随着越来越的人参与到区块链这个行业中来,为行业注入新活力的同时也由于相关知识的薄弱以及安全意识的匮乏,给了攻击者更多的可乘之机。面对频频爆发的安全事件,慢雾特推出区块链安全入门笔记系列,向大家介绍区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界!越权访问攻击ExceedAuthorityAccessAttack
和传统安全的定义一样,越权指的是访问或执行超出当前账户权限的操作,如本来有些操作只能是合约管理员执行的,但是由于限制做得不严谨,导致关键操作也能被合约管理员以外的人执行,导致不可预测的风险,这种攻击在以太坊和EOS上都曾出现过多次。以EOS上著名的BetDice游戏为例,由于在游戏合约内的路由(EOS内可自定义的事件转发器)中没有对来源账号进行严格的校验,导致普通用户能通过pushaction的方式访问到合约中的关键操作transfer函数,直接绕过转账流程进行下注,从而发生了越权攻击,事后虽然BetDice官方紧急修复了代码,并严格限制了来源账号,但这个漏洞已经让攻击者几乎无成本薅走BetDice奖池内将近5万EOS。又如在以太坊使用solidity版本为0.4.x进行合约开发的时候,很多合约开发者在对关键函数编写的时候不仅没有加上权限校验,也没有指定函数可见性,在这种情况下,函数的默认可见性为public,恶意用户可以通过这些没有进行限制的关键函数对合约进行攻击。慢雾安全团队建议智能合约开发者们在进行合约开发的时候要注意对关键函数进行权限校验,防止关键函数被非法调用造成合约被攻击。交易顺序依赖攻击Transaction-OrderingAttack
证券日报:赋能实体成区块链重中之重:5月9日,证券日报刊文“赋能实体成区块链重中之重 供应链、溯源和数据等迎来政策红利期”。文章表示,?近日,工信部、中央网信办联合发布《关于加快推动区块链技术应用和产业发展的指导意见》,强调赋能实体经济是发挥区块链作用的重点任务之一,要深化融合应用,聚焦供应链管理、产品溯源、数据共享等实体经济领域。多位业内专家表示,区块链在赋能实体经济领域作用突出。在供应链管理领域,区块链可以实现多方实时信息共享,增强业务流程透明度,助力解决实体企业融资难问题;在产品溯源领域,区块链可以实现商品信息全程实时溯源,在溯源监管中发挥重要作用;在数据共享领域,区块链可以解决数据信息不对称、低成本获取有效数据以及数据安全与隐私保护等问题。[2021/6/9 23:22:40]
在区块链的世界当中,一笔交易内可能含有多个不同的交易,而这些交易执行的顺序会影响最终的交易的执行结果,由于在挖矿机制的区块链中,交易未被打包前都处于一种待打包的pending状态,如果能事先知道交易里面执行了哪些其他交易,恶意用户就能通过增加矿工费的形式,发起一笔交易,让交易中的其中一笔交易先行打包,扰乱交易顺序,造成非预期内的执行结果,达成攻击。以以太坊为例,假如存在一个Token交易平台,这个平台上的手续费是通过调控合约中的参数实现的,假如某天平台项目方通过一笔交易请求调高交易手续费用,这笔交易被打包后的所有买卖Token的交易手续费都要提升,正确的逻辑应该是从这笔交易开始往后所有的Token买卖交易的手续费都要提升,但是由于交易从发出到被打包存在一定的延时,请求修改交易手续费的交易不是立即生效的,那么这时恶意用户就可以以更高的手续费让自己的交易先行打包,避免支付更高的手续费。慢雾安全团队建议智能合约开发者在进行合约开发的时候要注意交易顺序对交易结果产生的影响,避免合约因交易顺序的不同遭受攻击。女巫攻击SybilAttack
声音 | 金昌市政协委员:加速区块链等金融科技在供应链金融中的应用:1月18日,金昌市政协八届五次会议举行第二次全体会议。政协委员杜志环认为,应加紧地方供应链金融政策法规的建立与落实,鼓励金融机构创新供应链金融产品,设立供应链金融发展基金,支持区域的供应链金融发展。加大应收账款融资服务平台的支持力度。借助我市建立“紫金云”大数据中心的契机,推进我市信息共享平台的建设,借助物联网、区块链、人工智能等新兴技术,做好本地平台和全国性供应链金融服务平台的有机对接,加速金融科技在供应链金融中的应用。(金昌日报)[2020/1/19]
