虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻。面对区块链的众多安全问题,慢雾特推出区块链安全入门笔记系列,向大家介绍十篇区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界。系列回顾:区块链安全入门笔记(一)公链PublicBlockchain
公有链(PublicBlockchain)简称公链,是指全世界任何人都可随时进入读取、任何人都能发送交易且能获得有效确认的共识区块链。公链通常被认为是完全去中心化的,链上数据都是公开透明的,不可更改,任何人都可以通过交易或挖矿读取和写入数据。一般会通过代币机制(Token)来鼓励参与者竞争记账,来确保数据的安全性。由于要检测所有的公链的工作量非常大,只靠一家公司不可能监测整个区块链生态安全问题,这就导致了黑客极有可能在众多公链之中找寻到漏洞进行攻击。2017年4月1日,Stellar出现通胀漏洞,一名攻击者利用此漏洞制造了22.5亿的Stellar加密货币XLM,当时价值约1000万美元。
报告:加密货币和区块链行业Q2投资额为23.2亿美元,是2020年Q4以来新低:金色财经报道,Galaxy Research发布了2023年Q2加密货币和区块链风险投资报告。加密货币和区块链行业在2023年第二季度的投资额为23.2亿美元,创下了新的周期低点,也是2020年第四季度以来的最低水平。
2023年第二季度,美国公司筹集了所有加密货币风险投资资金的45%,其次是英国(7.7%)、新加坡(5.7%)和韩国(5.4%)。
加密货币或区块链风险投资交易的投前估值中位数降至1793万美元,为2022年第一季度以来的最低水平。
交易、交易所、投资和借贷初创公司在2023年第二季度筹集了最多的风险投资资金(4.73亿美元,占已部署资本的20%)。Web3、NFT、游戏、DAO和元宇宙初创公司筹集了第二多资金,达4.42亿美元,占2023年第二季度部署的所有风险投资的19%。[2023/7/15 10:55:58]
图片来自SlowMistHacked交易所Exchange
由韩国三大通信公司等组成的协会将于5月推出基于区块链的电子认证应用:由韩国三大通信公司、三星电子和多家主要银行等组成的区块链网络 DID 协会计划于5月中旬正式推出基于区块链的电子认证应用initial。目前,只有 PS&Marketing 和 NH 农协银行被授权访问。正式推出时,用户可通过该应用下载部分大学的毕业证书和学历纪录,以及一些合作金融公司电子合同等信息。
据了解,目前在苹果应用商店中可下载该应用,但无法打开首页。该协会成立于去年 7 月份,最初由韩国网络振兴院(KASI)倡议成立,初始成员有 KT、SK Telecom、LG Uplus、三星电子、KEB Hana Bank、Woori Bank 和金融科技公司 Koscom。之后,BC Card、Hyundai Card、新韩银行、农协银行等其他金融公司也加入该协会。(IT Chosun)[2020/4/30]
与买卖股票的证券交易所类似,区块链交易所即数字货币买卖交易的平台。数字货币交易所又分为中心化交易所和去中心化交易所。去中心化交易所:交易行为直接发生在区块链上,数字货币会直接发回使用者的钱包,或是保存在区块链上的智能合约。这样直接在链上交易的好处在于交易所不会持有用户大量的数字货币,所有的数字货币会储存在用户的钱包或平台的智能合约上。去中心化交易通过技术手段在信任层面去中心化,也可以说是无需信任,每笔交易都通过区块链进行公开透明,不负责保管用户的资产和私钥等信息,用户资金的所有权完全在自己手上,具有非常好的个人数据安全和隐私性。目前市面上的去中心化交易所有WhaleEx、Bancor、dYdX等中心化交易所:目前热门的交易所大多都是采用中心化技术的交易所,使用者通常是到平台上注册,并经过一连串的身份认证程序(KYC)后,就可以开始在上面交易数字货币。用户在使用中心化交易所时,其货币交换不见得会发生在区块链上,取而代之的可能仅是修改交易所数据库内的资产数字,用户看到的只是账面上数字的变化,交易所只要在用户提款时准备充足的数字货币可供汇出即可。当前的主流交易大部分是在中心化交易所内完成的,目前市面上的中心化交易所有币安,火币,OKEx等。由于交易所作为连接区块链世界和现实世界的枢纽,储存了大量数字货币,它非常容易成为黑客们觊觎的目标,截止目前全球数字货币交易所因安全问题而遭受损失金额已超过29亿美元(数据来源SlowMistHacked)。
