本文章发表于:2018-08-09
2018年8月8日国家互联网金融安全技术专家委员会发布《区块链技术安全概述》报告,指出区块链技术的安全性问题并给出建议。以下为报告全文:
一、 简述
区块链技术目前的发展方兴未艾,大多的技术和应用处于试验阶段,目前发生的安全事件多集中出现于加密资产相关领域,给用户造成了较大的经济损失,其安全问题日益受到行业关注。
同时区块链智能合约一旦在分布式、去中心化网络中部署,就难以变更,这种难以变更性一方面防止了数据操纵,建立起基于加密算法的信任机制。但另一方面,当区块链在面对安全攻击时,也就缺乏了有效的纠正机制,难以逆转。
本文主要讨论了区块链的安全性问题,以及相应的解决方案和建议。 本文中,区块链应用从架构上分为三层:基础网络、平台层和应用层。三个层面相互影响,每一个环节出现的安全问题,都将给下个环节带来更多的安全问题。因此,在进行区块链项目开发的过程中,从设计到实现,从验证到响应,不仅仅需要考虑到单个环节的安全性问题,也需要将其放入到整体的层面中去判断可能出现的风险点。
图:区块链应用架构
二、基础网络安全风险
基础网络由数据层及网络层组成,是区块链的基础部分,该部分封装了区块链的底层数据,对区块链的数据采用非对称性加密,利用P2P网络并设置了传播、验证机制等,目前主要面临以下几类安全问题。
2.1 数据层:信息攻击与加密算法攻击
(1)数据区块信息攻击风险:一方面写入区块链后的信息很难删除,不法分子将某些有害信息、病毒特征码、淫秽信息等写入区块中,影响区块链生态环境。另一方面,大量的垃圾交易数据攻击会堵塞区块链,使得有效交易和信息迟迟无法被处理。
(2)加密算法安全风险:早年普遍使用的SHA-1于2005年2月被王小云、殷益群及于红波等人证明安全性不足,只需少于2的69次方的计算复杂度就能找到一组碰撞。此外SHA-2算法跟SHA-1基本相似,虽目前未出现有效攻击,但安全性已被严重质疑。其余的SHA-224、SHA-256、SHA-384、SHA-512等加密算法目前没有公开证据表明存在漏洞,但在量子计算高速发展的情况下,并不是无懈可击。目前针对加密算法进行攻击的方式主要有:穷举攻击、碰撞攻击、长度扩展攻击、后门攻击、量子攻击等。
2.2 网络层:节点传播与验证机制风险
(1)P2P网络风险:区块链信息传播采用P2P的模式,节点之间的信息传播,会将包含自身IP地址的信息发送给相邻节点。由于节点安全性参差不齐,较差的节点容易受到攻击,目前可进行攻击的方式有:日食攻击、窃听攻击、BGP劫持攻击、节点客户端漏洞、拒绝服务(DDoS)攻击等。例如:2018年3月以太坊网络爆出的“日食攻击”。
(2)广播机制风险:节点与节点之间相互链接,某节点将信息广播给其他节点,这些节点确认信息后再向更多的节点进行广播。在广播机制中常见的攻击方式有双花攻击及交易延展性攻击。双花攻击即同一笔加密资产被多次花费,当商家接受0确认交易付款时或者通过51%算力攻击时这种情况较容易发生。交易延展性攻击也被称为可锻性,即同一个东西,本质没有变化,形状发生了改变,攻击者利用交易签名算法特征修改原交易input签名,生成一样的input和output的新交易,导致原有交易一定概率不被确认形成双花。
(3)验证机制风险:验证机制更新过程易出现验证绕过,一旦出现问题将导致数据混乱,而且会涉及到分叉问题,需要确保机制的严谨性。
2.3 解决方案与建议
基础网络作为区块链的底层,其安全性尤为重要。
(1)与时俱进,关注技术安全方面的最新进展。在量子计算快速发展的情况下,加密系统只有不断研发更新才可防范黑客攻击。
(2)接受专业的代码审计,了解相关安全编码规范。大多数区块链项目为了增加可信度和透明性,对其项目代码进行开源管理,然而这样也使得项目更易受到攻击,接受专业的代码审计及注重安全编码可以有效规避潜在的风险。
三、平台层安全风险
平台层由共识层、激励层及合约层组成,是衔接基础网络与应用服务层的桥梁。该部分封装了网络节点的共识算法、发行机制、分配机制、脚本及智能合约等。
3.1 共识层:常见共识机制安全性对比
共识机制是对于一个时间窗口内的事务先后顺序达成共识的算法。区块链可支持不同的共识机制,目前存有的共识机制有PoW、PoS、DPoS、Pool验证池机制、BFT等等。本文将介绍以下三种常见的共识机制的安全性:
3.2 激励层:发行与分配机制风险
(1)发行机制风险:目前暂无安全风险事件曝光,但不排除激励层发行机制中存在安全隐患。
(2)分配机制风险:大量小算力节点易集中加入矿池,对于去中心化趋势造成威胁。
3.3 合约层相关安全风险
合约层主要封装区块链的各类脚本、算法及智能合约。最初区块链只能用于交易,合约层的出现使得很多领域可以使用区块链技术。图灵完备的代表是以太坊,其合约层包括了以太坊虚拟机和智能合约两部分。目前合约层可能出现以下攻击对区块链的安全造成威胁:Solidity漏洞、逃逸漏洞、短地址漏洞、堆栈溢出漏洞、可重入性攻击、交易顺序依赖攻击、时间戳依赖攻击、整数溢出攻击等。例如:2017年7月19日在github上出现一个针对VMware虚拟机的逃逸exploit源码;2016年6月17日,DAO黑客利用重入性漏洞抽走了价值5000万美金的以太坊;2018年4月22日,黑客利用机制漏洞,转出大量的通证,计算结果产生溢出,完成通证增发。BEC无中生有出巨额通证,价值几乎归零。
