大家好,我是柯南。今天来和大家聊一聊区块链安全的那些事儿,马上就要到农历春节了,在这里我先祝大家新年快乐。 区块链安全的话题也会被大家多次提起,尤其是我们的资产安全。很多朋友会私信我们,问的比较多的也就是数字资产存放在交易所或者某某钱包是否安全,甚至让我们给建议怎么更好的保管自己的数字资产。 但区块链“安全”是个挺难弄明白的事儿。我们之所以选择区块链,就是为了让彼此,特别是相互不信任的彼此,以一种安全的、防篡改的方式共享数据资产。区块链的数据存储背后,是一系列复杂创新且难以被攻击者操纵的数学、软件规则。但是,即便是设计最为优良的区块链系统,其高级数学、软件规则也不是‘100%防弹’的,特别是当子弹来自现实世界的高手时,就难办了。为什么黑客们总是要攻击数字资产平台? 从逻辑上说,任何行为都是有目的的,黑客攻击行为的目的,不乏有为了炫耀技术或者表达诉求之类的情况,但是占比最大的还是为了获得经济回报。 现实生活中,是存在攻击传统金融机构例如银行或者证券交易所系统的情况的,但是这方面的记录相对之前说到的案例而言少很多。 我认为这里主要存在两方面的原因,一方面,传统金融机构所保有的资产,无论是数字化的相对于实体化的纸币和硬币法定货币,还是证券凭证,普遍都是记名的,其流转过程有迹可循,并且接受监管,要实现难以追踪的转移效果,成本高难度大。另一方面,传统金融行业的数字化历史已经很久,无论是人才储备,技术积累,制度规范都已经很成熟,单就信息安全方面的建设水平也相对很高了,要从技术上实现成功侵入盗走资产并逃脱追捕这一系列步骤难度非常大。 但是我们看数字资产交易所,一方面,数字货币的匿名性,不可篡改性以及无监管特性,导致了资产转移便捷,溯源找回难度大。另一方面,数字货币交易行业出现时间短,发展又非常快,利润高,导致本来技术积累就不足的情况下,仍然忽视信息安全方面的建设,隐藏的安全漏洞多,攻击起来相对容易。
Web3音乐流媒体平台Wavlake完成种子轮融资:金色财经报道,Web3音乐流媒体平台Wavlake宣布已完成种子轮融资,Trammell Venture Partners领投,但具体金额暂未披露。Wavlake 由音乐家兼制作人 Michael Rhee 和 Sam Means 共同创立,通过使用区块链和 Web3 工具帮助艺术家利用闪电网络接受比特币付款,继而提供一种新型音乐流媒体服务,不过该公司表示现阶段不会发行任何类型的特殊代币,而是给艺术家和粉丝构建一个更公平的平台。(builtinchicago)[2023/2/22 12:22:55]
当然了,也不是说数字资产平台就一定都很弱鸡,都充满了风险,哪怕刚提到的币安,虽然有安全事故,但依然是头部比较靠谱的平台,赔付机制也比较完善,其他像火币、OKEx、Coinbase、BitMex都在安全性方面有非常好的表现。 而且结合历史来看,OKEX在抵御风险方面比较强。根据官方透露,OKEX有自行组建的专业安全团队,在产品主页也有安全应急响应中心,可以奖励提交BUG的组织和个人,针对异常交易等非常规措施会有提醒,OKEX合约业务也有爆仓预警等措施,同时也和业内多家知名安全公司也建立了合作,除了对风控系统进行了升级,也建立了完善的赔付机制。 在数字资产交易的历史上,安全事故一直层出不穷。其中不乏世界知名的交易所也出现了很大的安全事件。从门头沟到币安,种种都告诉用户必须仔细选择交易所才能保证自身的资产安全。为大家整理了一下2019年以来的交易所安全事故盘点: 3月24日,DragonEX交易所被攻击,预计损失达到602万美金,具体被攻击原因未知。 3月26日,BIKI交易所被攻击,被攻击原因是为绑定谷歌验证码,短信验证码被劫持,官方已经对受损用户进行了赔付。 3月30日,Bithumb交易所被盗。预计损失达300万枚EOS,被攻击原因是私钥被盗。 5月8日,币安交易所被攻击损失了7000枚BTC,被攻击原因是多种攻击手段混合,币安基金已赔付损失。 不过大家也不要看到这些案例就觉得很慌,任何行业,哪怕大型的传统金融机构,也有出现安全风险的可能性。所以安全是个斗智斗勇的过程,我们也要理性去认识和认知各个平台的安全建设情况。 首先,要说说区块链被称为‘安全的’根本原因。以比特币为例,比特币区块链中,共享数据指全部比特币交易的历史记录,可以理解成核算分类账。这个分类帐被存储在计算机网络上的多个副本中,这些副本叫做“节点”。每当有人向分类帐提交交易时,节点检查提交交易确保其有效性,意思是说花掉一个比特币的朋友首先得有一个比特币能花。然后部分节点会竞争对有效交易打包进‘区块’并将其添加至区块链的权利。 说比特币系统是防篡改的,原因有两个:首先,每个区块独有自己唯一的加密指纹;其次是“共识协议”,即网络中节点就共享历史达成一致的过程。 以上这些是我们认知的区块链安全的由来,但这仅仅是区块链技术本身的安全特性,但由于数字资产平台或者项目方组织,他们是利用区块链技术在互联网世界开发相关产品,这个产品本身就有着各种各样的传统风险。 而目前的现状是,安全事件发生的频率很频繁,要知道这只是列举近期部分影响比较大的事件,如果把时间范围扩大,或者算上可能存在的影响较小的以及被掩盖的事件的话,数量会比这个更多;二是平台或用户的损失数额巨大,动辄数千万甚至数亿美元。 目前数字货币交易所在技术方面面临的安全威胁,主要分为两大部分。一、传统信息系统安全漏洞 这一部分来说,数字货币交易所,和传统金融机构差别不大,其整个信息系统,由Web服务器,后端数据库等元素构成,用户通过浏览器,移动端App以及交易所提供的API等多种方式作为客户端访问服务器。
