虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻。面对区块链的众多安全问题,慢雾特推出区块链安全入门笔记系列,向大家介绍十篇区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界。
系列回顾:
区块链安全入门笔记(一) | 慢雾科普
公链 Public Blockchain
公有链(Public Blockchain)简称公链,是指全世界任何人都可随时进入读取、任何人都能发送交易且能获得有效确认的共识区块链。公链通常被认为是完全去中心化的,链上数据都是公开透明的,不可更改,任何人都可以通过交易或挖矿读取和写入数据。一般会通过代币机制(Token)来鼓励参与者竞争记账,来确保数据的安全性。
A股收盘:深证区块链50指数下跌0.99%:金色财经消息,A股收盘,上证指数报3086.92点,收盘上涨0.23%,深证成指报11051.7点,收盘下跌0.29%,深证区块链50指数报2801.63点,收盘下跌0.99%。区块链板块收盘下跌1.94%,数字货币板块收盘下跌3.31%。[2022/4/22 14:41:27]
由于要检测所有的公链的工作量非常大,只靠一家公司不可能监测整个区块链生态安全问题,这就导致了黑客极有可能在众多公链之中找寻到漏洞进行攻击。2017 年 4 月 1 日,Stellar 出现通胀漏洞,一名攻击者利用此漏洞制造了 22.5 亿的 Stellar 加密货币 XLM,当时价值约 1000 万美元。
深圳市信息服务业区块链协会会长:加密资产存在潜在的金融稳定风险:深圳市信息服务业区块链协会会长郑定向表示:“加密资产底层的区块链技术在资产登记、证券结算、交易报告和普惠金融等方面有着广泛的应用,但加密资产同时也存在着潜在的金融稳定风险。加密资产可匿名交易,这会给、逃税等带来便利;加密资产无国界之分,全球化资产流动和单一的主权国家各自监管之间存在对立,给加密资产监管带来困难。”(证券日报)[2021/4/20 20:37:37]
图片来自 SlowMist Hacked
交易所 Exchange
与买卖股票的证券交易所类似,区块链交易所即数字货币买卖交易的平台。数字货币交易所又分为中心化交易所和去中心化交易所。
去中心化交易所:交易行为直接发生在区块链上,数字货币会直接发回使用者的钱包,或是保存在区块链上的智能合约。这样直接在链上交易的好处在于交易所不会持有用户大量的数字货币,所有的数字货币会储存在用户的钱包或平台的智能合约上。去中心化交易通过技术手段在信任层面去中心化,也可以说是无需信任,每笔交易都通过区块链进行公开透明,不负责保管用户的资产和私钥等信息,用户资金的所有权完全在自己手上,具有非常好的个人数据安全和隐私性。目前市面上的去中心化交易所有 WhaleEx、Bancor、dYdX 等
现场 | 纵宇:区块链技术被认为是继蒸汽、电力、信息、互联网科技之后的第五个最有潜力引发颠覆革命的核心技术:金色财经现场报道,区块链中国大会(全国行第二站郑州)暨中部数字经济产业化链改峰会于2020年9月28日在郑州永和伯爵国际酒店盛大启幕。
郑州大学中德学院对外执行院长纵宇院长为各位来宾带来主题演讲《赋能数字化人才培养助力产业发展》。
纵宇院长为来宾讲解了区块链行业市场端现状,他表示,区块链技术被认为是继蒸汽、电力、信息、互联网科技之后的第五个最有潜力引发颠覆革命的核心技术。区块链去中心化、不可篡改、可追溯性、可令其在多个领域构建全新商业生态。凭借无尽的商业想象,区块链已经成为全球关注的焦点,吸引众多企业家、投资家投身这个新兴领域。
随后,纵宇院长分析了区块链人才需求端的情况,根据智联招聘全站大数据,2018第二季度的区块链人才需求量较2017年同期爆增636.83%,2019年区块链招聘职位主要分布北、上、深等一线城市,区块链人才市场需求旺盛。[2020/9/28]
中心化交易所:目前热门的交易所大多都是采用中心化技术的交易所,使用者通常是到平台上注册,并经过一连串的身份认证程序(KYC)后,就可以开始在上面交易数字货币。用户在使用中心化交易所时,其货币交换不见得会发生在区块链上,取而代之的可能仅是修改交易所数据库内的资产数字,用户看到的只是账面上数字的变化,交易所只要在用户提款时准备充足的数字货币可供汇出即可。当前的主流交易大部分是在中心化交易所内完成的,目前市面上的中心化交易所有币安,火币,OKEx 等。
行情 | 美股开盘:在美上市区块链中概股涨跌各异:美股开盘,三大股指均出现下跌,在美上市区块链中概股涨跌各异。嘉楠科技下跌0.15%,人人网平盘,寺库下跌0.98%,中网载线上涨0.73%,迅雷下跌0.99%,猎豹移动平盘,兰亭集势上涨0.93%。[2020/1/10]
由于交易所作为连接区块链世界和现实世界的枢纽,储存了大量数字货币,它非常容易成为黑客们觊觎的目标,截止目前全球数字货币交易所因安全问题而遭受损失金额已超过 29 亿美元(数据来源 SlowMist Hacked)。
图片来自 SlowMist Hacked
