区块链:一文解读区块链技术的5大安全隐患及解决方案_DEOS

《区块链行业观察》专栏·第76?篇

作者丨MANANSHAH

图片丨来源于网络

毫无疑问，区块链技术近年来越来越受欢迎。除了最初在Crypto中的应用外，它现在还被用于医疗保健、房地产、智能合约等领域。

区块链技术利用独立的区块进行数据的分组收集和存储，每个区块都可以保存一定数量的数据。当一个区块被填满时，它会链接到前一个完整的区块上，形成一条数据链，因此得名“区块链”技术。

区块链技术很好地诠释了金融交易和信息传输中的安全原则是如何转变的。它提供了一种独一无二的数据结构以及内置的安全功能。区块链通过基于共识、去中心化和密码学的思想来确保交易中的信任。

慢雾：Transit Swap事件中转移到Tornado Cash的资金超过600万美元:金色财经报道，慢雾 MistTrack 对 Transit Swap 事件资金转移进行跟进分析，以下将分析结论同步社区：

Hacker#1 攻击黑客（盗取最大资金黑客），获利金额：约 2410 万美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已归还超 1890 万美元的被盗资金；12,500 BNB 存款到 Tornado Cash；约 1400 万 MOONEY 代币和 67,709 DAI 代币转入 ShibaSwap: BONE Token 合约地址。

Hacker#2 套利机器人-1，获利金额：1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在获利地址中，未进一步转移。

Hacker#3 攻击模仿者-1，获利金额：356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利机器人-2，获利金额：246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利机器人-3，获利金额：584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部转移至新地址 0x8960...8525，后无进一步转移。

Hacker#6 攻击模仿者-2，获利金额：2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利机器人-4，获利金额：5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通过 Uniswap 兑换为 30.17 ETH，其中 0.71 支付给 Flashbots，剩余 ETH 未进一步转移。[2022/10/6 18:41:10]

然而，由于技术实施有时会出现误差，这就导致区块链中出现了一些安全隐患。

分析 | 慢雾：韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址（rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu）被盗 20,000,000 枚 XRP（价值 $6,000,000），通过慢雾安全团队的进一步分析，疑似攻击者地址（rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1）于 UTC 时间 03/29/2019?13:46 新建并激活，此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包（g4ydomrxhege）疑似被黑，损失 3,132,672 枚 EOS，且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]

不同类型的区块链安全性

要想进一步解释区块链安全，首先要了解公有链网络和联盟链网络安全性的区别。在参与程度和数据访问能力方面，区块链网络可以产生各种不同的影响。因此，区块链网络有两种不同的标记形式。

声音 | 慢雾：采用链上随机数方案的 DApp 需紧急暂停:根据近期针对EOS DApp遭遇“交易排挤攻击”的持续性威胁情报监测：EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陆续被攻破，该攻击团伙（floatingsnow等）的攻击行为还在持续。在EOS主网从根本上解决这类缺陷之前，慢雾建议所有采用链上随机数方案的DAPP紧急暂停并做好风控机制升级。为了安全起见，强烈建议所有竞技类DAPP采用EOS官方很早就推荐的链下随机种子的随机数生成方案[2019/1/16]

区块链网络可以是私有的，也可以是公共的，具体取决于获得成员资格所需的许可。参与者获得网络访问权的方式取决于区块链网络是有许可的还是无许可的。

?公有链网络是开放的，允许任何用户的加入，同时还会保持参与者的匿名性。

俄罗斯议会批准一项新草案，可能会向数字资产发行人免征增值税:6月28日消息，俄罗斯议会批准了一项法律草案，可能会免除对数字资产和加密货币发行人的增值税，还确定了出售数字资产所得收入的税率。该草案仍需由上议院审查并由总统弗拉基米尔·普京签署才能成为法律。（路透社）[2022/6/28 1:36:52]

?而在联盟链网络中，用户身份被用来确认其成员资格和访问权限。更近一步来说，联盟链网络只允许熟悉的组织参与到其中。

区块链的5大安全隐患及其解决方案

就像很多人认为的那样，区块链本质上是安全的。毫无疑问，区块链对组织来说是有利的，但由于特定的安全隐患，它还是有一些明显的缺点。以下是区块链技术所面临的5大安全挑战及其解决方案。

1、51%攻击

验证者在验证区块链交易方面发挥着重要作用，他们促进区块链的进一步发展。而51%攻击可能是整个区块链业务中最可怕的威胁。这些攻击一般更可能发生在链生成的早期阶段，但51%的攻击不适用于企业或联盟链。

