申屠青春:银链安全实验室,为区块链安全把脉开方!

官方新闻安网32018-06-09 10:13:21  阅读 -评论 0  阅读原文

6月6日,银链科技CEO申屠青春受邀参加了由杭州市经济与信息化委员会、杭州市西湖区人民政府共同主办的2018 全球无眠区块链领袖峰会暨区块链产品与设备展(GBLS 2018),并发表了主题为《区块链应用系统:抵御黑客攻击的理论与实战》的演讲。

申屠青春:银链安全实验室,为区块链安全把脉开方!

申屠青春

银链科技CEO

分享主题:

区块链应用系统:抵御黑客攻击的理论与实战

申屠青春表示,随着目前所发生的一系列交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗等安全事件,我们不得不承认一个事实,区块链的“安全神话”已然破灭。数字货币交易平台作为利益链条上最重要的一环,连接着区块链项目方和广大投资者,连接着区块链投资的一二级市场,涉及的都是真金白银。因此,数字货币交易所必须加强监管和安全管理措施。这一趋势的变化对现有安全解决方案,认证机制、数据保护和基础设施的全局发展提出了全新的要求。因此,申屠青春认为,建立一种或多种协同安全解决方案来提升区块链整体系统的安全性能是当务之急。

 

据介绍,区块链技术目前面临的风险不仅来自外部实体的攻击,也有可能来自内部参与者的攻击,应对区块链技术的安全特点和缺陷,需要围绕物理、数据、应用系统、加密、风险控制等构建安全体系。

 

一、区块链安全机制存在哪些缺陷或威胁?

 

首先,让我们来了解一下区块链安全机制在算法结构、协议、业务应用等方面都可能遭受到攻击类型:

 

1、密码算法安全

目前区块链基于的算法主要是公钥算法和哈希算法,其安全性来源于数学难度,相对是安全的。但是随着高性能计算和量子计算的发展和商业化,目前所有的加密算法均存在被破解的可能,这也是区块链面临的一个威胁。

 

2、协议安全

区块链中,如果一个节点能够掌控全网 51%的计算能力,就可以伪造或者篡改区块链的数据。在目前典型的应用场景中,这是得不偿失。但是随着区块链应用范围的扩宽,攻击者为了达到某种目的,有可能实施这样的攻击。

 

3、使用安全

区块链有着无法篡改,不可伪造,计算不可逆的特点,但是必须是在私钥安全的前提之下。但是目前针对密钥的攻击层出不穷,一旦用户使用不当,造成私钥丢失,就会给区块链系统带来危险。

 

4、系统安全

在区块链的编码,以及运行的系统中,不可避免会存在很多的安全漏洞,针对这些漏洞展开的攻击日益增多,这对区块链的应用和推广带来极大的影响。

 

 

二、黑客贯用攻击手法和防范策略

 

其次,了解到我们可能受到的攻击之后,我们来学习一下黑客最善用哪些途径或者手法对我们的资产和数据进行盗取和破坏?

 

黑客这个名词出现已久,但随着互联网在我们的生活中扮演越来越重要的角色,黑客,这群传说中有古怪性格和强大电脑技术的团体,越来越多地成为我们的谈论话题。黑客一般的入侵流程为:信息搜集→漏洞利用→进入系统→实现目的,比如窃取、篡改、破坏数据……进而渗透其他主机,安装后门。常见的攻击手段包括了DDOS攻击、SQL注入、缓冲区溢出、针对智能合约攻击、51%攻击等。

申屠青春:银链安全实验室,为区块链安全把脉开方!

