展开
湖北国联计算机科技有限公司
  • 首页HOME
  • 公司简介INTRODUCTION
  • 安全防御DEFENSE
  • 软件开发SOFTWARE
  • 物联网IOT
  • 运行维护SRE
  • 成功案例CASE
  • 联系我们CONTACT
  • Defense Event |业界动态

    区块链也不安全 三大攻击维度必须了解
    来源:湖北国联编辑部 时间:2018-07-12

    虽然区块链技术自带加密光环,并具分布式特性,外在表现为分散的、去中心化的,然而事实上其并非如之前所描述的无人可篡改。由于技术应用、平台防护等原因,现阶段的区块链应用正在面临着攻击者的威胁。

    1. 针对协议的攻击

    区块链,一个可理解为不断增长的存证与记录的“帐本链条”,由记录的各个区块所连接,而这些区块则使用密码学进行相连和保护。凭借区块链的分布式特性,加密的“帐本”数据需由网络中的所有节点共享和验证,以确保其唯一性。

    其运作模式为,所有参与节点需针对共同账本上的每一笔交易进行分布式记账。当交易发生后,信息会通知到所有节点,而各个节点要按照预设的规则独立地对交易进行确认。在这个过程中,信息是透明统一的,参与者资格权限完全对等。一笔交易确认后,交易记录和数据就形成一个区块,加上时间戳后编入链条,然后启动下一轮交易(块),而这些区块以时间顺序连接为“链”。在此基础上,只要参与节点数量足够多,“数据链条”上的篡改似乎的不可能的。

    然而事实上,攻击者一旦拥有了大多数节点,其就可随意创建自己的区块,对链条进行篡改,而该区块链的安全性便不攻自破了,这就是著名的“51%攻击”或“大多数攻击”。这在一个区块链项目刚刚启动时威胁尤为突出,因为那时的节点总数往往很少,一旦节点拥有者形成共谋,这样的攻击即可实现。

    不仅如此,区块链协议、智能合约机制、节点设备漏洞等安全缺陷,都是涉足其上的企业必须要面对解决的,不然的话,遭受巨大的经济损失就可能是分分钟的事情了。

    2. 针对用户的攻击

    除了上述区块链协议、节点上的漏洞外,用户也是区块链里的一大薄弱环节。传统的网络钓鱼、恶意软件、字典攻击等,往往都十分奏效,亦会让用户丧失掉控制权。

    3. 针对平台的攻击

    随着加密货币的热炒,针对交易平台的攻击变得日益明显。近期,安全人员发现了EOS平台上的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

    据悉,该漏洞令EOS区块链系统在解析WASM文件时,会出现缓冲区溢出的问题,而攻击者将能够利用这个缓冲区溢出漏洞实施攻击。在该漏洞的帮助下,攻击者将能够向EOS节点服务器上传恶意智能合约,当节点服务器完成对智能合约的解析之后,恶意Payload将会在服务器中执行,并完成远程接管。成功接管远程节点服务器之后,攻击者将能够把恶意智能合约封装到新的区块中,并进一步控制整个EOS网络。

    显而易见的是,面对上述三大维度的区块链攻击,除了一般用户难以察觉的技术复杂度及安全漏洞外,来自用户设备甚至是交易平台上的隐患都是挑战区块链技术安全应用的主要威胁,必须引发高度关注才行。

    荆州地区政府网站建设 解决方案 专业团队 Copyright 2016 武汉国联信通科技有限公司松滋分公司 地址:湖北省荆州市沙市区荆沙大道楚天都市佳园一期C区29栋112       地址:湖北省松滋市才知文化广场1141-1142号     邮编:434200 联系电话:0716-6666211     网站编辑部邮箱:business@gl-ns.com 备案号:鄂ICP备16011027号-1     企业名称:湖北国联计算机科技有限公司