2023-07-05
2023-06-18
2023-07-05
2023-06-29
2023-03-19
更新时间:2024-04-16 14:27:38 发布时间:24小时内 作者:文/会员上传 下载docx
2023-07-05
2023-06-18
2023-07-05
2023-06-29
2023-03-19
7 月 25 日,EOS DAPP《狼人杀》智能合约被攻击。这是 EOS DAPP 首例被攻击案例。当日,慢雾安全团队警告 EOS 狼人杀团队,游戏合约遭受溢出攻击,资金池已变成负数。
EOS Fomo3D 狼人杀是一款与以太坊 Fomo3D 相似的游戏,英文全称为 Fear of missing out。EOS Fomo3D 游戏使用闪拍模式,主要规则为:游戏开始有 24 小时倒计时,每位玩家购买,时间就会延长 30s,越早购买的玩家,能获得更多的分红,最后一个购买的玩家,将获得奖池中 48% 的 eth。
但是,该游戏就因出现智能合约存在严重漏洞、被黑客攻击、团队有强制结束权利等问题被参与者所诟病。游戏团队紧急上线新合约之后,仍然发生第二次攻击,攻击者(eosfomoplay1)盗走 60686 个 EOS,是 EOS DAPP 不完全统计中,被黑客攻击损失代币数量最多的合约漏洞。
在此之后,EOS 上出现大量博彩类型 DAPP,因为采用开源模板和未对合约安全进行考虑等原因,此后出现了几十次与 EOS DAPP 有关的黑客攻击,包括回滚攻击、随机数预测攻击、可重入攻击、逻辑漏洞攻击等。
区块链发展前景分析
产业前景展望
市场需求前景
市场应用前景
新型区块链创新
区块链融资发展趋势分析
核心技术发展趋势
通用平台发展趋势
区块链融资发展路线图
区块链发展应用趋势分析
新应用方案
联盟趋势
平台化发展趋势
年区块链行业预测分析
区块链容量规模预测
区块链应用规模预测 (ZY TL)
部分图表目录:
图表 区块链数据结构
图表 区块链产业链
图表 区块链产业链生态
图表 20_-20_年全球比特币价格涨幅
图表 20_-20_年数字货币/区块链融资金额
图表 20_年数字货币/区块链融资事件地域分布图
图表 20_年数字货币/区块链融资金额地域分布图
图表 20_年数字货币/区块链行业公司融资金额分布
图表 20_年数字货币/区块链行业公司融资次数分布
更多图表见正文......返回搜狐,查看更多
根据 PeckShield的数据, BCHABC 和 BCHSV 两个链上均存在一些容量为几千笔交易的异常区块,其中包含大量在相同地址间互转的垃圾小额(大约 或更小)的交易。
例如:BCHABC 链上的 556846 和 556843 块,存在一地址 ,发起了大量转给自己的小额交易;
粉尘攻击的防御解决起来就没有重放攻击那么容易了。因为粉尘攻击本质上其实还是拓展性的问题。 4. 区块链行业看安全 20_ 年到 20_ 年,区块链成为全民热点,大量的安全问题也在此时暴露。应用业务层安全和智能合约安全两部分造成的安全事故,占区块链安全事故总数的 80% 以上。原因多数为智能合约代码编写出现漏洞,或应用层上的权限管理、密钥管理等漏洞。 根据 BCSEC 的数据显示,安全问题主要集中在业务层和合约层,两者安全事件导致的经济损失占整个区块链安全行业的 ,分别发生了 64 次和 58 次,累计损失 亿美元,共识层安全事件发生了 6 起,造成经济损失近 2216 万美元,占 20_ 年区块链安全事件经济损失的 。 加密数字货币与个人财产直接相关,因此很容易成为黑客攻击的突破口。而除去高额的数字资产损失,风险事件给普通民众心中的区块链打上混乱、无序、不安全的标签,也降低使用者对加密数字资产的信心,严重影响了区块链市场的用户获取。 随着整个行业从初期走向成熟,区块链本身的分布式系统架构和共识机制等技术将有助于提供更好的安全性。由此进行的,加密资产相关产业和区块链应用的各个场景的安全更新,试图通过最快的优化方式,避免更多的安全事件发生的迭代技术,也将发挥更有效的作用。 为了更好地了解区块链生态对安全的看法,我们与区块链行业的多方参与者进行了沟通,他们包括正在使用区块链技术的团队、区块链安全团队、提供区块链技术的公链团队、为用户提供区块链入口的钱包团队以及行业内的权威专家。 与此同时,发生的更重要的是币安公告中所提到的「黑客获得账号后,自动创建交易 API」。