申屠青春:银链安全实验室,为区块链安全把脉开方!

官方新闻安网32018-06-09 10:13:21  阅读 -评论 0  阅读原文

6月6日,银链科技CEO申屠青春受邀参加了由杭州市经济与信息化委员会、杭州市西湖区人民政府共同主办的2018 全球无眠区块链领袖峰会暨区块链产品与设备展(GBLS 2018),并发表了主题为《区块链应用系统:抵御黑客攻击的理论与实战》的演讲。

申屠青春:银链安全实验室,为区块链安全把脉开方!

申屠青春

银链科技CEO

分享主题:

区块链应用系统:抵御黑客攻击的理论与实战

申屠青春表示,随着目前所发生的一系列交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗等安全事件,我们不得不承认一个事实,区块链的“安全神话”已然破灭。数字货币交易平台作为利益链条上最重要的一环,连接着区块链项目方和广大投资者,连接着区块链投资的一二级市场,涉及的都是真金白银。因此,数字货币交易所必须加强监管和安全管理措施。这一趋势的变化对现有安全解决方案,认证机制、数据保护和基础设施的全局发展提出了全新的要求。因此,申屠青春认为,建立一种或多种协同安全解决方案来提升区块链整体系统的安全性能是当务之急。

 

据介绍,区块链技术目前面临的风险不仅来自外部实体的攻击,也有可能来自内部参与者的攻击,应对区块链技术的安全特点和缺陷,需要围绕物理、数据、应用系统、加密、风险控制等构建安全体系。

 

一、区块链安全机制存在哪些缺陷或威胁?

 

首先,让我们来了解一下区块链安全机制在算法结构、协议、业务应用等方面都可能遭受到攻击类型:

 

1、密码算法安全

目前区块链基于的算法主要是公钥算法和哈希算法,其安全性来源于数学难度,相对是安全的。但是随着高性能计算和量子计算的发展和商业化,目前所有的加密算法均存在被破解的可能,这也是区块链面临的一个威胁。

 

2、协议安全

区块链中,如果一个节点能够掌控全网 51%的计算能力,就可以伪造或者篡改区块链的数据。在目前典型的应用场景中,这是得不偿失。但是随着区块链应用范围的扩宽,攻击者为了达到某种目的,有可能实施这样的攻击。

 

3、使用安全

区块链有着无法篡改,不可伪造,计算不可逆的特点,但是必须是在私钥安全的前提之下。但是目前针对密钥的攻击层出不穷,一旦用户使用不当,造成私钥丢失,就会给区块链系统带来危险。

 

4、系统安全

在区块链的编码,以及运行的系统中,不可避免会存在很多的安全漏洞,针对这些漏洞展开的攻击日益增多,这对区块链的应用和推广带来极大的影响。

 

 

二、黑客贯用攻击手法和防范策略

 

其次,了解到我们可能受到的攻击之后,我们来学习一下黑客最善用哪些途径或者手法对我们的资产和数据进行盗取和破坏?

 

黑客这个名词出现已久,但随着互联网在我们的生活中扮演越来越重要的角色,黑客,这群传说中有古怪性格和强大电脑技术的团体,越来越多地成为我们的谈论话题。黑客一般的入侵流程为:信息搜集→漏洞利用→进入系统→实现目的,比如窃取、篡改、破坏数据……进而渗透其他主机,安装后门。常见的攻击手段包括了DDOS攻击、SQL注入、缓冲区溢出、针对智能合约攻击、51%攻击等。

申屠青春:银链安全实验室,为区块链安全把脉开方!

1、DDOS攻击,降低区块链的可用性

DDOS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 DoS就是拒绝服务,而DDoS就是分布式拒绝服务。DDoS(分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。

 

按照发起的方式,DDoS可以简单分为三类:第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程而无用武之地;第二类以巧取胜,灵动难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起,需要特定环境机缘巧合下才能出现;第三类是上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,是当前的主流攻击方式。洪水般的攻击包堵塞住企业与互联网的全部连接,使得终端客户的内部设备都不能有效抵御这种攻击。

 

防范策略:完善网络架构和安全隔离策略,仅对需要对外开放服务的端口进行开放,选择使用具备高防护能力的 IDC 厂商,提高攻击者发起 DDOS 攻击的成本。

 

2、SQL注入,影响区块链的应用平台

Web程序没有对用户输入数据的合法性进行判断,使攻击者可以绕过应用程序限制,构造一段SQL语句并传递到数据库中,实现对数据库的操作,可以修改数据库中的任何数据。

 

防范策略:加强对应用程序输入输出数据的控制,包括限制传递数据的格式,过滤特殊字串等。

 

3、缓冲区溢出, 影响区块链的应用平台

缓冲区溢出攻击是利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变。

 

防范策略:编写安全代码,对输入数据进行验证,使用相对安全的函数,缓冲区不可执行技术,虚拟化技术。

 

4、针对智能合约的攻击

智能合约是对现实中的合约条款的执行电子化的量化交易协议。智能合约一旦发布将无法修改。因为以太坊区块链上所谓"代码即一切"的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为 Token 交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。中心化交易所只是对 Token 进行记账式的交易,项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但如果是在去中心化交易所进行交易那么投资者的损失将无法挽回。

 

防范策略:开展智能合约审计,包括堆栈问题,编译和代码重入错误等,智能合约破坏测试等(这包括模拟对合约的各种攻击和渗透)。

 

5、51%攻击

所谓51%攻击,就是说在整个网络中有人的算力超过了全网的51%。如果51%攻击发生,就会破坏区块链去中心化的特性,同时也让网络处在几种攻击风险之下,例如取消所有转账,双花以及随机分叉等,虽然实施51%攻击的成本依然很高,但却有达成的可能。

 

防范策略:完善区块链算法,加强算力等

 

(三)建立区块链全方位的保障体系


基于以上分析,申屠青春表示,保障区块链的生态环境安全,从单个方面入手是不够的,需要从风险评估与监测、安全加固保障和人员安全能力培养等多方面入手,全面提升区块链生态环境的安全。而大多数传统安全厂商渗透测试服务团队因考虑成本问题而只能由几个人实施项目,极其不妥当。为此,银链科技汇聚了数百名行业顶级安全专家,创立了银链安全实验室,为区块链企业提供安全资源整合与对接。

申屠青春:银链安全实验室,为区块链安全把脉开方!