数字货币领域,攻击者的屠戮步伐从未停止。激烈的攻防对抗之下,防守方处于绝对的弱势,其攻击手法多种多样,我们会在之后的文章中为大家进行介绍。职业黑客往往会针对数字货币交易所开启定向打击,因此慢雾安全团队建议各方交易所加强安全建设,做好风控和内控安全,做到:“早发现,早预警,早止损。”
声音 | 肖磊:局集体学习“区块链” 中美角逐科技创新制高点:今日,财经作家肖磊发文《局集体学习“区块链”,中美角逐科技创新制高点》称,本周四,中共中央局就区块链技术发展现状和趋势进行集体学习。首先给区块链技术做了定性:1.全球性争夺技术;2.对整个技术和产业领域都会发挥重要作用;3.中国有很好的发展基础,区块链技术未来会全面融入经济社会。其次,明确了发展目标是争取成为区块链领域的领导者。第三,是指出当前需要深化的应用领域包括数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域。第四,未来要发展区块链+。首次在国家层面提出“区块链+”,要探索“区块链+”在民生领域的运用,积极推动区块链技术在教育、就业、养老、精准脱贫、医疗健康、商品防伪、食品安全、公益、社会救助等领域的应用。同时提出三个方向,要加快产业发展,发挥好市场优势,进一步打通创新链、应用链、价值链。最后是如何监管区块链领域,要探索建立适应区块链技术机制的安全保障体系,引导和推动区块链开发者、平台运营者加强行业自律、落实安全责任。要把依法治网落实到区块链管理中,推动区块链安全有序发展。[2019/10/26]
相关交易所防御建议可参考:
慢雾红色警报:交易所接连被黑的防御建议
节点 Node
在传统互联网领域,企业所有的数据运行都集中在一个中心化的服务器中,那么这个服务器就是一个节点。由于区块链是去中心化的分布式数据库,是由千千万万个“小服务器”组成。区块链网络中的每一个节点,就相当于存储所有区块数据的每一台电脑或者服务器。所有新区块的生产,以及交易的验证与记帐,并将其广播给全网同步,都由节点来完成。节点分为“全节点”和“轻节点”,全节点就是拥有全网所有的交易数据的节点,那么轻节点就是只拥有和自己相关的交易数据节点。由于每一个全节点都保留着全网数据,这意味着,其中一个节点出现问题,整个区块链网络世界也依旧能够安全运行,这也是去中心化的魅力所在。
RPC
远程过程调用(Remote Procedure Call,缩写为 RPC)是一个计算机通信协议。以太坊 RPC 接口是以太坊节点与其他系统交互的窗口,以太坊提供了各种 RPC 调用:HTTP、IPC、WebSocket 等等。在以太坊源码中,server.go 是核心逻辑,负责 API 服务的注入,以及请求处理、返回。http.go 实现 HTTP 的调用,websocket.go 实现 WebSocket 的调用,ipc.go 实现 IPC 的调用。以太坊节点默认在 8545 端口提供了 JSON RPC 接口,数据传输采用 JSON 格式,可以执行 Web3 库的各种命令,可以向前端(例如 imToken、Mist 等钱包客户端)提供区块链上的信息。
以太坊黑人节漏洞
ETH Black Valentine's Day
2018 年 3 月 20 日,慢雾安全团队观测到一起自动化盗币的攻击行为,攻击者利用以太坊节点 Geth/Parity RPC API 鉴权缺陷,恶意调用 eth_sendTransaction 盗取代币,持续时间长达两年,单被盗的且还未转出的以太币价值就高达现价 2 千万美金(以当时 ETH 市值计算),还有代币种类 164 种,总价值难以估计(很多代币还未上交易所正式发行)。
通过慢雾安全团队独有的墨子(MOOZ)系统对全球约 42 亿 IPv4 空间进行扫描探测,发现暴露在公网且开启 RPC API 的以太坊节点有 1 万多个。这些节点都存在被直接盗币攻击的高风险。这起利用以太坊 RPC 鉴权缺陷实施的自动化盗币攻击,已经在全球范围内对使用者造成了非常严重的经济损失。
继期货、期权、掉期后,杠杆ETF成为加密衍生品市场上最受关注的产品?那杠杆ETF是什么呢?杠杆ETF是对传统ETF的一种创新.
莱特币减半,完整的说是莱特币挖矿区块奖励减半。以2019年8月5日减半为例,在此之前矿工挖到一个区块可获得25个LTC奖励,但减产之后,挖到一个区块的奖励只有12.5个LTC.
近期,白话区块链社群小伙伴问道:“为啥区块链行业的行情会出现同涨同跌的情况?”其实,只要投资者进入这个行业一段时间,就会发现这种现象:比特币涨或者横盘的时候,其他数字货币才会出现鸡犬升天的现象.
交易对手风险,是指由于交易一方不遵守合同条款所带来的风险。交易可能涉及数字资产、现金的交割或者实物资产的转移。在交割风险中涉及的流动性风险是指交易对手最终履约,但不是在合约约定的时间.
回首2021,无疑是NFT赛道里程碑式的一年,它像一场风暴,以迅雷不及掩耳的态势席卷了全球。从艺术品、游戏道具、到社交头像、甚至球场上的精彩时刻,任何东西都能搭上NFT的顺风车.
记得在去年下半年接近年尾的一篇文章中,我写到除了极个别的品种之外,我已经把几乎所有的DeFi代币全部换成了以太坊,以此应对接下来可能到来的市场峰值.