LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 币圈百科 > 主流生态平台的安全问题突出

主流生态平台的安全问题突出

2020-08-30 NB区块链 来源:区块链网络

安全问题一直是区块链领域最受关注的话题。人们对The DAO事件、Parity钱包事件、Mt.Gox交易所被盗事件等对区块链行业有着重大影响的安全事件依然历历在目。基本的安全问题得不到保障,那么DApp的发展就犹如火中取栗,令开发者们惴惴不安。

以太坊

相较于比特币,以太坊最大的提升在于一方面引入了智能合约,其图灵完备的编程机制使得平台可以支持复杂的应用,大大丰富了平台应用的多样性;

另一方面以太坊引入了虚拟机中间层,使多种语言开发的智能合约都能在平台运行,提高了平台的可扩展性。

但恰恰也是这两大机制为以太坊的安全问题增添了更多的不确定性。图灵完备的编程方式固然更灵活,但同时也更复杂和不可控;虚拟机机制使得以太坊支持多种语言,当然也引入了更多语言的不确定性、复杂性和固有的缺陷。

这些因素都是黑客寻找猎物的温床,比如,2018年4月23日BEC(美链)爆出ERC20协议安全漏洞,攻击者利用整数溢出BUG,可无限生成代币,导致BEC币值跳水,直接归零,让投资者蒙受了巨大损失。

作为区块链最活跃的公链平台,以太坊目前已知存在Solidity漏洞、短地址漏洞、交易顺序依赖漏洞、可重入攻击漏洞、时间戳依赖漏洞等,在调用合约时这些漏洞可能被利用,而智能合约部署后难以更新的特性也让漏洞的影响更加广泛和持久。

有研究机构运用分析工具Maian分析基于以太坊的近100万个智能合约,发现有34200个合约含有安全漏洞,可窃取或冻结资产甚至刪除合约。

EOS

EOS自主网上线以来,安全事件更是频频发生,平均每3.5天一起的黑客事件让开发者们如履薄冰。从2018年7月至2019年1月,已知所披露的事件里,共发生了63起黑客攻击事件,共出现了11种攻击类型,包括溢出攻击、随机数问题、重放攻击、假EOS攻击、假转账通知、拒绝服务攻击、敏感权限、私钥泄漏、交易回滚攻击、内联反射攻击、同名混淆交易。

在诸多攻击类型中,泛随机数安全事件最多发,共发生31次。随机数问题和交易回滚都是针对随机数进行的攻击,同属于泛随机数安全范畴内的攻击手法。其中,最常发生的安全事件是随机数问题,共发生了16次,这种手法通常是指随机数算法被破解,黑客根据破解出来的随机数成功计算出开奖结果。

比如2018年11月10日,名为1supereosman的黑客就用这种方法攻击了MyEosVegas,导致开发者损失了7530个EOS,按当天币价折算,为4万多美元。这也是所有随机数攻击中,黑客获利最丰厚的一次。次多发的安全事件则是交易回滚,共发生了15次,具象化到攻击案例中,就是由于下注和开奖通常在一个事务里完成,如果开奖时黑客发现他并未中奖,则直接采用中断攻击,让事务中断,整个交易就会回滚,等待下一次开奖。

该过程对黑客来说相当于一个循环,简单来说,就是只要黑客中奖了,他就会让结果生效,如果一直没中奖,黑客就会让结果一直失效,直到黑客自己中奖为止。

由于EOS网络的交易速度很快,使这种试错的循环运转也很快,而且对于黑客而言,这种试错几乎没有成本。

从上述众多安全事件看出,不仅底层区块链平台有安全漏洞,DApp应用的开发者也容易引入安全漏洞。系统进化是一个长期的过程,一个系统的安全事件在引起大家的广泛关注后需要一点一点地去加强和改进。

严峻的安全现状对于目前DApp应用的开发者来说都是不小的挑战,一方面程序开发的成本会因为安全问题而提升,另一方面早期开发者也承受着系统不成熟所带来的更大的安全风险。

—-

编译者/作者:NB区块链

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...