传闻中女巫是一个会魔法的人,一个人可以幻化出多个自己,令受害人以为有多人,但其实只有一个人。在区块链世界中,女巫攻击(SybilAttack)是针对服务器节点的攻击。攻击发生时候,通过某种方式,某个恶意节点可以伪装成多个节点,对被攻击节点发出链接请求,达到节点的最大链接请求,导致节点没办法接受其他节点的请求,造成节点拒绝服务攻击。以EOS为例,慢雾安全团队曾披露过的EOSP2P节点拒绝服务攻击实际上就是女巫攻击的一种,攻击者可以非常小的攻击成本来达到瘫痪主节点的目的。详情可参考:https://github.com/慢雾安全团队建议在搭建全节点的情况下,服务器需要在系统层面上对网络连接情况进行监控,一旦发现某个IP连接异常就调用脚本配置iptables规则屏蔽异常的IP,同时链开发者在进行公链开发时应该在P2P模块中对单IP节点连接数量添加控制。假错误通知攻击FakeOnerrorNotificationAttack
动态 | 加密矿池MinerGate和区块链初创公司合作开发EOS基础设施:据ZyCrypto消息,加密矿池MinerGate宣布和区块链初创公司Lumi Technologies合作,将联合开发EOS基础设施。2月1日消息,加密矿池MinerGate成为EOS超级节点候选。[2019/3/8]
EOS上存在各种各样的通知,只要在action中添加require_recipient命令,就能对指定的帐号通知该action,在EOS上某些智能合约中,为了用户体验或其他原因,一般会对onerror通知进行某些处理。如果这个时候没有对onerror通知的来源合约是否是eosio进行检验的话,就能使用和假转账通知同样的手法对合约进行攻击,触发合约中对onerror的处理,从而导致被攻击合约资产遭受损失。慢雾安全团队建议智能合约开发者在进行智能合约开发的时候需要对onerror的来源合约进行校验,确保合约帐号为eosio帐号,防止假错误通知攻击。
现场 | 共识大会(新加坡)圆桌:区块链提供的部分解决方案与实际流程存在偏差:金色财经9月19日现场报道,在新加坡共识大会上,来自R3、Anquan和新加坡金融管理局的相关人员参与讨论了分布式账本在清结算中的进展问题。针对分布式账本技术在降低成本、加速结算、系统稳健性提升等方面进展缓慢的问题,嘉宾表示,区块链技术只提供了方案支持,实际操作中,还需要进一步引导人们适应新的工作模式。因为这是区块链提供给的方法,与人们现有的工作流程存在偏差。[2018/9/19]
本文内容为参加某财经线上直播文稿,总结了个人对近期比特币、主流币的走势分析,重要的是,如何正确的投资山寨币相关的策略,觉得有价值的小伙伴们,欢迎收藏分享.
一、股币分离 EOS的母公司BlockOne被曝出用EOS融资融来的钱,买了14万枚比特币,这件事引起了市场的广泛讨论。有人说,不要慌,大胆持有EOS,EOS在炒币。。
编者按:本文来自深链Deepchain,作者:出蜀,Odaily星球日报经授权转载。前有门头沟74万个比特币被盗,后有币安7000枚比特币被盗和KYC资料泄露.
编者按:本文来自币圈邦德,作者:马良,Odaily星球日报经授权转载。近期EOS的市值终于重新超过了BNB,人们开始再次审视EOS。EOS论性能和生态,无疑还是处于公链中领先的位置.
一、我国央行数字货币研发又出新成果8月10日,第三届中国金融四十人伊春论坛在黑龙江省伊春市举行.
编者按:本文来自PANews,文字及数据:Carol,编辑:Tong,星球日报经授权发布。对于今年年后开启的小牛行情而言,IEO即使不是直接“导火索”,也可以算是重要“助推剂”.