永利皇宫登录网址:那是最棒的一世,数字货币

2019-08-24 01:49栏目:区块链
TAG:

永利皇宫登录网址 1

摘要:21%的操作存在截屏、录屏记录;26%未检测到系统运行环境;9%存在钱包APP伪造漏洞;6%交易密码未检测弱口令;38%核心代码未加固。这些数字来自360集团信息安全部近日发布的一份《数字货币钱包安全白皮书》(以下简称《白皮书》)。 随着区块链的火热,数字货...

2017年,无论是比特币还是成百上千种山寨币,都喜获丰收,“涨”势喜人。但浮华背后的安全隐忧依然刺痛了不少区块链创业者和投资者的神经。

  近日日本加密货币交易所Coincheck被黑客盗取价值5.34亿美元NEM加密货币的新闻闹得沸沸扬扬,针对加密货币是否安全的话题又再次浮出水面。对于投资者而言,加密货币不受政府监管确实能够在某方面带来好处,但同时安全问题又不得不令人关心,毕竟如果黑客能够一夜之间将您?的血汗钱转走的可能性想想都令人发麻。

原标题:赵赫:区块链现在是黑客的提款机,很容易变现 | ISC2018

区块链在几个方向有很大的应用前景。

  “21%的操作存在截屏、录屏记录;26%未检测到系统运行环境;9%存在钱包APP伪造漏洞;6%交易密码未检测弱口令;38%核心代码未加固。”这些数字来自360集团信息安全部近日发布的一份《数字货币钱包安全白皮书》(以下简称“《白皮书》”)。

无论是数字资产钱包受黑客攻击、ICO骗局项目还是软件代码的bug,在这一年,已使投资者蒙受巨额损失。就在下面列举的7大2017年行业“灾难性”事件中,财产损失就达近4.9亿美元。而到目前为止,这些幕后黑手依然逍遥法外,甚至无法被确认身份,被盗资金能否被追回还是个问题。

  数字加密货币(Digital Cryptocurrency)又称为加密货币,其特点在于利用密码学原理来保护交易安全及控制交易单位的创造,是数字货币(或称虚拟货币)中的一种,比如大家较为熟悉的比特币、莱特币和门罗币等等,自2009年世界上第一个比特币区块链诞生以来,各种数字加密货币层出不穷,目前已多达1500多种。

雷锋网编者按:经常主打安全概念的区块链到底是不是安全的?作为多年研究区块链的专家,如何看待频出的安全事件?这背后的原因有哪些?

目前,区块链最主要的应用还是加密数字货币领域,比如比特币、以太坊。因为区块链去中心化和透明不可篡改的特性,在数字身份和法律存证方面也有很多想象空间,国内有些企业在数字版权、数字保险等方面开始进行尝试了。另外,在游戏、娱乐行业,以及数字交通和物联网设备等领域区块链都有一些技术应用的空间。

  随着区块链的火热,数字货币也逐渐为投资者所熟知,但安全问题也随之而来。早在2014年,当时世界上最大的比特币交易所运营商Mt.Gox就被黑客窃取了85万个比特币,占当时全球比特币总数的7%;2017年11月份,以太坊钱包Parity被曝漏洞,导致价值2.8亿美元的93万个以太币被冻结;2018年1月份,日本数字货币交易所CoinCheck钱包被黑,价值5.3亿美元的新经币被窃。

1、CoinDash ICO遭黑客攻击,1000万美元的以太币被盗

永利皇宫登录网址 2

在 ISC2018上,由众享比特主办的区块链与安全论坛中,来自中科院的博士赵赫就结合近年来众多著名的区块链安全事件来剖析背后的原因。赵赫本人不仅从事区块链的学术研究,同时也深耕行业,目前是中科智链的联合创始人,他当天的演讲是那场分论坛中反响最大的之一,现将其整理,以飨读者。

区块链政策导向

2016 年 10 月,工业和信息化部发布《中国区块链技术和应用发展白皮书 (2016)》,总结了国内外区块链发展现状和典型应用场景,介绍了国区块链技术发展路线图以及未来区块链技术标准化方向和进程。

2016 年 12 月,“区块链”首次被作为战略性前沿技术写入《国务院关于印发“十三五”国家信息化规划的通知》。

2017 年 1 月,工信部发布《软件和信息技术服务业发展规划 (2016-2020 年)》,提出区块链等领域创新达到国际先进水平等要求。2017 年 8 月,国务院发布《关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》提出开展基于区块链、人工智能等新技术的试点应用。

2017 年 10 月,国务院发布《关于积极推进供应链创新与应用的指导意见》提出要研究利用区块链、人工智能等新兴技术,建立基于供应链的信用评价机制。

2018 年 3 月,工信部发布《2018 年信息化和软件服务业标准化工作要点》,提出推动组建全国信息化和工业化融合管理标准化技术委员会、全国区块链和分布式记账技术标准化委员会。

2017 年 9 月,中国人民银行等七部委联合发布《关于防范代币发行融资风险的公告》,规定在中国,交易平台不得从事法定货币与“虚拟货币”之间的兑换业务。

  所谓数字货币钱包,其实是管理诸如比特币等基于区块链技术的数字货币的应用。它一般提供钱包地址的创建、转账、交易查询等功能。数字货币钱包的“百花齐放”,对应的正是区块链技术在数字虚拟货币上的广泛应用。在我国,2017年区块链相关项目融资总额超过12.7亿元,融资事件54起,而仅在2018年第一个月,区块链行业融资额就达到6.8亿元,融资事件19起。

