隨著越來越的人參與到區塊鏈這個行業中來,為行業注入新活力的同時也由于相關知識的薄弱以及安全意識的匱乏,給了攻擊者更多的可乘之機。面對頻頻爆發的安全事件,慢霧特推出區塊鏈安全入門筆記系列,向大家介紹區塊鏈安全相關名詞,讓新手們更快適應區塊鏈危機四伏的安全攻防世界!系列回顧:區塊鏈安全入門筆記(一)|慢霧科普區塊鏈安全入門筆記(二)|慢霧科普區塊鏈安全入門筆記(三)|慢霧科普區塊鏈安全入門筆記(四)|慢霧科普區塊鏈安全入門筆記(五)|慢霧科普智能合約SmartContract
智能合約(SmartContract)并不是一個新的概念,早在1995年就由跨領域法律學者NickSzabo提出:智能合約是一套以數字形式定義的承諾(Promises),包括合約參與方可以在上面執行這些承諾的協議。在區塊鏈領域中,智能合約本質可以說是一段運行在區塊鏈網絡中的代碼,它以計算機指令的方式實現了傳統合約的自動化處理,完成用戶所賦予的業務邏輯。隨著區塊鏈智能合約數量的與日俱增,隨之暴露出來的安全問題也越來越多,攻擊者常能利用漏洞入侵系統對智能合約用戶造成巨大損失,據SlowMistHacked統計,截止目前僅ETH、EOS、TRON三條鏈上因智能合約被攻擊而導致的損失就高達$126,883,725.92,具有相同攻擊特征的手法更是呈現出多次得手且跨公鏈的趨勢,接下來我們將為大家介紹近年來一些常見的智能合約攻擊手法。交易回滾攻擊RollBackAttack
直播 | 九妹 > 如何促進區塊鏈產業良性發展:金色財經 · 直播主辦的《 幣圈 “后浪” 仙女直播周》第4期今晚20:00準時開始,本期“后浪”仙女OKEx大客戶商戶總監將在直播間聊聊 “如何促進區塊鏈產業良性發展”,感興趣的朋友掃碼移步收聽![2020/6/12]
交易回滾攻擊(RollBackAttack),故名思義,指的是能對交易的狀態進行回滾。回滾具體是什么意思呢?回滾具體指的是將已經發生的狀態恢復成它未發生時候的樣子。那么,交易回滾的意思就是將已經發生的交易變成未發生的狀態。即攻擊者本來已經發生了支付動作,但是通過某些手段,讓轉賬流程發生錯誤,從而回滾整個交易流程,達到交易回滾的目的,這種攻擊手法多發于區塊鏈上的的智能合約游戲當中,當用戶的下注動作和合約的開獎動作在一個交易內的時候,即內聯交易。攻擊者就可以通過交易發生時檢測智能合約的某些狀態,獲知開獎信息,根據開獎信息選擇是否對下注交易進行回滾。該攻擊手法早期常用于EOSDApp上,后逐步向波場等其他公鏈蔓延,截止目前,已有12個DApp遭遇攻擊,慢霧安全團隊建議開發者們不要將用戶的下注與開獎放在同一個交易內,防止攻擊者通過檢測智能合約中的開獎狀態實現交易回滾攻擊。交易排擠攻擊TransactionCongestionAttack
聲音 | 馬上游CEO陳勇良:可以利用區塊鏈解決旅游業的信任問題:馬上游CEO陳勇良在接受采訪時表示,區塊鏈可以實現旅行社數字身份上鏈、營業執照上鏈、OTA產品上鏈等,上鏈之后數據公開透明、不可篡改。區塊鏈技術是一種使用去中心化共識機制去維護一個完整的、分布式的、不可篡改的賬本數據庫的技術,它能夠讓區塊鏈中的參與者在無需建立信任關系的前提下實現一個統一的賬本系統。區塊是公共賬本,多點維護,鏈就是蓋上時間戳,不可偽造。區塊鏈本質上是一個注重安全和可信度勝過效率的一項技術。可以用來編程記錄鏈上任何有價值的東西的屬性,旅游行業中的所有有關會員充值、兌換交易、會員注冊等有價值的信息都會永久存留于鏈上,由此來打消游客和產品服務之間的信任隔閡。對商家和消費者彼此來說,此時他們信任的不是人,不是機構,而是機器,是協議。(中國經濟周刊)[2020/1/17]
交易排擠攻擊(TransactionCongestionAttack)是針對EOS上的使用defer進行開獎的游戲合約的一種攻擊手法,攻擊者可以通過某些手段,在游戲合約的defer開獎交易前發送大量的defer交易,惡意侵占區塊內的CPU資源,使得智能合約內本應在指定區塊內執行的defer開獎交易因資源不足無法執行,只能去到下一個區塊才執行。由于很多EOS上的游戲智能合約使用區塊信息作為智能合約本身的隨機數,同一個defer開獎交易在不同區塊內的執行結果是不一樣的。通過這樣的方式,攻擊者在獲知無法中獎的時候,就通過發送大量的defer交易,強行讓智能合約重新開獎,從而達到攻擊目的。該攻擊手法最早在黑客loveforlover向EOS.WIN發起攻擊時被發現,隨后相同的攻擊手法多次得手,據SlowMistHacked統計僅2019年就有22個競猜類DApp因此損失了大量資金,慢霧安全團隊建議智能合約開發者對在不同區塊內執行結果不同的關鍵的操作不要采用defer交易的方式,降低合約被攻擊的風險。隨機數攻擊RandomNumberAttack
動態 | 俄羅斯薩拉托夫州4萬人參與區塊鏈選舉:據cointelegraph報道,根據12月18日的新聞稿,俄羅斯南部地區的薩拉托夫州已經成功舉辦了區塊鏈選舉,共有4萬人參加。參與者通過由卡巴斯基實驗室于2017年開發的區塊鏈驅動的電子投票系統Polys投票選舉當地青年議會成員。根據新聞稿,分散的網絡部署在110個投票站,選舉持續了7個小時。[2018/12/19]
隨機數攻擊(RandomNumberAttack),就是針對智能合約的隨機數生成算法進行攻擊,預測智能合約的隨機數。目前區塊鏈上很多游戲都是采用的鏈上信息作為游戲合約的隨機數源,也稱隨機數種子。使用這種隨機數種子生成的隨機數被稱為偽隨機數。偽隨機數不是真的隨機數,存在被預測的可能。當使用可被預測的隨機數種子生成隨機數的時候,一旦隨機數生成的算法被攻擊者猜測到或通過逆向等其他方式拿到,攻擊者就可以根據隨機數的生成算法預測游戲即將出現的隨機數,實現隨機數預測,達到攻擊目的。2018年11月11日,攻擊者向EOS.WIN發起連續隨機數攻擊,共獲利20,000枚EOS,在此慢霧安全團隊建議智能合約開發者使用安全的隨機數源作為合約隨機數,如通過使用鏈下的隨機數種子生成隨機數的方式上傳至鏈上,降低合約被攻擊的風險。
聲音 | Circle CEO:以太坊或推動區塊鏈和因特網一樣普及:據CNBC消息,金融科技公司Circle聯合創始人兼首席執行官Jeremy Allaire表示,區塊鏈和數字貨幣將和如今的因特網一樣普及,其中一個重要的催化劑便是有著巨大的技術人員活躍量的以太坊。[2018/7/19]
上期回顧 BTC:BTC價格處于整理三角形中,在震蕩整理中尋求擇向,過于快速的上漲導致市場逐漸出現恐高心理,需要一定幅度的震蕩來消化恐慌盤.
1900/1/1 0:00:001586年,英格蘭政府對天主教的迫害日益加劇,安東尼·貝平頓與幾位同黨密謀策反,計劃救出被伊麗莎白女王軟禁的蘇格蘭女王、伊麗莎白女王的表妹、信仰天主教的瑪麗女王,并暗殺伊麗莎白女王.
1900/1/1 0:00:00近期,幣市再次出現令人驚怖的瀑布,很多散戶再次被套牢,那種欲罷毋能的感覺,只有躬身入局者才能體會。無可奈何幣落去,似曾相識熊又來,割肉意味著認輸,繼續持有卻不知深淵幾何.
1900/1/1 0:00:00FabricVentures是英國著名的數字加密貨幣基金,這是一家專注于Web3.0生態的基金,其投資目標就是要讓互聯網從中心化向以人為本的去中心化計算轉變.
1900/1/1 0:00:00編者按:本文來自深藍deeplove,作者:深藍區塊鏈,星球日報經授權發布。比特大陸前聯席CEO吳忌寒的新項目——一站式數字資產金融服務平臺Matrixport本月上線了,目前已經開放注冊公測.
1900/1/1 0:00:00據外媒Coindesk消息,美國聯邦調查局正在調查2017年長島冰茶集團臭名昭著的區塊鏈概念炒作事件,以尋找當年內幕交易和證券欺詐的證據.
1900/1/1 0:00:00