Security Chain实验室|Eosbet被黑客攻击?应用层漏洞究竟该如何防御

in blockchain •  6 years ago 

大名鼎鼎的Eosbet,技术实力强劲,代码安全性高、容错性高,这都是毋庸置疑的。然而,就在几小时前,黑客利用合约漏洞,无成本薅走 bet 奖池将近 5万EOS。这一事件迅速成为币圈内外讨论的热门话题……

区块链安全越来越被人们所重视,有人说区块链本身的去中心化结构、不可篡改特性,就保证了他从诞生之初,就更是个靠谱boy,事实是这样吗?
很遗憾,安全专家如是说:区块链技术的不成熟,给了黑客更多的可趁之机……
我们为什么这么说?bet的合约漏洞又是怎样被攻击的?就继续从区块链应用层层的安全性开始讲起吧
我们在整理了几万字的资料后,这就分享给你听~

从认识区块链应用场景开始,了解应用层的安全性。
Screen Shot 2018-09-21 at 11.32.07 AM.png

区块链应用层包括了区块链的各种应用场景,涉及数字货币交易,管理着大量资金的交易所等中心化节点的安全问题。对于目前的针对区块链安全方面的攻击,主要都来自于应用层,源于该层面对于攻击者来说是价值的所在,攻击收益高而成本较低。

对于应用层的攻击主要体现在交易所/交易平台以及钱包方面。首先交易所往往存放着大量资金,极易成为被攻击目标。攻击者一旦获得交易所服务器权限或访问,修改关键信息,攻击者便可盗取资金密钥、篡改交易金额或者泄漏敏感信息等,给交易所造成经济和名誉上的毁灭性打击。而交易平台内部又包括账户体系、支付体系、业务体系等环节的搭建,各个环节都可能成为攻击的目标。
 DDoS攻击:若交易平台被DDoS攻击,不但交易平台蒙受损失,区块链货币的交易量也将大大减少,间接影响区块链货币的涨跌。
 支付漏洞:支付漏洞直接涉及到资金财产的安全问题,无论对平台或是用户来说都是高风险的。
 恶意程序感染:交易所系统一旦被植入恶意程序,很可能造成大量敏感信息泄漏,其中包括密钥及钱包文件。密钥即一切,敏感信息的泄漏往往意味着失去全部资产的控制权。

区块链的钱包指的是存储区块链资产的地址和私钥的文件。目前主流的钱包分为冷钱包和热钱包。通俗的理解,钱包就是存储和使用虚拟货币的工具或软件,那么冷钱包就是不连接互联网的钱包,也叫离线钱包,一般是不联网的电脑、手机、硬盘或者写着私钥的纸张等。而热钱包就是保持联网在线的钱包,也叫在线钱包。目前普遍的观点是,冷钱包比热钱包更安全,因为不连接互联网,黑客无法通过线上渠道进行攻击。但是冷钱包也存在硬件损坏导致数据丢失的情况。
 钓鱼攻击:指攻击者伪造某个钱包客户端,无论从界面和操作上都可以做到和真钱包没有区别,攻击者在用户转账的时窃取私钥信息或者在转账地址上动手脚,进而窃取用户的资产。
 私钥窃取:由于区块链不依赖于任何集中的第三方可信机构,如果用户的私钥被窃取,则很难跟踪到不法行为并恢复修改的区块链信息。已经有攻击者开始针对密钥文件进行专门扫描,以及开发相关的木马病毒进窃取。

攻击案例:
 2017年5月,Poloniex交易平台遭到了严重的DDoS攻击,BTC/USDT的交易价格一度困于1761美元,BTC/ETH(以太坊)的交易价格在同一水平线上停滞了许久,交易量为零。
 2017年5月,数字货币交易所Gatecoin热钱包(比特币和以太币)遭黑客入侵,共损失185000 ETH和250 BTC,约合1200万人民币,占平台总资产约15%。
 2018年1月,日本最大的加密货币交易所之一Coincheck,发表广告称,由于公司所持有的NEW(新经币)非法汇往境外,导致公司的虚拟货币兑换服务部分功能紧急暂停。随后该交易所于深夜在东京证交所举行新闻发布会,承认了由于受到黑客的攻击,导致时价580亿日元(约合5.33亿美元)的虚拟货币“新经币”全数被盗。

Security Chain 安全链实验室
Security Chain is a project based on Blockchain security and ecological construction. It has the research on the basis of underlying technology of Blockchain security and the world’s exclusive core chip-level security hardening solution. The team members have extensive experience.
安全链专注于打造区块链安全和生态系统。我们区块链安全技术和全球首创的核心芯片级安全加固解决方案进行研究。团队成员汇聚了全球顶级的黑客组织成员,拥有丰富安全攻防经验。
欢迎联系我们~
点击合作邮箱 [email protected]
直戳小秘书微信号:18817584547

关注secc公众号
欢迎订阅Security Chain微信公众号
公众号ID: SecurityChain_SECC

blockchain security eosbet blockchainsecurity
6 years ago by

Downvoting a post can decrease pending rewards and make it less visible. Common reasons:

  • Disagreement on rewards
  • Fraud or plagiarism
  • Hate speech or trolling
  • Miscategorized content or spam

Submit
$0.00
    2 votes
    1
    Authors get paid when people like you upvote their post.
    If you enjoyed what you read here, create your account today and start earning FREE STEEM!
    Sort Order:  
  • Trending
    • [-]
      ·  6 years ago 

    @secc, I gave you a vote!
    If you follow me, I will also follow you in return!

    Downvoting a post can decrease pending rewards and make it less visible. Common reasons:

    • Disagreement on rewards
    • Fraud or plagiarism
    • Hate speech or trolling
    • Miscategorized content or spam

    Submit
    $0.00