7月,加密货币交易服务商CoinDash在发起ICO数分钟后就暂停了众筹,原因是黑客攻击了项目网站,并篡改了以太币钱包地址。虽然公司在事故发生后立即发布公告,提醒投资者不要停止“投资”,但就在这短短几分钟里,黑客已经收到了价值1000万美元的以太币。

  2017年加密货币热度大幅飙升,也将比特币、以太坊、比特币现金的价格推至历史最高点。

以下为赵赫(钟隐)在ISC2018区块链与安全论坛上的演讲,雷锋网编辑整理。

区块链面临的安全威胁

永利皇宫登录网址 3

2018 年 5 月 29 号,根据 coinmarketcap.com 发布的数据,目前比特币市值 1200 千亿美金,紧随其后的是以太坊,大概五百多亿美金。13 年比特币大概 600 块钱,现在涨到了八千块钱,这是大家能够直观感受到的。

永利皇宫登录网址 4

钱突然变多,肯定会被坏人盯上。我们统计了全球区块链安全事件的趋势变化, 11 年出现了第一次比特币安全事件,当时丢失 102 万美金,14 年全球区块链的资金损失大概是 4.6 亿美金。18 年上半年,这个数字达到 19 亿美金。

以前黑客黑网站需要上下游配合,才能把黑掉的网站变成现金收入,但是现在很简单,只需要黑一些网站,盗一些币,这些币的收入就足够让他金盆洗手了。而且最关键的是黑客攻击之后,很难进行相关的溯源。

永利皇宫登录网址 5

我们按照不同的事情进行统计,损失最多的是数字货币交易平台,总共是有 13.4 亿美金。其次是智能合约,主要是集中在以太坊上,比如因为代码的漏洞或者私钥的泄露等原因导致的资金损失达到了 12.4 亿美金。再次是个人用户遭受到的攻击,比如电脑中病毒、私钥被窃取等,包括矿厂矿工的一些病毒事件等等。

永利皇宫登录网址 6

根据对以往区块链安全事件的梳理,我们发现基于区块链代币引起的安全问题主要来自于区块链自身机制引发的安全威胁、区块链生态引发的安全威胁、区块链使用者面临的安全威胁三个方面。

  数字货币钱包的安全性从何而来?来自市场研究机构猎豹全球智库的一份研究报告显示:每个钱包地址都对应一个密钥对——私钥和公钥。公钥是根据私钥进行一定的数学运算生成,与私钥一一对应。公钥主要是对外交易使用,私钥则是数字货币钱包中唯一能够证明对数字资产有控制权的凭证,因此它的生成和存储方式决定了资产安全与否。助记词是明文私钥的另一种表现形式,因此能否安全地管理助记词也是区别钱包是否安全的重要条件。

永利皇宫登录网址 7

  此次Coincheck被盗的NEM加密货币,也成为新经币,全称是New Economy Movement,缩写为NEM,按照市值计算是世界上第十大加密货币。NEM所有代码全部由JAVA语言重新编写,使用了全新的重要性证明代替工作量证明。NEM将多重签名技术加入到平台中,多重签名的好处是,它需要一个以上的用户签署交互。具体而言,预先设定n个人里面m人多重签名后才执行交易,那么在交易发送到区块链之前必须需要m人签名后交易才会执行。

首先自我介绍一下,我是来自中科院的一名科研人员,从2013年开始就进入区块链和加密数字货币领域。

区块链自身机制

永利皇宫登录网址 8

数据层。区块链数据可能是链式结构,也可能是 DAG,它所使用的时间戳,哈希函数,包括一些非对称加密算法可能有很多机制上的问题。发现这些漏洞对黑客的技术要求非常高,需要黑客对区块链底层的实现、对合约的理解非常到位。

网络层。我们遇到过一些比较知名的攻略号,缺乏自动的节点发现功能,比如它可能 20 多个节点,其中几个节点被人 DoS 下线了,它的结点没有自动恢复上线的功能,整个网络的健壮性被黑客一下就击垮了。

共识层。共识机制也非常重要,比特币的共识算法 PoW 决定谁算利高谁就先挖到矿,你要去攻击它,就需要通过算力的投入进行对抗。目前 PoS、DPoS 越来越多,PoS 涉及到非常严格的一个问题,每个节点都需要放大量的资产做抵押,这样才能够产生相应的挖矿收益,那么这个节点的分析就被不断放大,当这个节点的钱存到足够多的时候,黑客可以采用技术更高的攻击手段,甚至动用军工级的技术能力。

合约层和业务层。今年 2 月份我们发现一个攻击团伙,利用以太坊的漏洞,总共窃取了四万七千个以太坊,按照当时的价格来算,总计两千多万美金,折合人民币一个多亿,大概三千多人受害。

这次事件涉及的漏洞一年多之前就被网络曝光过了,是以太坊自己协议上的漏洞,很难恢复。那么这个漏洞被公开之后,很多脚本黑客就知道这个漏洞怎么利用了,不需要太深的技术水平。

