申屠青春指出,目前区块链安全机制存在密码算法安全、协议安全、使用安全、系统安全等威胁。其中,基于算法安全的威胁是相对较小的,因为公钥算法和哈希算法相对是安全的,但一旦量子计算机大规模商用,那么区块链底层技术将可能受到极大影响。
比特币在算法方面,是私钥和比特币地址直接的精准的关系。你把交易发送到一个“比特币地址”,并且声明这笔花出去的交易需要一个相对应的“私钥”的签名。如果除了私钥持有着之外的某个人想要制造一个签名,那么和相对应的公钥的验证就会失败。
另外,在椭圆曲线加密算法方面,比特币是为数不多的几个采用secp256k1而不是secp256r1的程序,也因为如此,比特币成功躲过被破解的子弹。
智能合约漏洞
在协议安全方面,区块链的支付体系容易受到51%的攻击。近日,某黑客针对 Bitcoin Gold 密币交易所的基础设施发动了多次“双花”攻击,并设法攫取了价值1800万美元的 BTG(Bitcoin Gold,比特币黄金)。黑客部署大量服务器,通过“51%的攻击”控制 Bitcoin Gold 超过一半的网络哈希。这名攻击者进行的“双花攻击”,可以修改区块链交易的详情内容。简单来说,就是这种技术能够让攻击者把一份密币花两次。
使用安全性则主要针对用户和交易平台,申屠青春推荐使用硬件钱包,原因在于硬件钱包是高安全性和易用性之间的最佳平衡,它不能安装任何软件,免受计算机安全漏洞和线上盗贼的危害,使得它们更安全。
而针对系统安全的攻击是最常见的,比如智能合约,黑客利用区块链在编码以及运行系统中的漏洞展开攻击,可以让几十亿市值瞬间归零。
区块链抵御黑客攻击
总而言之,黑客攻击的手法多种多样。
- 基本上循着踩点,信息搜集、扫描,然后发现漏洞,窃取私匙,或者窃取用户数据从而转走数字资产的路径,很多交易平台正因为如此而充当了黑客的提款机;
- 二是DDOS攻击,对某一个网站进行扔砖头,使其无法进行正常业务,变相勒索保护费;
- 三是SQL注入,攻击者利用Web程序中没有对用户输入数据的合法性进行判断的漏洞,绕过应用程序限制,篡改数据库中的数据;
- 四是缓冲区溢出的攻击。
近日,360安全专家发现EOS区块链系统在解析WASM文件时,会出现缓冲区溢出的问题,而攻击者将能够利用这个缓冲区溢出漏洞对EOS系统实施攻击。
“世界上没有绝对安全的系统”。有着十几年网络安全经验的申屠青春非常关注区块链安全问题,针对近年出现的区块链安全事件,他表示,区块链安全攻击已经从单纯的技术层面蔓延到战略层面,段位高的黑客手法高明,头脑灵光,常常会结合金融等外围手段或模式迷惑市场,等大众意识到损失时早已为时已晚。因此,及时准确的行业安全预警甚至比第一时间的安全事件应急更为重要。
银链安全实验室专注于区块链生态安全,汇聚了全球最顶级的区块链安全专家,对区块链安全技术、防护、黑客行为、密码学等具有本质的了解、研究和洞察,有绝对实力对区块链安全现状做出深度分析并给出相应建议;另一方面,千里之行始于足下,区块链安全是区块链企业、行业、产业可持续发展的前提,银链安全实验室有责任和义务利用自身的优势和长处,基于客观、明确的外部安全数据,建立多维度评价指标,通过披露潜在风险,发布威胁预警,构建一套完整、具有生命周期的安防体系,做平息区块链恐慌和风波的安全卫士。
2018第一届亚太智创科技高峰论坛
时间:6月10日
地点:深圳广电集团1800演播厅
演讲主题:《区块链应用系统:抵御黑客攻击的理论与实战》
6月10日,银链科技CEO申屠青春将受邀参加由深圳创富区块链技术有限公司主办的以“探讨和推动区块链行业健康发展”为主题的“2018第一届亚太智创科技高峰论坛”,并发表相关区块链主题演讲。