一、区块链有哪些漏洞,区块链有哪些漏洞类型
区块链技术现存问题有哪些?
1.性能问题
体积问题
区块链对数据备份的要求对存储空间提出挑战。区块链要求在一笔交易达成后向全网广播,系统内每个节点都要进行数据备份。
以比特币为例,自创世区块至今的区块数据已经超过60GB,并且区块链数据量还在不断增加,这将给比特币核心客户端的运行带来很大挑战。
处理速度问题
比特币区块链目前最高每秒处理6.67笔交易,一次确认时间大约为10分钟,容易造成大量交易的堵塞延迟,可能会限制小额多次交易和对时间敏感度较高交易的应用。
尽管目前有了一些克服手段,但全面解决交易效率的方法仍然亟待发掘。
耗能过高
第三,挖矿过程中的算力并不产生额外的实际社会价值,还会浪费大量的电子资源,随着比特币的日益普及,区块链逐渐成为高耗能的资本密集型行业。
2.中心化问题
节点的不平等
第一,理论上,分布式网络中每个节点应当被平等对待,但是为了挖矿获得回报,各节点可能会增加算力进行硬件竞赛,从而导致节点的不平等,破坏区块链记账权的随机性。
产业化、规模化挖矿产生了矿池
理论上如果矿池通过共谋掌握51%以上的算力进行系统供给,就可以实现双重支付,实际过程中尽管其成本远超收益,但不能否认合谋供给存在的可能性。
3.隐私安全问题
私钥容易被窃取
第一,目前区块链采用的是非对称密钥机制,尽管具有很高的安全性,但是私钥保存在用户本地,容易被黑客窃取。
区块链数据的透明性容易造成隐私泄露
公有链中每个参与者都可以获得完整的数据备份,整个系统是公开透明的,比特币通过隔断交易地址和持有人真实身份的关联保护隐私。
当区块链需要承载更多的业务时,节点如何验证信息执行命令就需要更多的考虑。
4.升级和激励问题
公有链中参与节点的数量庞大
无论是升级还是修复错误都无法关闭系统集中进行,可能需要考虑放松去中心化的问题。
各个节点之间存在着竞争博弈
要求激励相容机制的完善,如何使去中心化系统中的自利节点能够自发开展区块数据验证及记账工作,并设计合理的惩罚函数抑制非理性竞争,是区块链面临的另一挑战。
区块链有哪些安全软肋
区块链有哪些安全软肋
区块链是比特币中的核心技术,在无法建立信任关系的互联网上,区块链技术依靠密码学和巧妙的分布式算法,无需借助任何第三方中心机构的介入,用数学的方法使参与者达成共识,保证交易记录的存在性、合约的有效性以及身份的不可抵赖性。
区块链技术常被人们提及的特性是去中心化、共识机制等,由区块链引申出来的虚拟数字货币是目前全球最火爆的项目之一,正在成就出新的一批亿万级富豪。像币安交易平台,成立短短几个月,就被国际知名机构评级市值达400亿美金,成为了最富有的一批数字货币创业先驱者。但是自从有数字货币交易所至今,交易所被攻击、资金被盗事件层出不穷,且部分数字货币交易所被黑客攻击损失惨重,甚至倒闭。
一、令人震惊的数字货币交易所被攻击事件
从最早的比特币,到后来的莱特币、以太币,目前已有几百种数字货币。随着价格的攀升,各种数字货币系统被攻击、数字货币被盗事件不断增加,被盗金额也是一路飙升。让我们来回顾一下令人震惊的数字货币被攻击、被盗事件。
2014年2月24日,当时世界最大的比特币交易所运营商Mt.Gox宣布其交易平台的85万个比特币已经被盗一空,承担着超过80%的比特币交易所的Mt.Gox由于无法弥补客户损失而申请破产保护。
经分析,原因大致为Mt.Gox存在单点故障结构这种严重的错误,被黑客用于发起DDoS攻击:
比特币提现环节的签名被黑客篡改并先于正常的请求进入比特币网络,结果伪造的请求可以提现成功,而正常的提现请求在交易平台中出现异常并显示为失败,此时黑客实际上已经拿到提现的比特币了,但是他继续在Mt.Gox平台请求重复提现,Mt.Gox在没有进行事务一致性校验(对账)的情况下,重复支付了等额的比特币,导致交易平台的比特币被窃取。
2016年8月4日,最大的美元比特币交易平台Bitfinex发布公告称,网站发现安全漏洞,导致近12万枚比特币被盗,总价值约为7500万美元。
2018年1月26日,日本的一家大型数字货币交易平台Coincheck系统遭遇黑客攻击,导致时价580亿日元、约合5.3亿美元的数字货币“新经币”被盗,这是史上最大的数字货币盗窃案。
2018年3月7日,世界第二大数字货币交易所币安(Binance)被黑客攻击的消息让币圈彻夜难眠,黑客竟然玩起了经济学,买空卖空“炒币”割韭菜。根据币安公告,黑客的攻击过程包括:
1)在长时间里,利用第三方钓鱼网站偷盗用户的账号登录信息。黑客通过使用Unicode字符冒充正规Binance网址域名里的部分字母对用户实施网页钓鱼攻击。
2)黑客获得账号后,自动创建交易API,之后便静默潜伏。
3)3月7日黑客通过盗取的APIKey,利用买空卖空的方式,将VIA币值直接拉暴100多倍,比特币大跌10%,以全球总计1700万个比特币计算,比特币一夜丢了170亿美元。
二、黑客攻击为什么能屡屡得手
基于区块链的数字货币其火热行情让黑客们垂涎不已,被盗金额不断刷新纪录,盗窃事件的发生也引发了人们对数字货币安全的担忧,人们不禁要问:区块链技术安全吗?