  正因如此,针对私钥和助记词的攻击也成为数字货币钱包最重要的安全隐患之一。《白皮书》介绍,根据使用时的联网状态不同,数字货币钱包分为“热钱包”和“冷钱包”。由于业务场景的快速迭代以及推广需求,两种钱包都存在不少安全隐患,但总体上来说,“热钱包”漏洞多于“冷钱包”,可被攻击的环节更多。360集团信息安全部负责人高雪峰表示:“拿‘热钱包’来说,如果新用户在创建助记词时,钱包没有进行截屏、录屏等操作的监测,就有可能造成助记词泄露,如果私钥生成过程的相关算法被逆向分析,那黑客就能得到私钥。”此外,数字货币钱包也同样面临着包括植入恶意代码、输入监听、转账地址篡改等常见网络攻击。

这是继The Dao事件后,以太坊平台项目遭遇的最大攻击。事后,CoinDash团队同意向在公司发布停止ICO公告前遭受损失的投资者补偿CDT代币。

  多重签名是一个用于增强钱包安全的至关重要的技术。多重签名技术要求另一个或几个用户必须对相关交易签名,交易才能够发送到区块链。这意味着,如果一个人的钱包被黑客盗取,进行交易时也需要另一个钱包或几个钱包进行签名。多重签名技术也有助于保护社区基金。

永利皇宫登录网址 9

区块链生态引发的安全威胁

区块链生态就目前看来,是为支撑区块链运行及与现实世界相对接的一系列支撑系统或应用。区块链生态中包括 PoW 机制下的矿场和矿池、PoS 机制下的权益节点、代币交易所、软硬钱包、数据跟踪浏览器、dApp 应用,以及面向未来 dApp 应用的区块链网关系统等。

区块链生态引发的安全威胁包括:交易所,集中化和传统架构设计,给黑客入侵提供了便利;软硬钱包,软件及硬件钱包由于各种实现上的漏洞,导致自身安全性大打折扣;区块链节点,DDoS、51% 等攻击的存在,导致区块链数据的安全收到威胁。

交易所被 DDoS 攻击案例

2017.5 月,某区块链货币交易平台突然遭遇猛烈 UDP FLOOD 攻击,受到的攻击流量和数据包峰值瞬间飙升到 84517Mbps 和 30953746pps。攻击者在此次闪电突袭受挫后转为麻雀战术,各种间歇性小规模攻击一直持续了 10 天。

10 天后,攻击者纠集了 6 万个肉鸡僵尸,CC 攻击流量急剧攀升到 51023.30GB。

三个小时后,攻击者再次利用 51890 个肉鸡,制造高达 12238.33GB 的 CC 流量。

目前,该平台每天仍遭受 20 余万次恶意扫描,38 余万次危险攻击。

数字钱包所面临的风险

数字钱包是生成私钥和保存私钥的容器,它用来管理密钥和地址,跟踪地址的余额,创建和签名交易。从载体上来区分,数字代币钱包主要分为热钱包和冷钱包两种。

冷钱包从整体安全性来说较热钱包更高,但就目前市场上的产品也存在一定安全风险。

某品牌冷钱包的实体是由智能手机改造而成,这就导致冷钱包的整体安全性受限于智能手机系统的安全底线,同时基于智能手机系统制作的冷钱包,性能往往都不可靠。

某安全钱包虽然是由加密芯片制造,但不是由密码学领域的专业研发专家参与研发,由于加密芯片的使用不当会导致加密芯片无法为钱包提供有效加密的情况出现。

使用者面临的安全威胁欺诈案例——钓鱼攻击

2018 年 3 月 7 日,某境外数字货币交易平台币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。

根据交易所的公告,有 31 个账户遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限之后,使用机器挂单,进行程序化高频交易,给用户带来巨大损失。

2017 年 4 月 14 日,在约翰霍普金斯大学研究数学的学生 xudong zheng 发表了一篇论文,题目是《Phishing with Unicode Domains》,中文为“利用 unicode 网址钓鱼”。

欺诈案例——不了解私钥的特性

2017 年 7 月 1 日,中原油田某小区居民 188.31 个比特币被盗。油田警方几个月后将位于上海的窃贼戴某抓获,价值 280 万美元。

2017 年 10 月,东莞一名 imToken 用户发现 100 多个 ETH(以太坊币)被盗,最终确认是身边的朋友盗取他的数字加密货币。

  数字货币钱包为何会有如此多的安全隐患,对它的攻击又为何能频频得手?高雪峰认为,区块链兴起后,数字货币钱包的安全标准严重滞后,大部分钱包开发团队以业务优先为原则,对安全性未做足够的防护。黑客一旦瞄准钱包,找到漏洞,就会将账户货币洗劫一空,而且由于数字货币匿名、不可追踪等特性,被盗后难以追回。

该事件表明,虽然ICO成为不少区块链公司的融资新宠,但其中的安全问题仍令投资者颇为担忧。

  此次的黑客入侵发生在日本时间上周五凌晨02:57,但直到11:25才被发现,将近八个半小时。公司首席运营官大塚雄介(Yusuke Otsuka)表示,在这期间Coincheck发送出523万个NEM代币。

直接切入正题。为什么很多人都说区块链技术很安全,属于一种数据安全保护,或者软件系统安全架构的一种技术。

  目前,数字货币钱包的安全主要靠平台方加强安全审核。《白皮书》建议,数字货币钱包服务商要进行包括域名系统安全检测、主机实例安全检测、服务端应用安全检测等一系列审核,同时还要监控私钥、助记词、交易过程、数据存储的安全。而对于普通用户来说,能进行的安全防范则相当有限。

