金沙js娱乐场奇虎360,你的比特币还安全啊?

原标题:当我们谈论区块链安全时,我们在谈论什么?

9月11日,奇虎360在联合国区块链国际安全标准会议上,提交了5项关于分布式账本技术安全的标准提案,位列中国第一,获多国专家赞同。

金沙js娱乐场 1image

宇宙就是一座黑暗森林,每个文明都是带枪的猎人,像幽灵般潜行于林间,轻轻拨开挡路的树枝,竭力不让脚步发出一点儿声音,连呼吸都必须小心翼翼,他必须小心,因为林中到处都有与他一样潜行的猎人,如果他发现了别的生命,能做的只有一件事,开枪消灭之。——《三体》

对于360而言,安全业务是任何时期的主心骨,而在区块链安全问题频发的2018年上半年,360似乎找到了最好的机会。

前两天,跟一位HiBlock区块链社区的用户私聊,他问我一个问题,同样是智能合约,为什么会有以太坊和以太经典,又为什么会有相应的ETH和ETC,两者价格还相差如此之大。

金沙js娱乐场 2

关于区块链、加密数字货币的安全一直以来都是热点话题。区块链已经发生了多次安全事故,比如著名的The
DAO事件

转给他一篇the DAO事件的文章后突然发现,the
DAO攻击事件已经过去2年了,今年的6月17日大家都在关注父亲节、端午节以及德国和墨西哥队的比赛爆冷,无论币圈还是链圈,没有人提及the
DAO。

当我们谈论“区块链安全”的时候,我们到底在谈论什么?

The DAO之所以被攻击,也是由于它编写的智能合约存在着重大缺陷。The
DAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。

也许今年的6月17日有人因重注墨西哥队而大赚一笔,但无论如何也比不上2年前6月17日黑客攻击the
DAO转走了300多万以太币资产,当时价值6千万美元,而以今年6月18日的ETH价格计算,则价值15亿美元。

去中心化、不可篡改,这些堂而皇之的名词从每一个人的嘴中蹦出来,仿佛区块链的安全性是不证自明的真理;自诩学识渊博者还会搬出“茴”字的四种写法,从SHA到ECC,听者无不叹服。区块链仿佛从诞生的一刻起就被视为固若金汤的良药。然而现实是残酷的,无论是比特币还是以太坊,黑客的身影无处不在,数字货币被盗的新闻屡见报端。

实际上就是The DAO的智能合约出了BUG,用户可以不断从The
DAO的资产池中获取DAO资产

DAO代表的是去中心化自治组织,是区块链法则里不可少的一环,而the
DAO含义为“DAO之母”,是建立在以太坊上的一个应用,功能类似于投资机构。参与者可以使用以太币来换取DAO,也就是the
DAO的token,持有DAO可以对the DAO的投资决策提出自己的意见。

区块链系统的安全性并不单取决于区块链算法本身,从代码实现到合约逻辑,再到配套设施,当区块链技术从白皮书中走出来,落地生根成为现实中的技术时,要面临的问题就多得多。而根据木桶理论,一只木桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。

又比如今年1月日本最大比特币交易所之一的Coincheck新经币被非法转移至其他交易所事件。

the
DAO在2016年5月初成立,到2016年6月16日成功募集到在当时价值1.5亿美元的以太币,短期高速发展让the
DAO成为了一个明星项目,但6月17日发生了黑客攻击事件,事件的根本原因在于一行早已被发现的代码漏洞。

密码!密码!

再比如BEC美链4月被黑客攻击事件。BEC的合约代码:BeautyChain
美蜜出现严重bug,可以通过合约的批量转账的功能,无限复制token。而类似美链这样的安全问题,有几十个基于以太坊ERC20的数字货币都有出现这样的问题

康奈尔大学计算机科学系副教授Emin Gün
Sirer在给他的一位学生发邮件时提到他正在研究智能合约第666行代码可能存在的问题,甚至在2016年5月份也呼吁过投资者停止对DAO的投资,因为存在这样的安全漏洞。

在区块链的世界里,每一个人的身份都不过是一段数字,密码学上称之为密钥,一旦有人获取了你的密钥,他就可以冒充你的身份从事任何事情,包括花光你的每一分钱。

除此之外,区块链自身存在的51%攻击,秘钥安全隐患等问题也都时有发生。

但是,Gün教授对于代码漏洞无能为力,因为代码发布在以太坊区块链上就无法修改。事实上,发现这行代码漏洞的并不止Gün教授,2016年6月9日,在互联网上出现了与这次黑客攻击相同手法的预警,6月10日智能合约语言Solidity的作者
Christian在以太坊官方博客上发表文章说明这个问题,the
DAO团队也接到了安全报告,但做出了不会受到攻击的结论。

