.jpg)
一、区块链漏洞怎么修复的
360发现了区块链哪些史诗级漏洞?
5月29日消息,近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。
足以轰瘫数字体系的区块链漏洞
传统软件领域的漏洞可能被利用来发起网络攻击,造成数据、隐私的泄露甚至实际生活的影响。而数字货币本身是一套金融体系,在数字货币和区块链网络中的安全漏洞,往往会有更严重、更直接的影响。
由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞,可能引发成千上万的节点遭到攻击。甚至,在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞,在区块链网络中则可能引发整个网络瘫痪的风暴攻击,对整个数字货币系统造成巨大冲击。
???EOS超级节点攻击:虚拟货币交易完全受控
在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。
由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。
更有甚者,攻击者可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。
区块链网络安全隐患亟待关注
EOS是被称为“区块链3.0”的新型区块链平台,目前其代币市值高达690亿人民币,在全球市值排名第五。
在区块链网络和数字货币体系中,节点、钱包、矿池、交易所、智能合约等都存在很多的攻击面,360安全团队此前已经发现和揭露了多个针对数字货币节点、钱包、矿池和智能合约的严重安全漏洞。
此次360安全团队在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞,是一系列前所未有的安全风险,此前尚未有安全研究人员发现这类问题。这类型的安全问题不仅仅影响EOS,也可能影响其他类型的区块链平台与虚拟货币应用。
360表示,希望通过这一漏洞的发现和披露,引起区块链业界和安全同行在这类问题的安全性上更多的重视和关注,共同增强区块链网络的安全。
内容来源?澎湃新闻
百亿美金漏洞后谁来保障区块链平台安全?
6月8日,360曝出的EOS高危漏洞,引起了网间众多热议。北京时间6月2日凌晨,EOS官方正式向360安全团队公开致谢,并提供3万美元赏金,强烈呼吁安全社区人员共同努力保证EOS软件安全性的持续提高。
随着EOSIO主网上线日益临近,如何保证区块链节点安全性,为用户提供可靠稳定的链上服务成为了全球EOSIO社区关注的焦点。为此,360前瞻性地提出EOS超级节点安全解决方案,依托“安全大脑”和对EOSIO生态的持续投入,致力于为EOS生态构建一个系统全面的安全保障体系,为EOSIO的广大用户提供更安全、更可靠、更稳定的基础服务。
20s轰瘫数字货币体系!EOS惊现超级节点攻击
北京时间5月29日,360Vulcan(伏尔甘)团队宣布,发现了EOS平台的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。29日凌晨,漏洞公布前,360已第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。
360曝光的EOS漏洞,如果被人利用,可以控制EOS网络里面的每一个节点、每一个服务器,不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。可以说,如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走。
EOS漏洞的攻击可以以秒级的速度在多个节点和超级节点之间传播,从控制节点到生成新块继续传播是连续的、链式的爆炸动作,很可能20秒就接管了所有的节点,完成了操作。
想象一下,当攻击者已经拿到整个EOS网络里至高无上的权限,就相当于灭霸把六颗宇宙原石都凑齐了,在宇宙中可以瞬息万变,为所欲为。
来源:中国新闻网
第三代区块链将弥补以太坊留下的Defi漏洞由于ETH2.0升级距离全面发布还有数月甚至数年的时间,第三代区块链协议正在迅速赶上取代以太坊作为dapps和defi的“首选”枢纽。
尽管很多人可能只是最近才发现它,但区块链技术已经存在了足够长的时间,可以从第一代协议发展到第二代协议,现在已经发展到第三代协议。
第一代区块链始于比特币,比特币是中心化金融服务霸权的替代方案。它为去中心化的金融生态系统奠定了基础,但比特币网络提供的功能有限,需要巨大的计算能力才能运行,并且严重缺乏互操作性。
这导致了2015年以太坊的出现,标志着第二代区块链协议的曙光。随着VitalikButerin在区块链上引入智能合约功能,它引发了范式转变,使加密货币能够从金融工具过渡到更实用的目的。
以太坊通过在链上实现数据和价值的“有条件转移”,打开了去中心化的金融(defi)的大门。从那以后,以太坊一直在疯狂发展,巩固了自己作为启动dapps、NFT和defi协议的首选平台的地位。
开发人员和采用者接受了复仇,并开始生成自己的ERC20令牌,这么多的社交媒体平台开始谈论的“flippening”-在ETH将超过BTC市值的条款。
