智能合约、数字钱包是区块链安全事件频发“重灾区”

发布者:Xiaochen520最新更新时间:2018-06-06 来源: 21IC中国电子网关键字:区块链  比特币 手机看文章 扫描二维码
随时随地手机看文章

上市之后的360似低调了一些,直到5月29日凌晨向EOS官方提供安全漏洞。去年5月份WannaCry勒索病毒在全球肆虐,安全产品负责人孙晓骏在媒体沟通会上说过,“这回黑客有点‘人性化’,还手把手教你怎么用比特币支付勒索费用。”


无巧不从书的。比特币至去年5月份之后开始一路飙升,在5月30日EOS对比特币的价格走势是略跌0.37%(更多人相信安全漏洞发现等于提前“排雷”)。周鸿祎虽公开称自己不懂区块链,其实他懂不懂不要紧,底下的人懂就行了,他坚信“代码是人写的,肯定会有漏洞的。”在区块链的数字世界中,漏洞同样也会无所不在。


区块链风口刮来的重要因素是,区块链的确比一般互联网在理念和架构上更加注重“安全”,“分布式机制”保证了数据流的完整一致、不可篡改的特点。举个例子更容易理解,阿星最近了解到国内已有做智能锁老板开始研发“区块链锁”了,而现有移动互联网提供“中心化”云端服务器,黑客攻击能够砰砰同时打开非常的房门,而在“去中心化”网络中安全系数无疑高出很多。


一、比特币“交易所”为何成为黑客攻击的头号目标?


下手者目的很简单,就是为窃取钱财而来,技术手段极为缜密,比特币、区块链安全问题显然也比传统网络安全更为复杂。


2017年12月份告破的全国首例比特币被盗案,戴某把正版钱包软件破解之后植入获取用户账户名和密码的爬虫文件,在聊天群中丢给吴某下载安装,随后吴某的电子钱包软件中181个比特币被清空。戴某让多人下载其钱包软件的说辞极其简单:“比特币放在交易所不安全”,这是有前车之鉴的。


交易所目前是所有数字加密币的存储中心和流通中心,自然是黑客头号目标。2014年,当时全球最大的比特币交易所Mt.Gox宣布因遭受黑客攻击,其CEO马克·卡尔普称“平台上85万个比特币因公司系统漏洞被盗一空”而MT.Gox在日本旋即申请破产保护,而Mt.Gox是否监守自盗成为一桩未了公案。三年后,“黑客”再次成为背锅侠,2017年12月19日韩国比特币交易所Youbit同样因黑客攻击丢失4000个比特币后破产,故事惊人的相似。

 

 

传统网络攻击往往是挂木马病毒,或者制造一些伪正常访问的DDos攻击让网站宕机;现在的网络攻击则是在“挖矿”时就挂了恶意脚本,黑客下手重点攻击的目标的确是交易所存储的加密货币,如果这个时候交易所缺乏职业操守的话,情况会非常不妙,据资深币圈玩家小K向阿星爆料:“不怕交易所跑路,就怕交易所套路。定点爆仓、回滚、拔网线、机器人交易、冻结账户会造成亏损,而维权太难了,现在交易所服务器都在境外。”


赵长鹏从OKCoin跳槽出来创办“币安”,取这个名字是别有深意的。由于比特币交易还处在消息极易影响市场行情的阶段,黑客除了直接窃取货币,还能通过碰瓷“做空”来牟取暴利,成为极其隐秘的“庄家”。今年3月币安遭受黑客攻击,币安及时中止了用户加密币提现,未发生盗币,但是比特币因此下跌10%;据比特律动报道称,一些用户账户加密币被黑客换成比特币之后,大量买入VIA(维尔币),由此将后者价格拉升了110倍……


二、智能合约、数字钱包是区块链安全事件频发“重灾区”


目前区块链交易所共有数百家,谁家的技术对黑客防御指数高、抗风险能力强,运营规模及时间更长,就更能够聚集起用户的币,相应的赔付能力也更有保障,所以交易所极易“头部化”,并成为现阶段产业中心的原因。除了交易所攻击之外,黑客以及一般蟊贼智能合约和数字钱包领域神出鬼没,同样影响深远。


