本文目录一览:
区块链有哪些安全软肋
区块链有哪些安全软肋
区块链是比特币中的核心技术,在无法建立信任关系的互联网上,区块链技术依靠密码学和巧妙的分布式算法,无需借助任何第三方中心机构的介入,用数学的方法使参与者达成共识,保证交易记录的存在性、合约的有效性以及身份的不可抵赖性。
区块链技术常被人们提及的特性是去中心化、共识机制等,由区块链引申出来的虚拟数字货币是目前全球最火爆的项目之一,正在成就出新的一批亿万级富豪。像币安交易平台,成立短短几个月,就被国际知名机构评级市值达400亿美金,成为了最富有的一批数字货币创业先驱者。但是自从有数字货币交易所至今,交易所被攻击、资金被盗事件层出不穷,且部分数字货币交易所被黑客攻击损失惨重,甚至倒闭。
一、 令人震惊的数字货币交易所被攻击事件
从最早的比特币,到后来的莱特币、以太币,目前已有几百种数字货币。随着价格的攀升,各种数字货币系统被攻击、数字货币被盗事件不断增加,被盗金额也是一路飙升。让我们来回顾一下令人震惊的数字货币被攻击、被盗事件。
2014年2月24日,当时世界最大的比特币交易所运营商Mt.Gox宣布其交易平台的85万个比特币已经被盗一空,承担着超过80%的比特币交易所的Mt.Gox由于无法弥补客户损失而申请破产保护。
经分析,原因大致为Mt.Gox存在单点故障结构这种严重的错误,被黑客用于发起DDoS攻击:
比特币提现环节的签名被黑客篡改并先于正常的请求进入比特币网络,结果伪造的请求可以提现成功,而正常的提现请求在交易平台中出现异常并显示为失败,此时黑客实际上已经拿到提现的比特币了,但是他继续在Mt.Gox平台请求重复提现,Mt.Gox在没有进行事务一致性校验(对账)的情况下,重复支付了等额的比特币,导致交易平台的比特币被窃取。
2016年8月4日,最大的美元比特币交易平台Bitfinex发布公告称,网站发现安全漏洞,导致近12万枚比特币被盗,总价值约为7500万美元。
2018年1月26日,日本的一家大型数字货币交易平台Coincheck系统遭遇黑客攻击,导致时价580亿日元、约合5.3亿美元的数字货币“新经币”被盗,这是史上最大的数字货币盗窃案。
2018年3月7日,世界第二大数字货币交易所币安(Binance)被黑客攻击的消息让币圈彻夜难眠,黑客竟然玩起了经济学,买空卖空“炒币”割韭菜。根据币安公告,黑客的攻击过程包括:
1) 在长时间里,利用第三方钓鱼网站偷盗用户的账号登录信息。黑客通过使用Unicode字符冒充正规Binance网址域名里的部分字母对用户实施网页钓鱼攻击。
2) 黑客获得账号后,自动创建交易API,之后便静默潜伏。
3) 3月7日黑客通过盗取的API Key,利用买空卖空的方式,将VIA币值直接拉暴100多倍,比特币大跌10%,以全球总计1700万个比特币计算,比特币一夜丢了170亿美元。
二、黑客攻击为什么能屡屡得手
基于区块链的数字货币其火热行情让黑客们垂涎不已,被盗金额不断刷新纪录,盗窃事件的发生也引发了人们对数字货币安全的担忧,人们不禁要问:区块链技术安全吗?