这一步也即是为何黑客操作时谷歌二步验证没有起效的关键。 谷歌的二步验证码属于 OTP (One-time Password),有效时间为 30 秒,也即被使用过一次之后立即失效,即使还没有达到 30 秒。 但是 OTP 需要服务器来实现,如果服务器没有做出每个密码的限制逻辑,那么在这 30 秒内,验证码可以被反复使用。结果就是用户资产面临极大风险。更可怕的是,黑客在这 30 秒内创建了 API,获得了包括阅读信息、进行交易、提现操作的最高权限。 很遗憾,在发生这起黑客攻击事件时,币安使用的还是「假的 OTP」,给了黑客可趁之机,不过很快币安就修补了这个漏洞。 这样的漏洞在当时并不少见。币安黑客攻击事件发生后,根据知乎用户「二子乘舟」的测试,主流交易所中 Kraken、火币、Bigone 的二次验证都不符合 OTP 逻辑。 黑客攻击手法的去中心化 币安的黑客攻击事件与以往的交易所攻击事件都不同的地方在于,这次黑客并不靠从被黑的交易所提币来获利,而是在攻击币安的时候在其他交易所开下了大额空单,依靠市场恐慌情绪来做空大赚一笔。 由于币安在数字货币交易领域巨大的影响力,在这里的风吹草动都会影响到整个加密货币市场的动向。在币安上的用户惊慌失措、开始抛售的同时,整个加密货币市场就都不淡定了。比特币的价格在一个小时内跌去了 10%。 黑客通过提前在多家交易所开下的空单,实现了一波完美的「收割」——没有任何用户的币被黑客从交易所提走,然而在市场开始下跌的那一刻,黑客就开始赚到期货的收益。而且由于交易分散无法具体到账户,实际上也实现了攻击的去中心化。 以太坊 BEC 智能合约黑客攻击 4 月 22 日 OKex 发布公告暂停美链 BEC 的交易和提现,然而 BEC 市值已经迅速蒸发 60 亿,价格几近归零。紧接着 4 月 25 日,火币发布公告暂停了所有币种的充提币业务,公告称 SMT(SmartMesh)的以太坊智能合约存在漏洞,此时当日 SMT 价格已跌去 20%。 BEC 的代码漏洞被称为 batchOverflow,SMT 的代码漏洞被称为 proxyOverflow,他们的本质都是 ERC20 合约的整数溢出安全漏洞。 年金融市场区块链融资应用现状 市场发展阶段 技术应用特征 应用领域广泛 企业应用动态 技术应用前景 年金融市场区块链融资应用生态分析 加密电子货币生态 传统金融生态 金融服务区块链生态 分布式总账生态 年银行业区块链融资应用分析 成立区块链联盟R3 银行积极布局区块链 银行业区块链应用现状 银行业区块链应用机遇 银行业区块链应用挑战 银行业区块链发展路线 银行业区块链发展策略 年区块链在证券业应用分析 证券交易系统 证券交易应用 证券交易与发行 年区块链在保险业应用分析 创新人身保险行业 改变P2P保险模式 保险企业布局现状 区块链的应用案例 区块链保险的创新 保险市场投资热点 区块链应用趋势及建议 年区块链在股权众筹领域应用分析 股权登记管理 股权转让流通 众筹合约分析 在技术不断积累深入时,国内部分城市已开始鼓励区块链产业入驻,创建出初步的区块链创业扶持政策。与此同时,国外相对成熟的资本市场也正在完善区块链衍生品加密数字货币的相关法规。 技术层面上,区块链技术目前生活化的场景落地以蚂蚁金服、腾讯、百度、京东等巨头企业为主力,区块链创业公司在底层技术上取得较大成果,成为传统企业连接区块链技术的桥梁。 但不可忽视的是,区块链领域的安全问题屡见不鲜,合约机制中的天然弊端和发展过程中产生的漏洞成为不法分子的攻击点。 具体表现上,加密数字货币交易的日交易量和总市值呈现相同的趋势。20_ 年 1 月到 12 月,总市值从最高点 2973 亿美元降至 1111 亿美元,年蒸发量达 73%。日交易量也与趋势吻合,从年初到年末经历了大幅缩水。 从上图也可以看出,20_ 年加密数字货币交易市场呈现出两个极端表现,加密资产交易在 20_ 年 12 月-次年 4 月的牛市呈现异常火热的状态,资金和投资人大量涌入,也引来最大获利者交易所屡次受到黑客攻击。5 月-12 月,整个区块链行业都在下行的阴影中,币价熊市表现不佳,部分心思不纯的项目方趁机抛售代币,引发市场恐慌,币价走向更低点。 与此相反的是,主打底层技术,在上半年的牛市中被湮没的 DAPP 团队,在熊市中反而创造出屡屡刷屏的爆款作品。