1.智能合约可能被黑客利用


2016年6月17日,众筹超过1.5亿美元的TheDAO由于出现安全漏洞,黑客攻击导致价值超过6000万美元的300万个以太币被盗。经大量讨论、投票、争取、尝试后失败、再次尝试,在以太坊区块链官方的提议下,以太坊进行了“硬分叉”,数据回滚至整个网络中由于安全攻击而被影响的以太币,最终TheDAO黯然退市。由于以太坊网络中所有矿工没有达成完全一致的回滚共识,最终酿成以太坊网络分裂成至今“以太坊”(ETH)和“以太坊经典”(ETC)的格局。


区块链的技术特性决定了智能合约带有病毒的传播特性,一旦本身出现漏洞被黑客加以利用,影响是传统网站的百倍计,并且很难短时间修复。从某种程度上,去年WannaCry勒索病毒就是典型的区块链“智能合约”的应用场景之一,黑客把勒索病毒的智能合约发到网上,无须黑客进行任何其他操作实现比特币到账即自动解锁电脑自动化。

 

(WannaCry就是典型的区块链智能合约应用,黑客玩的很溜了)


庆幸的是,合约发布方们已经意识问题严重性,开始执行严格的智能合约审计,为智能合约筑起区块链“马其顿防线”成为趋势。


2.数字钱包中的资产不翼而飞原因多样


“数字钱包”是用来存储数字货币的软件载体,其中,不联网存储私钥的是“冷钱包”,目前市面上的硬件钱包就是冷钱包;而把私钥托管在网络的叫“热钱包”,比如如电脑客户端钱包、手机App钱包、网页端钱包等等。


数字钱包就像是直接在区块链世界里的“余额宝”,现在已经有一些实体店开始支持比特币支付了。但与余额宝、银联卡的货币存储在银行,即便被偷被骗也可追溯,毕竟银行账户都有实名认证,而数字货币往往相对更难追溯,一旦被骗就很难找回,目前比特币及代币的监管难度比较高;而不可篡改则意味着钱一旦被骗走,交易就不可能回退,基于这两点,数字钱包成为黑客眼中的“肥肉”。


从数字钱包从设计、发布、下载、安装、运行的途中但凡出现问题,均有可能中招。比如,是否通过官方渠道下载钱包,如果从第三方软件平台下载,会不会下载到有恶意插件的?即便通过官方渠道,是否处于安全的wifi环境?即便网络环境没问题,官方渠道的下载地址会不会遭到攻击?就算这些雷一一避开,数字钱包本身是否可靠?厂商有没有为了使用便捷而忽略安全运维?厂商是否具备安全存储用户私钥的能力?


三、如何保护好自己的数字货币?有哪些实用干货


安全是区块链的“地基”,但是在区块链的江湖里,有最优秀的创业精英,也有最优秀的骗子,基础的确并没有小白们想象的那么牢靠。提出安全隐患得有针对性的解决办法才算圆满,阿星在采访众多老韭菜和老师之后,拿到了不少压箱底的干货建议,经过授权后拿出来发表,值得普通投资者拿小本本记下来:


(1)市面大多数加密货币钱包是中心化钱包,一旦发生意外,用户资产丢失后难以追回;对于投资者而言,倘若持有大量的数字资产,更适合选用“去中心化钱包”,毕竟大量的资产由自己掌握才最放心。而对于短期的小额投资者而言,中心化的钱包的优势在于,使用体验更加便捷,不过分批存放入不同的钱包更稳。


(2)普通比特币持有者账户可以“币托”服务实现权益转移,当交易所发生不可抗力因素用户失去控制账户能力情况下,可通过“币托”来实现与权益人(家人、朋友等)共同管理账户,实现账户权益的传承。


(3)个人数字钱包的“私钥”绝对不能外泄,“公钥”是收款地址,就好比自己的门牌号码,而私钥/助记词/keystore等相当于自家的“钥匙”,这三类中任何一项均不要随便泄露给别人,最好是能够离线保存或保存在加密本地存储硬盘或U盘里。


(4)数字货币投资者在转账时要反复确认转币对象和地址,因为钱包地址一般一串很长的字符,最好直接复制,并核对一遍;因而交易是不可逆的,一旦打过去就是别人的了。注意不要因为一些“更低的手续费”、“更多的额度”等承诺而绕过平台担保,进行私下点对点交易,一旦发生很难追回。


