
動態 | 美國警察設備制造商Axon探索區塊鏈技術以對抗Deepfake視頻:美國執法部門設備的領先技術制造商Axon Enterprise Inc.正在為其攝像機探索包括區塊鏈在內的新數據跟蹤技術。Axon對新興技術感興趣源于公眾和政府對“ deepfake”視頻的擔憂。據悉,Deepfake視頻是使用一種特殊類型的人工智能(AI)制作的,使視頻看起來和聽起來像真實的東西。(路透社)[2019/10/4]
洗幣和洗錢是一樣的,只是對象不同,洗錢指的是將一筆非法得到的金錢通過某些操作后變成正當、合法的收入。而洗幣也是一樣,指的是將非法獲取的代幣,如通過黑客攻擊、攜帶用戶資產跑路或通過詐騙等手段獲取的代幣,通過某些手段,將其來源變成正當、合法的來源。如通過交易所進行洗幣、智能合約中洗幣或通過某些攪拌器進行中轉、通過匿名幣種如門羅幣,Zcash等,令非法所得的資金無法被追蹤,最后成功逃過監管達到洗幣的目的,然后通過把代幣轉換成法幣離場,完成洗幣的流程。慢霧安全團隊建議各交易所應加強KYC策略,增強風控等級,及時監控交易所大資金進出,防范惡意用戶通過交易所進行洗幣,除此之外,可以通過與第三方安全機構進行合作,及時攔截非法資產,阻斷洗錢的可能。勒索Ransom
金色財經現場報道 易見區塊劉天成:區塊鏈現在缺少“中間層”人才 可解決供應鏈融資問題 :區塊鏈教育創新論壇暨“區塊鏈+”學程發布會上,易見天樹科技CTO劉天成說,當前產業內缺乏既懂技術又懂業務的人。我們很容易招到程序員和業務人員,但是既懂業務又懂技術的“中間層”的人才很欠缺。區塊鏈改變了現在供應鏈的規則,需要用區塊鏈技術重新設計業務。在貿易供應鏈上區塊鏈大有可為,如在“應賬款融資”業務上,區塊鏈可以統籌付款方的支付能力、貿易背景的真實性、融資方的還款意愿三個重要因素,因此解決了信任問題,很好地管控供應鏈的金融風險。[2018/4/21]
勒索是傳統行業中常見的攻擊行為,攻擊者通過向受害者主機發送勒索病對主機文件進行加密來向受害者進行資金勒索。隨著區塊鏈技術的發展,近年來,勒索開始呈現新的方式,如使用比特幣作為勒索的資金支付手段或使用匿名性更高的門羅幣作為資金支付手段。如著名的GandCrab病就是比特幣勒索病,受害者需要向攻擊者支付一定量的比特幣換取解密私鑰。通過這種勒索手段,GandCrab勒索病一年就勒索了超過20億美金。值得一提的是,就算向攻擊者發送比特幣,也不一定能換取解密私鑰,造成“人財兩空”的局面。除此之外,慢霧安全團隊還捕獲到某些攻擊者通過發送勒索郵件,謊稱檢測到交易所的漏洞,需要支付一定金額的比特幣才能提供解決方案。這種勒索方式也是區塊鏈行業近來越來越流行的勒索手段。慢霧安全團隊在此建議,當資產已經因勒索病而造成損失時,不要慌張,更不要向攻擊者支付比特幣或其他加密貨幣,可以嘗試登陸https://www.nomoreransom.org/zht_Hant/index.html這個網站尋找解決方案。同時,交易所在收到這些郵件時需額外警惕,千萬不能向攻擊者支付比特幣或其他加密貨幣,必要時可尋求第三方安全公司的協助。至此,區塊鏈安全入門筆記系列文章就將暫時告一段落,關注公眾號“慢霧科技”并回復“科普”可快速查看完整十篇科普文章,未來慢霧安全團隊將帶來更多更優質的文章以幫助大家更好的了解區塊鏈這個繽紛而又危險的世界。同時為了提供一個更加開放的區塊鏈安全學習交流環境,慢霧安全團隊現已開放「慢霧區·區塊鏈安全學習交流群」,可搜索微信號:helloslowmist添加“慢霧區小助手”并回復“進群”,就有機會加入「慢霧區·區塊鏈安全學習交流群」!
業界人士:公有鏈是未來區塊鏈發展的一大趨勢:據《每日經濟新聞》報道,在3月29日舉辦的一場區塊鏈活動上,追夢者基金創始人朱波、幣威創始人伍星、萬物鏈聯合創始人呂新浩、未來資本合伙人黃韜等探討區塊鏈技術發展,他們一致認為,公有鏈是未來區塊鏈發展的一大趨勢。創世資本CTO張焱瑞表示,未來公有鏈的發展,應該是基于底層的技術鏈,每個人都可以擁有一條公有鏈,記錄包括信用、征信、醫療之類的內容,這將是一個比較長遠的發展方向。[2018/3/30]
近一段時間以來,數字貨幣整體行情持續在低谷徘徊;但股市和貴金屬市場卻受到外界信息的刺激走出了激烈行情.
1900/1/1 0:00:00昨天凌晨,比特幣大幅下挫,帶領整個盤面下跌走勢,部分主流幣創下了9月以來的新低,山寨幣跌幅慘不忍睹.
1900/1/1 0:00:00編者按:本文來自Unitimes,作者:ParkerLewis,編譯:Jhonny,Odaily星球日報經授權轉載.
1900/1/1 0:00:00事件2019年9月2日,幣安宣布全資收購JEX平臺的團隊和業務,JEX平臺將以BinanceJEX的品牌成為Binance的子平臺,為幣安的用戶提供期權、期貨和其他創新衍生品的專業服務.
1900/1/1 0:00:008月25日,幣安公布了最新一期IEO項目Perlin的認購中簽情況,公告顯示,此期PERL的中簽率僅為5.46%.
1900/1/1 0:00:00昨天出了幾個比較重要的利好的消息,政府將支持在深圳開展數字貨幣研究與移動支付等創新應用,不過市場反應比較平淡,并沒有出現暴漲,所以還是提醒大家,既然消息面的影響不達預期.
1900/1/1 0:00:00