月亮链 月亮链
Ctrl+D收藏月亮链
首页 > ETH > 正文

区块链:采用区块链之前,需要了解八大区块链安全风险_shibking币最新消息

作者:

时间:1900/1/1 0:00:00

为什么企业区块链现在这么火?毛球科技归结为两个主要原因:现有的多方数据共享和处理的门槛太高,每个人都想强迫其他人使用自己的系统和数据格式。

而企业区块链可以以两种方式解决这些问题。首先,区块链和智能合约可以让每个人就数据格式和处理规则达成一致,更重要的是,这些规则是由系统强制执行的。没有可用的手动覆盖,除非每个人都统一进行更改。

其次,因为区块链和智能合约是新兴技术,对于每个人来说基本上都是一个绿地部署。很有可能现在没有一个人拥有现成的解决方案,所以有一些人会试图把区块链和智能合约强加给其他人。

不过新技术也会带来新的风险,这些风险通常是人们不太了解的风险。目前,企业区块链和智能合约部署在毛球科技看来存在三大新风险:旧软件、软件缺陷和操作缺陷。

回顾过去50年,好像这些都是一直在处理的计算机风险。在元级别上,当你深入到细节时,像任何其他技术一样,区块链和智能合约已经找到了新的和创造性的方法来创造安全风险。

ETH 2.0总质押数已超1873.90万:金色财经报道,数据显示,ETH 2.0总质押数已超1873.90万,为18738982个,按当前市场价格,价值约333.30亿美元。此外,目前ETH 2.0质押总地址数已超73.92万,为739241个。[2023/5/27 9:45:48]

下面一起来看看毛球科技整理的8个区块链安全风险:

1.老软件

虽然企业区块链软件很少是“老的”,但对于软件来说,任何超过一两年的软件在变化速度和改进方面基本上都是石器时代的工具。

R3的开源Corda区块链平台就是一个很好的例子。从2016年5月的初始版本到2021年5月,Corda有182个版本,大约每10天一个。其中许多也不是小版本;主要的新功能和重构或删除代码是司空见惯的。在大多数企业项目中,有一种真正的趋势是选择一个软件版本,然后永远不升级,因为升级有可能会破坏一些东西。

Genesis Global成立了代表无担保债权人的七人委员会:金色财经报道,Genesis Global在美国的破产案中成立了一个代表无担保债权人的七人委员会。无担保债权人委员会将在法庭上为债权人代言。委员会成员是:SOF International、Teddy Andre Amadeo Gorisse(个人债权人)、Digital Finance Group(一家投资公司)、Richard R. Weston(个人债权人)、Mirana(加密货币交易所 Bybit 的投资部门)、Amelia Alvarez(个人债权人)、Bitvavo(一个加密货币交易所)。

此前报道,Genesis对前50大债权人的欠款金额超35亿美元。(Theblock)[2023/2/4 11:47:24]

这里的教训是:确保软件是最新版本并且还可以持续保持更新,但如果不能,为什么不呢?

MakerDAO 2022年总收入环比下降42%至6500万美元:金色财经报道,据 Steakhouse Financial 最新报告显示,MakerDAO 2022 年总收入(Total Revenue)相较于 2021 年(1.12 亿枚 DAI)环比下降 42% 至 6500 万枚 DAI;净营业收入(Net Operating Earnings)相较于 2021 年(9000 万枚 DAI)环比下降 80% 至 1900 万枚 DAI;2022 年营业费用支出(Operating Expenses)增至 4600 万枚 DAI,环比增幅超 100%。根据 Steakhouse 数据显示,2022 年底,MakerDAO DAI 发行量缩减至 50 亿枚,相较于 2021 年末(约 90 亿枚)下降 43%。[2023/2/4 11:46:36]

2.缺乏安全漏洞覆盖

以太坊Layer2总锁仓量回落至48.5亿美元:金色财经消息,据L2BEAT数据显示,当前以太坊Layer2总锁仓量回落至48.5亿美元,7日涨幅14.27%。其中,锁仓量前五分别为Arbitrum(24.9亿美元,7日涨幅10.83%)、Optimism(11.8亿美元,7日涨幅31.39%)、dYdX(5.67亿美元,7日涨幅1.96%)、Loopring(1.97亿美元,7日涨幅4.07%)、MetisAndromeda(1.32亿美元,7日涨幅17.72%)。[2022/8/2 2:53:54]

企业区块链软件在安全漏洞数据库中几乎没有覆盖。这意味着大多数用户,除非他们明确跟踪供应商的发布说明,否则不会意识到安全更新。

这种缺乏覆盖面,特别是公共漏洞和暴露数据库和美国国家漏洞数据库是一个巨大的问题,因为如果漏洞没有得到官方认可,那么对于许多大型组织来说,它们就不存在。

不确定为什么区块链的CVE和NVD覆盖率如此之差,但一个可能的罪魁祸首是缺乏特定区块链漏洞的官方文档。

3.缺乏安全漏洞知识

传统软件有很好理解的漏洞类型,其中许多在网上的《常见弱点列举》字典中都有记载,例如,缓冲区溢出和整数溢出的区别是黑客利用的流行弱点。CWE是一个重要的资源。许多代码扫描工具将它作为它们试图检测的漏洞类型的基础。