(5)平时用户养成良好的使用习惯,多留个心眼,比如选择主流交易平台,从官方渠道下载钱包客户端;备份好自己的钱包文件;设置复杂的密码;在不同的平台使用不同的登录口令;谨慎下载论坛、社群里的文件,不要点击来路不明的链接防止钓鱼软件中招;钱包地址尤其是私钥绝对保密,在访问平台时,反复确认域名以防止进入山寨网站;尽量在私人的局域网和自己电脑或手机设备上网操作,杀毒软件定期清理和更新必不可少等等。


阿星怎么看:


移动支付的流行是由于阿里和腾讯在安全投入很多看不见的技术支撑一样,在区块链安全上挑战更大、情况更为复杂,目前数字货币及token是目前区块链最主要的应用场景之一,利益激励让目前的区块链成为利益告诉流通的新兴领域,如果没有“区块链安全”为交易所、智能合约、数字钱包做好维护的话,区块链美好的数字世界生态图景都将是空中楼阁,区块链安全也是一件不可能有终结的工作,这将是未来新的“道魔较量”!

关键字:区块链  比特币 引用地址:智能合约、数字钱包是区块链安全事件频发“重灾区”

上一篇:恩智浦携手生态合作伙伴加速推进安全边缘解决方案
下一篇:三款新型D类放大器破解智能家居音频设计难题

推荐阅读最新更新时间:2024-03-30 23:54

高速运算特别是比特币挖矿带旺半导体
多家证券机构发布报告称,半导体产业景气将由第1季淡季逐渐步出谷底,当中又以高效能运算(HPC)发展最强劲, 可望成为带动半导体产业成长关键。 包括富邦证券、统一投顾、玉山投顾及宏远投顾近期发布半导体产业前景报告,乐观展望2018年表现,当中又以富邦证券、统一投顾最乐观,认为半导体业已逐渐摆脱第1季营运谷底,第2季起动能转强, 其中推升产业成长最大推进力来自高效能运算应用,尤以AI人工智能及虚拟货币挖矿潮,带动的半导体需求最强劲。 玉山投顾分析,比特大陆占全球份额七成以上,旗下最高端挖矿机种蚂蚁矿机S9搭载189颗ASIC芯片,目前挖矿难度提升,各大矿池需动用上百台挖矿机作业,也推升ASIC芯片需求, ASIC芯片系采用台积电16n
[半导体设计/制造]
区块链为能源互联提供真实可信数据支撑
中国储能网讯 :“区块链技术在能源互通互联中扮演着什么角色?一是记忆、二是计算。可以说区块链就是智慧能源的记忆中枢,完全记录了整个能源生产、消费等过程,通俗一点说,区块链就是利用计算机程序在全网记录所有交易信息的‘公开大账本’。可以使整个产业链条中的参与者决策安全。最大化的发挥它的效益。”近日,北京航空航天大学朱皞罡教授表示。 据了解,区块链最早应用于金融投资、银行等领域。在风靡金融业后,近年来区块链开始在高技术门槛、资本密集型的能源行业走红,尤其是在电力领域内将有着举足轻重的作用。 区块链是一个去中心化的数据库 “互联网+”智慧能源试图建立“一种互联网与能源生产、传输、存储、消费以及能源市场深度融合的能源产
[新能源]
如各位所愿,比特币价值终于“跳崖式”下跌
从周三到周四, 比特币 在牛市与熊市间穿梭,伴随其间的是比特币期货上市的热潮和央行高官的警告。   交易平台Bitstamp数据显示,周四美股盘前,比特币一度跌至9000美元,日内跌幅达到8%,不到24小时跌逾2000美元,市值蒸发约五分之一。截至发文,比特币站上9300美元,日内跌约5%。        此前有提到,从10000美元到11000美元,比特币用了12个小时,近6个小时后一度跌破8600美元,从牛市进入技术性熊市,到周四亚市交易时段,比特币仅用三小时反弹逾20%,走出熊市。   在比特币如此惊人的波动期间,一些央行高官纷纷表态。   美国时间本周三,欧洲央行副行长Vitor Constancio接受CNBC采访时说
[嵌入式]
混合型加密货币首次解锁其数字生态系统
