betway88必威 1

当有人提到区块链时,首先想到的是什么?很多人可能会说比特币,这是意料之中的,因为比特币是第一个让区块链家喻户晓的主要加密货币。然而,比特币只是众多加密货币中的一种,虽然它是区块链技术的第一次大规模实施,但它只是区块链用来帮助社会和商业的多种用途的应用之一。

随着一度被誉为“不可破解”的区块链一次又一次遭到黑客攻击,加密货币及其交易网络中的安全漏洞正被越来越多的人利用。
上个月,总部位于加州旧金山的数字货币交易所Coinbase的安全团队发现,可以在其交易平台上买卖的加密货币以太坊
Classic受到了攻击。访问Coinbase网络的黑客重写了该平台的部分交易历史,使用户能够多次使用相同的加密货币。

IBM 安全团队宣布推出新的区块链安全测试服务X-Force
Red,以帮助企业识别采用区块链技术的解决方案中的弱点。这项名为X-Force
Red区块链测试的新服务评估了整个实施过程中,用于管理区块链网络的后端流程和实际的分类账环境,以识别可利用的漏洞。

betway88必威 2图片发自简书App

Coinbase声称,黑客没有从其账户窃取任何资金,但这只是针对加密货币及其交易平台的一系列网络犯罪攻击中的最新一起。
根据麻省理工学院的《技术评论》,自2017年以来,黑客窃取了大约20亿美元的加密货币。报告称,黑客攻击不仅是由个人实施的,而且是由网络犯罪组织实施的。

根据国际数据公司 IDC 最近的一份报告,预计到 2021
年全球区块链解决方案的支出将达到97
亿美元,这表明区块链的实施可能会在未来几年呈指数级增长。据 IBM
称,建立强化的行业标准将是实现区块链被企业广泛采用的关键下一阶段。

区块链技术提供了一种在分布式分类账中存储数据的方法。数据存储在区块中,在这个区块中数据被数字化记录,并与其他区块链接在一起,形成一条链。该链提供了所有记录数据的整个历史。数据以交易的形式提交到链中。这些交易只有在通过区块链网络的共识协议验证后才会被添加,所以此真相只有一个版本。存储在区块链上的任何数据都是“不可变的”,这意味着它不能被改变。此外,所有的网络参与者都有一份数据副本,这意味着一切都是透明的,每个人都有同样的真相。

betway88必威 3

IBM X-Force Red 全球主管 Charles Henderson
表示:“尽管区块链在保护数据完整性方面是一个突破,但这并不意味着利用它的解决方案就能免受攻击,这就是为什么在开发期间和部署之后都必须进行安全测试。”

区块链技术的第一次重大应用是在2008年随着比特币的发布而推出的,但只是在过去的几年里,企业才开始认识到这种技术的潜力。之所以会这样,是因为在过去的十年中,安全存储、计算能力和通信的成本已经大大降低。因此,更多的创新进入了主流市场,服务于普通消费者。

由于欺诈性的区块链交易无法逆转,而且通常是代码中独特漏洞的结果,因此加密货币盗窃正变得越来越普遍。

在典型的区块链测试活动过程中,由黑客组成的 X-Force Red
团队将使用与攻击者相同的工具、技术、实践和思维方式入侵区块链网络,并进行评估:

这同样适用于商业领域。如今,我们开始看到许多行业采用区块链,包括金融、食品服务、医疗保健、航空、汽车和物流。2017年,区块链的市场估值为7.08亿美元。两份独立的报告估计,到2024至2025年,市场价值可能在20美元至600亿美元之间。这一显著增长意味着在不到10年的时间里增长了8300%。

“区块链是一系列不可变的数据记录的时间戳,由不属于单个实体的计算机集群管理,这些数据块中的每一块都是安全的,并使用加密原则相互绑定。”

身份和访问:X-Force Red 将评估如何管理访问 /
向区块链添加信息的权限,包括密码策略、暴力攻击的易感性以及双因素身份验证的实施;

我们仍处于探索这项技术的早期阶段,充分实现其应用和潜力需要时间。例如,电脑花了将近10年的时间才达到80%的使用率。对于企业来说,区块链技术只是在2015年末才出现。那么这到底是什么意思?当我们看到一项新技术的出现和稳步发展,那些喜欢站在技术尖端的人都为区块链提供的无尽可能性而兴奋。话虽如此,但随着新技术的发展,也带来了新的挑战,特别是在安全方面。