图智能合约运作原理(数据来源:百度百科)
3.4 解决方案与建议
(1)目前现有的共识机制均不是完美无缺的,需探求设计更安全性能更快的共识机制。
(2)智能合约开发前需要对当下已经出现过的漏洞进行防范。
(3)发布智能合约之前需要充分的进行安全测试。
(4)关注相关情报,专业人员及时进行代码优化。
(5)定期进行代码审计,包括但不限于:交易安全审查、访问控制审查等
(6)异常操作监控,监控已部署合约异常行为,降低损失。
四、应用层安全风险
应用层作为区块链技术一个实际的落地场景,也是目前区块链产业的所有架构中受到安全性事件影响最多也是最频繁的一个层级。攻击目标主要集中在与加密资产相关的领域例如用户节点、数字资产钱包以及交易平台之中,每一次的安全事件所带来的实际损失可达千万至上亿美元。
4.1节点常见安全问题
(1)傀儡网络是指恶意软件开发者或运营者通过感染受害者的系统和设备在对方不知情的情况下进行加密资产挖矿行为。
黑客主要通过在例如网页、游戏辅助程序、系统后台中安装木马程序的方式侵占用户的算力与电力,并用于采矿以谋求非法收益。美国哈佛大学与国家基金会的超级计算机在此前均受到过类似的攻击方式,国内也常常发生例如网页被串改或者应用程序被植入采矿木马的相关事件。
在当下采矿需要大量的计算能力的前提下,单一设备的算力已经无法满足采矿所需要的算力。于是攻击者扩大了攻击目标设备的范畴,尤其是易受到攻击的物联网设备成为了主要目标,这也形成更大规模的傀儡网络采矿,目前主要的感染对象包括数字视频摄像机、路由器、监控摄像头、打印服务器、游戏机等。常见的攻击方式有:
跨站脚本
Microsoft中远程执行代码的漏洞利用
命令缓冲区溢出漏洞利用
SQL注入
BlackNurse拒绝服务攻击
图2017部分傀儡网络攻击事件统计(数据来源:TrendLabs)
(2)解决方案或建议
这些恶意软件可能会威胁系统的可用性、完整性和安全性,并使最终用户和企业面临信息窃取,劫持和感染其他恶意软件的风险。对于这些恶意软件没有一蹴而就的解决方案,但可以通过以下方式来减轻感染风险:
定期使用最新补丁更新设备有助于防止攻击者利用系统漏洞。
更改设备默认凭据并启用设备防火墙,尤其在使用家用路由器时。
禁用路由器中不必要的组件,也可重新配置路由器例如更改子网地址、使用随机IP地址、强制执行SSL等。
如果物联网家庭设备链接到移动设备,则仅通过官方/可信应用商店使用合法应用程序。咨询IT管理员和安全专家,制定对策和监控流程,以预防或缓解高级威胁,例如采用应用程序白名单或类似安全机制。
4.2加密资产钱包安全性对比
(1)区块链的钱包主要用于存储区块链资产的地址和私钥文件,目前根据使用场景的不同分为了不同类型的数字资产钱包,主要包括:
中心化钱包:使用用户名/密码进行登陆,可在多个链上交易多个通证。
多种类钱包:可通过相同的私钥保存不同链上的通证。
网络钱包:通过网络托管的链上钱包,有的需要将私钥存储在密码之后,有的则要求在对账户执行任何操作之前存储私钥并上传。
本地钱包:本地安装的软件,用于对特定区块链执行操作,私钥仍然需要存储在钱包可以访问的地方。
硬件钱包:冷钱包,存储在物理脱机设备中例如硬盘、USB,只在使用时连接网络。
(2) 目前影响钱包安全的因素主要包括:
网络钓鱼:简单来讲为通过欺骗的方式获取访问账户所需信息。例如:通过邮件发送的需要输入私钥或账户密码的虚假链接。
恶意三方程序:来自非官方地址下载的有后台程序漏洞的钱包。
计算机黑客:跟踪计算机上执行的操作,输入密钥或密码将会被盗。
丢失密码/密钥:丢失存储的密钥、密码或助记词。
(3)不同的数字资产钱包面临的安全性问题
有别于其他的应用程序,钱包因为各自用途、属性的不同,目前并无统一的解决方案,用户可以通过各自的适用性来判断相应适合的加密资产钱包,从用户的角度出发目前主要有以下几种拓展功能:
私钥控制:意味着可以随时使用其他软件获取私钥并访问数字资产,甚至可以直接在链上进行交互。
账户恢复:忘记密码或者丢失私钥时,可使用服务来恢复访问权限。
获取AirDrop/Forks:当硬分叉发生或者通证被空投到另一个通证的持有者时,只能使用私钥访问这些新通证。
存储不同链上的通证:使用同一个账户存储不同链上的通证。
4.3加密资产交易平台常见安全问题
(1)加密资产是数字经济中重要的组成部分,但针对加密资产交易平台展开的频繁网络攻击不断冲击着用户对于数字资产的信任。就在最近的几个月里,人们目睹了数起针对交易平台的攻击。例如日本的加密资产交易平台Coincheck于2018年1月被入侵,损失超过5亿美元。韩国交易平台Coinrail也证实它在2018年6月被黑客攻击,入侵损失达3,690万美元。
目前看来,加密资产交易平台主要有六类常见隐患和漏洞,即拒绝服务攻击、网络钓鱼事件,热钱包防护问题,内部攻击,软件漏洞,和交易可锻性。
拒绝服务攻击:攻击者通过拒绝服务攻击使得交易平台无法正常访问,也是目前最主要的针对交易平台的攻击方式。用户因为无法准确分辨攻击程度,往往会造成恐慌性的资产转移,从而给交易平台带来损失。