DasCoin 是一种区块链货币,也是一个创新数字资产系统的核心组成部分。该货币现在 GitHub 发布了其区块链的源代码。作为一种创新的加密货币,DasCoin 将强大的自我管理能力和联合区块链融于一身,而公布源代码也体现了 DasCoin 的重要特征:透明性。   目前,DasCoin 已经跻身世界领先加密货币之列,今后 GitHub 将成为其源代码的保管箱。很多潜在客户在做出购买决策之前,都会使用这个平台对代码进行分析。   DasCoin 区块链以 C++ 创建,以 Bitshare 的 Graphene 平台为基础。这个平台有着非凡的速度、可拓展性和效率,成为目前历史上最长的分布式账本技术平台(ledger),同时具备吸
[嵌入式]
结合区块链技术,XnBay 推动台湾第一个共享经济储存平台
台北,台湾 - Media OutReach - 2018年7月6日 - 获选为经济部云端服务暨巨量资料产业发展计划-COMPUTEX 台湾云端主题馆(Taiwan Cloud Expo) 代表厂商, XnBay  Technology「安心倍科技」以专利的创新 储存 产品暨研发成果,得到众多国际买家的热烈询问及肯定。   XnBay 安心倍科技,结合 AI人工智能的深度学习影像辨识技术,并运用大数据分析的算法,打造出可低功耗进行人物境辨识的 XnBay 智慧储存服务器。以"超越云端、无所不传"为目标,独家开发的开心相簿 App 能自动备份照片、影片,释放手机储存空间,在自动分类整理影像之后,会出现令人惊喜的情境相簿,还可以无限量
[嵌入式]
苹果联合创始人沃兹:区块链炒作类似当年网络泡沫
网易科技讯 6月27日消息,据美国媒体报道,苹果联合创始人、著名的比特币投资者史蒂夫·沃兹尼亚克表示,围绕区块链的炒作很像本世纪初网络泡沫时期的情形,在那个年代很多公司都迅速破产了。 周二沃兹尼亚克在纽约NEX科技会议上称:“那是泡沫,我对区块链也有这种感觉。”他提醒观众,当时许诺在互联网从事改变生活业务的公司很大一部分迅速破产了。不过他表示,区块链技术有现实的应用潜力,因为其“去中心化和完全值得信任”。但像互联网一样,要符合早期炒作的期望需要更长时间。 沃兹尼亚克称:“如果你看看现在,你会说所有互联网事物都发生了,我们明白这点,只是花了一点时间。这不是一天能实现的,很多早期出现的很好的区块链理念,如果没有为长期稳定运营做准备,可
[手机便携]
比特大陆计划何时上市?
据外媒报道,中国最大的 比特币 挖矿公司 比特大陆 计划在IPO前筹集最多10亿美元,尽管比特币价格下滑打击了该公司产品的需求和价格。   比特大陆的比特币挖矿算力合计占到了全球一半以上。据知情的律师和银行家表示,该公司还在考虑进行首次公开募股(IPO)上市。目前两家竞争对手已经在香港提交上市申请。比特大陆拒绝置评。   据公布给投资者的文件显示,比特大陆目前的估值约为140亿美元,去年的营收为25亿美元,净利率接近50%。今年第一季度,其营收为18.6亿美元,其中超过90%来自于销售挖矿 计算机 。   但随着比特币价格下跌,比特大陆挖矿设备的价格也随之下滑。据Coindesk的数据,比特币价格在今年1月达到了19343美元的峰
[嵌入式]
留给区块链项目的时间已经不多了
“币圈越是低谷,就越是链圈创业者的机会”,这句话似乎给“熊市”里的 区块链 项目方们带去了一丝希望。但资金离场后,项目方一下子变得捉襟见肘,却也是无可争辩的现实。   根据相关统计数据显示,2018年上半年,国内主流交易所 ICO 上币后破发率超过 95%;而截止今年8月,全球ICO融资总额仅为1.95亿美元,与今年1月相比减少超过87%。   “这还不是冬天,恐怕才是秋天而已”,一位Token Fund(代币投资基金)投资人如此感慨。   从只有小部分“有钱有闲”的技术极客私下把玩的游戏,到被由币价吸引来的各路资本迅速催成的产业泡沫,再到今天“万币归零”后难以为继的过气标的,区块链就像任何一个创投风口一样,在短时间内就历经了过山
[嵌入式]
小广播
添点儿料...
无论热点新闻、行业分析、技术干货……
最新物联网文章
换一换 更多 相关热搜器件
电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved