月亮链 月亮链
Ctrl+D收藏月亮链
首页 > PEPE > 正文

区块链:一文看懂区块链安全 6 大分类 3 大问题_IOT

作者:

时间:1900/1/1 0:00:00

文章来源:阿尔法公社

一、导语

2018年8月6日,腾讯安全发布《2018上半年区块链安全报告》,报告显示,目前在全球范围内,已出现了1600余种加密数字货币,2018年上半年,区块链领域因安全问题损失超27亿美元,而且因区块链安全事件损失的金额还在不断攀升。从IOTA「邮件门事件」、USDT「假充值漏洞」、EOS「彩虹攻击」,到BEC与SMT「整数溢出攻击漏洞」、BTG「51%算力攻击」等等,这一系列的事件引发了大家的广泛关注与思考。

区块链安全威胁主要有哪些?为什么智能合约的安全问题如此重要,会引起这么多人关注?智能合约的安全类型有多少种?现在主流的安全监测方法有哪些?最有效的方法又是什么?大家如何能获得安全无漏洞的智能合约代码?针对这一系列问题,我们对安比实验室创始人郭宇进行了采访,为大家系统介绍区块链行业安全问题及主流解决方案。

二、区块链安全六大类型

从安全角度来看,区块链技术可分为五层,相应安全问题则为六大类。

区块链2.0版本技术架构

第一层,密码学。密码学是区块链最底层的支撑技术,包含了哈希算法、数字签名、随机数等,如果这些密码学技术存在问题或者漏洞,那么基于此的整个区块链构建的信任将会坍塌。

澳大利亚四大银行阻止向加密货币交易所付款:金色财经报道,澳大利亚当局加强了对加密货币的审查,导致银行不愿与加密货币交易所和公司合作。澳大利亚国民银行 (NAB) 已与西太平洋银行 (Westpac Banking Corp.)、澳大利亚联邦银行 (Commonwealth Bank of Australia) 和澳大利亚和新西兰银行集团 (Australia & New Zealand Banking Group) 等该国其他领先银行一起阻止向高风险加密货币交易所付款。[2023/7/17 10:59:44]

虽然目前密码学技术已经颇为成熟,存在巨大漏洞的可能性比较小,但是仍然不排除一些项目存在问题。2017年7月15日,具有「物联网世界第一币」之称IOTA收到了麻省理工学院附属的学术研究组DCI的邮件,提醒IOTA团队,IOTA的哈希算法Curl-P存在弱点,DCI可以对该系统进行成功的攻击,窃取用户资金。虽然IOTA随后对DCI的邮件进行了质疑和反驳,到目前为止,也没有用户因为此漏洞而发生资金被盗的情况,但这一事件引起了大家对IOTA和其他项目在密码学技术安全上的关注。

第二层,用户私钥的生成、使用与保护。用户参与区块链的凭证是一对公私钥,每个人通过区块链产生交互行为的前提就是他拥有安全的私钥、并且能保管好自己的私钥,因此私钥的生成、试用与保护问题就非常重要。

Axie Infinity:在硅谷银行和Silvergate均无资金敞口:3月11日消息,Axie Infinity及Sky Mavis联合创始人兼首席执行官Aleksander澄清称,Sky Mavis、Axie Infinity以及Ronin Network在硅谷银行和Silvergate均无资金敞口。[2023/3/11 12:56:10]

今年7月,EOS就因私钥生成工具存在安全隐患,创建的私钥被黑客发现漏洞,并实施「彩虹」攻击,导致账户数字资产被盗,造成上千万数字资产损失。

第三层,节点系统安全漏洞。这一问题归属于传统安全范畴,比如区块链节点不能存在缓冲区溢出等传统的安全漏洞。另外区块链节点的实现要能忠实地正确实现区块链的共识协议;节点不能暴露不该暴露的API接口,导致黑客可以无障碍的获取一些节点关键信息。无论是以太坊还是EOS都曾经被爆出过比较严重的安全漏洞。这一部分安全也是至关重要的。

第四层,底层共识协议。目前市场上主流的区块链共识协议有以下几种,POW、POS、DPOS、PBFT。底层共识协议决定了区块链整个架构是否可信,能不能真正做到形成一个具有共识的区块链。现在真正被证明安全的共识协议并不多,因为共识协议本身无论从理论、还是从技术实现上都不简单。而经过长时间验证的共识协议是比较安全的,比如像比特币的POW。共识协议有一个不可能实现的三角关系:安全、去中心化和效率,这三者只能同时实现两样。如果追求效率,要么牺牲去中心化,要么牺牲安全。

加密借贷平台Celsius资产拍卖日期已确定,投标截止日期为10月18日:10月4日消息,根据周一提交给纽约南区美国破产法院的文件,加密借贷平台Celsius已确定其资产拍卖日期,投标截止日期为北京时间10月18日4:00,如有必要,拍卖会在北京时间10月20日22:00进行,销售截止日期为北京时间10月26日4:00。文件称,将于北京时间11月1日23:00在美国首席破产法官Martin Glenn面前通过Zoom举行出售听证会,并补充说预计会有大量参与者。[2022/10/4 18:39:01]

一个区块链系统的共识协议是不是安全这个问题至关重要。

理论上,基于底层共识协议创建的所有数字货币都是存在51%算力攻击风险。今年上半年,就有至少4种数字货币分别受到了51%算力攻击,分别是Monacoin、BitcoinGold、Verge和Electroneum,给用户造成数千万美元损失。

第五层,智能合约。智能合约是一套以数字形式定义的承诺(promises),包括合约参与方可以在上面执行这些承诺的协议。任何参与方都能在应用层创建合约,也就是所谓的DAPP。这也是目前出现安全问题最多的地方。

智能合约安全隐患包含了三个方面:第一,有没有漏洞。合约代码中是否有常见的安全漏洞。第二,是否可信。没有漏洞的智能合约,未必就安全,合约要保证公平可信。第三,符合一定规范和流程。由于合约的创建要求以数字形式来进行定义承诺,所以如果合约的创建过程不够规范,就容易留下巨大的隐患。

Celsius的实际债务为28.5亿美元,约12亿美元的赤字:金色财经报道,周日提交的一份新的破产报告显示,陷入困境的加密货币贷款机构Celsius的实际债务为28.5亿美元,而他们在破产申请中声称有12亿美元的赤字。

最新报告显示,该公司拥有价值66亿美元的净负债,管理的总资产为38亿美元。而在他们的破产申请中,该公司显示约有43亿美元的资产,而负债为55亿美元,即有12亿美元的赤字。

该报告还指出,在投资者存入的 100,669 比特币 (?BTC?) 中,该公司损失了 62,853 比特币,目前仅持有 37,926 比特币。Wrapped Bitcoin (WBTC) 目前占公司 BTC 债务的 64%。

此前消息,该公司于7月14日申请破产保护。[2022/8/16 12:29:08]

目前市场上很多智能合约均存在安全漏洞问题,比如,6月3日,安比实验室发现Ethereum上出现81个合约带有相同错误,ERC20Token合约中的transferFrom函数存在巨大隐患,一旦部署后出现问题,将造成不可挽回的损失;6月6日,安比实验室发现ERC20代币合约FXE由于业务逻辑实现漏洞,任何人都可以随意转出他人账户中的Token,Token随时面临彻底归零风险。

作为区块链行业从业者、智能合约使用者或是加密货币拥有者,应该学习相应的密码学和智能合约编程知识,切不可随意复制使用涉及资金安全的合约和公私钥等的代码。如果恶意攻击者,将带有严重漏洞的代码公开在网络上进行传播,诱导技术开发能力欠缺的组织使用,将会给使用者造成毁灭性打击和不可挽回的损失。