随着人们对区块链技术的研究与应用,区块链系统除了其所属信息系统会面临病毒、木马等恶意程序威胁及大规模DDoS攻击外,还将由于其特性而面临独有的安全挑战。
1.算法实现安全
由于区块链大量应用了各种密码学技术,属于算法高度密集工程,在实现上比较容易出现问题。历史上有过此类先例,比如NSA对RSA算法实现埋入缺陷,使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞,可以说构成区块链整个大厦的地基将不再安全,后果极其可怕。之前就发生过由于比特币随机数产生器出现问题所导致的比特币被盗事件,理论上,在签名过程中两次使用同一个随机数,就能推导出私钥。
2.共识机制安全
当前的区块链技术中已经出现了多种共识算法机制,最常见的有PoW、PoS、DPos。但这些共识机制是否能实现并保障真正的安全,需要更严格的证明和时间的考验。
3.区块链使用安全
区块链技术一大特点就是不可逆、不可伪造,但前提是私钥是安全的。私钥是用户生成并保管的,理论上没有第三方参与。私钥一旦丢失,便无法对账户的资产做任何操作。一旦被黑客拿到,就能转移数字货币。
4.系统设计安全
像Mt.Gox平台由于在业务设计上存在单点故障,所以其系统容易遭受DoS攻击。目前区块链是去中心化的,而交易所是中心化的。中心化的交易所,除了要防止技术盗窃外,还得管理好人,防止人为盗窃。
总体来说,从安全性分析的角度,区块链面临着算法实现、共识机制、使用及设计上挑战,同时黑客通过利用系统安全漏洞、业务设计缺陷也可达成攻击目的。目前,黑客攻击已经在对区块链系统安全性造成越来越大的影响。
三、如何保证区块链的安全
为了保证区块链系统安全,建议参照NIST的网络安全框架,从战略层面、一个企业或者组织的网络安全风险管理的整个生命周期的角度出发构建识别、保护、检测、响应和恢复5个核心组成部分,来感知、阻断区块链风险和威胁。
除此之外,根据区块链技术自身特点重点关注算法、共识机制、使用及设计上的安全。
针对算法实现安全性:一方面选择采用新的、本身经得起考验的密码技术,如国密公钥算法SM2等。另一方面对核心算法代码进行严格、完整测试的同时进行源码混淆,增加黑客逆向攻击的难度和成本。
针对共识算法安全性:PoW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。
针对使用安全性:对私钥的生成、存储进行保护,敏感数据加密存储。
针对设计安全性:一方面要保证设计的功能尽量完善,如采用私钥白盒签名技术,防止病毒、木马在系统运行过程中提取私钥;设计私钥泄露追踪功能,尽可能减少私钥泄露后的损失。另一方面,应对某些关键业务设计去中心化,防止单点故障攻击。
360发现了区块链哪些史诗级漏洞?
