浅析区块链2019年1月安全态势

2019-03-13 09:00

2019年的到来开启了区块链的第十一年。截止至今,区块链已经从1.0时代历经2.0时代进入到了3.0时代。当下,我们看到监管、政策的利好不断释放与应用落地。我们能够清晰的看到、了解到区块链整体的进程。k5P币知区块链

一、前言k5P币知区块链

2019年的到来开启了区块链的第十一年。截止至今,区块链已经从1.0时代历经2.0时代进入到了3.0时代。当下,我们看到监管、政策的利好不断释放与应用落地。我们能够清晰的看到、了解到区块链整体的进程。新生事物无到有,从有到具备知名度、影响力,足足的经历了漫长的阶段。随着区块链商业化应用开展与落地,我们看到越来越多的安全事件发生。俗话说的好,有黑就有白,要想一件有价值的事情得到发展,仅仅拥有鲜花还不足够,新事物还要经历落地的检验。政府、高校与以阿里巴巴为首的互联网巨头开始开展区块链实验室,基于区块链的商业应用的项目纷纷开始试水,落地。随着2019年各个国家颁布了治理政策,让区块链安全纳入监管的行业,区块链至此拨开乌云见明日,推动行业正向发展。k5P币知区块链

回顾历史的长河,我们总能从历史当中看到、学到一些经验。从互联网浪潮上,整体互联网从出现到发展,我们足以窥得一些奥秘。我们会发现:新事物的出现会从不被大众所认可到被大众认可的过程。这个过程是漫长且艰辛,是不断经历市场的验证后被广为人知,并且真正的改变我们的生活。k5P币知区块链

二、关于区块链k5P币知区块链

区块链的本质是改变人的效率,去中心化并非妖魔化,并不是要与监管背离,而是将我们的生活、工作方式获得显著的提高,获得效率的提高,让生活与工作走向高效。如果传统的互联网会发生安全事件,那么新兴的区块链同样也会发生安全事件。笔者认为,凡是与财富有关的事物,都会存在安全隐患。同时区块链落地应用产品,作为新兴的产品由于其新,所经历的安全事件少,更加需要经历长时间的道路。k5P币知区块链

故笔者依然延续每月撰写一篇安全态势,为从业者分析、观察月内的安全态势,在学习、了解、研究的基础上与区块链行业共同成长,本态势分析如有错误之处,欢迎各位同行指出并修正。k5P币知区块链