然而,截至2021年5月,CWE并没有含有区块链或智能合约的漏洞类型记载。好消息是有两项工作可以记录这些问题,一是SWC注册中心,二是云安全联盟的区块链DLT攻击和弱点列举数据库,有200多个条目,涵盖各种智能合约语言、区块链技术和一般概念。

4.缺乏代码扫描和安全测试

目前的区块链和智能合约代码扫描工具还不是很成熟,原因很简单,因为这个领域太新了。雪上加霜的是,许多智能合约的部署没有经过安全审计。但是这种情况正在开始改变,已经有许多安全事件让人们认识到在部署之前审计代码和生成新的秘钥的重要性。

例如,PaidNetwork是一家为金融交易提供区块链去中心化应用的供应商,当它部署了一个它付钱给开发人员创建的智能合约时,它被破坏了,但它从未删除开发人员的秘密密钥。当开发者的密钥后来在Git提交中被公开曝光时,一次攻击耗尽了付费网络合同。

该合同已经通过了安全审计。审计员不能审计生产秘钥,因为这会暴露它,所以他们会认为PaidNetwork会用一个安全生成的密钥来替换,但它没有这样做。

5.操作风险

假设有一个安全的区块链和形式良好的智能合约,不存在任何安全缺陷。仍然要在某些东西上运行区块链和智能合约代码,最好是连接良好和可靠的。如果选择云或第三方托管,将需要确保它们也是安全的。

6.加密密钥和HSM

每个区块链服务和客户端的核心都是加密密钥。即使使用专用系统,将重要的加密密钥保存在计算机上也不再足够。

而是使用硬件安全模块(HSM)。HSM基本上提供了普通计算机无法提供的两件事。首先,可以设置密钥,使其无法从HSM导出或复制。其次,可以通过HSM更可靠地记录密钥的使用情况。

这很关键,因为如果网络遭到入侵,将能够确定攻击者使用密钥的目的,而不是推测他们可能做了坏事。

7.网络钓鱼、SIM卡交换和其他恶作剧

企业区块链一般不会使用网络钓鱼或SIM卡交换等技术进行攻击,这些技术通常是为攻击加密货币的客户保留的。

然而,勒索软件和相关攻击正越来越多地转向网络钓鱼和鱼叉式网络钓鱼,原因很简单:它很有效。对这些类型的攻击的一般答案是使用强大的多因素认证,最好是基于硬件令牌,以防止用户向坏人提供信息,即使他们被愚弄。

8.51%攻击

最后,在大多数企业区块链部署中,使用的共识机制不是工作量证明(PoW)。更常见的是,使用权益证明或更传统的投票机制,例如多数票。

51%的攻击,即一个实体占据了大部分的区块链哈希率或计算资源,试图破坏网络,对基于PoW的系统最有用。即使有一个简单的共识机制,如多数票,攻击者也需要劫持51%的组织——这比简单地调集计算资源要难得多,因为计算资源往往可以租借。

结论

有一个好消息和坏消息。坏消息是区块链和智能合约软件比几乎任何其他东西都要复杂和难以保障。好消息是他们试图解决的问题确实很难。

想建立信息处理系统,知道攻击者正在恶意攻击,但不允许他们破坏系统。解决这个问题将开辟各种新的市场和机会。

标签:区块链DAIINGESI区块链存证pDAI价格shibking币最新消息The Nemesis

ETH热门资讯
NFT:ethereumgame地下城冒险游戏即将上线_XMASBNB币

????最近游戏NFT近年越来越受到重视,现在的AxisInfinity、农民世界、Aavegotchi皆为该领域的佼佼者,裡面不论是游戏道具或是猫咪皆为NFT.

1900/1/1 0:00:00
SER:盘古开源浅析:数据存储市场迎来新机遇_OPT

日前,中共中央局第三十四次集体学习时强调,要充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业、新业态、新模式.

1900/1/1 0:00:00
SOL:灰度关于Solana研究报告:实际应用、优势与挑战_Frz Solar System

来源:灰度官网编译:RichardLee,链捕手介绍?Solana是一个新一代互联网平台,它的结构是一个以公开交易的区块链为基础的加密网络.

1900/1/1 0:00:00
EOS:EOS网络基金会声明:与Block.one谈判事件回顾与总结_BLOC

应BrockPierce的要求,前30名区块生产者中的大多数参与了在UTC时间12月9日02:00的会议,讨论在停止向Block.one释放代币之后,双方是否有可能继续进行谈判.

1900/1/1 0:00:00
RBI:Footprint Analytics:Arbitrum TVL为何能在 Layer2 中引领风骚?_arbitrum币中文名称

撰文:Footprint分析师Alina日期:2021年12月Arbitrum是以太坊的Layer2其中1个网络,它自从上线以来就吸引了众多加密用户和项目方的关注.

1900/1/1 0:00:00
AMP:金色观察|Amphora:以太坊合并的关键里程碑_tourstorageserver

未来半年内,以太坊会启动PoW向PoS的共识转换。在以太坊官宣的内容里,2021年12月,已经将箭形冰川应该完成的难度炸弹延迟到了2022年,难度炸弹意味着PoW链出块难度的快速增加而结束PoW.

1900/1/1 0:00:00