5月29日消息,近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。
足以轰瘫数字体系的区块链漏洞
传统软件领域的漏洞可能被利用来发起网络攻击,造成数据、隐私的泄露甚至实际生活的影响。而数字货币本身是一套金融体系,在数字货币和区块链网络中的安全漏洞,往往会有更严重、更直接的影响。
由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞,可能引发成千上万的节点遭到攻击。甚至,在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞,在区块链网络中则可能引发整个网络瘫痪的风暴攻击,对整个数字货币系统造成巨大冲击。
???EOS超级节点攻击:虚拟货币交易完全受控
在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。
由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。
更有甚者,攻击者可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。
区块链网络安全隐患亟待关注
EOS是被称为“区块链3.0”的新型区块链平台,目前其代币市值高达690亿人民币,在全球市值排名第五。
在区块链网络和数字货币体系中,节点、钱包、矿池、交易所、智能合约等都存在很多的攻击面,360安全团队此前已经发现和揭露了多个针对数字货币节点、钱包、矿池和智能合约的严重安全漏洞。
此次360安全团队在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞,是一系列前所未有的安全风险,此前尚未有安全研究人员发现这类问题。这类型的安全问题不仅仅影响EOS,也可能影响其他类型的区块链平台与虚拟货币应用。
360表示,希望通过这一漏洞的发现和披露,引起区块链业界和安全同行在这类问题的安全性上更多的重视和关注,共同增强区块链网络的安全。
内容来源?澎湃新闻
二、区块链公链开发很难吗国内有几家企业可以做
如果是说底层公链开发的话,是很难的。
底层公链其实就是区块链世界的基础设施,相当于我们现在的手机系统。而一个个商业化的区块链项目(Dapp)就类似于跑在手机上的APP,可以说一切的Dapp都要基于底层公链运行,就像玩手机游戏需要在安卓系统或者IOS系统上一样,而现在的主流手机系统也只有这两个,这就已经证明了开发一个区块链底层公链的难度了。
现在的区块链的“基础设施”还不够发达。典型的例子就是去年一个基于以太坊的应用「CryptoKitties」。这是一个通过区块链进行云养猫的游戏应用,一上线就十分火爆,也直接导致以太坊几乎崩溃。CryptoKitties上线短短几天,发生了45000多次交易,近600万美元的交易额,而以太坊的每秒处理交易量(TPS)只有30-40,导致以太坊网络严重拥堵,再一次证明了区块链的不可能三角:去中心化、安全性、效率。
区块链的核心是技术。在基础设施没有搭建好之前,所有的花团锦簇的区块链项目都是空中楼阁。目前区块链底层公链比较突出的是北京的Conflux项目,姚期智院士作为首席科学家,来自清华姚班、多伦多大学等世界级高校的大牛技术团队,在不牺牲去中心化和安全性的条件下,将TPS提高到3000次。就在1周前,Conflux项目组在一周年的测试实验上,用25分36秒跑完了以太坊7个月的交易数据,这在世界上都是顶尖的水平。
三、了解区块链虚拟机:EVM、HVM、WASM、MOVE
区块链智能合约的执行舞台,就像一场精密的交响乐,由EVM(执行环境,ERC协议的核心驱动力)指挥。智能合约的演奏流程,就像一部编译后的交响乐谱,从Solidity的乐章被转化为二进制乐章,部署在区块链的乐池中,等待用户的调用来启动演奏。EVM,就好比Java虚拟机的精炼版,它以堆栈、内存和存储这三重奏为基础,构建起合约状态的舞台,确保每个音符的准确执行和数据一致性。
交易转化为Message,EVM的解释器如同乐团指挥,驾驭着PC、Stack、Memory和Gas等要素,执行着算术运算如ADD、SUB、MUL和逻辑操作,同时管理着账户和区块数据的动态变化。EVM提供了一套基础指令,如CREATE、CALL、RETURN等,就像乐器的演奏指南,确保合约的生命周期和交互规则得以遵循。
与Java VM不同的是,EVM为智能合约的安全性与稳定性提供了一个隔离的沙箱,如同一个独立的舞台,使区块链世界内的共识操作得以高效且可靠地进行。EVM的优势在于其测试环境、严密的安全性设计和对链上资源的精细管理,这也是为什么众多公链选择EVM生态,以吸引开发者加入这个繁荣的音乐厅。
然而,音乐厅并非只有一种风格。趣链科技的HVM,就像一个定制的交响乐团,支持复杂的业务场景,提供灵活且安全的编程模式。它通过SDK的调用接口,构建出合约操作的层次结构,从底层的指令解析到上层的库函数,每个环节都经过优化,提升执行效率。
WASM-VM,作为WebAssembly的虚拟机,以其二进制指令的高效编译和执行,为Web3.0的世界带来了全新的音符。与EVM相比,WASM以其跨平台、高效和无需预编译的特性,为开发者带来更流畅的创作体验,尤其是在处理本地方法和硬件资源时,它的表现更为出色。
而MoveVM,作为Libra区块链的基石,它是一个静态类型系统的堆栈机,为Libra的安全基石提供了编程框架。Move语言,作为Libra的官方语言,强调跨链兼容性和安全性,旨在消除Web3.0世界中可能的隐患,打造一个更安全、更可信赖的音乐平台。
每个虚拟机都是区块链上智能合约的舞台,它们以各自的方式,推动着区块链技术的发展和创新,为用户和开发者提供丰富多样的可能性,共同构建区块链音乐的宏伟交响乐章。
