神刀安全网

区块链:黑客已经盯上你的数字货币了!

区块链:黑客已经盯上你的数字货币了!

比如:黑客花无涯我是如何因为安全研究而最终关注到 EOS 的…

2014年,当时全球最大的比特币交易所Mt.Gox宣布因遭受黑客攻击,其CEO马克·卡尔普称“平台上85万个比特币因公司系统漏洞被盗一空”而MT.Gox在日本旋即申请破产保护,而Mt.Gox是否监守自盗成为一桩未了公案。

三年后,“黑客”再次成为背锅侠,2017年12月19日韩国比特币交易所Youbit同样因黑客攻击丢失4000个比特币后破产,故事惊人的相似。

除了交易所攻击之外,黑客以及一般蟊贼在智能合约和数字钱包领域神出鬼没,同样影响深远。

区块链:黑客已经盯上你的数字货币了!

EOS,号称是最强大的去中心化应用(DApp)基础架构。可以简单理解为:可以高效运行 DApp 的 OS:)

对的,是一种区块链形态。

Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

在此次攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。

当年(其实就是去年4月份时),我在跟踪研究一起世界顶级黑客窃取事件:影子经纪人(Shadow Brokers)从美国 NSA 方程式组织那窃取了大量网络军火,当时我还写了两篇文章及几条预警消息,如:

方程式 eqgrp-auction-file.tar.xz.gpg 文件已解

勒索病毒当道的时代

WannaCry就是典型的区块链智能合约应用,黑客玩的很溜了

庆幸的是,合约发布方们已经意识问题严重性,开始执行严格的智能合约审计,为智能合约筑起区块链“马其顿防线”成为趋势。

数字货币往往相对更难追溯,一旦被骗就很难找回,目前比特币及代币的监管难度比较高;而不可篡改则意味着钱一旦被骗走,交易就不可能回退,基于这两点,数字钱包成为黑客眼中的“肥肉”。

从数字钱包从设计、发布、下载、安装、运行的途中但凡出现问题,均有可能中招。

比如,是否通过官方渠道下载钱包,如果从第三方软件平台下载,会不会下载到有恶意插件的?即便通过官方渠道,是否处于安全的wifi环境?即便网络环境没问题,官方渠道的下载地址会不会遭到攻击?就算这些雷一一避开,数字钱包本身是否可靠?厂商有没有为了使用便捷而忽略安全运维?厂商是否具备安全存储用户私钥的能力?作者:花无涯

中国黑客协会非常重视人才的吸收的培养,有兴趣、热爱、执着童鞋们欢迎你们的加入,别让自己荒废着,新手永远是多数,我们将致力于新手启蒙和进阶教育,引导其树立正确观念,为社会贡献出一份力,网络世界不安定因素过多

【黑客利刃砍出的ETH和ETC】

The DAO作为世界上最大的众筹项目,一度被寄予了厚望,所谓“成也萧何,败也萧何”,智能合约一度被捧上了天,但在这次The DAO事件当中,其递归调用(recursive calling)的漏洞却成为了黑客入侵的大门。此后出现“黑客”现身谈攻击合法性的戏幕,更是让人大跌眼镜,这第一次引出了智能合约代码监管的问题。

2016年6月17日发生了在区块链历史上留下沉重一笔的攻击事件。由于其编写的智能合约存在着重大缺陷,区块链业界最大的众筹项目TheDAO(被攻击前 拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池TheDAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏 洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。

攻击者组合了2个漏洞攻击,攻击者利用的第一个漏洞是递归调用splitDAO函数,也就是说splitDAO函数被第一次合法调用后会非法的再次调用自己,然后不断重复这 个自己非法调用自己的过程。这样的递归调用可以使得攻击者的DAO资产在被清零之 前,数十次的从TheDAO的资产池里重复分离出来理应被清零的攻击者的DAO资产。 攻击者利用的第二个漏洞是DAO资产分离后避免从heDAO资产池中销毁。正常情况 下,攻击者的DAO资产被分离后,TheDAO资产池会销毁这部分DAO资产。但是攻击 者在递归调用结束前把自己的DAO资产转移到了其他账户,这样就可以避免这部分 DAO资产被销毁。在利用第一个漏洞进行攻击完后把安全转移走的DAO资产再转回原 账户。这样攻击者做到了只用2个同样的账户和同样DAO资产进行了200多次攻击。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 区块链:黑客已经盯上你的数字货币了!

分享到:更多 ()