区块链安全事件漫谈

最近掀起了区块链之风,大有人人都需学区块链的趋势。借此机会谈谈区块链安全相关的知识。带大家了解一下,区块链安全的重要性。

区块链安全是一个不容忽视的问题,它虽然不能为区块链创造利益,但是却可以让区块链大厦瞬间坍塌。币改和Fountain进行合作,而Fountain的token 便是FTN。2018年12月24日FTN在交易所(币虎、满币)上市交易。12月26便遭到了黑客攻击。黑客利用该合约批量转账中存在的整数溢出漏洞向黑客受控账户"增发"了大量的ERC20 Token。据说因为及时关闭了交易,损失并不大。如果损失太大的话,或许FTN价格就直接归零了,的币改也不用改了。还好此次事件爆发在早期,从另一个角度看是此黑客拯救了Fountain。

目前FTN是在以太坊公链上实现的代币,只是一个智能化合约,代码也都是可见的。
被攻击时的Fountain合约代码
关键代码段:

        for (i = 0; i < investorsLength; i ++) {
            r = investors[i];
            if (r == address(0) || r == owner) continue;
            investorsCount ++;
            totalAmount += amounts[i];//需要改这里
        }
        require(totalAmount > 0);
        require(canMint(totalAmount));

攻击后修改过的Fountain 2 合约代码
关键代码:

        for (i = 0; i < receiveLength; i ++) {
            r = receivers[i];
            if (r == address(0) || r == owner) continue;
            receiverCount ++;
            totalAmount = totalAmount.add(amounts[i]); //改的这里
        }
        require(totalAmount > 0);
        require(canPay(msg.sender, totalAmount));

话说自从某公司开始杀程序猿祭天之后,后面公司纷纷效仿,程序员从此变成了一个高危行业,写出这段代码的不知道是否被祭天了。

下面是区块链相关的一些安全事件

2013年11月,澳大利亚广播公司报道,当地一位18岁的青年称,自己运营的比特币银行被盗,损失4100个比特币。
2014年3月,美国数字货币交易所Poloniex被盗,损失12.3%的比特币。
2014年Mt.gox盗币案——85万枚,价值120亿美元。
2015年1月,Bitstamp交易所盗币案——1.9万枚比特币,当时价值510万美元。
2015年2月,黑客利用比特儿从冷钱包填充热钱包的瞬间,将比特儿交易平台冷钱包中的所有比特币盗走,总额为7170个比特币,价值1亿美元。
2016年1月1日,Cryptsy交易平台失窃1.3万比特币,价值1.9亿美元。
2016年8月1日,全球知名比特币交易平台Bitfinex盗币案——约12万枚,价值18亿美元。
2017年3月1日,韩国比特币交易所yapizon被盗3831枚比特币,相当于该平台总资产的37%,价值5700万美元。
2017年6月1日,韩国数字资产交易平台Bithumb被黑客入侵,受损账户损失数十亿韩元。
2017年7月1日,BTC-e交易所盗币案——6.6万枚,价值9.9亿美元。
2017年11月22日Tether宣布被黑客入侵,价值3100万美元的比特币被盗。2017年11月23日,Bitfinex发生挤兑3万比特币瞬间被提走。

除了代码方面的漏洞外,还有一些常见的攻击:
女巫攻击(Sybil Attack)
在P2P网络中,单一节点具有多个身份标识,通过控制系统的大部分节点来削弱冗余备份的作用。
Fountain在白皮书中也提到了如何应对女巫攻击

为应对针对奖励池的女巫攻击,目前比较常见的抑制方法是:
1.较高的注册认证门槛;
2.在受到社区处罚后,参与内容发布时,必须质押部分 FP;
3.设置准备金制度(即总财富值相同情况下,注册账号越多,占用的准备金越多,从而使得可用的财富值越小)。
对于以上三种方式,Fountain 将全部采用,以有效抵御女巫攻击。目前每个用户的准备金将设置为10个 FP。为了提供更加友好的用户体验,在正式上线后,新用户注册时将获得由基金会借出的10个 FP 作为初始储备金。一段时间后这笔储备金将被收回,新用户可以利用这段时间参与社区交互,来获得足够的奖励以承担未来的储备金。

体验了下android测试版APP 4.4.0-beta,首次进去填好年龄后,已经开始送10钻借钻了。

日蚀攻击(Eclipse Attack):
攻击者模仿所有其他节点的入流量和出流量,达到将受害者与网络上的其他节点隔离的目的。

双花攻击:
通俗点说就是一份钱当两份花。当算力超过51%时候可以发起这种攻击。某些算力比较低的公链容易遭受这种攻击,据说以太经典最近遭受了多次双花攻击。

另外个人用户也要注意账户的安全性,尤其有注意保护私钥。
区块链中涉及一些密码学的东西,有些人可能不大了解,下面简单介绍一下。
非对称加密:非对称加密中有一密钥对(公钥和私钥),公钥是公开的,私钥是非公开的。公钥和私钥是不同的,公钥加密的内容,私钥可以进行解密。私钥加密我们一般称为签名,类似于手写的签名或者盖章。在电子签名法中规定:可靠的电子签名与手写签名或盖章具有具有同等的法律效力。如果你使用电脑版的网银,应该会有一个类似于U盘的东西(我们姑且称为USBKey吧)使用前要插到电脑上,如农行的K宝等。每次进行转账等关键交易的时候都需要输入密码,此时执行的操作是 使用私钥对关键数据进行签名,然后发送到银行网银服务器。银行用用户的公钥进行解密,如果可以进行正确的解密则是有效签名。
非对称加密的话,一般互联网公司采用的是RSA加密算法,而银行则正在慢慢的向国密话改进,使用的是SM2。据说是RSA-1024 被某国破解,而采用RSA-2048运算速度过慢,为了安全则基于椭圆曲线算法搞出来一套国密算法。
下面图解是以RSA为例

区块链安全事件漫谈_第1张图片
公钥加密、私钥解密

区块链安全事件漫谈_第2张图片
私钥签名、公钥验签

你可能感兴趣的:(区块链安全事件漫谈)