2、Parity钱包现软件漏洞,致15万个以太币被盗

永利皇宫登录网址 10

永利皇宫登录网址 11

  猎豹全球智库高级分析师刘鹏表示,对于普通用户来说,如果正在使用的加密数字货币钱包存在安全漏洞,应在开发商完成漏洞修补升级版本之前换用其他安全的加密数字货币钱包,并重新创建一个全新的钱包地址,通过转账的方式将旧地址的资产转移到新地址,最后将旧地址作废。

7月,以太坊Parity钱包公司发布安全警报,称其软件1.5版本中存在一个漏洞(漏洞是由wallet.sol的多重签名合约出现的bug所致),导致约15.3万个以太币被黑客盗取,三个基于以太坊的ICO项目(Edgeless Casino,Swarm City和æternity)受到牵连。这批被盗的以太币当时价值约3000万美元,但现在已值至少1.05亿美元。

  (Coincheck代表举行记者会,来源:BBC、FX168财经网)

可能许多人都已经听说过了,包括像数据公开透明、记录不可篡改,还有经常说的分布式共识,相信代码,相信数学,相信组织,今天很多老师和同学都已经分享过了。

让更多人知道事件的真相,把本文分享给好友:

永利皇宫登录网址 12

  此后,日本金融服务局(JFSA)报告说,这是其安全失误。上周日,Coincheck发表声明说,将用内部资金来赔偿客户,被盗的每一美元NEM代币将赔偿0.81美元,但是具体的赔偿时间以及Coin check是否有足够资金进行赔偿均尚不清楚。袭击后,Coincheck停止了除比特币以外的所有加密货币的交易。

我们重点还是讲讲它不安全的地方。为什么我们要说区块链还不是很安全?

更多

Parity公司为此次出现的多重签名钱包漏洞贴上了“极其严重”的安全事故标签。虽然公司极力修复被盗钱包,白帽黑客也挽回了37.7万个即将被盗的以太币,但是有超过7万个以太币已经被黑客套现,这笔损失永远无法追回。

  Coincheck公关部负责人28日接受日本广播协会(NHK)采访时说,Coincheck会尽快向客户退款,但退款时间尚未确定。在找出被黑原因、完成数据核查之前,Coincheck不会重新启动旗下加密货币交易。

实际上就是区块链的现状导致的。区块链的现状等于黑客的提款机,很容易变现,前面的老师也说过,基本跟钱是一回事,而且很难追踪。我们把区块链里面的各种攻击,各种漏洞的形态也分成了三个大类,与大家也探讨一下,分享一下,最后再给出我们的建议或者最佳实践的一些内容。

3、Parity钱包再曝安全漏洞,价值2.8亿美元的以太币被冻结

  与此同时,JFSA已经命令Coincheck在2月中旬之前提交官方事件报告以及预防未来类似事件发生的计划。此外,本周围绕盗窃的一些细节已经开始出现。NEM基金会副总裁Jeff McDonald表示,被盗的代币已经被追溯到一个不明身份的帐户。

永利皇宫登录网址 13

2017年对Parity公司来说是极其灰暗的一年,一年中竟两次遭受安全漏洞的重创,损失惨重。

  随后,黑客已经开始在不下六个交易所上出手被盗代币。不幸的是,帐户的位置还没有被核实,也没有被盗代币的具体数量。

首先,第一个是应用层的攻击,主要是讲钱包合乎智能合约,像这两个范围内的攻击手段。

11月7日,以太坊钱包Parity由于软件安全漏洞的原因,有93万个以太币遭冻结,价值约2.8亿美元。有业内人士质疑是钱包开发团队没能及时修复7月份发现的漏洞所致,但Parity官方声称,他们已经修复了导致7月被黑客攻击的漏洞,但没能修正另一个漏洞,因此黑客得以重写代码并控制别人的数字资产钱包。

  此次的被盗事件再度为加密货币投资者敲响警钟,为了更好的了解加密货币是否安全,我们需要清楚地知道加密货币通常会遇到哪些方面的安全威胁。

第二个是和区块链相关的交易所和在线服务提供商。

永利皇宫登录网址 14

  1.勒索

第三种是特别针对于区块链本身系统里面的攻击手段。比如说共识算法、加密学的基础、P2P网络等等内容。

虽然Parity团队力图用软件升级去尝试解冻这笔资金,但以太坊基金会安全主管Martin Holst Swende表示,唯一的解决办法是以太坊进行硬分叉。而以太坊为此事件实施硬分叉的可能微乎其微。

  2017年5月,WannaCry勒索病毒借助“永恒之蓝”漏洞肆虐全球,影响超过150个国家。中毒用户被要求支付比特币来避免计算机文件被永久加密。据悉WannaCry勒索病毒给全球造成的损失超过80亿美元。

第一部分,应用侧的攻击,这个可能是爆发最多的,对于普通用户来说是最容易体会到,有一种很强烈的威胁感存在。这个币存在哪好呢?有可能存着存着就丢了。

Parity钱包是被用户广泛使用的以太坊两大客户端之一,安全漏洞频现,对以太坊本身安全性能的质疑声也越来越大。

  2.盗窃

这是以太坊非常流行的一个钱包,攻击的方式非常多,比如说被域名劫持,因为它是一个在线的情况,在网站上访问了之后,输入私钥就可以将以太币或者以太坊上面的Token都可以收发,很方便,但是黑客也就抓住了这个方便,把安全也就很容易把币转到他手里。比如钓鱼事件,现在有统计,统计了5000多种攻击,同时有1000多种都是针对于在线钱包的攻击。

