随着越来越的人参与到区块链这个行业中来,为行业注入新活力的同时也由于相关知识的薄弱以及安全意识的匮乏,给了攻击者更多的可乘之机。面对频频爆发的安全事件,慢雾特推出区块链安全入门笔记系列,向大家介绍区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界!系列回顾:区块链安全入门笔记(一)|慢雾科普区块链安全入门笔记(二)|慢雾科普区块链安全入门笔记(三)|慢雾科普区块链安全入门笔记(四)|慢雾科普区块链安全入门笔记(五)|慢雾科普智能合约SmartContract
智能合约(SmartContract)并不是一个新的概念,早在1995年就由跨领域法律学者NickSzabo提出:智能合约是一套以数字形式定义的承诺(Promises),包括合约参与方可以在上面执行这些承诺的协议。在区块链领域中,智能合约本质可以说是一段运行在区块链网络中的代码,它以计算机指令的方式实现了传统合约的自动化处理,完成用户所赋予的业务逻辑。随着区块链智能合约数量的与日俱增,随之暴露出来的安全问题也越来越多,攻击者常能利用漏洞入侵系统对智能合约用户造成巨大损失,据SlowMistHacked统计,截止目前仅ETH、EOS、TRON三条链上因智能合约被攻击而导致的损失就高达$126,883,725.92,具有相同攻击特征的手法更是呈现出多次得手且跨公链的趋势,接下来我们将为大家介绍近年来一些常见的智能合约攻击手法。交易回滚攻击RollBackAttack
建行行长刘桂平:在区块链等科技支撑下,实现快速创新和敏捷交付:建行行长刘桂平近日发文表示,建行全力打造“数字化工厂”,深入推进“数字力工程”,探索建立数据资产管理体系,搭建包括业务中台、数据中台和技术中台在内的中台体系。技术中台对应用研发、交付、运行所依赖的技术实行平台化、组件化设计,以云服务为主要交付方式,实现人工智能、云计算、区块链、物联网等技术基础能力快速供给,敏捷赋能业务发展。在人工智能、云计算、区块链、物联网等前沿科技支撑下,以平台化、组件化、参数化、云化为标准搭建的基础架构体系,实现快速创新和敏捷交付。[2020/10/13]
交易回滚攻击(RollBackAttack),故名思义,指的是能对交易的状态进行回滚。回滚具体是什么意思呢?回滚具体指的是将已经发生的状态恢复成它未发生时候的样子。那么,交易回滚的意思就是将已经发生的交易变成未发生的状态。即攻击者本来已经发生了支付动作,但是通过某些手段,让转账流程发生错误,从而回滚整个交易流程,达到交易回滚的目的,这种攻击手法多发于区块链上的的智能合约游戏当中,当用户的下注动作和合约的开奖动作在一个交易内的时候,即内联交易。攻击者就可以通过交易发生时检测智能合约的某些状态,获知开奖信息,根据开奖信息选择是否对下注交易进行回滚。该攻击手法早期常用于EOSDApp上,后逐步向波场等其他公链蔓延,截止目前,已有12个DApp遭遇攻击,慢雾安全团队建议开发者们不要将用户的下注与开奖放在同一个交易内,防止攻击者通过检测智能合约中的开奖状态实现交易回滚攻击。交易排挤攻击TransactionCongestionAttack
信通院整理可信区块链2019年推进计划 提出十大测试观察:中国信息通信研究院今日发布《联盟链技术测试观察与分析》一文,对可信区块链推进计划2019年度开展的功能测试、性能测试、BaaS 测试、垂直行业测试的情况进行整理披露,提出十大测试观察:1.底层架构方面,自主创新逐渐引起行业重视;2.共识算法发展路线逐渐清晰;3.支持多模数据库与账本扩展成为热点方向;4.加密算法与私钥管理,国密占比提升、私钥管理逐渐丰富;5.智能合约持续稳步演进,有多元化发展势头;6.联盟链治理,高效治理成为重要探索方向;7.隐私保护相关策略日趋全面;8.跨链成为技术新热点,需持续研究寻求突破;9.性能测试,首次采用自研测试工具Trusted-Bench;10.区块链技术加快供应链金融可信高效运转。[2020/3/11]
交易排挤攻击(TransactionCongestionAttack)是针对EOS上的使用defer进行开奖的游戏合约的一种攻击手法,攻击者可以通过某些手段,在游戏合约的defer开奖交易前发送大量的defer交易,恶意侵占区块内的CPU资源,使得智能合约内本应在指定区块内执行的defer开奖交易因资源不足无法执行,只能去到下一个区块才执行。由于很多EOS上的游戏智能合约使用区块信息作为智能合约本身的随机数,同一个defer开奖交易在不同区块内的执行结果是不一样的。通过这样的方式,攻击者在获知无法中奖的时候,就通过发送大量的defer交易,强行让智能合约重新开奖,从而达到攻击目的。该攻击手法最早在黑客loveforlover向EOS.WIN发起攻击时被发现,随后相同的攻击手法多次得手,据SlowMistHacked统计仅2019年就有22个竞猜类DApp因此损失了大量资金,慢雾安全团队建议智能合约开发者对在不同区块内执行结果不同的关键的操作不要采用defer交易的方式,降低合约被攻击的风险。随机数攻击RandomNumberAttack
动态 | 上海:用区块链技术保障企业国际贸易便利性:金色财经报道,从上海市商务委(市口岸办)获悉,由市商务委会同上海海关、上海虹桥管委会、中国人民银行上海总部、上海市药品监督局等单位共同发起并推出的上海国际贸易单一窗口“区块链+”业务将兼具“监管+服务”10大功能板块,53项地方应用,对接22个部门,覆盖监管全流程及国际贸易主要环节,大大方便企业在沪从事国际贸易相关业务。(科创板日报)[2019/11/7]
随机数攻击(RandomNumberAttack),就是针对智能合约的随机数生成算法进行攻击,预测智能合约的随机数。目前区块链上很多游戏都是采用的链上信息作为游戏合约的随机数源,也称随机数种子。使用这种随机数种子生成的随机数被称为伪随机数。伪随机数不是真的随机数,存在被预测的可能。当使用可被预测的随机数种子生成随机数的时候,一旦随机数生成的算法被攻击者猜测到或通过逆向等其他方式拿到,攻击者就可以根据随机数的生成算法预测游戏即将出现的随机数,实现随机数预测,达到攻击目的。2018年11月11日,攻击者向EOS.WIN发起连续随机数攻击,共获利20,000枚EOS,在此慢雾安全团队建议智能合约开发者使用安全的随机数源作为合约随机数,如通过使用链下的随机数种子生成随机数的方式上传至链上,降低合约被攻击的风险。
分析 | 美国顶级大学争相开设区块链课程:据cryptoglobe报道,根据一项对675名美国学生的调查,26%的学生希望参与区块链相关的课程。沃顿商学院的Kevin?Werbach教授指出,这很可能是因为学生希望增加就业前景。财富500强的投资银行和技术公司中有很大一部分现在有区块链或DLT项目,他们正在寻找该领域的专业人士。纽约大学斯特恩商学院金融与商业转型教授David?Yermack观察到,他最近关于区块链和加密货币的课程有230名学生,是前一年的两倍多。商学院别无选择,只能更新课程。与此同时,加州伯克利的区块链学生俱乐部为想要建立区块链应用的公司提供咨询。宾夕法尼亚大学的区块链俱乐部已积累了近600名成员;而康奈尔大学的区块链俱乐部抱怨称,当一位演讲嘉宾来到时,无法找到足够大的房间来容纳所有想要参加的学生。[2018/9/14]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。