网络钓鱼事件:目前即使是最好的技术措施也无法保护加密资产交易平台免受网络钓鱼攻击。 欺诈者往往通过虚假域名或者仿冒页面的方式迷惑受害者,受害者如无法分辨交易平台的真实性便会遭受资产上的损失。
热钱包防护问题:许多交易平台使用单个私钥来保护热钱包,如果犯罪分子可以访问单个私钥,他们将能够破解与私钥相关的热钱包。 私钥攻击的典型例子是2017年首尔交易所Yapizon的攻击,攻击者一年内前后两次对交易平台发起了针对平台上热钱包的盗取,总共造成了交易平台近50%的资产损失,并最终导致了交易平台的破产。
内部攻击:由于没有完善的风险隔离措施或对于员工权限监督不力,导致了部分拥有平台操作权限的员工利用内部信任监守自盗。例如2016年交易平台ShapeShift发生的员工盗取BTC事件,其通过私下盗取和将敏感信息转卖给其余人员的方式前后给交易平台造成了23万美元的损失。
软件漏洞:包括单点登陆漏洞、oAuth协议漏洞等。各国都有法律要求银行或其他金融机构实施信息安全措施,以保护客户的存款。但是,由于区块链领域还处于起步阶段,目前缺少适用于加密资产的此类规范。 因此,许多交易平台在缺乏安全规范约束的条件下,存在大量漏洞并非偶然。
交易可锻性:区块链技术的支持者常常认为区块链交易是高度安全的,因为它们被记录在据称不可更改的记录上。 但是每个交易都需要有相应签名,而在交易最终确认之前,记录是可以被暂时伪造的。 “Mt.Gox事件“是加密资产历史上最大的攻击之一,共造成了4.73亿美元的损失,而这次攻击事件便是由黑客在初始交易发布之前向公共帐本提交代码更改进行的。
(2)解决方案与建议
在技术开发方面持续的投入,抵御日益增长的黑客攻击,切实的增强系统的安全性。
确保员工保护安装在专业工作计算机或个人计算机上软件应用程序相关的登录凭据,并完善安全培训,提高安全意识。
定期的安全测试,建立完善的应急相应机制。
网络安全隔离,谨慎进行服务端口开放。
选择具备完善防护的能力的服务供应商。
行业需要统一的治理机制,引入第三方监管与合作,在出现问题时及时与外部协同工作。
五、小结
以上内容概述了区块链三个架构层中可能存在的安全问题。总体来说,一是在架构设计上,由于区块链应用具有高度自治特性,智能合约一旦运行就无法逆转,因此初期的安全设计规范尤显重要。二是在具体开发阶段,目前部分区块链开发者的代码质量、开发工具和应用平台的成熟度都需要进行不断完善与提升。三是区块链问题外延方面,鉴于安全问题始终是非静态的,关注区块链底层技术的安全问题同时,区块链安全问题同样外延到了传统的个人信息安全保护、基础设施安全、网络安全等领域中,无论是在区块链概念上,还是在实际应用层面上,都需要长期有效的校正机制。
本文章发表于:2018-08-09 14:33:00
2018年8月8日国家互联网金融安全技术专家委员会发布《区块链技术安全概述》报告,指出区块链技术的安全性问题并给出建议。以下为报告全文:
一、 简述
区块链技术目前的发展方兴未艾,大多的技术和应用处于试验阶段,目前发生的安全事件多集中出现于加密资产相关领域,给用户造成了较大的经济损失,其安全问题日益受到行业关注。
同时区块链智能合约一旦在分布式、去中心化网络中部署,就难以变更,这种难以变更性一方面防止了数据操纵,建立起基于加密算法的信任机制。但另一方面,当区块链在面对安全攻击时,也就缺乏了有效的纠正机制,难以逆转。
本文主要讨论了区块链的安全性问题,以及相应的解决方案和建议。 本文中,区块链应用从架构上分为三层:基础网络、平台层和应用层。三个层面相互影响,每一个环节出现的安全问题,都将给下个环节带来更多的安全问题。因此,在进行区块链项目开发的过程中,从设计到实现,从验证到响应,不仅仅需要考虑到单个环节的安全性问题,也需要将其放入到整体的层面中去判断可能出现的风险点。
图:区块链应用架构
二、基础网络安全风险
基础网络由数据层及网络层组成,是区块链的基础部分,该部分封装了区块链的底层数据,对区块链的数据采用非对称性加密,利用P2P网络并设置了传播、验证机制等,目前主要面临以下几类安全问题。
2.1 数据层:信息攻击与加密算法攻击
(1)数据区块信息攻击风险:一方面写入区块链后的信息很难删除,不法分子将某些有害信息、病毒特征码、淫秽信息等写入区块中,影响区块链生态环境。另一方面,大量的垃圾交易数据攻击会堵塞区块链,使得有效交易和信息迟迟无法被处理。
(2)加密算法安全风险:早年普遍使用的SHA-1于2005年2月被王小云、殷益群及于红波等人证明安全性不足,只需少于2的69次方的计算复杂度就能找到一组碰撞。此外SHA-2算法跟SHA-1基本相似,虽目前未出现有效攻击,但安全性已被严重质疑。其余的SHA-224、SHA-256、SHA-384、SHA-512等加密算法目前没有公开证据表明存在漏洞,但在量子计算高速发展的情况下,并不是无懈可击。目前针对加密算法进行攻击的方式主要有:穷举攻击、碰撞攻击、长度扩展攻击、后门攻击、量子攻击等。
2.2 网络层:节点传播与验证机制风险