4、Enigma项目的投资者被骗1500余个以太币

  盗窃行为也同样可对数字加密货币持有者造成大量损失。

第二种类型也是最古老的攻击手段,就是本地钱包地址替换的情况。大家可能听说过2014年好莱坞艳照门的事件,黑客把很多好莱坞的私密照片发到了网上,最后留了一个地址,希望大家给他打赏,结果这个地方出了一个问题,很多人把自己的地址给换了,最后没得到多少币。对于用户来说,我们这里看到代码逻辑非常简单,直接把内存里面监测到,把钱包直接给换掉。

8月,区块链初创公司Enigma在一份声明中表示,黑客已经控制了该公司的网站域名、邮件列表以及Slack频道的管理员账户。之后,黑客冒充官方团队发起了一次ICO预售,用被篡改的以太坊钱包地址从潜在的投资者手中骗取1500余个以太币。

  世界上比特币被盗最严重的事件之一发生在2014年。当时全球最大规模的比特币交易所运营商是Mt.Gox,超过80%的比特币交易通过该交易所完成。2014年2月28日Mt.Gox宣布,因其交易平台的85万个比特币被盗一空,已向东京法院申请破产。

最新的360安全卫士已经增加了预警功能,这个值得点赞,如果发现钱包的地址被换了会提示,黑客会不停的收到币。比较普遍的方式是针对手机邮箱的,是基于社会工程学的一种东西,2016年年底的时候,国内的区块链大V在手机上被黑了,当时不仅自己损失了一大笔钱,而且造成了市场剧烈的振荡。智能合约的攻击事件我就不多说了。

永利皇宫登录网址 15

  进入2017年,数字加密货币交易平台被攻击的新闻更是屡见不鲜,例如韩国YouBit数字加密货币交易平台今年就曾遭到两次攻击,而最近的一次就是日本Coincheck的被盗事件。

我们再讲讲第二部分,系统层面的攻击。比如交易所的攻破,这个听说的也比较多,怎么比特币又被黑了,比特币又被偷了,比特币本身没错,是交易所被黑了。第二种比较大的类型是监守自盗,内鬼做案的事情,国内也出现过,应该是2014年的时候,如果进入这个圈子比较早的同学应该知道有一个比特币存钱罐,存一个比特币一年给你1.1个还是1.2个,过了一段时间存了几千个币之后跑了。第三种是针对于区块链底层BUG被利用的攻击。门头沟的盗币,监守自盗,也有一小部分被人利用了比特币交易延展性的攻击,偷了几千个比特币。

虽然Enigma团队很快从黑客手中夺回了被攻击的账户,包括网站,但黑客已经清空了自己钱包中的以太币,被骗的资金无法被追回。

  此外,网络黑客还试图利用各种技术盗取个人及交易平台钱包密码,转走加密货币。

我们再看第二类,针对非交易所的,是一些在线服务商的安全事故,这样类型的也非常多。在去年的一个ICO的项目被攻击的原理是,服务器上有一个网站,很多程序员都知道,结果没有打好补丁,被人找到了一个漏洞,上传了木马,拿到服务器权限之后,把里面的币全都给转走了。

5、价值3000余万美元的USDT被盗

  3.挖矿木马

我想多说一说这一块。很多人觉得区块链是代码写好就OK了,人的因素攻击还是蛮严重的隐患。BTP是硅谷的一个名企,属于支付商。如果你在网上用比特币买东西,比如在国外海淘付款,有可能你用的支付就是他们提供的。他们的首席财政官有一天收到一个邮件,这个邮件是黑客给他发的,他当然不知道。他说我们是一个币圈人或者链圈的一个媒体,需要提供一个答案,他就真的点了邮件里面的链接,没有这么简单,点了链接之后让他输一个帐号密码。输进去之后黑客拿到了邮箱的登陆帐号。拿到了邮箱登陆帐号,黑客很鸡贼,先去学习,先学习邮箱里的所有软件,发邮件是什么样的内容,有什么规定,掌握完了之后黑客模仿CFO的身份给CEO发了一个邮件,我们现在有一个大客户,用什么缘故要转100个比特币,我已经检查过了没有什么问题,请您批示一下。没有多想就给他批准了,黑客拿到这个币之后,一而再在二三偷了三次,偷了一共5个亿。这个是针对人的攻击。最后BTP找保险公司索赔了,但是没有获得赔偿。

11月下旬,USDT(一种锚定美元的加密货币,被广泛用于加密货币市场交易)发行方Tether公司发布公告称,公司电脑系统遭黑客入侵,导致价值30,950,010万美元的USDT被盗。这批代币被发送到了一个未经许可的比特币地址上。

  挖矿木马已经开始隐藏到浏览器、插件、外挂辅助等普通软件进行传播,这种攻击会导致用户计算机资源被严重占用,而“挖矿”木马则乘机利用用户电脑疯狂敛财,一个僵尸网络从被攻击的用户的电脑中获利可超300万元人民币。信息安全专家表示,随着包括比特币等数字货币交易价格的火爆,加上自身不易被察觉的特点,“挖矿”木马今年急剧增加,成为威胁网络安全的另一大隐患。

