申屠青春:银链安全实验室,为区块链安全把脉开方!

官方新闻安网32018-06-09 10:13:21  阅读 -评论 0  阅读原文

6月6日,银链科技CEO申屠青春受邀参加了由杭州市经济与信息化委员会、杭州市西湖区人民政府共同主办的2018 全球无眠区块链领袖峰会暨区块链产品与设备展(GBLS 2018),并发表了主题为《区块链应用系统:抵御黑客攻击的理论与实战》的演讲。

申屠青春:银链安全实验室,为区块链安全把脉开方!

申屠青春

银链科技CEO

分享主题:

区块链应用系统:抵御黑客攻击的理论与实战

申屠青春表示,随着目前所发生的一系列交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗等安全事件,我们不得不承认一个事实,区块链的“安全神话”已然破灭。数字货币交易平台作为利益链条上最重要的一环,连接着区块链项目方和广大投资者,连接着区块链投资的一二级市场,涉及的都是真金白银。因此,数字货币交易所必须加强监管和安全管理措施。这一趋势的变化对现有安全解决方案,认证机制、数据保护和基础设施的全局发展提出了全新的要求。因此,申屠青春认为,建立一种或多种协同安全解决方案来提升区块链整体系统的安全性能是当务之急。

 

据介绍,区块链技术目前面临的风险不仅来自外部实体的攻击,也有可能来自内部参与者的攻击,应对区块链技术的安全特点和缺陷,需要围绕物理、数据、应用系统、加密、风险控制等构建安全体系。

 

一、区块链安全机制存在哪些缺陷或威胁?

 

首先,让我们来了解一下区块链安全机制在算法结构、协议、业务应用等方面都可能遭受到攻击类型:

 

1、密码算法安全

目前区块链基于的算法主要是公钥算法和哈希算法,其安全性来源于数学难度,相对是安全的。但是随着高性能计算和量子计算的发展和商业化,目前所有的加密算法均存在被破解的可能,这也是区块链面临的一个威胁。

 

2、协议安全

区块链中,如果一个节点能够掌控全网 51%的计算能力,就可以伪造或者篡改区块链的数据。在目前典型的应用场景中,这是得不偿失。但是随着区块链应用范围的扩宽,攻击者为了达到某种目的,有可能实施这样的攻击。

 

3、使用安全

区块链有着无法篡改,不可伪造,计算不可逆的特点,但是必须是在私钥安全的前提之下。但是目前针对密钥的攻击层出不穷,一旦用户使用不当,造成私钥丢失,就会给区块链系统带来危险。

 

4、系统安全

在区块链的编码,以及运行的系统中,不可避免会存在很多的安全漏洞,针对这些漏洞展开的攻击日益增多,这对区块链的应用和推广带来极大的影响。

 

 

二、黑客贯用攻击手法和防范策略

 

其次,了解到我们可能受到的攻击之后,我们来学习一下黑客最善用哪些途径或者手法对我们的资产和数据进行盗取和破坏?

 

黑客这个名词出现已久,但随着互联网在我们的生活中扮演越来越重要的角色,黑客,这群传说中有古怪性格和强大电脑技术的团体,越来越多地成为我们的谈论话题。黑客一般的入侵流程为:信息搜集→漏洞利用→进入系统→实现目的,比如窃取、篡改、破坏数据……进而渗透其他主机,安装后门。常见的攻击手段包括了DDOS攻击、SQL注入、缓冲区溢出、针对智能合约攻击、51%攻击等。

申屠青春:银链安全实验室,为区块链安全把脉开方!

1、DDOS攻击,降低区块链的可用性

DDOS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 DoS就是拒绝服务,而DDoS就是分布式拒绝服务。DDoS(分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。

 

按照发起的方式,DDoS可以简单分为三类:第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程而无用武之地;第二类以巧取胜,灵动难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起,需要特定环境机缘巧合下才能出现;第三类是上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,是当前的主流攻击方式。洪水般的攻击包堵塞住企业与互联网的全部连接,使得终端客户的内部设备都不能有效抵御这种攻击。

 

防范策略:完善网络架构和安全隔离策略,仅对需要对外开放服务的端口进行开放,选择使用具备高防护能力的 IDC 厂商,提高攻击者发起 DDOS 攻击的成本。

 

2、SQL注入,影响区块链的应用平台

Web程序没有对用户输入数据的合法性进行判断,使攻击者可以绕过应用程序限制,构造一段SQL语句并传递到数据库中,实现对数据库的操作,可以修改数据库中的任何数据。

 

防范策略:加强对应用程序输入输出数据的控制,包括限制传递数据的格式,过滤特殊字串等。

 

3、缓冲区溢出, 影响区块链的应用平台

缓冲区溢出攻击是利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变。

 

防范策略:编写安全代码,对输入数据进行验证,使用相对安全的函数,缓冲区不可执行技术,虚拟化技术。

 

4、针对智能合约的攻击

智能合约是对现实中的合约条款的执行电子化的量化交易协议。智能合约一旦发布将无法修改。因为以太坊区块链上所谓"代码即一切"的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为 Token 交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。中心化交易所只是对 Token 进行记账式的交易,项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但如果是在去中心化交易所进行交易那么投资者的损失将无法挽回。

 

防范策略:开展智能合约审计,包括堆栈问题,编译和代码重入错误等,智能合约破坏测试等(这包括模拟对合约的各种攻击和渗透)。

 

