區(qū)塊鏈也不安全 三大攻擊維度必須了解
來(lái)源:湖北國(guó)菱編輯部
時(shí)間:2019-02-26
雖然區(qū)塊鏈技術(shù)自帶加密光環(huán),并具分布式特性,外在表現(xiàn)為分散的、去中心化的,然而事實(shí)上其并非如之前所描述的無(wú)人可篡改。由于技術(shù)應(yīng)用、平臺(tái)防護(hù)等原因,現(xiàn)階段的區(qū)塊鏈應(yīng)用正在面臨著攻擊者的威脅。
1. 針對(duì)協(xié)議的攻擊
區(qū)塊鏈,一個(gè)可理解為不斷增長(zhǎng)的存證與記錄的“帳本鏈條”,由記錄的各個(gè)區(qū)塊所連接,而這些區(qū)塊則使用密碼學(xué)進(jìn)行相連和保護(hù)。憑借區(qū)塊鏈的分布式特性,加密的“帳本”數(shù)據(jù)需由網(wǎng)絡(luò)中的所有節(jié)點(diǎn)共享和驗(yàn)證,以確保其唯一性。
這在一個(gè)區(qū)塊鏈項(xiàng)目剛剛啟動(dòng)時(shí)威脅尤為突出,因?yàn)槟菚r(shí)的節(jié)點(diǎn)總數(shù)往往很少,一旦節(jié)點(diǎn)擁有者形成共謀,這樣的攻擊即可實(shí)現(xiàn)。
不僅如此,區(qū)塊鏈協(xié)議、智能合約機(jī)制、節(jié)點(diǎn)設(shè)備漏洞等安全缺陷,都是涉足其上的企業(yè)必須要面對(duì)解決的,不然的話,遭受巨大的經(jīng)濟(jì)損失就可能是分分鐘的事情了。
2. 針對(duì)用戶的攻擊
除了上述區(qū)塊鏈協(xié)議、節(jié)點(diǎn)上的漏洞外,用戶也是區(qū)塊鏈里的一大薄弱環(huán)節(jié)。傳統(tǒng)的網(wǎng)絡(luò)釣魚(yú)、惡意軟件、字典攻擊等,往往都十分奏效,亦會(huì)讓用戶喪失掉控制權(quán)。
3. 針對(duì)平臺(tái)的攻擊
隨著加密貨幣的熱炒,針對(duì)交易平臺(tái)的攻擊變得日益明顯。近期,安全人員發(fā)現(xiàn)了EOS平臺(tái)上的一系列高危安全漏洞。經(jīng)驗(yàn)證,其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼。
據(jù)悉,該漏洞令EOS區(qū)塊鏈系統(tǒng)在解析WASM文件時(shí),會(huì)出現(xiàn)緩沖區(qū)溢出的問(wèn)題,而攻擊者將能夠利用這個(gè)緩沖區(qū)溢出漏洞實(shí)施攻擊。在該漏洞的幫助下,攻擊者將能夠向EOS節(jié)點(diǎn)服務(wù)器上傳惡意智能合約,當(dāng)節(jié)點(diǎn)服務(wù)器完成對(duì)智能合約的解析之后,惡意Payload將會(huì)在服務(wù)器中執(zhí)行,并完成遠(yuǎn)程接管。成功接管遠(yuǎn)程節(jié)點(diǎn)服務(wù)器之后,攻擊者將能夠把惡意智能合約封裝到新的區(qū)塊中,并進(jìn)一步控制整個(gè)EOS網(wǎng)絡(luò)。
顯而易見(jiàn)的是,面對(duì)上述三大維度的區(qū)塊鏈攻擊,除了一般用戶難以察覺(jué)的技術(shù)復(fù)雜度及安全漏洞外,來(lái)自用戶設(shè)備甚至是交易平臺(tái)上的隱患都是挑戰(zhàn)區(qū)塊鏈技術(shù)安全應(yīng)用的主要威脅,必須引發(fā)高度關(guān)注才行。
湖北國(guó)菱提供7*24小時(shí)全天候技術(shù)支撐,以領(lǐng)先技術(shù)為客戶搭建安全高效的網(wǎng)絡(luò)安全服務(wù)平臺(tái)。如有網(wǎng)絡(luò)安全被攻擊方面的問(wèn)題,可以聯(lián)系我們。