第三种是针对云平台或者云服务器的攻击,这也是早前发生过的一个案例。国外有一个云平台,类似阿里云、腾讯云,当时国际上也有很多矿池的云平台服务,当时它的管理权限被人获取了,有好几个比较早的创业企业被偷了2万多个比特币。

永利皇宫登录网址 16

  不过最近爆发的盗窃事件对于日本监管机构而言是极为尴尬的,因为日本监管机构几个月前开始推出新的加密货币交易场所的许可证制度。这起事件不仅会升高外界要求更严密监督的呼声,也可能影响邻邦韩国是否直接禁止数字资产交易的辩论。

我们重点讲一讲第三部分,很多人觉得这个技术像比特币,很多年没有出过大的安全问题,所以这个数字货币是非常可信的。其实这个数字不是特别严谨,不是没有出现过,而且出现过不仅一次,各种因素化险为夷了。第一个案例,德国的一个码农,发现比特币的脚本程序里面有一处潜在的破坏力极强的BUG,这个BUG基本内容是,右上角是原始代码的逻辑,case,黑客利用BUG可以调用语句,使得可以用之前钱包里面的比特币。如果我能花你钱包里的钱,这个钱还值钱吗?

之后,公司通过升级Omni协议,将被盗代币列入了黑名单,以防流入市场。但有人认为,此次被盗案并非空穴来风,而是蓄谋已久,因为Tether公司和全球最大的比特币交易所Bitfinex之间有着千丝万缕的联系,而后者长期以来都受到资产诈骗以及市场操控等指控,所以Tether也脱不了干系。

  新加坡Indorse Pte联合创始人David Moskowitz指出:“这起最新的盗窃行为将会产生两个直接的影响:监管机构对交易所更多的监管,以及外界更加认同分散交易方式带来的优势。”

这个BUG最早的时候是没有被公开的,这个程序员发了一个邮件给比特币的创始人,在邮件里讲,对于不知道BUG的人,千万别讲BUG的名字,如果你是很熟悉的人,你一听就知道到底怎么调用这个BUG,你可以想想当时的影响到底有多大。

而此次攻击,让围绕USDT的争议进一步升级。

  但作为投资者本身,我们也需要加强自主安全意识,尽最大可能保护自身的资产安全:

这个BUG没有被公开,悄悄被修复。悄悄的来,悄悄的我又走了,这个BUG后面的比特币升级其它的内容,就是常规性的内容更新的时候,把问题给悄悄的修复了,修复完之后在所有的节点,大部分都更新了之后才被公之于众。所以这个程序员也是比特币或者区块链历史上最鲜为人知的大救星,他第一次救了比特币。也有一种说法,因为他自己也持有比较多的比特币,他不想自己的币贬值,所以他写了这个邮件。这也是加密经济学里面的角度考虑。

6、比特币黄金遭钱包骗局,逾330万美元的代币被盗

永利皇宫登录网址:那是最棒的一世,数字货币钱袋。  1.管理好电子钱包密码:提升密码强度;

比特币天量刷币漏洞,比特币诞生半年到一年的时候,仅过了一个月出现了第二个BUG,是美国的一个码农程序员(Jeff),他发现比特币的区块链里面7400多个区块有一个很异常的交易,有三个收款地址,有两个收了900多亿比特币,一共是1800多亿个。知道比特币的同学都知道,在求和的这个逻辑里面,有一个求和溢出,当时是没有被处理的。发现这个BUG之后,这个时候比特币已经在运营当中了,而且是比较严重的BUG,结果社区表现出来比较强的能力。开发者出了修复BUG的版本之后,号召大家赶紧在Node的版本上去挖矿,哪一个链最长,才是最终被认可的链,结果带有补丁版本的区块链的程度最后赶上并且超越了原来有BUG的这个链,最终才化险为夷。

频繁的比特币硬分叉搅乱了加密货币市场的生态,虽然免费的糖果让投资者在这场游戏中玩得不亦乐乎,但同样他们也被骗子“盯”上了。

  2.升级电脑安全软件:防止将电子钱包上传云端,时刻确保钱包得到加密保护;

说完核心代码的一些漏洞之后,我们来聊一聊共识机制的问题。先讲一个,大家可能都知道,51%攻击的问题,现在发现它是现实的存在,原来以为是理论的存在。我们提出一种方案,他可以避免双花。通过什么呢?通过PUW,是有前提的。恶意用户不能超过50%。比特币的历史上曾经有过这种担忧,2014年的时候有一个矿池,不停的增长,几乎已经达到甚至要超过一半了,结果就说大家别在我这儿挖了,我这儿已经变成一个中心化的矿池了,我要提高手续费了,后面慢慢也就没有出现51%攻击的隐患。

11月底,刚分叉出来的比特币黄金(bitcoin gold,BTG)遭遇了一场精心策划的钱包骗局。一些用户在使用了疑似项目开发团队认可的服务后,发现自己数字资产钱包中的BTG糖果不见了。

  3.做好钱包的同步更新;