杭州桐庐县开出首张区块链公益捐赠电子票据:杭州市桐庐县开出首张区块链公益捐赠电子票据,捐赠者通过手机即可查验、下载、打印电子票据。(桐庐新闻网)[2020/3/17]
图片来自SlowMistHacked数字货币领域,攻击者的屠戮步伐从未停止。激烈的攻防对抗之下,防守方处于绝对的弱势,其攻击手法多种多样,我们会在之后的文章中为大家进行介绍。职业黑客往往会针对数字货币交易所开启定向打击,因此慢雾安全团队建议各方交易所加强安全建设,做好风控和内控安全,做到:“早发现,早预警,早止损。”相关交易所防御建议可参考:慢雾红色警报:交易所接连被黑的防御建议节点Node
在传统互联网领域,企业所有的数据运行都集中在一个中心化的服务器中,那么这个服务器就是一个节点。由于区块链是去中心化的分布式数据库,是由千千万万个“小服务器”组成。区块链网络中的每一个节点,就相当于存储所有区块数据的每一台电脑或者服务器。所有新区块的生产,以及交易的验证与记帐,并将其广播给全网同步,都由节点来完成。节点分为“全节点”和“轻节点”,全节点就是拥有全网所有的交易数据的节点,那么轻节点就是只拥有和自己相关的交易数据节点。由于每一个全节点都保留着全网数据,这意味着,其中一个节点出现问题,整个区块链网络世界也依旧能够安全运行,这也是去中心化的魅力所在。RPC
招商证券:各大互联网公司在区块链技术上的频频布局 给区块链概念带来利好:招商证券认为,虽然2017年比特币迎来了火爆行情,但当时并未给区块链概念本身带来太多的关注度。而近期各大互联网公司在区块链技术上的频频布局对于区块链在我国的市场培育和推广将起到积极作用。通过各大互联网公司的传导,区块链的受众面将逐渐从小众的极客玩家们向普罗大众推广。但从目前看,各大互联网公司试水的区块链应用依旧以发行“代币”或实现“积分管理”的类型为主,功能相对单一,依旧处于初级阶段。而区块链真正的潜在应用空间(金融、政务、医疗等)还很巨大,尚需时日慢慢挖掘,短期内看尚不具备大规模落地条件。
招商证券建议从具备“技术开发能力”与“应用及场景”这两个维度筛选标的,推荐:1)“技术和场景”受益标的:恒生电子、金证股份、新大陆、赢时胜;2)加解密相关标的:飞天诚信、卫士通。[2018/1/10]
远程过程调用(RemoteProcedureCall,缩写为RPC)是一个计算机通信协议。以太坊RPC接口是以太坊节点与其他系统交互的窗口,以太坊提供了各种RPC调用:HTTP、IPC、WebSocket等等。在以太坊源码中,server.go是核心逻辑,负责API服务的注入,以及请求处理、返回。http.go实现HTTP的调用,websocket.go实现WebSocket的调用,ipc.go实现IPC的调用。以太坊节点默认在8545端口提供了JSONRPC接口,数据传输采用JSON格式,可以执行Web3库的各种命令,可以向前端提供区块链上的信息。以太坊黑人节漏洞
ETHBlackValentine'sDay2018年3月20日,慢雾安全团队观测到一起自动化盗币的攻击行为,攻击者利用以太坊节点Geth/ParityRPCAPI鉴权缺陷,恶意调用eth_sendTransaction盗取代币,持续时间长达两年,单被盗的且还未转出的以太币价值就高达现价2千万美金(以当时ETH市值计算),还有代币种类164种,总价值难以估计。
通过慢雾安全团队独有的墨子系统对全球约42亿IPv4空间进行扫描探测,发现暴露在公网且开启RPCAPI的以太坊节点有1万多个。这些节点都存在被直接盗币攻击的高风险。这起利用以太坊RPC鉴权缺陷实施的自动化盗币攻击,已经在全球范围内对使用者造成了非常严重的经济损失。漏洞详情及修复方案可点击:以太坊生态缺陷导致的一起亿级代币盗窃大案以太坊黑人节事件数据统计及新型攻击手法披露注:本系列文章在imTokenFans、币乎、巴比特、星球日报、Seebug、FreeBuf、安全客、币世界、火星财经、哔哔News、Unitimes等平台上均有同步发布。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。