最近我留意到一些区块链按全问题,特意在此梳理了一下。希望在区块链发展之路上,能关注到区块链的问题安全。
一:51%的攻击和双花攻击
当有一组矿工控制超过Token哈希算力(计算能力)的50%时,可能会发生51%的攻击(也称为“多数攻击”)。 实际上,“51%”其实用词不当; 一个成功的攻击实际上仅需要50%+ 1的哈希算力。
51%攻击未必是双花攻击,而双花攻击一定要在51%攻击的前提下进行的。
51%算力攻击的根源是共识机制,因为比特币使用算力作为竞争条件,51%算力攻击就是攻击者掌握超过51%的资源,使新的交易不能被确认,从而终止交易。也可快速完成交易的确认,使攻击者的交易信息更多地接入区块链,造成区块链的安全隐患。
双花攻击的起因是验证机制,若在控制51%算力的基础上创建新分支来进行交易回滚,即需两次相同资产来得到第一笔交易的资产,从而影响了区块链的完整性,造成双花攻击。
二:智能合约漏洞
智能合约的本质就是一段代码,而代码就有可能存在漏洞。
现存智能合约安全问题包括存储损坏、整数溢出等,通过控制合约中的令牌对合同用户造成破坏。
网络中每个节点都在本地机上运行程序,攻击者可造成虚拟机执行无限次循环程序甚至完全控制机器,从而造成智能合约虚拟机漏洞。
三:DDoS攻击
DDoS攻击,分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。
这是互联网上一种非常普遍的攻击,在区块链领域同样存在。
在区块链中,DDoS通过向节点发送大批量请求,使造成拒绝服务攻击的威力成倍放大;通过漏洞占用节点的内存,造成系统崩溃。DDoS攻击造成的经济方面的损失只是一部分危害,最重要的是造成信任度降低。
四:分叉
分叉问题指的是当区块链的系统升级时,共识机制也产生了新协议,已经升级了的节点称为新节点,而没有升级的节点为旧节点。
分叉又可以区分为硬分叉和软分叉,硬分叉比软分叉影响更大。历史上比特币、以太坊都发生过分叉。
五:日蚀攻击
日蚀攻击涉及到针对特定节点(而不是整个网络)的对手,以便切断它们与其他对等点的所有入站/出站通信(这会有效地窒息受害者)。这种攻击的成功迭代会导致受害者接收到一个扭曲的区块链视图,对手可以使用该视图来造成一般干扰并将目标对等节点与其他节点隔离,或者将其作为发起进一步攻击的跳板。
六:矿池攻击
众所周知,矿池在整个区块链生态中占有不可或缺的位置。矿池安全也不可忽视,常见的矿池攻击有:
- 自私的挖矿
- 块扣攻击
- 块丢弃攻击
- 增加难度攻击
- 链跳跃攻击
- 时间戳攻击
大家不需要知道上面这些名词的意思,只需要知道矿池同样面临着一些安全威胁。
七:私钥被泄漏
利用私钥对数据进行签名并确认数据的所有权,若通过逆向分析代码致使节点的私钥被盗,那么节点的身份则有可能被伪造。
私钥被**是因为交易设计缺陷,一方面椭圆曲线数字签名算法ECDSA存在被**的风险,另一方面密钥生成算法有风险。
例如,Android安全漏洞致使比特币失窃的例子,可能是由随机数产生过程中的漏洞造成的。
大家自己的私钥也要特别注意保存。
八:西比尔攻击
西比尔攻击(SybilAttack)是指攻击者通过控制网络中的大多数节点来浪费其他节点的算力,从而实现对共识机制的攻击。攻击者引入多个恶意节点来控制网络,从而发布监控和破坏备份机制等,实现对网络的攻击。
九:区块链自身Bug
由于区块链绝大部分都是开源的,虽然很多人关注,但也会存在风险。
开源并不意味着安全,因为非常多的项目都是直接把开源的东西搬过来使用的,代码安全压根就不看。
例如,2017年4月22日,韩国比特币交易平台yapizon被攻击,市值500万美金的BTC被盗;
2017年7月19日,多重签名钱包Parity 1.5及以上版本出现漏洞,导致3 000万美元的以太坊ETH被盗;Mt.Gox交易平台由于底层技术的可锻造性漏洞,导致攻击者可重复提现,致使2014年2月28日申请破产保护,最终倒闭。
十:内容风险
最简单的就是非法内容,攻击者在系统中建非法应用程序或放置一些非法内容,如反动言论、色情内容等。由于区块链的分散性,很难阻止攻击者的行为;由于区块链的不可逆性,很难实现删除非法内容。
以比特币为代表的数字密码货币应用,因没有发行机构,想**拥有者的身份比较难,若被不法分子利用,会成为非法交易或洗钱的载体。例如,2011年2月,暗网中“丝绸之路”的交易平台利用比特币在网络中匿名交易的特征进行毒品交易、走私军火等非法活动。
以上,区块链长路漫漫,机遇与危险并存,会出现诸多问题。基于区块链的数据安全性使其被广泛应用于各行各业,但安全威胁问题日益凸显。
以上,希望对你有用,感谢你支持币范,欢迎点赞、评论、转发,素质三联哦。
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!