随着人们对区块链技术的研究与应用,区块链系统除了其所属信息系统会面临病毒、木马等恶意程序威胁及大规模DDoS攻击外,还将由于其特性而面临独有的安全挑战。
1. 算法实现安全
由于区块链大量应用了各种密码学技术,属于算法高度密集工程,在实现上比较容易出现问题。历史上有过此类先例,比如NSA对RSA算法实现埋入缺陷,使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞,可以说构成区块链整个大厦的地基将不再安全,后果极其可怕。之前就发生过由于比特币随机数产生器出现问题所导致的比特币被盗事件,理论上,在签名过程中两次使用同一个随机数,就能推导出私钥。
2. 共识机制安全
当前的区块链技术中已经出现了多种共识算法机制,最常见的有PoW、PoS、DPos。但这些共识机制是否能实现并保障真正的安全,需要更严格的证明和时间的考验。
3. 区块链使用安全
区块链技术一大特点就是不可逆、不可伪造,但前提是私钥是安全的。私钥是用户生成并保管的,理论上没有第三方参与。私钥一旦丢失,便无法对账户的资产做任何操作。一旦被黑客拿到,就能转移数字货币。
4. 系统设计安全
像Mt.Gox平台由于在业务设计上存在单点故障,所以其系统容易遭受DoS攻击。目前区块链是去中心化的,而交易所是中心化的。中心化的交易所,除了要防止技术盗窃外,还得管理好人,防止人为盗窃。
总体来说,从安全性分析的角度,区块链面临着算法实现、共识机制、使用及设计上挑战,同时黑客通过利用系统安全漏洞、业务设计缺陷也可达成攻击目的。目前,黑客攻击已经在对区块链系统安全性造成越来越大的影响。
三、如何保证区块链的安全
为了保证区块链系统安全,建议参照NIST的网络安全框架,从战略层面、一个企业或者组织的网络安全风险管理的整个生命周期的角度出发构建识别、保护、检测、响应和恢复5个核心组成部分,来感知、阻断区块链风险和威胁。
除此之外,根据区块链技术自身特点重点关注算法、共识机制、使用及设计上的安全。
针对算法实现安全性:一方面选择采用新的、本身经得起考验的密码技术,如国密公钥算法SM2等。另一方面对核心算法代码进行严格、完整测试的同时进行源码混淆,增加黑客逆向攻击的难度和成本。
针对共识算法安全性:PoW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。
针对使用安全性:对私钥的生成、存储进行保护,敏感数据加密存储。
针对设计安全性:一方面要保证设计的功能尽量完善,如采用私钥白盒签名技术,防止病毒、木马在系统运行过程中提取私钥;设计私钥泄露追踪功能,尽可能减少私钥泄露后的损失。另一方面,应对某些关键业务设计去中心化,防止单点故障攻击。
互联网数字货币是什么允是不是骗人的
互联网货币,又称为虚拟货币、数字货币或者电子货币,这与我们现实中使用的货币全然不同。在“互联网社会形态”里,人们根据自己的需求成立或者参与社区,同一社区成员基于同种需求形成共同的信用价值观,互联网货币就是在此基础上形成的“新型货币形态”。
互联网数字货币自身是不会去骗人的,互联网数字货币只是一个工具而已,要看用它的人。
2013年以来数字货币风靡全球,曾一度多次登录各大新闻头版头条。
但随之而来的数字货币传销骗局也是层出不穷。
数字货币传销的典型的模式是这样的,选择一款现成的,或者干脆自己编套程序,发明一种数字货币。
1.包装几个“专家”、“精英”、“政府要员”。
2.通过线上和线下双重宣传各种发财暴富案例。设计数字货币升值假象。
3.被骗者直接投资买入该数字货币。
4.给被骗者在投资周期结束后复利奖励,或直接返利。奖励也是数字货币本身。
5.给被骗者发展下线承兑数字货币奖励。
6.组织者大量卖出数字货币套现,币价将大幅下跌。
7.拒绝返钱和奖励,赖账。声称被黑客攻击,声称被庄家控盘,导致币价下跌。
8.跑路。
数字货币的传销是集一般性传销、庞氏骗局,和直销大成者,数字货币传销和一般的传销相比有额外的三个特点:
1.有实在的产品——数字货币。而且被包装的很高级。
2.参加者可以获得拉人头奖励。奖品是数字货币本身。
3.数字货币会随着参与骗局的人增加往往会升值。参与者可获得数字货币本身数量增长,和账面折算法币增长,包括最底层的参与者。
结论:数字货币传销,前期是传销,后期立刻变身为庞氏骗局。
数字货币交易所排名
数字货币交易所排名由低到高有Bithumb、OKXE、Binance 币安、BitMEX、币赢国家站。
1、Bithumb