不论是 FOMO3D,还是 310 个比特币悬赏的藏宝图,简单的游戏设置和「幼稚」的内容,都成功打破区块链行业在外界的「乏善可陈」「晦涩难懂」的原始标签。 总体表现上,20_ 年区块链安全问题突出。根据腾讯安全团队的数据,加密数字货币安全问题主要集中在区块链自身机制安全、生态安全和使用者安全这三个方面。20_ 年上半年,这三方面造成的经济损失分别为 亿、 亿和 亿美元,总计高达 27 亿美元。 根据 BCSEC 和 PeckShield 数据显示,20_ 年区块链安全事故造成的经济损失高达 亿美元,较 20_ 年大增 253%,20_ 年区块链安全事故数量也达到了 138 起,远超 20_ 年的 15 起。 从以上数据中我们也发现,进入 20_ 年之后,区块链安全事故数量有增无减,20_ 年 1 月份前两周就发生了 6 起安全事故,等于 20_ 年全年的安全事故数量。与此同时,因为各区块链开发团队对安全的重视,安全事故造成的经济损失也得到了大幅度下降。 在牛市集中的上半年,加密数字货币交易参与者急剧增加,安全事件也明显增加。下半年熊市中,发展迅猛的 DAPP 成为安全事件频出的对象,区块链安全问题亟待解决。黑客盗币以 20_ 年 3 月 Mt. Gox 被盗 亿美元比特币、银行账号被盗 2740 万美元为典型。至 20_ 年,黑客攻击变得更加复杂和谨慎。3 月初,黑客在币安实施了精心策划的「盗币」计划,盗取用户账号买入小币种,在拉升该币种前下好期货单,开创黑客「盗币」新模式。 投资机构方面,机构和个人面临的最大问题就是专业素养缺失和项目尽调不合格,二者是导致投资者遭受巨大损失的核心原因。火热的市场和项目方的虚假包装,容易使专业判断出错。加上缺乏规则化的行业行为准则和监管措施,也使得机构和投资人的加密资产安全问题更加突出。 20_ 年下半年,行业内上万家交易所和数千个钱包团队如雨后春笋般出现。短时间内积累的行业繁荣,其实是技术团队组成人员泥沙俱下。参差不齐的加密数字币钱包团队由此组成,缺乏专业素养导致的用户资产损失和用户隐私泄漏,以及伪造数据,都成为加密资产钱包的潜在风险。 钱包是所有从业者参与加密数字货币交易的必要条件,与用户的利益直接挂钩,拥有存储数字资产的重要功能,安全至关重要。在比特派开发者文浩看来,相比其他安全类攻击,认为钱包相对安全、风险低的观点的不正确的。不维护的钱包=不安全的钱包。 以交易所为例,其成为安全事件高发领域,主要原因是交易所里集中且数额巨大的虚拟资产,黑客攻击交易所能够直接盗巨额数字货币。20_ 年年末 DApp 智能合约类攻击多次出现,也是因为合约里的加密资产。而去中心化钱包因为私钥在用户手中,资产较为分散,攻击所得直接利益诱惑较小,相对交易所显得相对安全、风险低。 事实上,如果黑客攻入加密钱包的中心化服务器,伪造数据欺骗用户,获取收益的可能性会提升。不过此类攻击的难度较大,需要了解对应钱包的实现逻辑及安全策略等方面的内容。即使侥幸通过每款钱包不同的安全校验逻辑,仍然有被钱包客户端识别的可能,操作成功率不高。 加密钱包本身的安全性可以保障,市场的外部因素是拉低钱包安全系数的关键。市场错误预判下涌入的大批钱包团队,在熊市越发深入下,将会面临资金链断裂,进入难以维持正常运营的情况。一些失去基本的迭代开发能力和更新安全升级的钱包,已经威胁到用户的资产安全。目前的虚拟数字钱包安全情况整体上不容乐观。 「之前我们曾发现,有团队在开发钱包时,签名交易时未遵循 RFC6979 规范,在安卓系统上使用不安全的 SecureRandom 随机数等错误,」文浩认为,这些危险的操作手法,是去中心化钱包安全环节最薄弱的缓解——「团队的技术能力」。 密码学、点对点数据同步、智能合约、区块链技术等基础知识,是加密钱包最为基础的能力配置。但事实上,通过很多开源的加密数字货币钱包,一些团队对开源钱包的 UI、皮肤稍作调整,「复制」出新钱包,但团队并不具备维持钱包安全的能力,因此产品出现安全隐患。 钱包安全事件后果严重,开发者的 BUG,通常情况下是用户资产的巨大损失。钱包需要在易用和安全方面找到平衡,为不同用户、不同需求提供不同安全级别的、软硬结合的解决方案。通过技术实力积累起公信力,确保用户加密资产的安全性。20_ 年这两方面的提升很明显。区块链安全管理报告范文 第四篇
区块链安全管理报告范文 第五篇
区块链安全管理报告范文 第六篇
区块链安全管理报告范文 第七篇
推荐阅读:
将本文的Word文档下载到电脑
推荐度: