2013年--2018年上半年,數字貨幣市場,曾發生多起安全事件,好幾起重大事故,都是因為駭客攻擊。為何駭客屢屢能得手呢?下面,鏈知道來做具體分析:
先來說區塊鏈的現有技術架構,大致分為底層硬體、基礎層、中間層、應用層四個層次。這麼多的環節,只要出現差錯,區塊鏈的安全就會受到威脅或攻擊。而區塊鏈作為新興行業,在各類攻擊當中,仍屬傳統攻擊最多。
從2011年--2018年,共發生了86起安全事故,造成的損失高達35.5 億美元。而這當中,傳統攻擊佔66%,智慧合約攻擊佔22%,剩下的12%都是共識協議攻擊。
至於傳統攻擊,最典型的例子就是駭客攻擊和使用者電腦感染木馬。這主要是因為,區塊鏈技術組合了現有的各種設施,雖然加入新的經濟及治理,但是,傳統攻擊仍然存在。特別是中心化交易所,背後Web 系統,所以自然不可避免會遭到傳統攻擊。
交易所和智慧合約是重點攻擊物件!
攻擊交易所的方式,不外乎這四種:伺服器被攻擊、主機安全問題、惡意程式感染、DDoS 攻擊。
至於智慧合約,有人員長期檢測過,以太坊智慧合約當中,有近一半的智慧合約有安全隱患。
很多代幣會被駭客攻擊,主要就是利用了合約漏洞,大都是程式碼層面的邏輯漏洞。寫程式碼時,若是智慧合約開發沒能充分最佳化,就會消耗過多的Gas,從而使得使用者節點遭受 DDoS 攻擊。
當然,關於智慧合約攻擊,也並非這些層才有漏洞,或許是因為某些層的研究門檻低造成的。區塊鏈技術,每一層都有獨特的攻擊面,對於每層的攻擊,事後都要作深入分析,發現設計上的缺陷。
安全問題該怎麼解決?
要想降低智慧合約的安全隱患,測試、驗證智慧合約這一步很重要,必須要納入智慧合約設計環節。因為智慧合約不像傳統代友,可以修補,它一旦上鍊,就不可更改。若檢測到漏洞,只能部署新的智慧合約來修復。
智慧合約驗證工具如下:完善測試文件,讓安全測試流程標準化;模糊(Fuzzing)智慧合約的輸入;為智慧合約開發變異工具;搜尋區塊鏈已經部署智慧合約的痕跡。
檢驗方式,一測試,靠程式自動跑;二審計,靠專家去稽覈;三形式化驗證,需要藉助數字方法。
鏈知道提醒:從使用者角度來說,特別是剛入行業的非技術型使用者,並沒有判斷 Dapp 真正目的的能力,建議要保管好自己的金鑰/資產。
數字錢包金鑰多由無規律的字母、數字組成,很多使用者為了方便,喜歡將它存在剪貼簿,用的時候直接複製。不過,若是自己電腦感染了木馬,駭客就會追蹤剪貼簿,那你的錢包就要被盜了。建議使用者,最好是參與專業安全審計機構把關的DApp 或遊戲,並讓專案方將程式碼開源,避免後門或漏洞。
安全是區塊鏈的必要,而市場也渴望安全感。目前,區塊鏈創業公司還不多,畢竟這個行業門檻很高。建議創業者也要從攻擊者角度,來思考問題。
關注微信公眾號【鏈知道】,瞭解更多區塊鏈行業資訊。