三、区块链1月安全事件回顾k5P币知区块链

2019年1月区块链安全事件k5P币知区块链

安全事件k5P币知区块链

日期k5P币知区块链

EOS竞猜游戏ggeos昨晚遭交易回滚攻击k5P币知区块链

1月1日k5P币知区块链

EOS竞猜游戏ggeos再遭交易回滚攻击k5P币知区块链

1月3日k5P币知区块链

EOS竞猜游戏HotDice今晨遭随机数破解k5P币知区块链

1月4日k5P币知区块链

以太坊经典(ETC)遭多次51%攻击,8万枚ETC被用于双花k5P币知区块链

1月5日k5P币知区块链

EOS竞猜游戏uugame遭随机数攻击k5P币知区块链

1月10日k5P币知区块链

EOS竞猜游戏EOS.Win遭新型交易阻塞攻击k5P币知区块链

1月11日k5P币知区块链

EOS竞猜游戏BetDoge遭交易回滚攻击k5P币知区块链

1月12日k5P币知区块链

EOS竞猜游戏GameBet遭交易延迟攻击k5P币知区块链

1月13日k5P币知区块链

EOS竞猜游戏Fishing遭交易延迟攻击k5P币知区块链

1月13日k5P币知区块链

EOS竞猜游戏STACK DICE遭黑客交易延迟攻击k5P币知区块链

1月13日k5P币知区块链

FarmEOS遭黑客攻击已经暂停k5P币知区块链

1月13日k5P币知区块链

Cryptopia交易所被黑客攻击,警方接入调查k5P币知区块链

1月13日k5P币知区块链

EOS竞猜游戏FarmEOS再遭交易阻塞攻击,block.one正修复k5P币知区块链

1月15日k5P币知区块链

EOS竞猜游戏playgames遭黑客攻击k5P币知区块链

1月16日k5P币知区块链

EOS竞猜游戏影骰遭黑客交易阻塞攻击k5P币知区块链

1月16日k5P币知区块链

EOS竞猜游戏LuckBet遭黑客攻击k5P币知区块链

1月16日k5P币知区块链

EOS竞猜游戏idicefungame遭假EOS攻击k5P币知区块链

1月21日k5P币知区块链

EOS竞猜游戏Crazy Dice遭交易阻塞攻击k5P币知区块链

1月23日k5P币知区块链

OTC交易平台LocalBitcoins遭黑客入侵 登陆页面成钓鱼网网站k5P币知区块链

1月26日k5P币知区块链

EOS竞猜游戏EOSlots遭重放攻击k5P币知区块链

1月27日k5P币知区块链

EOS竞猜游戏EOSlots遭重放攻击k5P币知区块链

1月27日k5P币知区块链

EOS竞猜游戏BETX遭黑客攻击k5P币知区块链

1月28日k5P币知区块链

EOS竞猜游戏EOSABC遭交易阻塞攻击k5P币知区块链

1月29日k5P币知区块链

新西兰Cryptopia交易所又遭黑客攻击k5P币知区块链

1月29日k5P币知区块链

今晨EOS竞猜游戏EOSABC再遭交易阻塞攻击k5P币知区块链

1月30日k5P币知区块链

来源:BCSEC 安全事件 https://bcsec.org/eventk5P币知区块链

从上述数据所知,2019年1月仅根据BCSEC区块链安全网统计,在1月便发生25起安全事件。其中,重大的事件是cryptopia黑客攻击事件与ETC遭多次攻击,其中cryptopia黑客攻击事件已有警方介入调查。据此前报道,新西兰数字货币交易所Cryptopia发推声称遭黑客攻击,损失19390.6个ETH。在1月30日,新西兰Cryptopia交易所又遭黑客攻击。在进行了之前的1600万美元窃取休息了很多天后,Cryptopia黑客再次启动,从另外1700个的Cryptopia钱包中再窃取了1675个ETH(按1月30日的市场价格价值约18万美元)。k5P币知区块链

以下为新西兰交易所Cryptopia交易所两次被攻击新闻报道:k5P币知区块链

xxx.png
k5P币知区块链

zzz.pngk5P币知区块链

其次,第二重要事件便是ETC 51%发起攻击,如若拥有51%以上的算力,便可以发动双花。k5P币知区块链

这两起事件在1月份凸显十分明显,在业界掀起了一波又一波的探讨。从安全的角度来看,公链如果被黑客掌握了51%以上的算力确实存在十足的安全风险。假设一下,如果被黑客发动双花攻击,资产是否安全?果然区块链当中最严重的依然是安全问题。k5P币知区块链

四、区块链1月安全漏洞回顾k5P币知区块链

在一月份,整个区块链生态中还是出现了不少的安全漏洞,其中有3起比较重大的安全漏洞。k5P币知区块链

1.以太坊君士坦丁堡重入漏洞(中危)k5P币知区块链

该漏洞由新启动的EIP 1283引起,漏洞危害准确的说应该是一种可能会让一些合约存在重入漏洞的隐患,而不是一定会使合约产生重入漏洞,但也因此并出于严谨的态度,以太坊基金会延迟了硬分叉升级。k5P币知区块链