百度袁佛玉:真正的元宇宙,将是强大AI能力与虚拟空间的完美结合:金色财经报道,9月1日,2022世界人工智能大会在上海举办。开幕首日,百度智能云主办“以虚强实·元宇宙激发产业新动能”分论坛,谈及元宇宙的未来落地,百度集团副总裁袁佛玉表示,真正的元宇宙,将是强大AI能力与虚拟空间的完美结合。没有AI构建的底层框架,就不可能创造出足够迷人的元宇宙上层建筑。
AI技术,不仅是驱动数字世界持续运行的底层基石,也贯穿了元宇宙从设计、研发、构建、运营、再到体验的各个环节。[2022/9/4 13:07:02]
结合我之前提到过的事情可以看出,这部分面临的安全威胁主要包括,服务器软件漏洞,配置不当,DDoS攻击,服务端Web程序漏洞(包括技术性漏洞和业务逻辑缺陷),办公电脑安全问题,内部人员攻击等。
对于规模较大,用户较多的交易所,还会面临用户被攻击者利用仿冒的钓鱼网站取认证信息的问题。二、智能合约安全漏洞 以太坊被称为“区块链2.0”技术的代表,因为它支持智能合约的运行。可以这么来理解,比特币系统就是在底层区块链技术的基础之上。 加上一个定义了奖励分发规则的“合约”所构成的。而以太坊的出现,提供了现成的底层区块链网络。 开发者编写好智能合约代码之后,将代码部署到区块链上,程序在以太坊节点的EVM虚拟机上执行。代码上链之后,各节点执行相同的操作,同步数据状态。 和传统的程序一样,智能合约也不可避免的会存在安全漏洞,不同的是,由于区块链技术的不可篡改特性,一旦合约部署好之后,就很难再修复其中的问题。一些存在例如整型溢出等漏洞的代币分发合约部署之后,上线交易所交易,接着漏洞被触发利用,短时间内超发大量代币影响市值,对交易所和用户来说都会造成巨大的经济损失。 实际的威胁情况可能比这还要严重得多。我们说智能合约之所以“智能”,是因为一旦部署上链之后,它的执行过程透明可见,不可篡改,无需人工干预,自然解决了执行过程中的信任问题,这也是区块链技术出现时所想要解决的根本问题。然而虽然解决了程序“运行”阶段的问题,但是如果合约代码存在漏洞,开始执行之后被利用,背离了原本的涉及初衷,那区块链技术的这些优秀特性反而会成为挽救损失的障碍。 应对这部分安全威胁,需要交易所在上线新的代币之前,先经过完善的合约代码安全审计工作,防患于未然,将可能的攻击威胁降到最低。 而且目前市场上活跃的第三方安全公司也出现了非常多,而安全问题是一个永恒的话题,也是一直斗智斗勇的过程,是全行业参与者都会十分关注的点,这里面除了技术的发展,也有像何一提到的政策的宽容性和空间,我们也会一直关注这些事件。 好了,关于区块链安全的那些事儿就讲到这里,关注贝数区块链官方微博,进社群和我一起从小白变大神。声明:本文所发表资讯不代表本公司任何投资暗示,亦不构成任何投资意见或建议,图片来源网络,若存在侵权行为,请联系我们删除。
哥伦比亚新当选的总统支持比特币挖矿:金色财经消息,Bitcoin Magazine发推称,“哥伦比亚新当选的总统支持#比特币和比特币挖矿!”。[2022/6/21 4:43:16]
加密借贷平台BlockFi宣布将裁员“约20%”:6月14日消息,加密借贷平台BlockFi周一宣布,该公司将裁员“大约20%”。BlockFi联合创始人Zac Prince和Flori Marquez在一篇博客文章中表示,公司考虑到“对我们的增长率产生负面影响的市场条件以及对我们战略重点的严格审查。”BlockFi表示,其团队已发展到850多人。
文章称:“自2022年第一季度以来,宏观经济环境发生了巨大变化,引发了股市和加密货币市场的大幅回落。因此,我们的首要目标一直是实现盈利,这样我们就能掌握自己的命运,因为我们面临着许多人预计会持续的全球经济衰退。”文章提到了减少营销支出和放缓员工人数增长等方面的举措。(The Block)[2022/6/14 4:24:07]
赛门铁克提示Clipminer加密劫持恶意软件风险:黑客至少已赚取170万美元:金色财经报道,据赛门铁克研究人员表示,一款名为 Trojan.Clipminer 的恶意软件利用受感染系统的计算能力来挖掘加密货币,并在剪贴板文本中识别加密钱包地址,然后将其地址信息替换进行重定向交易。研究发现,indows 恶意软件的第一批样本出现在 2021 年 1 月,然后在 2 月份开始传播他们还观察到,Clipminer 和另一种加密木马软件 KryptoCibule 之间在设计上有一些相似之处,但目前无法确认 Clipminer 和 KryptoCube 是否由同一黑客发布。
据悉,该恶意软件总共拥有 4,375 个由攻击者控制的唯一钱包地址,赛门铁克研究人员查看了比特币和以太坊钱包地址,发现当时他们持有大约 34.3 个比特币和 129.9 个以太坊,这意味着黑客至少赚取了 170 万美元。(theregister)[2022/6/4 4:01:33]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。