Bithumb是韩国最大的数字货币交易所,也是交易量排名全球前十的交易所,每天交易量超过13,000比特币,约占全球比特币交易量的10%。它承诺提供全球最低的手续费,Bithumb占有75.7%的韩国比特币市场和10%的全球比特币市场,同时占有韩国50%的以太坊市场。
2、OKXE
OKEX是全球著名的数字资产交易平台之一,主要面向全球用户提供比特币、莱特币、以太币等数字资产的现货和衍生品交易服务,隶属于OKEX Technology Company Limited。
3、Binance 币安
币安交易平台是由前OKCoin联合创始人赵长鹏(CZ)领导的一群数字资产爱好者创建而成的一个专注区块链资产的交易平台。公司在日本,对中文支持。币种较多,交易量大,购买BNB可享受 50%交易手续费优惠。
4、BitMEX
这是一家来自于塞舌尔共和国的平台,支持杠杆交易,最高可以操作1:100倍杠杆的加密货币衍生品交易,同时还提供对其它数字货币产品的高杠杆。这个平台比较适合经验比较丰富的投资者。
5、币赢国家站
这是中国国企在香港开设的一家全球数字资产交易平台,采用多智能先进技术,保障交易的稳定。并向全球的用户提供以太币、HSR等数字资产的交易服务。主要是为客户提供安全、便捷和合乎规定的区块链资产交易服务。
注意:
1、资产安全是非常关键的,可以通过交易所,在线钱包,硬件钱包和纸钱包分发你的比特币或者其他币种,以便在遭受黑客攻击或丢失时,不会失去所有资产。秘钥信息千万不要放在邮箱或者其他不安全的可在线软件上。
2、无论是EOS,ETC,BTC,LTC等,还是其他的平台币,除了比特币本身已经被赋予数字货币黄金的属性之外,其他的币种更多的是与区块链行业应用和落地有关,多关注和分析区块链行业趋势和生态建设,这样才能回归区块链价值投资的初衷,也会是一个规避风险的方式。
APT黑客组织为何又盯上数字货币?
近日,腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织Lazarus再度活跃,利用最新Flash漏洞CVE-2018-4878频繁发起攻击,通过传播暗藏FALLCHILL远程控制木马的恶意doc文档进行鱼叉攻击,对象主要为国外数字货币交易所。
从Adobe漏洞致谢公告来看,CVE-2018-4878漏洞的野外攻击样本最早是由韩国计算机应急响应小组(KR-CERT)发现。而KR-CERT也表示,来自朝鲜的黑客组织已经成功利用这个0Day 漏洞发起攻击,与Lazarus主要攻击目标一致,进一步验证了Lazarus组织就是本次攻击活动的发起者。
虽然该攻击目前尚未在我国发现,但国内用户仍不可放松警惕。腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒政府、企业等用户,切勿随意打开来历不明的邮件附件,同时建议安装腾讯电脑管家等安全软件,可有效抵御不法分子的攻击。
《腾讯安全2017年度互联网安全报告》指出,2018年由数字加密货币而起的犯罪活动或将呈现高发态势。据国外安全公司的调查显示,本次发起攻击的Lazarus组织与2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。2017年席卷全球的“WannaCry”勒索病毒安全事件也被怀疑是该组织所为。
据公开资料介绍,Lazarus(T-APT-15)组织是来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击。尽管Lazarus组织的攻击活动不断地被披露,但是该组织从未停止攻击的脚步,同时还把攻击目标不断扩大,包括能源、军事、政府等部门专项金融机构,尤其是数字货币交易所等,该组织堪称全球金融机构的最大威胁。
Lazarus组织擅长使用邮件钓鱼进行鱼叉攻击,同时武器库强大,具有使用0day漏洞发起攻击的能力。本次攻击依然采用该组织最常用的鱼叉攻击,通过内嵌恶意文档对目标进行攻击。不法分子十分狡猾,将邮件文档伪装成协议、最流行的加密货币交易所的安全分析、IT安全等热点内容,具有极强的迷惑性和诱惑性,以此吸引用户下载运行。
腾讯安全反病毒实验室经过分析溯源发现,该恶意文档卸载的载荷为FALLCHILL远程控制木马最新变种。FALLCHILL木马是朝鲜的黑客组织Lazarus开发并使用的木马,最早出现于2017年初。该木马能够实现远程文件操作、远程进程操作、远程信息获取、自卸载等各种功能,用户一旦中招,电脑重要信息将面临极大威胁。