(1)P2P网络风险:区块链信息传播采用P2P的模式,节点之间的信息传播,会将包含自身IP地址的信息发送给相邻节点。由于节点安全性参差不齐,较差的节点容易受到攻击,目前可进行攻击的方式有:日食攻击、窃听攻击、BGP劫持攻击、节点客户端漏洞、拒绝服务(DDoS)攻击等。例如:2018年3月以太坊网络爆出的“日食攻击”。
(2)广播机制风险:节点与节点之间相互链接,某节点将信息广播给其他节点,这些节点确认信息后再向更多的节点进行广播。在广播机制中常见的攻击方式有双花攻击及交易延展性攻击。双花攻击即同一笔加密资产被多次花费,当商家接受0确认交易付款时或者通过51%算力攻击时这种情况较容易发生。交易延展性攻击也被称为可锻性,即同一个东西,本质没有变化,形状发生了改变,攻击者利用交易签名算法特征修改原交易input签名,生成一样的input和output的新交易,导致原有交易一定概率不被确认形成双花。
(3)验证机制风险:验证机制更新过程易出现验证绕过,一旦出现问题将导致数据混乱,而且会涉及到分叉问题,需要确保机制的严谨性。
2.3 解决方案与建议
基础网络作为区块链的底层,其安全性尤为重要。
(1)与时俱进,关注技术安全方面的最新进展。在量子计算快速发展的情况下,加密系统只有不断研发更新才可防范黑客攻击。
(2)接受专业的代码审计,了解相关安全编码规范。大多数区块链项目为了增加可信度和透明性,对其项目代码进行开源管理,然而这样也使得项目更易受到攻击,接受专业的代码审计及注重安全编码可以有效规避潜在的风险。
三、平台层安全风险
平台层由共识层、激励层及合约层组成,是衔接基础网络与应用服务层的桥梁。该部分封装了网络节点的共识算法、发行机制、分配机制、脚本及智能合约等。
3.1 共识层:常见共识机制安全性对比
共识机制是对于一个时间窗口内的事务先后顺序达成共识的算法。区块链可支持不同的共识机制,目前存有的共识机制有PoW、PoS、DPoS、Pool验证池机制、BFT等等。本文将介绍以下三种常见的共识机制的安全性:
3.2 激励层:发行与分配机制风险
(1)发行机制风险:目前暂无安全风险事件曝光,但不排除激励层发行机制中存在安全隐患。
(2)分配机制风险:大量小算力节点易集中加入矿池,对于去中心化趋势造成威胁。
3.3 合约层相关安全风险
合约层主要封装区块链的各类脚本、算法及智能合约。最初区块链只能用于交易,合约层的出现使得很多领域可以使用区块链技术。图灵完备的代表是以太坊,其合约层包括了以太坊虚拟机和智能合约两部分。目前合约层可能出现以下攻击对区块链的安全造成威胁:Solidity漏洞、逃逸漏洞、短地址漏洞、堆栈溢出漏洞、可重入性攻击、交易顺序依赖攻击、时间戳依赖攻击、整数溢出攻击等。例如:2017年7月19日在github上出现一个针对VMware虚拟机的逃逸exploit源码;2016年6月17日,DAO黑客利用重入性漏洞抽走了价值5000万美金的以太坊;2018年4月22日,黑客利用机制漏洞,转出大量的通证,计算结果产生溢出,完成通证增发。BEC无中生有出巨额通证,价值几乎归零。
图智能合约运作原理(数据来源:百度百科)
3.4 解决方案与建议
(1)目前现有的共识机制均不是完美无缺的,需探求设计更安全性能更快的共识机制。
(2)智能合约开发前需要对当下已经出现过的漏洞进行防范。
(3)发布智能合约之前需要充分的进行安全测试。
(4)关注相关情报,专业人员及时进行代码优化。
(5)定期进行代码审计,包括但不限于:交易安全审查、访问控制审查等
(6)异常操作监控,监控已部署合约异常行为,降低损失。
四、应用层安全风险
应用层作为区块链技术一个实际的落地场景,也是目前区块链产业的所有架构中受到安全性事件影响最多也是最频繁的一个层级。攻击目标主要集中在与加密资产相关的领域例如用户节点、数字资产钱包以及交易平台之中,每一次的安全事件所带来的实际损失可达千万至上亿美元。
4.1节点常见安全问题
(1)傀儡网络是指恶意软件开发者或运营者通过感染受害者的系统和设备在对方不知情的情况下进行加密资产挖矿行为。
黑客主要通过在例如网页、游戏辅助程序、系统后台中安装木马程序的方式侵占用户的算力与电力,并用于采矿以谋求非法收益。美国哈佛大学与国家基金会的超级计算机在此前均受到过类似的攻击方式,国内也常常发生例如网页被串改或者应用程序被植入采矿木马的相关事件。
在当下采矿需要大量的计算能力的前提下,单一设备的算力已经无法满足采矿所需要的算力。于是攻击者扩大了攻击目标设备的范畴,尤其是易受到攻击的物联网设备成为了主要目标,这也形成更大规模的傀儡网络采矿,目前主要的感染对象包括数字视频摄像机、路由器、监控摄像头、打印服务器、游戏机等。常见的攻击方式有:
跨站脚本
Microsoft中远程执行代码的漏洞利用
命令缓冲区溢出漏洞利用
SQL注入
BlackNurse拒绝服务攻击
图2017部分傀儡网络攻击事件统计(数据来源:TrendLabs)
(2)解决方案或建议
这些恶意软件可能会威胁系统的可用性、完整性和安全性,并使最终用户和企业面临信息窃取,劫持和感染其他恶意软件的风险。对于这些恶意软件没有一蹴而就的解决方案,但可以通过以下方式来减轻感染风险:
定期使用最新补丁更新设备有助于防止攻击者利用系统漏洞。
更改设备默认凭据并启用设备防火墙,尤其在使用家用路由器时。