1、DDOS攻击,降低区块链的可用性

DDOS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 DoS就是拒绝服务,而DDoS就是分布式拒绝服务。DDoS(分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。

 

按照发起的方式,DDoS可以简单分为三类:第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程而无用武之地;第二类以巧取胜,灵动难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起,需要特定环境机缘巧合下才能出现;第三类是上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,是当前的主流攻击方式。洪水般的攻击包堵塞住企业与互联网的全部连接,使得终端客户的内部设备都不能有效抵御这种攻击。

 

防范策略:完善网络架构和安全隔离策略,仅对需要对外开放服务的端口进行开放,选择使用具备高防护能力的 IDC 厂商,提高攻击者发起 DDOS 攻击的成本。

 

2、SQL注入,影响区块链的应用平台

Web程序没有对用户输入数据的合法性进行判断,使攻击者可以绕过应用程序限制,构造一段SQL语句并传递到数据库中,实现对数据库的操作,可以修改数据库中的任何数据。

 

防范策略:加强对应用程序输入输出数据的控制,包括限制传递数据的格式,过滤特殊字串等。

 

3、缓冲区溢出, 影响区块链的应用平台

缓冲区溢出攻击是利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变。

 

防范策略:编写安全代码,对输入数据进行验证,使用相对安全的函数,缓冲区不可执行技术,虚拟化技术。

 

4、针对智能合约的攻击

智能合约是对现实中的合约条款的执行电子化的量化交易协议。智能合约一旦发布将无法修改。因为以太坊区块链上所谓"代码即一切"的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为 Token 交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。中心化交易所只是对 Token 进行记账式的交易,项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但如果是在去中心化交易所进行交易那么投资者的损失将无法挽回。

 

防范策略:开展智能合约审计,包括堆栈问题,编译和代码重入错误等,智能合约破坏测试等(这包括模拟对合约的各种攻击和渗透)。

 

5、51%攻击

所谓51%攻击,就是说在整个网络中有人的算力超过了全网的51%。如果51%攻击发生,就会破坏区块链去中心化的特性,同时也让网络处在几种攻击风险之下,例如取消所有转账,双花以及随机分叉等,虽然实施51%攻击的成本依然很高,但却有达成的可能。

 

防范策略:完善区块链算法,加强算力等

 

(三)建立区块链全方位的保障体系


基于以上分析,申屠青春表示,保障区块链的生态环境安全,从单个方面入手是不够的,需要从风险评估与监测、安全加固保障和人员安全能力培养等多方面入手,全面提升区块链生态环境的安全。而大多数传统安全厂商渗透测试服务团队因考虑成本问题而只能由几个人实施项目,极其不妥当。为此,银链科技汇聚了数百名行业顶级安全专家,创立了银链安全实验室,为区块链企业提供安全资源整合与对接。

申屠青春:银链安全实验室,为区块链安全把脉开方!

 

银链安全实验室致力于从区块链的设计和需求出发,探索和研究区块链技术中各种安全机制的属性与特征,帮助企业和机构解决来自算法安全、协议安全、使用安全和系统安全等多方挑战,从而将安全与风险控制融入企业的区块链商业变革实践,为企业区块链战略规划和区块链运营提供技术、知识、人才、信任和保障,为区块链领域持续保驾护航!

 

目前,银链安全实验室的区块链生态风控服务体系包括了漏洞挖掘与众测、风险评估与监测服务、安全体系保障服务以及安全人才培养服务,欢迎区块链合作伙伴加入,享受由银链安全实验室提供的安全专家咨询、安全事件应急响应及各类安全服务,免费获取及时准确的行业安全预警。


已上线并支持SAFE交易:

https://dragonex.im

https://oex.top

https://hb.top

https://kex.cm

https://bbb.one

http://bitpie.com

https://www.coinegg.im

https://www.chaoex.io

https://www.btctrade.tv

https://www.coolcoin.me

https://www.fubt.top

https://www.zb.com(https://www.bitkk.com)

了解SAFE:

官网:http://www.anwang.com

中文社区:http://www.anwang.org

电邮:foundation@anwang.com

微信:mumu-8023piu

微博:http://weibo.com/anwang3

QQ群:532924250

中文电报群: t.me/safe_cn

英文电报群: t.me/safe_anwang

Twitter:https://twitter.com/safe_2018

Reddit:https://reddit.com/u/safe_2018

Facebook:https://www.facebook.com/anwang.safe/

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

参与讨论 (0 人参与讨论)