现在有很多诟病说中国的几家矿池联合起来也是可以完成51%攻击的,这也是理论上的可能。但是比特币没有真正被51%攻击成功过。有一个比方,为什么说安全没有被51%攻击,因为它的代价太大了,如果对它产生足够的挑战。我以前看了一个数据,需要全国Top500的怪兽级的超散,包括中国的神威、美国的泰坦集合在一起才可能发起有一定威胁性的攻击。现在差距可能更大了。

永利皇宫登录网址 17

  4.将闲置加密货币转回钱包:这能有效防止交易平台出现问题从而遭受牵连损失,同时也需要时刻关注交易平台的安全性。

51%攻击的风险在于其它的币种,而不是比特币,这种攻击是史诗级的,或者是毁灭级的攻击。大部分都是一些所谓的空气币或者是山寨币。BitcoinGold、Zencash、Vnrge,这些币种都比较小,没有特别强的保护措施,很容易被人通过租用云端算力,租用大量算力冲进来到这个小比重里面去挖矿,超过原始整个网络的算力,一下就造成了51%攻击双花。我们预计未来可能会越来越多。也有学者做过研究,ETC采用的共识算法和挖矿的机制和以太币是完全一样的。巴西的学者研究出来,可能5000多万的攻击成本就有可能造成10个亿的收益。

原因就是骗子在一个名为mybtgwallet.com的网站上,以注册比特币黄金钱包为由,要求用户提交他们的私钥或者恢复种子。但是,在用户按照步骤操作后,他们钱包中的加密货币就被发送到了骗子的地址上,包括价值3万美元的以太币、7.2万美元的莱特币、10.7万美元的BTG以及超过300万美元的比特币被盗。

永利皇宫登录网址:那是最棒的一世,数字货币钱袋。责任编辑:张伟

刚才讲过门头沟被盗其实有一部分被交易延展性比特币的BUG给坑了,根据这个基础协议上的,我没确认吗?黑客这部分的交易被确认了,我就把这个币再重发一遍,就是发币过程有问题。造成的影响还是挺大的,比特币的协议升级已经把这个问题解决掉了。第二个是日蚀攻击,也是很常见的一个手段,在比特币和以太坊的节点里都被找出了BUG,都被人修复了,原理也是通俗易懂的,节点在连上区块链网络的时候需要有很多连接来看,比如说现在的区块高度是多少,现在网上哪些交易已经被确认了,相关的交易有没有被确认,交易的是什么,你连接的节点都是黑客控制的节点,他可以告诉你某一个交易的时间根本就没有,现在的高度是某一个区块高度,其实你根本就不是这个高度,浪费了你的算力,告诉你的时间冲也是不对的等等,这个问题就在于,如果说我们写新的系统的时候,比特币和以太坊都出过这种BUG。

7、挖矿平台NiceHash被黑,超7000万美元比特币被盗

下面讲一下漏洞算法的问题。这个漏洞发生过程也很有意思。2017年5月份,IOTA是集DOT做的一个区块链系统,请MIT的研究组来审计代码,本来是一个好事,MIT的研究者就做了检查,两个月之后他们发现确实好,这个里面还有问题,我一开始也上当了,IOTA创始人我们是Curl被骗了,是一个加密(哈西)值的漏洞。我可以构造两个不一样的原始数据,本来(哈西)要避免的事情,在这个里面竟然有这样一个问题,显而易见,导致数字签名的安全性是无法保障的。9月份MIT,因为这个BUG已经修复了,就公布了漏洞审查的报告,没成想出现了戏剧性的一幕,IOTA马上表示强烈的抗议,MIT违反学术道德,我们是故意把它放在你们的,我放在你们是防止别人抄我们的代码。这个也是很有意思的,区块链漏洞系统里面的历史事件。

位于斯洛文尼亚的、号称全球第一挖矿平台NiceHash在12月初遭黑客攻击,约4700个比特币失窃,当时价值约7800万美元。为调查该事件,平台暂停运营24小时。

第二个是共识机制里面的攻击,这个叫IOTA缠结缝合攻击,缠结是区块链的一个名词,今年有一个科幻电影《湮灭》,IOTA经历了这样的事情,黑客造出来的各种垃圾交易,并且在这两个链之间不停的用链串联出来。这个造成什么结果呢?IOTA当时的共识算法是不需要交手续费的,交易的确认是需要打包前面两个交易,就造成了普通的用户去确认的时候,大家基本上都在确认大量的垃圾交易,黑客也在确认垃圾交易,这样造成整个网络是无法使用很长一段时间,整个系统等于是不可用了。后面通过共识机制的升级,才解决了这个问题。

永利皇宫登录网址 18

其实我们聊了很多,还有大量的,今天时间关系没有办法和大家一起分享讨论。

据悉,有一名 IP 来自欧洲之外的黑客(或团体)接入了 NiceHash 的计算机,随后,黑客获得了某位 NiceHash 工程师的凭证,再利用它访问到了网站的支付系统。该公司的首席执行官Marko Kobal表示,这是一起高度专业化的攻击,手段很老道。

永利皇宫登录网址 19

参考链接:

我们再回到区块链的安全主题上来。区块链到底是不是重新定义安全,我们觉得区块链技术并不是安全的一个万能钥,区块链系统里面仍然会继承现有的互联网安全、软件安全等问题,同时还引用了新的攻击向量。