禁用路由器中不必要的组件,也可重新配置路由器例如更改子网地址、使用随机IP地址、强制执行SSL等。
如果物联网家庭设备链接到移动设备,则仅通过官方/可信应用商店使用合法应用程序。咨询IT管理员和安全专家,制定对策和监控流程,以预防或缓解高级威胁,例如采用应用程序白名单或类似安全机制。
4.2加密资产钱包安全性对比
(1)区块链的钱包主要用于存储区块链资产的地址和私钥文件,目前根据使用场景的不同分为了不同类型的数字资产钱包,主要包括:
中心化钱包:使用用户名/密码进行登陆,可在多个链上交易多个通证。
多种类钱包:可通过相同的私钥保存不同链上的通证。
网络钱包:通过网络托管的链上钱包,有的需要将私钥存储在密码之后,有的则要求在对账户执行任何操作之前存储私钥并上传。
本地钱包:本地安装的软件,用于对特定区块链执行操作,私钥仍然需要存储在钱包可以访问的地方。
硬件钱包:冷钱包,存储在物理脱机设备中例如硬盘、USB,只在使用时连接网络。
(2) 目前影响钱包安全的因素主要包括:
网络钓鱼:简单来讲为通过欺骗的方式获取访问账户所需信息。例如:通过邮件发送的需要输入私钥或账户密码的虚假链接。
恶意三方程序:来自非官方地址下载的有后台程序漏洞的钱包。
计算机黑客:跟踪计算机上执行的操作,输入密钥或密码将会被盗。
丢失密码/密钥:丢失存储的密钥、密码或助记词。
(3)不同的数字资产钱包面临的安全性问题
有别于其他的应用程序,钱包因为各自用途、属性的不同,目前并无统一的解决方案,用户可以通过各自的适用性来判断相应适合的加密资产钱包,从用户的角度出发目前主要有以下几种拓展功能:
私钥控制:意味着可以随时使用其他软件获取私钥并访问数字资产,甚至可以直接在链上进行交互。
账户恢复:忘记密码或者丢失私钥时,可使用服务来恢复访问权限。
获取AirDrop/Forks:当硬分叉发生或者通证被空投到另一个通证的持有者时,只能使用私钥访问这些新通证。
存储不同链上的通证:使用同一个账户存储不同链上的通证。
4.3加密资产交易平台常见安全问题
(1)加密资产是数字经济中重要的组成部分,但针对加密资产交易平台展开的频繁网络攻击不断冲击着用户对于数字资产的信任。就在最近的几个月里,人们目睹了数起针对交易平台的攻击。例如日本的加密资产交易平台Coincheck于2018年1月被入侵,损失超过5亿美元。韩国交易平台Coinrail也证实它在2018年6月被黑客攻击,入侵损失达3,690万美元。
目前看来,加密资产交易平台主要有六类常见隐患和漏洞,即拒绝服务攻击、网络钓鱼事件,热钱包防护问题,内部攻击,软件漏洞,和交易可锻性。
拒绝服务攻击:攻击者通过拒绝服务攻击使得交易平台无法正常访问,也是目前最主要的针对交易平台的攻击方式。用户因为无法准确分辨攻击程度,往往会造成恐慌性的资产转移,从而给交易平台带来损失。
网络钓鱼事件:目前即使是最好的技术措施也无法保护加密资产交易平台免受网络钓鱼攻击。 欺诈者往往通过虚假域名或者仿冒页面的方式迷惑受害者,受害者如无法分辨交易平台的真实性便会遭受资产上的损失。
热钱包防护问题:许多交易平台使用单个私钥来保护热钱包,如果犯罪分子可以访问单个私钥,他们将能够破解与私钥相关的热钱包。 私钥攻击的典型例子是2017年首尔交易所Yapizon的攻击,攻击者一年内前后两次对交易平台发起了针对平台上热钱包的盗取,总共造成了交易平台近50%的资产损失,并最终导致了交易平台的破产。
内部攻击:由于没有完善的风险隔离措施或对于员工权限监督不力,导致了部分拥有平台操作权限的员工利用内部信任监守自盗。例如2016年交易平台ShapeShift发生的员工盗取BTC事件,其通过私下盗取和将敏感信息转卖给其余人员的方式前后给交易平台造成了23万美元的损失。
软件漏洞:包括单点登陆漏洞、oAuth协议漏洞等。各国都有法律要求银行或其他金融机构实施信息安全措施,以保护客户的存款。但是,由于区块链领域还处于起步阶段,目前缺少适用于加密资产的此类规范。 因此,许多交易平台在缺乏安全规范约束的条件下,存在大量漏洞并非偶然。
交易可锻性:区块链技术的支持者常常认为区块链交易是高度安全的,因为它们被记录在据称不可更改的记录上。 但是每个交易都需要有相应签名,而在交易最终确认之前,记录是可以被暂时伪造的。 “Mt.Gox事件“是加密资产历史上最大的攻击之一,共造成了4.73亿美元的损失,而这次攻击事件便是由黑客在初始交易发布之前向公共帐本提交代码更改进行的。
(2)解决方案与建议
在技术开发方面持续的投入,抵御日益增长的黑客攻击,切实的增强系统的安全性。
确保员工保护安装在专业工作计算机或个人计算机上软件应用程序相关的登录凭据,并完善安全培训,提高安全意识。
定期的安全测试,建立完善的应急相应机制。
网络安全隔离,谨慎进行服务端口开放。
选择具备完善防护的能力的服务供应商。
行业需要统一的治理机制,引入第三方监管与合作,在出现问题时及时与外部协同工作。
五、小结
以上内容概述了区块链三个架构层中可能存在的安全问题。总体来说,一是在架构设计上,由于区块链应用具有高度自治特性,智能合约一旦运行就无法逆转,因此初期的安全设计规范尤显重要。二是在具体开发阶段,目前部分区块链开发者的代码质量、开发工具和应用平台的成熟度都需要进行不断完善与提升。三是区块链问题外延方面,鉴于安全问题始终是非静态的,关注区块链底层技术的安全问题同时,区块链安全问题同样外延到了传统的个人信息安全保护、基础设施安全、网络安全等领域中,无论是在区块链概念上,还是在实际应用层面上,都需要长期有效的校正机制。