什么是重入漏洞?重入漏洞是指在同一笔交易中因两个合约互相调用而导致合约进行重复转账的一种现象,其产生的根源是没有使转账作为事务的最后一个步骤。k5P币知区块链

比如说,如果在转账之后再进行状态变更的话就很容易重入漏洞,最经典的一起事件就是The DAO事件,所以最安全的做法是一笔事务中只有一笔转账,且在转账之前做好所有状态变更,转账作为最后一个操作进行,如果以这种标准来实现的话,是不会受EIP 1283影响的,所以这就是为什么说EIP 1283 只是可能使某些合约产生重入漏洞隐患。k5P币知区块链

关于该漏洞的详细介绍可以在这里查看:k5P币知区块链

https://bcsec.org/index/detail/tag/2/id/465k5P币知区块链

2.PoS v3协议“假权益”漏洞(严重)k5P币知区块链

该漏洞至少影响26个PoS币,其中5个在通知后已修复。据悉,该漏洞允许攻击者利用“假权益”攻击,以很小的成本导致网络中任何节点崩溃。公链一旦发生大量节点崩溃就存在51%攻击的风险,持该类币种用户需保持警惕。k5P币知区块链

在一月份时,以下币种没有进行修复(Exploitable内容为?代表已修复):k5P币知区块链

ccc.pngk5P币知区块链

关于该漏洞的详细介绍可以在这里查看:k5P币知区块链

https://bcsec.org/index/detail/tag/2/id/468k5P币知区块链

1.EOS交易阻塞漏洞CVE-2019-6199(严重k5P币知区块链

01月11日起,区块链安全公司 PeckShield 率先披露了 EOS.Win 等一系列EOS竞猜类游戏遭到了新型交易阻塞攻击事件。不同于以往频发的随机数或交易回滚攻击等合约层的攻击行为,这是一种利用底层公链缺陷而发起的攻击行为。PeckShield 研究人员进行深入分析后发现,这是存在于主网层的致命拒绝服务漏洞,攻击者可发起大量垃圾延迟交易导致 EOS 全网超级节点(BP)无法打包其它正常交易,即通过阻断打包正常用户的交易进而瘫痪 EOS 网络。k5P币知区块链

同时,该漏洞也对链上竞猜类游戏造成致命威胁。目前已经有EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等多款热门游戏遭到攻击。由于该漏洞本质上属于底层主网问题,任何DApp游戏,只要依赖如账号余额或时间等相关链上因素产生随机数,都存在被攻击的可能。k5P币知区块链

PeckShield 安全人员已确认并复现该问题,并认为这是迄今为止 EOS 主网出现的最为致命的高危拒绝服务漏洞,可被黑客用来大面积攻击现有DApp,直接会影响现有几乎全部 EOS 竞猜类 DApp 的正常开奖,进而严重制约 EOS DApp 生态的发展,甚至可能导致主网瘫痪。k5P币知区块链

这也是为什么在一月份出现大量EOS的DApp被攻击的原因。k5P币知区块链

关于该漏洞的详细介绍可以在这里查看:k5P币知区块链

https://bcsec.org/index/detail/tag/2/id/458k5P币知区块链

k5P币知区块链

五、黑客眼中的区块链,财富窃取如此简单?k5P币知区块链

国内外擅长理财的人期望通过比特币来进行财富保值增值,通过上述案例内容,我们不难发现,黑客同样瞄准了区块链的财富效应,想要让财富具备存储的安全性,有待验证,根据互联网资料查证,曾有人购买比特币存入钱包仍被黑客窃取。k5P币知区块链

那么假如是投资到项目当中呢?即便是安全审计过的项目,依然会发起攻击。知名的案例便是THE DAO项目。即便如此,随着越来越多的攻击事件发生,安全审计已被众多新项目创建过程当中必要的程序中,安全被越来越多的业内人士注重起来。k5P币知区块链

