成都链安: 揭秘安全事件后的“黑客攻击手法”
成都链安科技
2019-07-16 15:23

2019 年 7月 12日19:00,TopDapp“你问我答”直播群开始了第二期的直播分享。本期的邀请直播嘉宾是成都链安安全负责人H·TECHILA。

以下根据群内的语音直播整理成文。

【十七:记得一月份的时候链安做个一个2018年关于区块链安全事件及损失的研报,现在2019年也过去一半了,你们认为2019与2018年相比,区块链安全方面的情况怎么样,是否进步了?】

H·TECHILA:有一定的进步,通过对上半年的安全事件进行分析,可以很明显的发现,针对以太坊、EOS发起的攻击事件较去年有明显的下降,当然这个下降有多方面的原因,但是,也从一方面说明了这些公链上的DAPP安全性有较大的提升。今年区块链安全事件主要发生在波场、交易所以及钱包方面,其中,交易所是攻击的重点目标,受影响的资金也是最多的。

所以说,我们不要光看到自己的进步,也要看到我们对手的进步。攻击者们一直在更新他们的攻击手段和方式,我们不但要跟上他们的脚步,甚至要在他们之前作出安全防护,安全应对。比如说交易所,需要做好自身的安全防护,做好员工安全意识培训,合约方面做好自身的安全开发,安全管理等等,这些都是我们需要考虑到的。 

【十七:针对如此频发的发生的区块链安全事件,您有什么针对性的建议吗?】

H·TECHILA:针对于今年的区块链安全事件,按照事件对象可以分成三部分来说,一部分是合约层面,第二部分是交易所层面。第三部分是与用户密切相关的钱包层面,首先我们来说合约层面。首先我们来说合约层面。波场今年可以算是最活跃的公链之一了,最近统计的数据来看,波场已经拥有了500多款DAPP了,数量已经接近了EOS,交易额已经超过了EOS,导致更多的攻击者将目光放到波场上,今年波场发生了多起安全事件,其中有的安全事件是因为项目方刚接触波场合约开发,对波场trx10代币未彻底掌握,导致合约里面校验代码存在漏洞,被假币攻击,造成了很大损失。这之后发生的攻击主要利用波场的交易回滚机制对游戏发起攻击,攻击者回滚了对自己不利的交易,使自己一直获利。对此,我的建议是DAPP开发者需要了解开发过程中所涉及的协议标准,特别是在进行资金相关的操作过程中,对资金涉及到的各个方面都有完备的检查,避免假币攻击这种问题。另外就是需要对以往发生的安全事件进行一些了解,比如波场的回滚攻击,这类攻击手法在去年已经出现过很多次了,如果开发者在开发前对此有过了解,其实是很好规避的。

交易所层面主要是内网被入侵,导致签名服务器被控制,然后攻击者对转账交易进行签名,转出了交易所钱包中存储的资产。安全建议就是做好冷热钱包分离,加强内网防护,另外就是做好人员安全意识培训,不要运行陌生的软件,不要点击未知的链接。

钱包这块主要是用户私钥泄露的问题,这块造成的损失比较小,另外一个和钱包相关的就是中心化钱包项目方跑路的情况,这块建议大家使用可信的去中心化钱包。

【十七:最近在链安报道的风险预警中多次提到了区块链安全态势感知系统,能简单介绍下这款产品吗?】

H·TECHILA:鹰眼是我们公司在目前区块链生态环境的安全形势下,面对区块链特有的交易风险以及安全威胁推出的一款态势感知和安全管控平台。以链上数据收集、分析为核心,结合交易所、钱包、DAPP等环节的威胁情报,利用大数据技术解决现有区块链安全防御手段上没有全局视角统一安全监管、无法将生态中各相关方串联起来挖掘出有价值的安全威胁的问题。把区块链生态各环节的信息孤岛串联起来,全面检测链上资产、区块链生态中各相关方的安全漏洞、威胁和交易风险,对发生的安全事件进行第一时间的响应处置,对存在的安全威胁及时提出预警。为用户的应用项目提供安全和运营方面的全面保障,使用户聚焦于自身的业务实现上,可将安全保障和运营监控分析依托于Beosin-Eagle Eye。目前已有多家项目方入驻,也欢迎大家进行使用。