热门资讯
快速打开国外网站的方法大汇总
如今,互联网已经成为人们获取信息、进行交流的重要平台之一。然而,由于各国的政治、文化等方面的差异,某些国外网站在中国是无法直接访问的。这对于需要接触国际信息的人来说,可能会带来不便。那么你知道如何访问国外网站,访问国外网站的几种方法?接下来就让我们一起来详细了解下吧! 访问国外网站的几种方法 使用加速器:加速器是一种将数据包压缩和加密传输的技术,可以提高网站访问速度。用户可以选择使用付费或免费的加速器服务商,安装加速器客户端,连接到加速器服务器即可。 修改DNS设置:有时候无法访问国外网站是由于DNS解析的问题,用户可以尝试修改DNS设置,使用公共DNS服务器或者自己搭建DNS服务器,以提高访问速度。 使用CDN:CDN是一种分布式缓存技术,可以将网站内容缓存在离用户最近的服务器上,从而提高网站访问速度。用户可以选择使用CDN服务商,将网站内容缓存在CDN服务器上。 使用镜像站点:镜像站点是指将国外网站的内容复制到国内服务器上,从而实现快速访问的目的。用户可以通过搜索引擎或者其他渠道寻找到镜像站点,并使用镜像站点访问国外网站。 使用VPN:VPN是一种虚拟私人网络技术,可以通过加密通道连接到国外服务器,从而实现访问国外网站的目的。用户可以选择使用付费或免费的VPN服务商,安装VPN客户端,连接到VPN服务器即可。 以上就是关于如何访问国外网站,访问国外网站的几种方法的全部内容,访问国外网站有多种方法,每种方法都有其适用的场景。如果您仅需要偶尔访问国外网站,那么使用VPN、代理服务器、DNS服务等工具都是可行的选择。但如果您需要经常访问国外网站,建议您选择付费的VPN服务,以获得更好的使用体验和更高的安全性。
2023-03-24
错误代码502,网页无法打开?教你如何解决!
在使用互联网的过程中,我们时常会遇到各种错误代码,其中502错误代码是最为常见的一种。502 Bad Gateway错误表示,网关或代理服务无法将请求发送到上游服务器。那么,错误代码502是什么意思?错误代码502怎么解决?接下来小编将为您一一解答。 一、什么是错误代码502 502 Bad Gateway错误是指代理或网关从上一个服务器接收到的响应无效或不完整。通常,这种情况发生在文件太大或处理速度太慢的高流量网站上。例如,当您访问一个具有高流量的网站时,您的请求将被发送到它的代理服务器。如果代理服务器在尝试访问网站时无法从上游服务器获取完整的响应,则会生成502错误代码。 502错误代码通常是由代理服务器、网关或负载均衡器等设备导致的,而不是由您的计算机或网络连接引起的。这意味着您只能为自己的网络连接做些有限的调整,但无法修复网关响应错误。 二、错误代码502的可能原因 1、上游服务器返回的响应无效或不完整 当请求通过代理服务器到达上游服务器时,服务器有时会出现响应故障。这可能是因为服务器正在忙于处理请求,或者因为出现其他问题造成了响应不完整。如果代理服务器无法从上游服务器获取完整的响应,则表现为502错误代码。 2、代理服务器或网关故障 当请求到达代理服务器或网关时,如果设备发生故障或未正确配置,则会导致出现502错误。如果代理服务器或网关未得到正确配置,将无法正常地从上游服务器获取响应。 3、网络连接问题 本地计算机与服务器之间的网络连接是错误代码502的常见原因之一。如果您的互联网连接出现问题或受到网络中断的干扰,则可能导致您的请求无法成功连接到代理服务器或网关,这会导致错误代码502的出现。 三、如何解决错误代码502 1、刷新页面 首先尝试刷新网页。因为502错误代码可能是由临时问题引起的,例如超载的服务器或墙壁上的阻止。因此,刷新页面可能会解决问题。 2、检查网络连接 检查您的网络连接是否正常。您可以尝试与其他网站进行通信,以确定问题是否出现在本地网络连接中。如果您的其他网站可以工作,但一个特定的网站不起作用,那么很可能是这个网站出现了502错误。 3、清除浏览器缓存 清除浏览器缓存还可能有助于解决502错误。浏览器的缓存可能是旧数据的源,这可能会使代理服务器或网关出现错误。 4、暂时使用其他网络连接 尝试切换到其他网络连接,例如在使用Wi-Fi时尝试使用移动数据。通过使用其他网络连接,您可以确定是否存在网络连接问题。 5、联系网站管理员 如果以上方法都尝试过了,但仍然出现502错误代码,并且您确信问题不是出在您的本地网络连接中,则可能需要联系网站管理员寻求帮助。他们可以告诉您更多关于错误代码502的信息,并提供解决方法。 在互联网时代,我们经常会遇到502错误代码。这意味着请求未能正确连接到上游服务器,通常是由代理服务器、网关或网络连接问题引起的。为了解决这个问题,我们可以尝试刷新网页、检查网络连接、清除浏览器缓存、暂时使用其他网络连接或联系网站管理员。希望本文能帮助您了解并解决错误代码502问题。
2023-04-20
全新的页面访问界面升级,让你的网页变得更精彩!