六、通过DVP平台数据来看看2019年1月的区块链的安全情况:k5P币知区块链

DVP平台一月漏洞数据k5P币知区块链

vvv.pngk5P币知区块链

1月安全态势各大数据指标依然处于攀上当中,我们从上图可以看到风险厂商的数量是1151家,环比上月增长0.52%;资产损失风险率高达99.49%,环比上月增长0.69%;盗用篡改风险率为61.83%,环比上月增长0.08%;隐私泄露的风险率相较于上月为28.53%,环比上增长0.42%,均与12月相比持上升趋势。k5P币知区块链

bbb.pngk5P币知区块链

风险厂商类型在2019年1月当中,交易平台占比72.09%、矿池占比23.26%、钱包占比2.33%、其他项目方占比2.32%。 我们可以看出交易平台依然是风险厂商系数最高的平台。k5P币知区块链

nnn.pngk5P币知区块链

漏洞类型统计在2019年1月占比分别为:Web缺陷占比75.81%、智能合约缺陷占比22.58%、服务器缺陷占比1.61%。k5P币知区块链

mmm.pngk5P币知区块链

DVP风险厂商榜单TOP 6(移步DVP官网看完整榜单)k5P币知区块链

通过1月DVP平台漏洞数据,我们能够看出目前区块链安全漏洞资产损失事件仍然是区块链项目当中相当重要的一个环节之一,是行业内应该注重关注的方面。区块链项目唯有安全做的好,才会长久并且有源源的生命力,并且将未来的道路能够走的更宽、更长。k5P币知区块链

笔者认为,当下区块链安全漏洞高居不下有以下三点原因:k5P币知区块链

1、技术仍缺乏标准与规范k5P币知区块链

针对区块链发展中存在的技术异构、标准和规范不统一,各家都有自己的基础构架。基础构架五花八门,仍然缺乏标准。k5P币知区块链

2、安全意识仍需普及k5P币知区块链

业内开发人员在编写代码时应着重安全意识的培养,企业团队加强团队开发人员的安全意识,避免因同样的问题造成重大安全问题。k5P币知区块链

3、安全机构和人才队伍亟待建设k5P币知区块链

行业仍需更多专业的机构与安全行业的人才的加入保护,去对抗花样翻新的黑客攻击手段,提升整体安全保障能力。k5P币知区块链

综上所述,2019年随着区块链落地应用场景逐步增多、币价回温、国家政策等综合因素,区块链逐渐更加前进一步。2019年区块链将成为人们探索、改变世界的高价值产品,期待越来越多的好消息传送到每一个行业人的手中。我们能够确定的是:安全成为了人们逐步开始意识的重要角色。从现在来看,如果项目上线,首先对用户来讲,最开始关心的就是安全问题,如果企业产品安全没有做到位,首先遭到质疑的就是企业的技术水平与安全认知。同样用户使用产品的时候也会考虑到资产安全方面的问题。此时,有没有做安全审计就成了用户与企业信任的关键。故,不论是基于区块链还是传统行业,安全审计是必须做的功课。笔者认为,不论任何一款产品,想要拥有源源不断的生命力,就需要提高开发者的安全认知,从第一条代码开始,减少基础上会遇到的安全问题,让项目减少为认知所付出的成本。k5P币知区块链

声明:本站部份文章由机器搜集自互联网,若无意冒犯了您的版权或知识权利,请联系我们(bizhibtc@163.com)!我们将在最迟30个工作日内撤除您的权利内容。
警示: 阁下应知投资决策不能依赖于本网站的任何内容,并以此做为决策依据!

上一篇:马斯克:特斯拉不会涉足加密货币

下一篇:粤港澳大湾区区块链产业图谱:世界拼图最全区域(上)

分享到:
相关阅读
友情链接
© 2018 币知区块链 http://www.beezhi.com/ 中国互联网举报中心 京ICP备18035806号-1 网络文化经营许可证 跟帖评论自律管理承诺书 违法和不良信息举报:bizhibtc@163.com '); })();
文章评论 相关阅读
分享到:
© 2016 币知区块链 http://www.beezhi.com/ 中国互联网举报中心 京ICP备18035806号-1
违法和不良信息举报:bizhibtc@163.com '); })();