Cardano开发团队即将推出首款轻钱包“Lace”:6月22日消息，Cardano开发团队Input Output开发了一款新的轻钱包“Lace”。据开发团队介绍，这款新钱包具有许多功能，允许用户在同一处主要管理、控制以及存储他们的加密货币。

该钱包还将允许用户将他们的NFT保存在同一个地方，这将帮助用户在一个钱包中管理他们的所有数字资产，而无需依赖第三方解决方案。

据悉，Lace是在Input Output的侧链解决方案的帮助下打造的，目前开发人员正专注于将引入Cardano和以太坊网络之间的互操作性。目前，这项新举措仍处于测试阶段，很快将进入部署阶段。（Bitcoinist）[2022/6/22 5:04:35]

当独立的个人或组织收集超过一半的哈希值并控制整个系统时，就会发生51%攻击，而这对整个系统来说可能是灾难性的。黑客可以修改交易的顺序并阻止交易被确认，他们甚至可以撤销之前完成的交易，从而导致双花问题。

为了防止51%攻击，区块链技术需要做到以下改进：

?改进mingingpool池监控。

?确保哈希值更高。

?避免使用工作量证明(PoW)共识程序。

2、网络钓鱼攻击

对区块链网络的网络钓鱼攻击正在不断增加，造成了严重的问题。个体或公司员工经常成为网络钓鱼的目标。

黑客在网络钓鱼攻击中的目标是窃取用户的私钥。他们向钱包密钥的所有者发送看起来合法的电子邮件，用户点击附加的虚假超链接输入详细个人信息并登录。黑客可以借此访问用户的私钥和其他可能会对用户和区块链网络造成损害的敏感信息，进而发起后续的攻击。

为了防止网络钓鱼攻击，区块链技术需要做到以下改进：

?通过安装经过验证的插件来告知用户有关不安全网站的信息，从而提高浏览器的安全性。

?通过安装恶意链接检测软件以及可靠的防病软件来提高设备安全性。

?如果用户收到要求登录详细信息的电子邮件，请用户与项目方再次确认该问题。

?确保用户在彻底审查之前不要点击链接，而是在浏览器中输入地址。

?确保用户在使用电子钱包或进行其他重要的银行交易时，避免使用开放的Wi-Fi网络。

?确保系统和软件的实时更新。

3、路由攻击

区块链技术安全和隐私面临的另外一个主要问题是路由攻击。

区块链网络和应用程序依赖于大量数据的实时移动。黑客可以利用帐户的匿名性来拦截正在传输给互联网服务提供商的数据。

在路由攻击的情况下，由于数据传输和各项操作都是照常进行的，因此区块链参与者通常不会意识到任何威胁。然而风险就在于这些攻击在用户不知情的情况下提取通证或暴露机密数据。

为了防止路由攻击，区块链技术需要做到以下改进：

?实施带有证书的安全路由协议。

?确保用户使用加密数据。

?让用户定期更改密码并使用安全强度高的密码。

?让企业和员工了解与信息安全相关的危害。

4、区块链服务端点漏洞

区块链服务端点的脆弱性是区块链中的另一大安全隐患。

区块链网络的服务端点是用户与区块链在计算机和手机等电子设备上交互的地方。黑客可以通过观察用户行为和目标设备来窃取用户的密钥。这是最明显的区块链安全隐患之一。

为了防止服务端点漏洞，区块链用户需要做到以下改进：

?不要将区块链密钥作为文本文件保存在您的计算机或手机上。

?为电子设备下载并安装防病软件。

?定期检查系统，跟踪时间、位置和设备访问。

5、女巫攻击

在女巫攻击中，黑客会生成大量虚假网络节点。使用这些节点，黑客可以获得多数共识并破坏链上的交易。因此，大规模的女巫攻击就是51%攻击。

为了防止女巫攻击，区块链技术需要做到以下改进：

?使用适当的共识算法。

?监控其他节点的行为并检查只有单个用户产生区块的节点。

虽然这些算法可能无法完全阻止这些攻击，但它们使黑客无法肆意攻击。

结论

尽管区块链技术仍存在一些安全漏洞，但网络安全专员可以通过一些手段来缓解这些问题。经历过分析和技术能力磨练的IT专家将在安全地部署区块链的过程中占据有利地位。

原文由MANANSHAH撰写，中文版本由链集市团队编译整理，英文版权归原作者所有，中文转载请联系编辑。

-END-

标签：区块链EOSACKHAC区块链域名如何注册DEOSblackmambacoinMechaChain

聚币热门资讯