相信大家在访问网站的时候时常会遇到页面访问界面升级,暂时不可能进行访问操作,可能遇到这种情况很多小伙伴们都不知道怎么版,其实互联网网页在正常使用过程中是不会出现这种问题的。那么如果遇到页面访问界面升级怎么办?页面访问界面升级通知怎么设置?接下来就跟小编一起来详细了解下吧! 页面访问界面升级怎么办 所谓的网页升级访问页面,就是用户们正在访问的网页正在进行升级,暂时不可能进行访问等操作,一般来说互联网的网页使用过程中会出现各种问题的,网页建设者们会通过升级访问提升网页的流畅度,让大家后续访问过程中更加顺畅。这样上网就不会太卡了。 页面访问界面升级通知怎么设置出现页面访问升级通知中,可以首先打开这个永久访问页面,然后点击升级按钮,点击升级以后,网络就会自动的升级的,如果手机不会自动升级的话,就点击手动升级,大概等五分钟之后它就会自动的升级了。重复多次,通过以上方式就可以打开需要访问的页面。 页面访问升级出错? 有几个情况会导致这个现象出现: 1.你的网速过慢,网页代码没有完全下载就运行了,导致不完整,当然就错误了。请刷新。 2.网页设计错误,导致部分代码不能执行。请下载最新的遨游浏览器。 3.你的浏览器不兼容导致部分代码不能执行。请下载最新的遨游浏览器。 4.你的IE浏览器缓存出错,请右键点击桌面IE浏览器,选择属性,在常规页面里,点击删除文件这个按钮,选择全部删除,并且点击删除cookies按钮。 5.网站服务器访问量太大,导致服务器超负载,部分代码没有完全下载就提示浏览器完毕,导致错误。 你可以多刷新,或者换一个网速比较好的时候访问(前提是这个网站是个大网站,不会出现问题2) 6.qq空间目前在升级5.0版本,会出现一点小问题..请不用担心,到10月份更新完毕后,所有问题都会解决的。 以上就是遇到页面访问界面升级怎么办的全部内容,其实当网站停止访问的话,不一定及时网站问题,也有可能只是网站正在升级,升级也是为了更好的保证用户访问以及使用体验。当然也是为了安全性能,服务器软件功能会随着版本的更新而提升。当现有的网站功能不能满足访问需求的时候也会及时升级提升体验。
2023-03-02
一分钟带你了解网页升级访问原因
相信大家肯定在日常浏览网页访问的时候会遇到页面紧急升级就是页面打不开的这种情况,其实就是暂时访问不了该网站的,很多小伙伴们搞不清楚网页升级访问是什么意思,也不知道网页升级访问原因?其实这种情况很常见,很多网站当前的性能以及功能不能满足用户访问需求的时候,网站就会进行升级来满足访问者。那么为什么需要升级页面?具体跟小编一起来详细了解下吧! 网页升级访问是什么意思? 所谓的网页升级访问,就是用户们正在访问的网页正在进行升级,暂时不可能进行访问等操作,一般来说互联网的网页使用过程中会出现各种问题的,网页建设者们会通过升级访问提升网页的流畅度,让大家后续访问过程中更加顺畅。 网页升级访问升级原因 1、 每个网站的站长都是希望把自己的网站做大做强的,当网站的流量高了以后网站的后台服务器可能无法接纳大量的网友访问,这时候就需要升级网站了,升级以接纳更多的网友访问网站。 2、 网站营运一段时间后,由于网络技术的发展以及网络服务器环境的改变,原网页可能出现兼容性、功能与用户体验上的缺陷,为了更长远的发展就需要升级访问页面了。 3、 现在的网络发展很快,网站的设计与服务器安全的水平可能还停留在比较老的水平,页面的升级就能完善这些方面的缺陷。 为什么需要升级页面: 1、 升级页面对于网站优化:网站进行META标记优化,W3C标准优化,搜索引擎优化等合理优化操作,使网站在页面的布局、结构与内容方面都对用户与搜索引擎更加的友好,提升用户体验与搜索引擎对网站的认可。 2、 对于网站的安全与维护:页面安全方面的升级能有效的防止黑客入侵,造成网站破坏,数据损坏,商业机密泄露,客户资料丢失等损失;页面升级对于内容更新调整,网页X信息清理,网络速度提升等网站维护操作;定期检查企业网络和计算机工作状态,降低系统故障率;网站系统遭遇突发严重故障而导致网络系统崩溃后,在最短的时间内进行恢复;在重要的文件资料、数据被误删或遭病毒感染、黑客破坏后,通过技术手段尽力抢救,争取恢复。 以上就是关于页面升级访问的原因以及解决方法全部内容,其实很多网站都是需要升级优化的,为了的就是可以满足各种用户的需求,也是提升网站用户体验的一种方法,当然很多网站想要留住更多用户就需要对网站不断进行页面访问升级,这样才能有利于网站的发展,特别是当服务器无法接纳新用户访问的时候,更需要及时进行页面访问升级,希望本文可以帮助到大家。