密钥的安全性如何呢?以ECDSA算法为例,每一个密钥由256位01组成,要是随机猜测的话,猜对的概率只有1/115792089237316266660066408626602828282606886466848266086008062602462446642046,大概是1/1077。

关于区块链的安全问题,每一次事故都会有所警醒、有所改进。但这些警醒和改进都是暂时的,需要一个长期的、持续的安全管理机制来持久保证区块链长期安全。这也成为以360为代表的安全企业的莫大的机会。

说起the DAO被攻击的手段需要讲一下the DAO的运行机制。the
DAO社区的每一位成员都可以利用自己手中的DAO进行投票,那么就会有一个问题,持有DAO数量越多,投票的占比就越大,会让投资决策出现偏颇,导致基金运行亏损。

根据估算,地球大约由1050个原子组成,而整个宇宙不过由1080个原子组成而已,猜中密钥的概率和猜测宇宙中的一个原子的概率相差无几。

从硬件、游戏到广告、搜索,对于区块链360在其力所能及之处都留下了涉水前行的谨慎痕迹。但对于其起家的安全领域,360的动作则是大刀阔斧,有纵横捭阖之势。

所以the
DAO就设计了一个“子DAO”的机制,你可以申请创建一个子DAO,审查通过后你的DAO就可以通过代码自动打入子DAO,从总资金池中剥离出来,而攻击漏洞也由此开始。

不过在区块链中,仅仅有密钥是不够的,为了能够实现账户之间相互转账,还需要根据密钥生成公钥和钱包地址,上面所说的ECDSA就是从密钥生成公钥的算法。公钥,顾名思义,在向外转账时会被公开,那从公钥推理出私钥又有多难呢?


5月25日,360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞,部分漏洞可以远程控制和接管EOS上运行的所有节点,完全控制虚拟货币交易。360安全大脑“史诗级漏洞”的发现,帮助EOS避免了百亿美金的损失


5月29日,360与币安、北京欧链科技有限公司(OracleChain)达成安全方面的深度合作,为其提供一系列智能合约项目的代码审计,且在项目方代码升级后持续提供安全审计服务。


6月28日,360集团与雄安新区签署战略合作,将充分发挥360在网络安全、大数据、人工智能、区块链等技术领域的优势,为建设安全可靠的“数字雄安”提供全面的网络安全服务。

正常情况下你的DAO打入子DAO后就会从总的资金池中删除掉,但是看下图这行代码,里面的withdrawRewardFor是将钱从总dao打到你的子dao合约,注意前面提到的fallback函数,发送金额到你子dao合约时会触发fallback函数,但是如果你特别写了fallback是再调用总dao的withdrawRewardFor呢?代码会重新运行withdrawRewardFor再给你打钱,而扣钱的代码就永远不会运行到,如果你想,可以将总资金池中的DAO全部转空。

如果算法的实现不出纰漏的话,即便是最有效的攻击方法,其难度依然是指数级的。

C端用户的安全问题上,360也有推进——360安全卫士发布区块链防火墙功能,用于解决在用户使用数字货币等区块链相关的产品时,遇到的剪贴板被篡改、数字货币钱包被攻击、账户密码被窃取等安全问题。

金沙js娱乐场 3image

但是,这并不意味着我们可以高枕无忧了。2014年底爆发了一批网络钱包失窃案件,究其原因,就是在随机数生成器的实现没有真正“随机”。如今,量子计算机的崛起带来了新的挑战,如果数千比特位量子计算机一旦问世,包括ECC在内的诸多算法都可能沦为虚设。

在目前已上线的360区块链安全平台上,360对外提供钱包、矿池、交易所、智能合约和EOS超级节点等安全解决方案,几乎涵盖了区块链生态中所有业务。

攻击者组合了2个漏洞,第一个漏洞是递归调用splitDAO函数,在第一次被合法调用后,会再次非法调用自己的DAO;第二个漏洞是DAO资产分离后避免从总资金池中销毁,攻击者在递归调用结束前将自己的DAO资产转移到了其他账户,就可以避免这部分DAO资产被销毁。

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注