作者:JM

区块链确实在有些方面是显著提高安全性的。比如这里提出了两点,容忍部分节点做,但是系统还是不影响的。还有一个没列出来的,能够抗审查,在微博、微信上的东西可能被删,存在这个上面的东西是没法儿被删的。要达成这样的安全性显著提升的目标,有一个前提,在它的设计研发和运营之中还要要对问题充分的重视,做好防范。我们觉得现有的安全技术和区块链技术是相辅相成,良性循环的过程。区块链技术在很多方面补齐了现有安全技术不足的地方,但是现有安全技术又反过来可以促进区块链的技术提升,两个是相互促进良性循环的关系。

本文为“信链社”原创文章,转载请注明出处

第一,如果你是区块链资产的持有者(用户),私钥还是权利,以前你的法币的资产,或者什么东西丢了,去警察局报个案,去银行冻结谁动了你银行的卡好。这个是币圈或者老人说的一句话,如果说你买了币,第一时间把它提出来不要放到交易所,交易所里面的币都是欠条,你并不真正拥有这些币,它只是一个符号。不要重复使用密码,尽量使用自动生成的密码,很多人就是几位数的密码,最好都通过软件自动生成它,开启短信认证,这个是比短信验证码更安全的机制,学会识别各种推广链接,百度的,谷歌的,仔细阅读安全提示的相关内容,大额资产建议大家是离线存储,或者是考虑硬件钱包,当然硬件钱包也不一定安全,可能是比直接在电脑上直接存着被偷的概率低一些,最好是硬件存储。我的一个老朋友,是一个老兵,把私钥存到记事本里面,传到云盘上去,在本地把文件就删了,结果把删除的这一步步骤同步到云盘上去了,这样做也是非常危险的。保管好邮箱帐号是显而易见的。最后建议大家考虑优先使用苹果手机,我也很喜欢用安卓,只不过因为这些年安卓的碎片化是比较严重的,除了刚刚发布的第一年安全更新比较频繁,比较快,稍微老一点的安全更新很多做的是不到位的,不仅仅钱包有风险,短信验证码,包括两步验证的APP都有可能会被窃取里面的信息。

更多资讯请关注“信链社”微信公众号

如果您是一位区块链项目的开发者,几位前辈都讲过这个问题,最好是能自己去看看里面的代码逻辑,里面到底是不是真的,不要信某个牛人或者某个泰斗,在数字货币或者区块链的这个领域里面蛮有反叛性精神的,没有所谓的权威在这里面,大家还是自己去看是最保险的方式。用去中心化的思维,没有以前的服务器客户端的架构,没有BS架构,CS架构了,各种攻击都可能在里面出现,你要考虑这个方面,不要去尝试自己设计一种加密算法,这是一个很大的坑。好像自己天不知道地不知道,只有我自己安全。

谨慎对待慈基数或者时间戳这样的变量和数值,这样的在区块链的编程也是非常难的。我也在思考这个问题,让用户参与进来提供周边的环境信号,包括麦克风或者传感器的数据,混合本地的随机数据,这样也许会安全一点。时间戳也是一样的,重视安全用例的编写,一定要重视你写的每一个Library,哪怕是别人写的智能合约里面有BUG,您这个系统仍然是可能会被找到漏洞,会被击溃的。如果您的工作是基于比特币、以太坊的区块链去做的,不用重复发明文字,一定要同步去更新像比特币、以太坊攻击的安全代码,一般能够比较快的及时响应里面的安全问题,如果你的工作是基于他们的工作基础上来做,你又没有去跟进,等于是告诉黑客,比特币和以太坊等于是告诉黑客,告诫自己智能合约很难写,很难写的好写的安全,一定要谨小慎微,补齐密码学的基础知识。您开发的系统有多安全,这个取决于您。

第三个类别,如果您是一位区块链相关产品的创业者,如果你以前不是做这一块的,现在来做这一块,我们的建议是,如果您的项目还没有开始,还是问一问自己,是不是一定要用区块链。第二个,如果项目已经开始了,可以重新从安全的角度审查一下各个方面。应该充分了解,在区块链领域特别是这样的,要投入大量的人力、物力、财力是看不到的,一旦出现事故之后是影响很大的,追悔莫及。针对于自己,针对于关键团队成员,甭管C什么O,这里面一个关键人物出了问题,可能也会造成影响。非区块链服务系统的漏洞,这也是容易忽视的一个问题,服务器上放上您的代码,操作系统的漏洞就不用说了,他的问题也会导致您这个系统的问题。划拨资金池,最好还是有一个单独的资金,这样更多的放在社区里面会更有动机去介入进来,他会觉得这个项目是比较友好的,他也乐意去帮助你,聘任顾问,来审计第三方产品。建议使用两组人员,两种不同的语言来进行开发,把协议约定好。以太坊采用了这种路线,所以避免了好几次大的问题。同样也是针对供应链,开源才是最安全的,但是千万别等到明天上线今天宣布开源,上线的时候是开源产品,这样其实是最危险的,今年有几个数字货币就出现过这个问题,官方的钱包出现,第一天就找到了BUG。最后,做好思想准备,您这个系统一定会有漏洞,有漏洞就一定会有攻破的,至少有一个安全专员,要有一个应急预案。

以上演讲来自ISC2018区块链与安全论坛,雷锋网整理。永利皇宫登录网址,返回搜狐,查看更多

责任编辑:

版权声明:本文由永利皇宫登录网址发布于区块链,转载请注明出处:永利皇宫登录网址:那是最棒的一世,数字货币