2023-03-16
国外vps加速器哪个比较好用
随着互联网的普及,许多企业和个人都需要使用VPS(虚拟专用服务器)来满足其业务需求。然而,由于不同地区的网络环境和政策法规存在差异,用户在使用VPS时可能会面临一些挑战。因此,选择一款合适的国外VPS加速器非常重要。那么哪些国外的VPS加速器比较受欢迎呢?它们又有什么优势呢?小编将为您介绍几款常见的国外VPS加速器及其特点。 一、Google Cloud Platform(GCP) Google Cloud Platform是谷歌推出的一个完整的云计算平台,包括了IaaS、PaaS和SaaS三个层面。其中,GCP提供的VPS服务具有以下优点: 稳定可靠:GCP的VPS服务采用了全球领先的云计算技术,提供了稳定可靠的网络连接和计算资源。同时,GCP还提供了一系列安全措施和监控工具,确保了数据的安全性和稳定性。 灵活易用:GCP的VPS服务提供了多种套餐和服务等级协议(SLA),可以根据用户的需求进行选择。此外,GCP还提供了强大的管理工具,方便用户进行管理和配置。 支持多地区部署:GCP的VPS服务支持在全球范围内进行部署,用户可以在不同的国家和地区使用VPS服务。这为用户提供了更多的灵活性,可以更好地适应不同地区的业务需求。 价格合理:相比于其他国外的VPS加速器,GCP的VPS服务价格相对较为合理。用户可以根据自己的需求选择适合的套餐和服务等级协议。 二、Amazon Web Services(AWS) 亚马逊Web Services(AWS)是一家全球知名的云计算提供商,提供了广泛的云服务和产品。在VPS领域,AWS也拥有丰富的经验和强大的技术支持。AWS的VPS服务具有以下优点: 安全可靠:AWS一直致力于提供安全可靠的云计算服务,其VPS服务也不例外。AWS采用了一系列安全技术和措施,如容器隔离、访问控制等,以确保用户的数据安全和隐私保护。 灵活易用:AWS的VPS服务提供了多种套餐和服务等级协议(SLA),可以根据用户的需求进行选择。此外,AWS还提供了强大的管理工具和API接口,方便用户进行管理和配置。 支持多地区部署:AWS的VPS服务支持在全球范围内进行部署,用户可以在不同的国家和地区使用VPS服务。这为用户提供了更多的灵活性,可以更好地适应不同地区的业务需求。 价格较高:AWS的VPS服务价格相对较高,但提供了更高级别的安全保障和服务质量保证。对于需要更高安全性或对服务质量有要求的用户来说,AWS是一个不错的选择。
2023-12-03
不得不说!日本服务器IP地址如何查看和使用!
有时候我们需要使用来自其他国家的服务器,比如日本服务器,但是一些使用者可能会遇到一个问题:如何找到日本服务器的IP地址?在本文中,小编将介绍如何获取日本服务器的IP地址以及如何使用它。 一、如何获取日本服务器的IP地址 寻找日本服务器的IP地址需要遵循以下步骤: 1.打开一个浏览器,进入搜索引擎。 2.在搜索栏中输入“如何查看日本服务器IP地址”。 3.在搜索结果中找到整合好的网站或教程,点击访问。 4.根据网站或教程提示,输入服务器地址(域名、网址)。 5.服务器地址会被转换为一个IP地址,用于连接和使用服务。 6.将所得的IP地址记录下来,方便以后使用。 值得注意的是,即使你知道IP地址,也并不总是能够成功连接到日本服务器。有时候服务器会采用防火墙或网络策略阻止外部访问者的连接,若这种情况出现,你需要与服务器管理员联系,获取相关连接权限。 二、如何使用日本服务器IP地址 一旦你已经拥有了日本服务器的IP地址,你可以使用多种方法来连接日本服务器,下面是一些常用的方法: 1. VPN连接 从VPN服务商处购买VPN服务,然后在VPN客户端中输入日本服务器的IP地址和其他相关参数,就可以简单地连接到日本服务器。 2. 远程桌面连接 对于需要远程管理服务器的管理员或者开发人员来说,使用远程桌面连接是一种非常方便的方式,只需在本地计算机上打开远程桌面连接工具,输入日本服务器的IP地址和凭据,就可以轻松地连接到服务器。 3. FTP文件传输 如果你需要上传或下载文件,可以使用FTP协议进行文件传输。在FTP客户端中输入日本服务器的IP地址和其他相关参数,就可以开始文件传输。 总之,在互联网世界中,获取日本服务器的IP地址并连接到服务器上是一件非常基础且必要的任务。通过搜索引擎或者一些相关网站的帮助,可以很容易地找到日本服务器的IP地址。而一旦获取到IP地址,你就可以采取对应的连接方式进行远程访问和文件传输等任务。
2023-04-12