另一方面,区块链协议是一组指导方针,概述网络中的计算机如何验证新事务,然后将这些事务添加到数据库中。

公钥基础设施:确保与区块链网络相关的数字证书和密钥的安全创建、管理和分发;

大的实现,有限的专家

然而,区块链系统越复杂,错误发生的可能性就越大。但是协议并不是软件唯一可以利用的方面。要交易加密货币,还需要访问加密货币服务器提供的服务的软件客户机,这是易受漏洞影响的另一段代码。

智能合约缺陷:进行渗透测试,确保智能合约没有可利用的漏洞;

深入理解区块链基础架构的人通常是区块链开发人员和架构师,他们的人数正在不断增加,但仍然很少。如果你在区块链的安全专家层,你会发现这个数字甚至更小。几乎不存在任何关于区块链安全性的公开信息或指导。

最常见的攻击是对加密货币交换的攻击,用户购买、交易、出售和持有加密货币的网站。其中一种攻击被称为“51%攻击”,一群矿工控制了网络计算能力的50%以上。

软件供应链攻击:可以在设计和实现期间测试公共库和组件依赖性攻击,以确保安全依赖关系签名和信任构建管道。

那么,在不了解可能导致整个系统崩溃的潜在攻击途径和风险的情况下,开发这些成熟的解决方案意味着什么呢?从本质上讲,区块链的分散特性,加上共识协议,有助于满足一些安全需求,但如果不充分探讨安全性,后果可能是可怕的。

比特币挖掘是将交易记录添加到加密货币区块链过去的交易中的过程。在51%的攻击中,黑客可以阻止新事务得到验证,并逆转那些已经完成的事务。

近日,微软发布了第 24
期年度安全情报报告,报告包括用户首要行动清单,以确保不会受到勒索软件、加密货币挖矿软件或国家支持的黑客攻击。其中,加密劫持恶意软件已经成为用户最急需处理的攻击行为,勒索软件则退居第二。

区块链是代码,代码可能有缺陷

然而,根据Crypto51网站的说法,要想对热门区块链发起这种攻击,需要耗费大量的采矿能量——每小时的成本超过26万美元。但是,使用不太流行的加密货币进行类似攻击的成本会降低。

安全专家警告说,区块链的实现将给公司带来各种各样的风险。但由于该技术还处于开发或测试阶段,目前还没有关于针对企业网络攻击的事件报道,但加密货币本身及交易所的攻击一直不断。

正如前面提到的,区块链的核心概念很简单:它是一个分布式的、不可变的、在加密学上有保证的分类账,可以与应用程序(通常被称为“智能契约”)进行交互。

2018年,攻击者对边Verge、Monacoin和比特币黄金等不太受欢迎的加密货币发起了51%的攻击,窃取了大约2000万美元的加密货币。据科技评论网称,
Ethereum Classic遭受的类似攻击造成了100万美元的损失。

今年 1 月,以太经典 ETC 遭遇成功的 51% 攻击,攻击者在 4 个小时内,用超过
51% 算力双花了至少 4 笔总计 54200 个 ETC,价值 271000 美元。

智能契约是由无数行代码组成的,这些代码存储在区块链中。这些契约在满足预定的条款和条件时自动执行。它们是可以复制流程或业务逻辑的小型程序,可用于在多个当事人之间强制执行协议,从而使它们能够确定结果,而不需要任何中间人。

David
Vorick是基于区块链的文件存储平台Sia的联合创始人,他告诉麻省理工学院的论文,他预计51%的攻击频率和严重程度会增加。

有媒体总结,自 2017 年初以来,黑客总共从交易所盗取了近 20
亿美元的加密货币。

例如,智能契约可能用于医疗保健行业。用户的数据,如血压和其他指标,可以发布到一个链上,一旦一个指标上升到指定的阈值以上,智能契约可以执行诸如通知用户和/或过程,如与专家进一步协商,以解决他们的健康问题。一个能够破坏智能契约的缺陷可以允许攻击者修改代码中的关键细节。在上面的示例中,如果攻击者能够影响业务逻辑或引入额外的代码来执行意外的操作,会发生什么呢?

