區塊鏈是比特幣中的核心技術。在無法建立信任關系的互聯網上,區塊鏈技術依靠密碼學和巧妙的分布式算法,在沒有任何第三方中心機構介入的情況下,使參與者通過數學方法實現* * *知識,保證交易記錄的存在性、契約的有效性和身份的不可否認性。
人們經常提到的區塊鏈技術的特點是去中心化、* *知識機制等。源自區塊鏈的虛擬數字貨幣是目前世界上最熱門的項目之壹,它正在造就壹批新的億萬富翁。成立短短幾個月,彼岸交易平臺已被國際知名機構評級為400億美元市值,成為數字貨幣領域最富有的創業先鋒群體。然而,自數字貨幣證券交易所存在以來,發生了多起交易所被攻擊、資金被盜的事件,部分數字貨幣證券交易所損失慘重,甚至倒閉。
壹、數字貨幣證券交易所遭受的令人震驚的攻擊。
從最早的比特幣到後來的萊特幣、以太幣,數字貨幣有幾百種。隨著物價的上漲,各種數字貨幣系統受到攻擊,數字貨幣被盜事件不斷增加,被盜金額也在猛增。我們來回顧壹下令人震驚的數字貨幣被攻擊被盜事件。
2014年2月24日,當時全球最大的比特幣交易所運營商Mt.Gox宣布其交易平臺上的85萬枚比特幣被盜,負責80%以上比特幣交易所的Mt.Gox因無法彌補客戶的損失而申請破產保護。
經過分析,原因是Mt.Gox存在嚴重的單點故障結構錯誤,被黑客用來發動DDoS攻擊:
比特幣提現鏈接的簽名被黑客篡改,在正常請求前進入比特幣網絡。結果偽造的請求可以成功提現,而正常的提現請求在交易平臺出現異常,顯示為失敗。這個時候黑客其實拿到了提現的比特幣,但是他繼續在Mt.Gox平臺上要求重復提現。Mt.Gox在沒有進行交易壹致性檢查(對賬)的情況下重復支付相同金額的比特幣,導致交易平臺的比特幣被盜。
2016年8月4日,全球最大的美元比特幣交易平臺Bitfinex宣布,該網站發現安全漏洞,導致近12萬枚比特幣被盜,總價值約7500萬美元。
2065438+2008年10月26日,日本大型數字貨幣交易平臺Coincheck遭到黑客攻擊,導致當前價值580億日元、約合5.3億美元的數字貨幣“新貨幣”被盜,這是有史以來最大的數字貨幣盜竊案。
2065438+2008年3月7日,全球第二大數字貨幣交易所幣安遭到黑客攻擊的消息讓幣圈徹夜難眠。黑客們其實玩的是經濟學,買賣“炒幣”割韭菜。根據貨幣安全公告,黑客的攻擊過程包括:
1)長期以來,利用第三方釣魚網站竊取用戶的賬號登錄信息。黑客利用Unicode字符冒充正規幣安網站域名中的壹些字母,對用戶進行釣魚攻擊。
2)黑客獲取賬號後,自動創建交易API,然後默默潛伏。
3)3月7日,黑客利用盜取的API密鑰進行買空賣空,直接將威盛的幣值暴增100多倍,比特幣暴跌10%。以全球總計17萬個比特幣計算,比特幣壹夜之間損失了17億美元。
第二,為什麽黑客攻擊能屢屢得逞?
以區塊鏈為基礎的數字貨幣的火爆市場讓黑客們垂涎三尺,被盜金額不斷刷新紀錄。盜竊事件的發生也引發了人們對數字貨幣安全性的擔憂,人們不禁要問:區塊鏈技術安全嗎?
隨著區塊鏈技術的研究和應用,區塊鏈系統除了面臨病毒、木馬等惡意程序的威脅和大規模DDoS攻擊外,由於其自身的特點,還將面臨獨特的安全挑戰。
1.實現安全性的算法
由於各種密碼技術在區塊鏈的廣泛應用,屬於算法高度密集的項目,很容易在實現上出現問題。歷史上也有過這樣的先例,比如NSA在RSA算法中嵌入缺陷,很容易破解別人的加密信息。壹旦這種級別的脆弱性爆發,可以說構成區塊鏈的整個建築的地基都將不再安全,後果將極其可怕。之前也發生過比特幣隨機數生成器出現問題導致比特幣被盜的事件。理論上,私鑰可以通過在簽名過程中使用同壹個隨機數兩次來導出。
2.***知識機制安全性
目前,區塊鏈技術中已經出現了很多算法,最常見的有PoW、PoS和DPos。但是,這些* * *知識機制能否實現和保障真正的安全,還需要更嚴格的證明和時間的檢驗。
3.區塊鏈使用安全
區塊鏈技術的壹個特點是不可逆、不可偽造,但前提是私鑰是安全的。私鑰由用戶生成並保管,理論上不涉及第三方。壹旦私鑰丟失,您就不能對該帳戶的資產做任何事情。黑客壹旦拿到,就可以移動數字貨幣。
4.系統設計是安全的
像Mt.Gox這樣的平臺,由於業務設計上的單點故障,容易受到DoS攻擊。目前,區塊鏈是分散的,而交易所是集中的。集中交易所既要防止技術盜竊,又要管好人,防止人為盜竊。
總體來說,從安全性分析的角度來看,區塊鏈在算法實現、* * * *知識機制、使用和設計方面面臨挑戰。同時,黑客也可以利用系統安全漏洞和業務設計缺陷達到攻擊目的。目前,黑客攻擊對區塊鏈系統的安全造成了越來越大的影響。
第三,如何確保區塊鏈的安全
為確保區塊鏈系統的安全,建議參考NIST的網絡安全框架,從公司或組織網絡安全風險管理的戰略層面和全生命周期構建識別、防護、檢測、響應和恢復五大核心組件,感知和阻斷區塊鏈風險和威脅。
此外,根據區塊鏈技術的特點,重點討論了算法、識別機制、使用和設計的安全性。
為了實現算法的安全性:壹方面,我們選擇采用壹種新的、經過自我測試的密碼技術,如國家秘密公鑰算法SM2。另壹方面,在混淆源代碼的同時對核心算法的代碼進行嚴格完整的測試,增加了黑客反向攻擊的難度和成本。
針對* * *識別算法的安全性,在PoW中使用了反ASIC哈希函數,使用了更有效的* * *識別算法和策略。
為了使用安全:保護私鑰的生成和存儲,加密和存儲敏感數據。
針對設計安全性,壹方面要保證設計功能盡可能完善,比如使用私鑰白盒簽名技術,防止病毒和木馬在系統運行過程中提取私鑰;設計私鑰泄露的跟蹤功能,盡可能減少私鑰泄露後的損失。另壹方面,壹些關鍵的業務設計應該分散,以防止單點故障攻擊。