當前位置:首頁 > 物聯(lián)網(wǎng) > 區(qū)塊鏈
[導讀] 已經(jīng)過去的2018年,區(qū)塊鏈行業(yè)安全事件頻發(fā)。交易所、錢包、合約、公鏈項目都受到了嚴峻的安全挑戰(zhàn)。有人說,隨著區(qū)塊鏈熊市的到來,資金的短缺使得安全防護能力正在減弱。區(qū)塊鏈安全也沒有那么熱門和受人

已經(jīng)過去的2018年,區(qū)塊鏈行業(yè)安全事件頻發(fā)。交易所、錢包、合約、公鏈項目都受到了嚴峻的安全挑戰(zhàn)。有人說,隨著區(qū)塊鏈熊市的到來,資金的短缺使得安全防護能力正在減弱。區(qū)塊鏈安全也沒有那么熱門和受人關(guān)注了。

但是,從各種數(shù)據(jù)來看,不管是區(qū)塊鏈安全事件、還是勒索軟件、挖礦木馬等與區(qū)塊鏈相關(guān)的威脅仍然在持續(xù)。對此,Trias區(qū)塊鏈安全專家說,提升安全意識應(yīng)該作為一種行業(yè)共識,這樣才能促進整個區(qū)塊鏈行業(yè)的良性發(fā)展。針對去年一些典型的安全事件,下面Trias安全專家做了解讀,并對一些行業(yè)問題發(fā)表了自己的看法。

Q1: 前段時間,ETC遭受51%攻擊,我看網(wǎng)上有很多人說,這將成為所有PoW小生態(tài)夢魘。對此你怎么看?

PoW本質(zhì)上就是在所有提供算力資源的集群中通過一種算法機制選擇出一個幸運節(jié)點,并且因PoW算法不存在交易終結(jié)確認(即可被后期追趕的最長鏈推翻)狀態(tài),一旦總算力過小,則非常容易被攻擊者通過租借算力等方式劫持整個區(qū)塊鏈,嚴重影響區(qū)塊鏈系統(tǒng)的安全性。

在我看來,以上問題出現(xiàn)的根本原因是PoW共識算法的機制問題,針對總體算力不高的區(qū)塊鏈系統(tǒng),應(yīng)避免使用PoW共識,采用PoS,DPoS,PBFT算法等。

Q2: 從賬戶安全問題來講,密鑰存在嚴重的安全隱患,問題的根源在于部分密鑰生成工具允許用戶采用較弱的助記詞組合。

去年EOS 賬戶遭受彩虹攻擊, 就是一些EOS 錢包采用強度較弱的助記詞組合。那么什么是“彩虹攻擊”,關(guān)于用戶私鑰的生成、使用與保護,有什么好的建議?

所謂“彩虹攻擊”,即通過事先遍歷所有常見的助記詞組合并預先生成對應(yīng)的公私鑰,然后在網(wǎng)絡(luò)中尋找已經(jīng)被彩虹表記錄碰撞出來的賬戶,一旦被彩虹表碰撞,則意味著攻擊者擁有了對應(yīng)賬戶的控制私鑰,驗證威脅賬號安全。

用戶私鑰的生成最好使用隨機字符串進行生成,若允許用戶自定義輸入則必需輸入足夠復雜的助記詞,私鑰的使用必需恪守在本地使用的原則,不允許進行網(wǎng)絡(luò)傳輸,對于私鑰至少應(yīng)該加密保存到本地,按照需求進行離線保存使用。

Q3: 我們剛剛談到賬戶安全的問題,那么Trias是如何保護用戶交易隱私的?

Trias采用隱私地址的方式來處理發(fā)送方和接收方的地址,使隱藏交易雙方的地址信息;

通過零知識證明的方式對交易金額進行加密保護;

在一筆采用了隱私地址和零知識證明的Trias交易中,礦工只能驗證并記錄執(zhí)行交易,無法獲知其他任何有效信息。

Q4: 你在前面提到,智能合約的安全威脅目前比較嚴重。大家都知道,2018年,EOS 被爆出可能存在BEC 代幣合約類似的整數(shù)溢出漏洞。能否談一下什么是整數(shù)溢出漏洞以及它可能帶來的后果?

在當前普遍存在的智能合約中,其中針對數(shù)值的計算和存儲都是在無符號整數(shù)的范圍中計算和存儲,一旦提供的數(shù)字輸入或計算結(jié)果超過定義的字節(jié)數(shù)(即其數(shù)值范圍超過了正常能夠表示的數(shù)值范圍),則會發(fā)生數(shù)值溢出情況,導致歸0或變成超大數(shù)。

此種情況一旦在合約中出現(xiàn),極易影響其合約中的處理邏輯和數(shù)值狀態(tài),導致引發(fā)驗證的安全問題。

數(shù)值上下溢出問題屬于典型的智能合約安全漏洞之一,所以我建議,在開發(fā)數(shù)值計算相關(guān)的智能合約時盡量使用安全數(shù)值計算庫,并做完整的生命周期式安全合規(guī)檢查,這樣可以簡單而有效的避免此類問題的發(fā)生。

Q5: 如果把區(qū)塊鏈安全劃分為非常安全、安全、令人堪憂、極度危險四個等級的話。你覺得目前區(qū)塊鏈行業(yè)屬于哪個等級?

從我個人的角度來看,我認為目前的區(qū)塊鏈安全處于令人堪憂的階段。

現(xiàn)在整個區(qū)塊鏈行業(yè)處于爆火階段,各方的參與者重點關(guān)注的方向主要還是區(qū)塊鏈系統(tǒng)的生產(chǎn)落地。就安全方面的考慮,除了部分業(yè)內(nèi)的頂級公司,其余各方在安全方面所做的工作的確令人堪憂,尤其在智能合約安全性方面,因開發(fā)者安全意識的總體不足,目前在此方面的安全威脅是最嚴峻的。

但是,這僅僅是現(xiàn)狀,我相信通過各方參與者的努力,可以有效提升整個行業(yè)的安全水平。比如,加強區(qū)塊鏈和合約開發(fā)者的安全意識,充分發(fā)揮社區(qū)眾測和專業(yè)區(qū)塊鏈安全企業(yè)的作用等等。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