一名狗狗币投资者起诉马斯克并索赔2580亿美元指控后者“实施金字塔计划”:6月17日消息,一名狗狗币投资者当地时间周四将特斯拉CEO马斯克告上法庭,指控后者为支持狗狗币而实施金字塔计划,向其索赔2580亿美元。在一份提交给曼哈顿联邦法院的诉状中,原告Keith Johnson指控马斯克、特斯拉和SpaceX公司“敲诈勒索,吹捧狗狗币并推高其价格,但随后却让其价格暴跌。诉状称,被告人自2019年起就知道狗狗币没有价值,但却大肆宣传以从其交易中获利。马斯克利用他作为世界首富的地位,经营和操纵狗狗币金字塔计划,以获取利润和曝光,并以此为乐。(财联社)[2022/6/17 4:33:08]

第六层,激励机制设计。智能合约要完成协作,通常是要设计相应的经济激励机制。经济激励是区块链技术里面非常有突破性的一个概念。一个真正健康有活力的区块链生态,需要一个很好的激励机制。但是经济激励设计得不够安全,可能生态就无法建设起来,比如典型的类庞氏游戏,这一点大家要警惕。

三、智能合约三大问题

前面介绍的六层区块链安全问题,都是依托相应的技术层级来划分的,越底层的技术越稳定,比如密码学从一开始选定之后,就不会轻易改动。

智能合约由于比较灵活,任何人都可以创建,所以相对容易出安全问题。

任何用户都能创建一个有共识基础的合约,就好像是每个老百姓都可以基于某部法律写一份合同,这个法律是一种共识机制,这个合同也是有内在的约束条款,使用DAPP就像签订合同,所有行为都要按照这个合同条款执行。因此,智能合约的安全隐患,直接关系到用户的财产损失。

到目前为止,安比实验室发现了市场上智能合约的三大问题:

第一,以整数溢出为代表的安全漏洞。安全漏洞通常是被写代码的人不小心引入的,它可能引起合约某些功能部件失效,最严重的情况,可能导致黑客攻击、用户丢币、甚至黑客凭空造出来很多的币。比如BEC、SMT、EDU,曾经就因整数溢出安全漏洞,被黑客攻击从而导致币值归零。

第二,智能合约权限控制。一般智能合约里会设置一个管理员,管理员一般拥有超级权限,这类合约的安全隐患比较大,因为一旦管理员的私钥被盗用,很容易造成巨大损失。据安比实验室不完全统计,排名前570名的Token合约中,有342个合约存在只有管理员能调用的功能,不少合约更存在管理员任意铸币、烧币、冻结账户、关停转账等过高权限。

今年7月10日,加密货币交易平台Bancor称遭到攻击,丢失了当时折算法币金额为1250万美金的以太坊、1000万美金的Bancor代币和100万美金的Pundix代币。经过我们分析发现,这次Bancor平台被盗事件就是与BancorConverter合约有关,攻击者通过获取了管理员账户的私钥,借用管理员身份盗走用户的Token,给用户造成巨大损失。

第三,规范性问题。现在很多智能合约的实现并没有统一的规范。智能合约是以交互的方式多人协作,如果合约不规范,容易导致不同人对合约的行为产生误解,从而出现大量的安全问题。

比如,今年陆续爆出的「假充值」事件,包括以太坊代币、USDT等,根据一家机构进行的不完全统计显示,市场上的单代币合约有3619份存在「假充值」漏洞风险,其中不乏知名代币。

正常情况下,充值过程中转账不成功,账户将无法充值,账户余额仍然是0。但如果合约存在「假充值」漏洞,在转账不成功的时候,系统并不会显示充值失败,交易所就会误判结果为充值成功。如果有黑客发现这一漏洞,就会一直进行「假」充值,之后再把这笔钱提出,给交易所带来直接损失。

四、形式化验证的重要性

目前,市场上针对智能合约安全问题的检验方式主要有三种,第一是测试,第二是审计,第三是形式化验证。测试需要程序自动跑,通过各种可能性的输入,检测是否存在整数溢出漏洞等问题。但这个测试通常不可能百分之百覆盖,一定会有遗漏存在。审计就是靠专家的专业知识去审核,但再专业的专家也可能会有疏漏。前两种传统的方式,并不能保证合约中没有漏洞,但形式化验证能做到这一点。