“在选择支持哪种加密货币时,交易所最终需要严格得多,”Vorick说。

据报道,攻击者在 2018 年开始爆发51%
攻击,目标是如Verge、Monacoin和Bitcoin
Gold等一些较小市值的加密货币,攻击总额达 2000 万美元。

但是,与许多强大的技术一样,区块链在概念上是直截了当的,但如果执行不当,缺陷和漏洞可能会导致风险并引起安全隐患。想想如果一个人可以在智能契约的数据被存储在链上之前改变它,会发生什么呢?链上的数据应该是可以信任的,对吧?那么,导致业务逻辑不按预期运行的智能契约怎么办?

除了51%的攻击,智能合约可以帮助减少攻击——运行在区块链网络上的加密货币交换自动化代码——漏洞是区块链的一个明显的安全弱点。《科技评论》报道称,利用智能合约软件的一种方法是“创建一种投票机制,让风险投资基金的所有投资者能够集体决定如何分配资金”。

区块链文件存储平台Sia 联合创始人兼首席执行官 David Vorick预测,2019 年
51% 攻击事件将大幅增加。Vorick
认为攻击的成功是由于被黑客盯上的加密货币的协议存在基本弱点。

在过去的几年中,X-Force
Red发现区块链生态系统中引入了过多的风险,在这些系统中,可能会在用户和管理级别滥用访问控制。例如,一些漏洞可能使攻击者能够向网络注入恶意代码,从而有效地危害所有节点。

2016年,一个名为“去中心化自治组织”的基金正是利用以太坊成立的。然而,智能合约中的一个缺陷允许攻击者继续从帐户请求资金,而无需系统记录从帐户中提取了多少资金,从而导致价值6000多万美元的加密货币被盗。

我是Odaily星球日报记者遂心(微信号wsuixin12),加好友烦请备注姓名、单位、职务和事由。

撇开技术不谈,你的标准日常应用仍然需要在一定程度上与链进行交互。我们的渗透测试人员可能会危及这些组件,并在几乎没有安全保障的后端系统上转到后端系统,使攻击者能够在链上插入数据或执行任何公开的功能。函数可以包括权限更高的权限管理访问或访问用户不应该访问的数据。如果发生这种情况,环境如何保护自己免受恶意行为的影响?

虽然开发人员可以通过构建“集中式杀伤网络”来结束这些攻击,以便在检测到攻击时停止所有活动,但追赶那些利用代码漏洞的攻击者的步伐一直比较缓慢。

betway88必威,提高区块链安全标准

像AnChain初创公司。旨在通过使用人工智能检测可疑活动,同时使用智能合约码来扫描潜在的漏洞,以消除这些类型的攻击。

安全性就是把门槛提高到足够高,攻击者很难利用任何漏洞。如果他们发动攻击,他们就会在网络上制造足够多的噪音,以便被检测到,而事件响应程序有望关上大门。因此,从应用程序和网络级别进行监视是保护区块链实现的关键。内部主机是否应该扫描您的内部网络?我认为不是!

很多公司正在开发使用“正式验证”的审计服务。“正式验证”是一种计算机科学技术,可以从数学上测试一份合同的代码是否能达到预期目的。

另一个预防措施是借鉴著名电视节目《x档案》(the X-Files),不要相信任何人:

·
构建分层防御,其中解决方案的每一层都对其上的所有层提供一定程度的不信任。

·
在应用程序层和区块链层都实施严格的访问控制,以防止过度许可的访问和滥用。

·
确保在处理包括关键材料在内的所有敏感信息时,有强有力的治理控制和过程。如果您的证书颁发机构被泄露给未经授权的第三方,那么游戏就结束了;他们将完全控制您的区块链环境。

·
实施强有力的变更控制和安全的代码评审过程,以确保所有配置设置和源代码尽可能安全,并且不包含任何可能被滥用的弱点。

这些只是一些基本的操作,您可以采取这些操作来帮助保护启用区块链的环境的完整性、可用性和保密性。

在X-Force
Red,我们有许多经验丰富的黑客,他们拥有区块链特有的技能集,可以对区块链技术和互联基础设施中的任何东西进行安全评估和渗透测试。

IBM是区块链技术行业的领先者,因此,我们的X-Force
Red黑客在与该领域领先的专家合作时,会接触到该技术的许多领域。

这一切最终形成了对技术的深刻理解,以及从端到端角度评估任何支持块链的解决方案的能力。X-Force
Red可以从设计/架构的角度审查环境,并手动审查智能契约、访问控制、关键组件的配置等。我们还可以测试所有与区块链接口的应用程序和技术,与关键的涉众和开发人员合作,以充分认识他们可能面临的潜在风险,并帮助减少妥协的风险。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章