 

银链安全实验室致力于从区块链的设计和需求出发,探索和研究区块链技术中各种安全机制的属性与特征,帮助企业和机构解决来自算法安全、协议安全、使用安全和系统安全等多方挑战,从而将安全与风险控制融入企业的区块链商业变革实践,为企业区块链战略规划和区块链运营提供技术、知识、人才、信任和保障,为区块链领域持续保驾护航!

 

目前,银链安全实验室的区块链生态风控服务体系包括了漏洞挖掘与众测、风险评估与监测服务、安全体系保障服务以及安全人才培养服务,欢迎区块链合作伙伴加入,享受由银链安全实验室提供的安全专家咨询、安全事件应急响应及各类安全服务,免费获取及时准确的行业安全预警。


已上线并支持SAFE交易:

https://dragonex.im

https://oex.top

https://hb.top

https://kex.cm

https://bbb.one

http://bitpie.com

https://www.coinegg.im

https://www.chaoex.io

https://www.btctrade.tv

https://www.coolcoin.me

https://www.fubt.top

https://www.zb.com(https://www.bitkk.com)

了解SAFE:

官网:http://www.anwang.com

中文社区:http://www.anwang.org

电邮:foundation@anwang.com

微信:mumu-8023piu

微博:http://weibo.com/anwang3

QQ群:532924250

中文电报群: t.me/safe_cn

英文电报群: t.me/safe_anwang

Twitter:https://twitter.com/safe_2018

Reddit:https://reddit.com/u/safe_2018

Facebook:https://www.facebook.com/anwang.safe/

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

参与讨论 (0 人参与讨论)

相关推荐

钟摆协议(Pendulum Protocol)安全、可扩展的去中心化数据库二层协议

Pendulum Protocol 是一个可扩展的二层协议,它为主流区块链提供去中心化的数据预言机和去中心化的可验证的计算预言机。Pendulum Protocol 的目标是打造一个最安全的,最具可扩展性的去中心化世界的数据库,为去中心化应用程序提供可信的数据。

Substrate 2.0 发布,降低波卡定制化区块链的开发难度

CoinDesk 从一篇博客中获悉,Parity Technologies 已发布第二版区块链工具包 Substrate 2.0。Substrate 正是这一多链愿景的核心。Substrate 2.0 还包含通过所谓的“链下工作机”将链下数据上链的模块。

Cointelegraph“马拉松季·秋收季”| DeFi项目投资新逻辑

9月23日,由Cointelegraph中文主办,Bella 、TRON、Ystar、P网联合主办的“马拉松季·秋收季”在北京798UCCA尤伦斯当代艺术中心举办。圆桌《DeFi项目投资新逻辑》针对当下热点DeFi与下个热点方向以及VC在此过程中扮演的角色等话题进行了讨论。

PlatON的工程实践之旅(一):从如何保证每一笔TPS真实可信谈起

目前PlatON已在测试网环境下和仿真环境下完成了十几次压力测试,并取得了第一手测试数据。近期,PlatON进行宏基准测试。从结果看PlatON实现了在拟真环境下的性能全面领跑。由于共识机制上的优化,使得PlatON的最终确认时间远比EOS低。

为什么越来越多的人使用和看好BCH

Galaxy是BCH的忠实粉丝,也是坚实的用户,但起初他并不看好BCH。近日他在社交平台发布一封信,表述自己为何转变,转而支持和使用BCH的原因。还有,在所有的数字货币中,BCH是我的最爱。

灵魂拷问:区块链防伪是伪需求吗?

区块链溯源和防伪,一直被认为是“一而二,二而一”的事。某种程度上,对于某些行业来说,区块链防伪是一种伪需求。

比特币有什么缺点?

1.交易平台的脆弱性。比特币网络很健壮,但比特币交易平台很脆弱。交易平台通常是一个网站,而网站会遭到黑客攻击,或者遭到主管部门的关闭。2.交易确认时间长。比特币钱包初次安装时,会消耗大量时间下载历史交易数据块。而比特币交易时,为了确认数据准确性,会消耗一些时间,与p2p网络进行交互,得到全网确认后,交易才算完成。3.价格波动极大。由于大量炒家介入,导致比特币兑换现金的价格如过山车一般起伏。使得比

业务中使用区块链的四种方式

业务中使用区块链的四种方式

暴走时评:区块链是一种支持像比特币这样的数字货币的公共分类帐本,并且正改变着我们的业务方式。一旦那些对匿名交易,甚至是秘密交易感兴趣的人接纳了这样一种鲜为人知的工具,加密货币就会日趋成为主流。 区块链是一种支持像比特币这样的数字货币的公共分类帐本,并且正改变着我们的业务方式。一旦那些对匿名交易,甚至是秘密交易感兴趣的人接纳了这样一种鲜为人知的工具,加密货币就会日趋成为主流。越来越多的个人和企

麦妖榜
更新日期 2019-09-03
排名用户贡献值
1牛市来了30910
2BitettFan24187
3等待的宿命23810
4区块大康20369
5六叶树20310
6linjm122719429
7天下无双16192
8lizhen00215280
9让时间淡忘14586
10yelanyi050511349
返回顶部 ↑