另外就是我们会根据感知系统的安全报警,我们会及时通过合作媒体发出一些预警也就是一些相关的新闻,请大家关注一下,可第一时间了解这方面的安全资讯,避免造成自己的财产损失,比如说游戏合约被攻击了,交易所被盗了,钱包要跑路了,这些方面我们都会在相关媒体上发布。

【十七:Defi是今年比较热门的话题,能简单谈谈Defi吗?】

H·TECHILA:DeFi,又叫做去中心化金融、分布式金融、可编程金融,是将区块链技术与金融相结合,构造出的一种新的金融生态。传统的金融科技主要依赖于一套官僚和信任机制,更多的依赖于对某个金融公司的信任,而不是代码本身。DeFi借助区块链的特性,大大降低了对信任机制的依赖,DeFi项目的所有执行逻辑都是开放的,人人可查,不会有一个恶意的中心化群体,可以把控这套系统,整个金融环境的运行透明度大大增加了。目前比较常用的项目类型有稳定币(DAI),借贷(Maker)、预测市场(Agular)、支付(闪电网络)、去中心交易所(0x)、保密隐私交易(AZTEC)

【十七:facebook前段时间公开加密货币Libra计划,你对此如何看待呢?】

H·TECHILA:对于普通用户来说,Libra就是一种新的稳定币,与当前区块链上的稳定币相比,Libra设计上有一些比较重大的突破:

1. 不和某一种货币挂钩,目前的区块链稳定币基本都是和美元挂钩的,它是和某些低波动的资产挂钩,比如银行存款和来自稳定和信誉良好的中央银行的货币的短期政府证券。这样就能保证Libra的币值一直是处于一个比较稳定的状态,也比较适用于全球化的一个支付环境。

2. 第二点就是相对于当前的区块链稳定币,Libra更加的去中心化,目前使用比较多的稳定币其实并不像宣传中那么去中心化,经常能够从网上看到某某稳定币大量增发的新闻,影响了用户的信心,Libra协会云集了一大帮行业巨头,单个创始会员只能获得 1 票或者 1% 的总票数。此举可以有效地防止财团垄断。

3. 最后一点比较重要的是他的目标是做支付,这是目前的稳定币做不到的。就像一个支付宝或者微信,在今天中国来说,支付宝微信支付对于我们带出行来说带来多大的支付方便,若真的实现一个全球化的支付宝或者微信这样的支付功能,区块链将真正进入广大普通用户的视野中。

技术上Libra也进行了很多创新,此处就不展开了。就像问题里提到的那样,算你不说,白皮书提到的愿景很美好,但它面临着一个最大的问题,就是政策的问题。当然如果Libra真的实现了白皮书中所描述的功能,我认为它将会是区块链历史上一次重要的突破。

提问互动环节:

1. 请问波场回滚攻击手法和EOS有什么不同?一直没见过波场相关资料。

波场的回滚攻击更像是以太坊曾经发生的回滚攻击,都是利用一次交易执行时抛出异常,整个交易回滚的特性。

EOS的回滚攻击稍有不同,EOS的交易可以分为多个inline action,其中的一个inline action异常,整个交易回滚。

2. 没有黑名单这类吧?就是单纯revert命令?

攻击者会有一个逻辑判断,如果没有盈利,那么就抛异常,revert整个交易。

3. 攻击方式是不是越来越多样和复杂?

是的,攻击方式是越来越多样性和复杂性的,大家一定要与时俱进,关注我们每天发的安全新闻,了解新的攻击方式以及防御手段。目前最容易出现的就是我刚才说到的交易回滚攻击,这也是最近大部分波场游戏合约遭受攻击的主要攻击手法。这种攻击手段防御起来也比较简单,就是把下注和开奖进行分开,分到两笔交易中,这样就能避免被回滚攻击,这是目前针对于游戏行业比较普遍的一个攻击。

打开APP阅读全文
本文来源:
声明:核财经原创稿件,版权属核财经所有,未经授权不得转载,已经协议授权的媒体下载时须注明“稿件来源:核财经”,违者将依法追究责任。
相关推荐
美国出台一系列新数据隐私法规 这波新浪潮会影响区块链吗?
2019-12-15 09:49·Wely
打开APP阅读
美国银行美林证券统计十年来表现最佳资产 比特币居首位
2019-12-14 08:33·Wely
打开APP阅读
唯链基金会回购钱包被盗 640万美元不翼而飞
2019-12-14 08:32·Wely
打开APP阅读