5、51%攻击

所谓51%攻击,就是说在整个网络中有人的算力超过了全网的51%。如果51%攻击发生,就会破坏区块链去中心化的特性,同时也让网络处在几种攻击风险之下,例如取消所有转账,双花以及随机分叉等,虽然实施51%攻击的成本依然很高,但却有达成的可能。

 

防范策略:完善区块链算法,加强算力等

 

(三)建立区块链全方位的保障体系


基于以上分析,申屠青春表示,保障区块链的生态环境安全,从单个方面入手是不够的,需要从风险评估与监测、安全加固保障和人员安全能力培养等多方面入手,全面提升区块链生态环境的安全。而大多数传统安全厂商渗透测试服务团队因考虑成本问题而只能由几个人实施项目,极其不妥当。为此,银链科技汇聚了数百名行业顶级安全专家,创立了银链安全实验室,为区块链企业提供安全资源整合与对接。

申屠青春:银链安全实验室,为区块链安全把脉开方!

 

银链安全实验室致力于从区块链的设计和需求出发,探索和研究区块链技术中各种安全机制的属性与特征,帮助企业和机构解决来自算法安全、协议安全、使用安全和系统安全等多方挑战,从而将安全与风险控制融入企业的区块链商业变革实践,为企业区块链战略规划和区块链运营提供技术、知识、人才、信任和保障,为区块链领域持续保驾护航!

 

目前,银链安全实验室的区块链生态风控服务体系包括了漏洞挖掘与众测、风险评估与监测服务、安全体系保障服务以及安全人才培养服务,欢迎区块链合作伙伴加入,享受由银链安全实验室提供的安全专家咨询、安全事件应急响应及各类安全服务,免费获取及时准确的行业安全预警。


已上线并支持SAFE交易:

https://dragonex.im

https://oex.top

https://hb.top

https://kex.cm

https://bbb.one

http://bitpie.com

https://www.coinegg.im

https://www.chaoex.io

https://www.btctrade.tv

https://www.coolcoin.me

https://www.fubt.top

https://www.zb.com(https://www.bitkk.com)

了解SAFE:

官网:http://www.anwang.com

中文社区:http://www.anwang.org

电邮:foundation@anwang.com

微信:mumu-8023piu

微博:http://weibo.com/anwang3

QQ群:532924250

中文电报群: t.me/safe_cn

英文电报群: t.me/safe_anwang

Twitter:https://twitter.com/safe_2018

Reddit:https://reddit.com/u/safe_2018

Facebook:https://www.facebook.com/anwang.safe/

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

参与讨论 (0 人参与讨论)

相关推荐

Block.One不会在EOS上推出其社交网络

Block.One不会在EOS上推出其社交网络

实际上,该公司并没有明确说明Voice会不会在EOS上运行。为了进一步表明其对在EOS上运行的承诺,Block.one于5月下旬在主网上预留了330万个EOS的RAM。但是,除了Block.one的区块链之外,并不能保证Voice就会在任何其他链上运行。

加密货币从寒冬入春之路

加密货币从寒冬入春之路

相比之下,11家加密公司被列入2018年名单。PLUStoken是有史以来发现的最大的与加密货币相关的庞氏骗局之一,该项目有望为投资者提供9%至18%的可笑的每月回报。

2020年现实世界用例如何推动加密增长

2020年现实世界用例如何推动加密增长

尽管比特币在2009年1月就出现了,但当时距首个加密货币交易所Bitcoin Market开张还有一年多的时间。

从区块链应用落地看区块链共识

从区块链应用落地看区块链共识

共识是区块链的灵魂,是区块链价值的基础。所以也可以说,区块链共识的目的是决定出块权。区块链最早的共识是工作量证明,这个大家比较熟知。

什么是日蚀攻击(Eclipse Attack)?

什么是日蚀攻击(Eclipse Attack)?

从表面上看,日蚀攻击与女巫攻击相似。在看到付款消息即将被确认后,感到非常满意,他将车钥匙交给了Alice,Alice开车加速离开。普遍来说,日蚀攻击尚未造成严重影响,尽管区块链网络中已部署了防范措施,但威胁仍然存在。

比特币链上活动两月最佳,就连手续费都涨89%了

比特币链上活动两月最佳,就连手续费都涨89%了

根据Arcane Research的最新每周报告,比特币的区块链活动已回到11月的水平。先前有报道称,在2019年12月持续下滑之后,比特币区块链上的活动在1月的第一周卷土重来。

分析:比特币到底有没有真实的使用场景?

分析:比特币到底有没有真实的使用场景?

那么比特币有没有真实的使用场景呢?尽管这个数字只占现有流通比特币总量的7%,但这个体量也不容小觑。

这可能是应用区块链和Web3.0 最有价值的行业

这可能是应用区块链和Web3.0 最有价值的行业

Web3.0 的理念对于用户来说,场景确实梦幻。但像 Taraxa 这样以区块链技术和 Web3.0 概念的出现,解决了物联网的痛点,赋予了原本一盘散沙的物联网新的价值。

麦妖榜
更新日期 2019-09-03
排名用户贡献值
1牛市来了30910
2BitettFan24187
3等待的宿命23810
4区块大康20369
5六叶树20310
6linjm122719429
7天下无双16192
8lizhen00215280
9让时间淡忘14586
10yelanyi050511349
返回顶部 ↑