相关推荐

诺贝尔奖得主萨金特:区块链和人工智能的关系是互补而非竞争

诺贝尔奖得主萨金特:区块链和人工智能的关系是互补而非竞争

  托马斯·萨金特主要针对区块链和人工智能两个问题展开了探讨。托马斯在大会上将人工智能和区块链进行对比,其认为区块链和人工智能的关系不是竞争而是互补。

万向肖风:推动AI和区块链的融合是当务之急

万向肖风:推动AI和区块链的融合是当务之急

万向区块链董事长兼 CEO 肖风博士受邀出席论坛,并发表了题为《数据要素市场与分布式 AI 平台》的演讲。区块链上的智能合约显然是最合适的方法、工具。

Multicoin回顾对The Graph投资:填补Web3协议栈查询层重要但却空白的市场

Multicoin回顾对The Graph投资:填补Web3协议栈查询层重要但却空白的市场

我们相信 The Graph 将会是 Web3 协议栈中最为重要的协议之一。The Graph 目前已成为该领域的领导者,目前有数十个团队正在使用它们的服务进行内测。The Graph 要解决的问题是巨大的,同时也是Web3的基础。

DeFi创新接连不断,异构跨链试图重塑行业生态

DeFi创新接连不断,异构跨链试图重塑行业生态

随着以太坊锁仓价值的持续高涨,走红于19年的DeFi如今进一步放大其影响力,已经成为今年区块链最为火热的概念之一。

ZT CLUB创始人贺源Gaga对话驴把头社区:最近社区大热的NVT究为何物

ZT CLUB创始人贺源Gaga对话驴把头社区:最近社区大热的NVT究为何物

最近,牛肉腿NVT大火于各大媒体、社群与机构,在市场上频频发声,引发众人关注。应社区成员的力荐,7月9日ZTCLUB非常荣幸邀请到币圈驴把头作客风暴直播间,与创始人贺源Gaga一起探讨“最近社区大热的牛肉腿究为何物”。

Nerve:打破区块链价值孤岛

Nerve:打破区块链价值孤岛

BitMart Labs行业观察站是BitMart Labs特别推出的嘉宾对话栏目,第五期我们特邀NerveNetwork发起人Berzeck,为你讲解如何打破区块链价值孤岛!旨在打破区块链价值孤岛,建立跨链互通的资产交互网络,为 Defi 应用生态提供底层支持。

一文读懂跨链新星 Nerve 的优势与想象空间

一文读懂跨链新星 Nerve 的优势与想象空间

同时也支持其他项目方或团队使用 Nerve 模块来定制自己的 DEX。这也是 Nerve 在 Defi 领域的发展。这是 Nerve 在跨链和 Defi 领域的一大创新和尝试。这使 Nerve 的区块确认时间进一步减少,可以实现更多的业务应用场景。

比特币有什么缺点?

1.交易平台的脆弱性。比特币网络很健壮,但比特币交易平台很脆弱。交易平台通常是一个网站,而网站会遭到黑客攻击,或者遭到主管部门的关闭。2.交易确认时间长。比特币钱包初次安装时,会消耗大量时间下载历史交易数据块。而比特币交易时,为了确认数据准确性,会消耗一些时间,与p2p网络进行交互,得到全网确认后,交易才算完成。3.价格波动极大。由于大量炒家介入,导致比特币兑换现金的价格如过山车一般起伏。使得比

麦妖榜
更新日期 2019-09-03
排名用户贡献值
1牛市来了30910
2BitettFan24187
3等待的宿命23810
4区块大康20369
5六叶树20310
6linjm122719429
7天下无双16192
8lizhen00215280
9让时间淡忘14586
10yelanyi050511349
返回顶部 ↑