形式化验证可以解决三类问题,第一类是安全无漏洞:通过数学推理的方法,捕捉、覆盖合约的所有行为,覆盖所有可能性,从而保证合约没有漏洞。第二类是可信:公开透明。合约的创建者不仅要说明白干了什么事,还要向大家证明代码确实是这么干的。这个也是目前只能用形式化验证才能做得到。第三类是规范性问题。前面提到的假充值漏洞,就是因为以太坊的ERC20规范,写得非常模糊、不完整。那怎么样能写完整呢?这就要求合约的规范就不能用自然语言,或文字描述,而是应该引入形式化规范,用一种数学逻辑语言来严格定义。

形式化验证在工业界、尤其是安全系统相关领域,已经有了大量应用案例,比如航空航天、高铁、核电等行业,都有专门的团队提供形式化验证服务,其作用与效果早就得到了安全行业专家的认可。

目前,形式化验证包括模型检验和演绎推理两种。安比实验室在演绎推理方面积累了十几年的科研成果和工程经验,技术在全球比较领先。

相对权威和安全的公司,比如Zeppelin和以太坊官网都曾经公布过有问题的智能合约代码。如果能有一个更可信,不依赖权威的智能合约代码库,开放给所有人使用,将能很好地解决这个问题。在这方面,安比实验室已经做了大量工作,并且目前建立全球第一家可信的开源智能合约代码库,方便大家免费使用。

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

阿尔法公社

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626991.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

下一篇:

智能合约史上最大规模攻击手法曝光,盘点黑客团伙作案细节

标签:区块链IOTAIOTKEN哪个不是区块链特性IOTA币靠谱吗IOTNXOC Token

PEPE热门资讯
区块链:区块链世界先锋军——MBAex交易所_BAE价格

各行各业在开创的初期总会呈现出群雄争霸,百家争鸣的状态。在区块链这个新兴技术行业自然也不例外,各大公链使出浑身解数谋求让市场人得到共识;各大项目不甘示弱试图快速推进区块链项目模型却忽略落地性;而.

1900/1/1 0:00:00
NuCypher:NuCypher 工程师告诉你,链上私人数据如何安全存储与管理_HERODOGE

本期AMA项目为NuCypher,分享嘉宾为NuCypher的加密算法工程师JohnPacific,分享的主题为如何安全地存储、共享和管理链上私人数据.

1900/1/1 0:00:00
THE:今天的新闻都比BTC涨破8000美元还猛丨BlockTrain_TETOINU

1、宏观新闻加密货币GlobalCoin即将诞生!Facebook计划于2020年第一季度之前,在全球十几个国家建立数字支付系统,并打算在今年年底之前开始测试其加密货币.

1900/1/1 0:00:00
区块链:创新「技」元,链通世界,2018 全球区块链开发者大会即将开启_BIT

为加强区块链技术的交流合作,完善各开发者社区建设,为区块链行业注入更强的力量,2018年12月15日-12月17日,Satoshi基金会和币看Bitkan将联合主办2018全球区块链开发者大会.

1900/1/1 0:00:00
底层共享链:UYSC(底层共享链)5月25日首发上线BihuEx平台_TPS

尊敬的BihuEx用户:币虎全球交易所将于新加坡时间2019年5月25日上线UYSC/底层共享链上线时间:开放充值时间:2019年5月25日10:00AM开放交易时间:2019年5月25日11:.

1900/1/1 0:00:00
BTC:3个迹象表明在8000盘整的BTC将这样走_btc百度百科

BTC第三次上探高点8300,未突破前高,一直处于盘整阶段!市场的投资者都陷入迷茫不知道该怎么操作!下面三个市场迹象或许可以告诉你市场的方向!一、BTC自2018年2月以来一直处于下行通道分析师.

1900/1/1 0:00:00