网赌平台哪个信誉好:当我们谈论区块链安全时,我们在谈论什么?

去中心化、不可篡改,这些堂而皇之的名词从每一个人的嘴中蹦出来,仿佛区块链的安全性是不证自明的真理;自诩学识渊博者还会搬出“茴”字的四种写法,从SHA到ECC,听者无不叹服。区块链仿佛从诞生的一刻起就被视为固若金汤的良药。然而现实是残酷的,无论是比特币还是以太坊,黑客的身影无处不在,数字货币被盗的新闻屡见报端。

攻击方法

攻击者组合了2个漏洞攻击。攻击者利用的第一个漏洞是递归调用splitDAO函数。也就是说splitDAO函数被第一次合法调用后会非法的再次调用自己,然后不断重复这
个自己非法调用自己的过程。这样的递归调用可以使得攻击者的DAO资产在被清零之
前,数十次的从TheDAO的资产池里重复分离出来理应被清零的攻击者的DAO资产。
攻击者利用的第二个漏洞是DAO资产分离后避免从heDAO资产池中销毁。正常情况
下,攻击者的DAO资产被分离后,TheDAO资产池会销毁这部分DAO资产。但是攻击
者在递归调用结束前把自己的DAO资产转移到了其他账户,这样就可以避免这部分
DAO资产被销毁。在利用第一个漏洞进行攻击完后把安全转移走的DAO资产再转回原
账户。这样攻击者做到了只用2个同样的账户和同样DAO资产进行了200多次攻击。

网赌平台哪个信誉好 1

项目背景

The
DAO项目是区块链物联网公司Slock.it发起的一个众筹项目。原本该公司只想采用DAO(去中心化自治)来运作自己的系统Universal
Sharing Network (USN)。后来发现这个机制也适合其他项目,因此决定创建The
DAO,意为“DAO之母”

作者:黄玲丽

事件经过

由于智能合约上存在重大缺陷,当时区块链界最大的项目,The
DAO被攻击,具体经过如下:

6月15日左右此攻击合约被创立,6月17日攻击开始,Vitalik
Buterin得知攻击消息后立刻通知了中国社区

TheDAO监护人提议社区发送垃圾交易阻塞以太坊网络,以减缓DAO资产被转移的速度。

随后V神在以太坊官方博客发布[紧急状态更新:关于DAO的漏洞]公告。解释了被攻击的一些细节以及提出软分叉解决方案,不会有回滚。不会有交

易和区块被撤销。软分叉将从块高度1760000开始把任何与 The DAO和child
DAO相关的交易认做无效交易,以此阻止攻击者在27天之后提走被盗 

的以太币。这之后会有一次硬分叉将以太币找回。

上文发布后攻击暂停。

以太坊社区的Ethcore团队发布了支持软分叉的Parity客户端。

6月19日自称攻击者的人通过匿名访谈宣布会通过智能合约的形式奖励不支持软分叉的矿工100万以太币和100比特币,来对抗以太坊基金会提议的软分叉。

6月19日攻击又起,但只有少量DAO被分离。

6月22日白帽黑客开展罗宾汉行动将TheDAO资产转移到安全的子DAO中。

随后黑帽黑客(攻击者)开始攻击白帽黑客所创建的为安全转移TheDAO资产的智能合约。

7月20日晚,备受瞩目的以太坊区块链硬分叉已成功实施,中国的以太坊矿池BW.com成功挖得以太坊第192,000个区块,几秒钟过后,该矿池还

挖到了新区块链的首个区块。也预示着由未知黑客持有的价值约4000万美元的以太币,已被转移到了一个新的地址

(0xbf4ed7b27f1d666546e30d74d50d173d20bca754),从而“夺回”黑客所控制的DAO合约的币。从而形成两条链,一条为原链(ETC),一条

为新的分叉链(ETH),各自代表不同的社区共识以及价值观。

但是,这并不意味着我们可以高枕无忧了。2014年底爆发了一批网络钱包失窃案件,究其原因,就是在随机数生成器的实现没有真正“随机”。如今,量子计算机的崛起带来了新的挑战,如果数千比特位量子计算机一旦问世,包括ECC在内的诸多算法都可能沦为虚设。

Code is
Law,和传统软件开发中的迭代更新不同,为了保证代码的可信性,以太坊中的合约一旦部署就再没有修改的可能。我们当然不能期智能合约一旦发布就可以完美无瑕地运行下去,一行有缺陷的代码可能就会将整个合约推向万劫不复之地。

智能合约的出现使得区块链有了无穷无尽的可能性,却也带来了数不胜数的漏洞,以至于莱特币创始人李启威斥责以太坊为“黑客的天堂”,正所谓“成也萧何,败也萧何”。

阻止51%攻击的最后一道防线,便是攻击成功很可能导致数字货币的价值归零,从长远角度看攻击者反而会蒙受巨大的损失。可是,Verge再三受到攻击,比特黄金也难以幸免,频频发生的51%攻击面前,最后一道防线显得疲弱无力。

不过在区块链中,仅仅有密钥是不够的,为了能够实现账户之间相互转账,还需要根据密钥生成公钥和钱包地址,上面所说的ECDSA就是从密钥生成公钥的算法。公钥,顾名思义,在向外转账时会被公开,那从公钥推理出私钥又有多难呢?

值得庆幸是,区块链安全问题引来的越来越多人的关注。当黑客,也就是“黑帽子”们在利用漏洞攫取利润之时,一些安全专家和技术极客站到一起,成为了区块链安全的维护者和捍卫者,他们努力提前发现漏洞并通知项目方,以防被“黑帽子”利用,他们就是区块链界的“白帽子”。

密钥的安全性如何呢?以ECDSA算法为例,每一个密钥由256位01组成,要是随机猜测的话,猜对的概率只有1/115792089237316266660066408626602828282606886466848266086008062602462446642046,大概是1/1077。

宇宙就是一座黑暗森林,每个文明都是带枪的猎人,像幽灵般潜行于林间,轻轻拨开挡路的树枝,竭力不让脚步发出一点儿声音,连呼吸都必须小心翼翼,他必须小心,因为林中到处都有与他一样潜行的猎人,如果他发现了别的生命,能做的只有一件事,开枪消灭之。——《三体》

根据 BCSEC 的统计数据,2018
年上半年区块链行业因智能合约漏洞而引发的经济损失高达11.6
亿美元,占区块链安全问题的 54.66%,成为区块链安全的头号重灾区。

截图时间:2018/9/12 9:08

网赌平台哪个信誉好,来源:https://www.crypto51.app,

“黑帽子”和“白帽子”

2018年5月29号,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

如果算法的实现不出纰漏的话,即便是最有效的攻击方法,其难度依然是指数级的。

2016年6月,攻击者利用区块链业界此前最大的众筹项目TheDAO智能合约中splitDAO函数的一个漏洞,将资金从The
DAO项⽬的资产池中源源不断地分离出来,转移到自己的子DAO中,在短短的三个小时内,300多万以太币被转出The
DAO 资产池,以太坊也因为这件事故被迫分叉。

51%

密码!密码!

You can leave a response, or trackback from your own site.

Leave a Reply

网站地图xml地图