虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻。面对区块链的众多安全问题,慢雾特推出区块链安全入门笔记系列,向大家介绍十篇区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界,同时欢迎添加文章末尾二维码催更!
系列回顾:
区块链安全入门笔记(一) | 慢雾科普
区块链安全入门笔记(二) | 慢雾科普
区块链安全入门笔记(三) | 慢雾科普
多签 Multi-sig
多签(Multi-sig)指的是需要多个签名才能执行的操作(这些签名是不同私钥生成的)。这可用于提供更高的安全性,即使丢失单个私钥的话也不会让攻击者取得帐户的权限,多个值得信赖的各方必须同时批准更新,否则无效。
区块链SaaS平台Crypto APIs获得ISO 27001认证:金色财经报道,2月24日消息,CryptoNinjas发表文章称Crypto APIs的合规性得到了独立审计公司TüV Rheinland的验证。Crypto APIs是一个用于构建区块链和加密应用程序的B2B软件即服务(SaaS)平台,现已通过ISO/IEC27001:2013认证。
ISO/IEC27001标准最初由国际标准化组织(ISO)和国际电工委员会(IEC)于2005年制定。后来在2013年采用了具有更严格要求的修订版。目前,ISO27001用于评估企业保护敏感和机密数据的能力。[2022/2/24 10:13:22]
我们都知道,一般来说一个比特币地址对应一个私钥,动用这个地址中的资金需要私钥的持有者发起签名才行。而多重签名技术,简单来说,就是动用一笔资金时需要多个私钥签名才有效。多签的一个优势就是可以多方对一笔付款一起达成共识,才能支付成功。
华媒控股:公司推出的透明车位网采用区块链存证技术:华媒控股(000607.SZ)在互动平台表示,公司推出的透明车位网系由华泰一媒研发打造,以区块链存证的方式固化车位买卖证据,保障车位的真实性和交易的可靠性。(互动易)[2020/7/22]
双花攻击
Double Spend Attack
双花攻击(Double Spend Attack)即一笔钱花了两次,双重支付,利用货币的数字特性两次或多次使用“同一笔钱”完成支付。双花不会产生新的 Token,但能把自己花出去的钱重新拿回来。简单说就是,攻击者将一笔 Token 转到另外一个地址,通常是转到交易所进行套现,然后再利用一些攻击手法对转账交易进行回滚。目前有常见的几种手法能够引发双花攻击:
1. Race Attack
这种攻击主要通过控制矿工费来实现双花。攻击者同时向网络中发送两笔交易,一笔交易发给自己(为了提高攻击成功的概率,他给这笔交易增加了足够的矿工费),一笔交易发给商家。由于发送给自己的交易中含有较高的手续费,会被矿工优先打包进区块的概率比较高。这时候这笔交易就会先于发给商家的那笔交易,那么发给商家的交易就会被回滚。对于攻击者来说,通过控制矿工费,就实现了同一笔 Token 的“双花”。
动态 | 金证股份:区块链业务已实现超百万营收:据证券时报消息,金证股份(600446.SH)副总裁张海龙表示,在技术上,金证股份在现有区块链技术底层框架基础上进行改造。为防范安全、合规等问题,金证股份对信息系统的应用安全、数据安全、网络安全等均做了相应的考量与设计。在发展新技术的同时,金证股份也在多个场景中进行了实践验证及推广,同时已有相关落地应用并产生百万级营收。目前,金证股份在区块链技术上的实践主要集中在金融合同及文本的存证验证场景中。[2019/10/28]
2. Finney Attack
攻击者主要通过控制区块的广播时间来实现双花,攻击对象针对的是接受 0 确认的商家。假设攻击者挖到区块,该区块中包含着一个交易,即 A 向 B 转了一定数量的 Token,其中 A 和 B 都是攻击者的地址。但是攻击者并不广播这个区块,而是立即找到一个愿意接受 0 确认交易的商家向他购买一个物品,向商家发一笔交易,用 A 向商家的地址 C 支付,发给商家的交易广播出去后,攻击者再把自己之前挖到的区块广播出去,由于发给自己的交易先于发给商家的交易,对于攻击者来说,通过控制区块的广播时间,就实现了同一笔 Token 的“双花”。
动态 | 美国能源部向区块链能源管理平台投入105万美元:据Cointelegraph消息,美国能源部(DOE)已向致力于将基于区块链的能源交易平台商业化的组织授予价值105万美元的资助。四个受援组织分别为能源公司ComEd、丹佛大学、弗吉尼亚理工大学和能源管理软件公司BEM Controls。据报道,这个新项目是BEM Controls公司现有的由能源部资助的软件项目的延续,该项目旨在提高建筑物的能源效率。这笔最新的拨款将扩大和促进一个新的基于区块链的能源市场,ComEd将利用其未来实验室的网格展示新系统的功能。预计新计划将再开发三年。[2019/8/11]
3. Vector76 attack
Vector76 Attack 又称“一次确认攻击”,也就是交易确认一次后仍然可以回滚,是 Finney Attack 和 Race Attack 的组合。
攻击者创建两个节点,节点 A 连接到商家节点,节点 B 连接到区块链网络中的其他节点。接着,攻击者用同一笔 Token 发起两笔交易,一笔交易发送给商家地址,我们称为交易 1;一笔交易发送给自己的钱包地址,我们称为交易 2。与上面说的 Race Attack 一样,攻击者对交易 2 添加了较高的矿工费从而提高了矿工的打包概率,此时,攻击者并没有把这两笔交易广播到网络中去。
行情 | 美股区块链概念股普跌:今日美股收盘,美股区块链概念股普遍收跌。柯达收跌1.59%,埃森哲收跌0.28%,Overstock.com收跌14.29%;Riot Blockchain收跌3.59%,Marathon Patent收涨1.01%,Square收涨2.51%,Seven Stars Cloud收跌11.29%。[2018/8/14]
接着,攻击者开始在交易 1 所在的分支上进行挖矿,这条分支我们命名为分支 1。攻击者挖到区块后,并没有广播出去,而是同时做了两件事:在节点 A 上发送交易 1,在节点 B 上发送交易 2。
由于节点 A 只连接了商家节点,所以当商家节点想把交易 1 传给其它对等节点时,连接了更多节点的节点 B,已经把交易 2 广播给了网络中的大部分节点。于是,从概率上来讲,交易 2 就更有可能被网络认定为是有效的,交易 1 被认定为无效。
交易 2 被认为有效后,攻击者立即把自己之前在分支 1 上挖到的区块,广播到网络中。这时候,这个接受一次确认就支付的商家,会确认交易成功,然后攻击者就可以立即变现并转移资产。
同时,由于分支 2 连接的更多节点,所以矿工在这个分支上挖出了另一个区块,也就是分支 2 的链长大于分支 1 的链长。于是,分支 1 上的交易就会回滚,商家之前支付给攻击者的交易信息就会被清除,但是攻击者早已经取款,实现了双花。
4. 51% attack
攻击者占有超过全网 50% 的算力,在攻击者控制算力的这段时间,他可以创造一条高度大于原来链的新链。那么旧链中的交易会被回滚,攻击者可以使用同一笔 Token 发送一笔新的交易到新链上。
目前已知公链安全事件的攻击手法多为 51% 攻击,截止发稿日由于攻击者掌握大量算力发起 51% 攻击所造成的损失共 19,820,000 美金。2019 年 1 月 6 日,慢雾区预警了 ETC 网络的 51% 算力攻击的可能性,据 Coinbase 博客报道该攻击者总共发起了 15 次攻击,其中 12 次包含双花,共计被盗 219,500 ETC(按当时市价约为 110 万美元),攻击者经过精心准备,通过租借大量算力向 ETC 发动了 51% 攻击,累计收益超 10 倍,Gate.io、Yobit、Bitrue 等交易所均受到影响。所幸在整个 ETC 生态社区的努力下,一周后攻击者归还了攻击所得收益,幸而没有造成进一步的损失。
软分叉 Soft-fork
软分叉(Soft-fork)更多情况下是一种协议升级,当新共识规则发布后,没有升级的旧节点并不会意识到代码已经发生改变,而继续生产不合法的区块,就会产生临时性分叉,但新节点可以兼容旧节点,即新旧节点始终在同一条链上工作。
硬分叉 Hard-fork
硬分叉(Hard-fork)是区块链发生永久性分歧,在新共识规则发布后,已经升级的节点无法验证未升级节点产生的区块,未升级节点也无法验证已经升级的节点产生的区块,即新旧节点互不兼容,通常硬分叉就会发生,原有正常的一条链被分成了两条链(已升级的一条链和未升级的一条链,且这两条链互不兼容)。
历史上比较著名的硬分叉事件是 The DAO 事件,作为以太坊上的一个著名项目,由于智能合约的漏洞造成资金被黑客转移,黑客盗取了当时价值约 6000 万美元的 ETH,让这个项目蒙受了巨大的损失。为了弥补这个损失,2016 年 7 月,以太坊团队修改了以太坊合约代码实行硬分叉,在第 1920000 个区块强行把 The DAO 及其子 DAO 的所有资金全部转到一个特定的退款合约地址,进而“夺回”了黑客所控制 DAO 合约上的币。但这个修改被一部分矿工所拒绝,因而形成了两条链,一条为原链(以太坊经典,ETC),一条为新的分叉链(ETH),他们各自代表了不同社区的共识和价值观。
央行数字货币(DCEP)自 2014 年左右进入公众的视野之后,每隔一段时间就会成为社会关注的焦点.
1900/1/1 0:00:00流动性是每个人在交易或投资加密货币时都需要了解的最重要概念。并且多年来,流动性一直是加密货币交易所的重点.
1900/1/1 0:00:00在关于Filecoin的各种介绍中,我们经常听到这样两个技术术语:复制证明和时空证明,这两个术语是Filecoin系统的核心,也是Filecoin系统中挖矿的关键点.
1900/1/1 0:00:00原文标题:《一览 Web3 基础设施框架,哪些基础设施应用值得关注》撰文:Eric Hu互联网从根本上改变了社会、个人和经济.
1900/1/1 0:00:00近期比特币价格持续创新高引起热议,有很多人都在猜测其大幅涨价的原因,其中“巨鲸”是较多被提到的一种.
1900/1/1 0:00:00作者 | 晏文春出品|白话区块链前一段时间被爆出,比特币平均区块大小为1.3M,创下历史新高。 我们不是经常说“比特币区块大小上限是1M”吗?为何会出现超过1M的区块呢?今天,我们就来看看这究竟.
1900/1/1 0:00:00