區塊鏈安全入門筆記(五)

買賣虛擬貨幣

雖然有著越來越多的人參與到區塊鏈的行業之中,然而由於很多人之前並沒有接觸過區塊鏈,也沒有相關的安全知識,安全意識薄弱,這就很容易讓攻擊者們有空可鑽。面對區塊鏈的眾多安全問題,慢霧特推出區塊鏈安全入門筆記系列,向大家介紹區塊鏈安全相關名詞,讓新手們更快適應區塊鏈危機四伏的安全攻防世界,同時歡迎新增文章末尾二維碼催更!

系列回顧:

區塊鏈安全入門筆記(一) | 慢霧科普

區塊鏈安全入門筆記(二) | 慢霧科普

區塊鏈安全入門筆記(三) | 慢霧科普

區塊鏈安全入門筆記(四) | 慢霧科普

異形攻擊

Alien Attack

異形攻擊(Alien Attack)實際上是一個所有公鏈都可能面臨的問題,又稱地址池汙染,是指誘使同類鏈的節點互相侵入和汙染的一種攻擊手法,漏洞的主要原因是同類鏈系統在通訊協議上沒有對不同鏈的節點做識別。

這種攻擊在一些參考以太坊通訊協議實現的公鏈上得到了復現:以太坊同類鏈,由於使用了相容的握手協議,無法區分節點是否屬於同個鏈,利用這一點,攻擊者先對以太坊節點地址進行收集並進行惡意握手操作,透過跟節點握手達成汙染地址池的目的,使得不同鏈的節點互相握手並把各自地址池裡已知的節點推送給了對方,導致更多的節點互相汙染,最終擴散致整個網路。遭受異形攻擊的節點通常會通訊效能下降,最終造成節點阻塞、主網異常等現象。相關公鏈需要注意持續保持主網健康狀態監測,以免出現影響主網穩定的攻擊事件出現。

具體詳情可參考慢霧安全團隊技術 Paper:衝突的公鏈!來自 P2P 協議的異形攻擊漏洞

釣魚攻擊

Phishing

所謂“釣魚攻擊(Phishing)”,指的是攻擊者偽裝成可以信任的人或機構,透過電子郵件、通訊軟體、社交媒體等方式,以獲取收件人的使用者名稱、密碼、私鑰等私密資訊。隨著技術的發展,網路釣魚攻擊不僅可以託管各種惡意軟體和勒索軟體攻擊,而且更糟糕的是這些攻擊正在呈現不斷上升的趨勢。

2018 年 2 月 19 日,烏克蘭的一個駭客組織,透過購買谷歌搜尋引擎中與加密貨幣相關的關鍵詞廣告,偽裝成合法網站的惡意網站連結,從知名加密貨幣錢包 Blockchain.info 中竊取了價值超過 5000 萬美元的數字加密貨幣。而除了上述這種域名釣魚攻擊(即使用與官網相似的網址)外,其他型別的釣魚攻擊包括郵件釣魚攻擊、Twitter 1 for 10(支付 0.5-10ETH 返利 5-100ETH)、假 App 和假工作人員等。2019 年 6 月份,就有攻擊者向多家交易所傳送敲詐勒索資訊,透過郵件釣魚攻擊獲取了超 40 萬美元的收益。

慢霧安全團隊建議使用者保持警惕,透過即時通訊 App、簡訊或電子郵件獲取到的每條資訊都需要謹慎對待,不要在透過點選連結到達的網站上輸入憑據或私鑰,在交易時儘可能的使用硬體錢包和雙因素認證(2FA),生態中的專案方在攻擊者沒有確切告知漏洞細節之前,不要給攻擊者轉賬,若專案方無法準確判斷和獨自處理,可以聯絡安全公司協助處理。

木馬攻擊

Trojan Horse Attack

木馬攻擊(Trojan Horse Attack)是指攻擊者透過隱藏在正常程式中的一段具有特殊功能的惡意程式碼,如具備破壞和刪除檔案、傳送密碼、記錄鍵盤和 DDoS 攻擊等特殊功能的後門程式,將控制程式寄生於被控制的計算機系統中,裡應外合,對被感染木馬病毒的計算機實施操作。可用來竊取使用者個人資訊,甚至是遠端控制對方的計算機而加殼製作,然後透過各種手段傳播或者騙取目標使用者執行該程式,以達到盜取密碼等各種資料資料等目的。

在區塊鏈領域,諸如勒索木馬、惡意挖礦木馬一直是行業內令人頭疼的安全頑疾,據幣世界報道,隨著比特幣的飆升,推動整個數字加密貨幣價格回升,與幣市密切相關的挖礦木馬開始新一輪活躍,僅 2019 年上半年挖礦木馬日均新增 6 萬個樣本,透過分析發現某些新的挖礦木馬家族出現了快速、持續更新版本的現象,其功能設計越來越複雜,在隱藏手法、攻擊手法方面不斷創新,與殺軟廠商的技術對抗正在不斷增強。

供應鏈攻擊

Supply Chain Attack

供應鏈攻擊(Supply Chain Attack)是一種非常可怕的攻擊方式,防禦上很難做到完美規避,由於現在的軟體工程,各種包/模組的依賴十分頻繁、常見,而開發者們很難做到一一檢查,預設都過於信任市面上流通的包管理器,這就導致了供應鏈攻擊幾乎已經成為必選攻擊之一。把這種攻擊稱成為供應鏈攻擊,是為了形象說明這種攻擊是一種依賴關係,一個鏈條,任意環節被感染都會導致鏈條之後的所有環節出問題。

供應鏈攻擊形式多樣,它可能出現在任何環節。2018 年 11 月,Bitpay 旗下 Copay 遭遇供應鏈攻擊事件,攻擊者的攻擊行為隱匿了兩個月之久。攻擊者透過汙染 EvenStream(NPM包)並在後門中留下針對 Copay 的相關變數數值,對 Copay 發起定向攻擊從而竊取使用者的私鑰資訊。而就在2019 年 6 月 4 日,NPM Inc 安全團隊剛與 Komodo 聯手成功挫敗了一起典型的供應鏈攻擊,保護了超過 1300 萬美元的數字加密貨幣資產,攻擊者將惡意程式包放入 Agama 的構建鏈中,透過這種手段來竊取錢包應用程式中使用的錢包私鑰和其他登入密碼。

供應鏈攻擊防不勝防且不計代價,慢霧安全團隊建議所有數字加密貨幣相關專案(如交易所、錢包、DApp 等)都應該強制至少一名核心技術完整審查一遍所有第三方模組,看看是否存在可疑程式碼,也可以透過抓包檢視是否存在可疑請求。 

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;