然而,尽管它取得了成功,但问题很快在以太坊区块链上显现出来。随着新项目大量进入以太坊生态系统,网络开始面临可扩展性问题。Gas费用飙升,有限的交易吞吐量成为日常问题。
以太坊的创造者VitalikButerin也表达了他对以太坊扩展能力的怀疑,他说:
虽然提议的以太坊2.0升级承诺解决当前使以太坊网络蒙上阴影的问题,但事情并没有按计划进行。ETH2.0的第一阶段最初定于2019年推出,于2020年12月开始。还有两个阶段,在2022年之前完全发布的可能性很小。
因此,声称该网络在实现其成为世界“去中心化计算机”的核心愿景之前还有很长的路要走,这并不夸张。
尽管比特币和以太坊带来了创新,但这些链都受到各自的可扩展性和效率问题的困扰。同时,这两个网络都需要大量的计算资源才能运行。所有这一切都导致了令人痛苦的缓慢吞吐率和过高成本的永久循环。
已经开发了许多地方2层次扩展解决方案来克服比特币和以太坊的固有问题,每个解决方案都取得了不同程度的成功。二层解决方案在一定程度上解决了互操作性和可扩展性问题,但与共识机制和挖矿相关的核心问题还有待解决。
这就是第三代区块链出现的地方。虽然一些第三代协议可以补充现有的区块链网络,但其他一些是全新的区块链,拥有广泛的特性和功能。从多层架构到创新的共识机制,第三代区块链协议不仅完全能够解决出现的可扩展性问题,而且还具有高度的互操作性、快速性和成本效益。
不可否认,defi热潮是因为以太坊而发生的,并且以太坊仍然主导着defi市场。然而,随着基于第三代区块链协议的新定义项目的出现,以太坊的权威无疑将受到挑战。
随着defi不断扩大其市场,下一个“Defi热潮”很可能来自于比早期区块链网络创新更敏捷、更专注的新兴产业。也就是说,随着加密世界为“下一次大翻转”奠定了基础,有前途的项目正在排队等待更新的区块链技术。
在市场主导地位方面,Cardano、Solana和Polkadot处于领先地位。每个平台都提供一系列功能,这就是为什么新项目联盟正在排队开始在这些平台上构建他们的想法。
例如,卡尔达诺的稳定币和defi中心Ardana使卡尔达诺能够扩展到defi领域。该平台及其组成协议是从定义宏观的角度设计的,旨在为用户提供所需的功能,以帮助维护卡尔达诺链上所有类型的去中心化经济。它将作为一个金融基础层,通过采用历史证明的可组合性、资本效率和稳定性的协议模型来支持卡尔达诺的去中心化经济。
作为其战略路线图的一部分,Ardana将很快推出dUSD。这种可验证的、链上抵押支持的稳定币将帮助用户将他们的ADA和其他支持的资产投入使用。该平台还将推出其AMMdex(去中心化交易所)Danaswap,用于稳定的多资产池。根据Ardana团队的说法,Danaswap将提供资本高效的掉期,同时以最小的滑点为目标,并使流动性提供者能够利用低风险的收益机会。
另一项雄心勃勃的计划是Acala,它是利用第三代区块链协议Polkadot的内置功能的Defi流动性中心。目前,几乎所有稳定币都建立在以太坊网络上,限制了采用和使用。Acala希望通过利用Polkadot的速度、跨链互操作性和成本效率来改变这一现实,以提供具有内置流动性和现成的去中心化金融应用程序的defi中心。
同样,Acala声称以其他网络所需的一小部分来结算交易,在defi竞赛中建立了数量优势。该平台将通过Polkadot基于权重的费用模型支持受交易复杂性影响很小的小额Gas费用。此外,Acala还将引入“算法风险调整”功能,该功能将自动修改其借贷协议的风险参数,包括利率和抵押品比率。
最后,在这场正在进行的defi市场份额争夺战中,建立在Solana区块链网络上的一体式加密交易平台Atani是另一个需要监控的重量级竞争者。该平台提供免费的加密交易工具,并与Kucoin、Binance、Okex、Bitfinex、Poloniex等顶级交易所合作,为用户提供更低的交易费用。
Atani最近在Solana上推出了新的dex聚合器,以提供订单路由功能,同时提供投资组合跟踪、价格警报、技术分析等附加组件。有了这个聚合器和Solana的嵌入特性,Atani的计划是减少分散的defi生态系统之间的摩擦,将cexs(中心化交易所)和dexs的流动性提供给Solana生态系统,同时确保多链支持。
当谈到挖掘defi的真正潜力时,我们还没有真正触及表面。Web3.0正在发展,地球村正在变得越来越小。与此同时,defi服务对于全球没有银行账户和银行账户不足的人来说都是革命性的,他们需要更多空间来扩展,就像现有协议推动网络容量限制一样。
从公正的角度来看,Polkadot、Cardano、Solana和其他几个第三代区块链平台为阻碍传统链的可扩展性和互操作性提供了急需的解决方案。它们更快、更安全、更具成本效益且资源消耗低,将它们定位为可广泛使整个加密货币行业受益的多合一解决方案。随着以太坊2.0的首次亮相还有很长的路要走,第三代区块链协议已经在这里完成繁重的工作并将defi提升到一个新的水平。
您认为哪个网络会赢得defi竞赛?请在下面的评论部分告诉我们。
#热议区块链##数字货币##比特币[超话]#
区块链安全问题应该怎么解决?区块链项目(尤其是公有链)的一个特点是开源。通过开放源代码,来提高项目的可信性,也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。近两年就发生多起黑客攻击事件,近日就有匿名币Verge(XVG)再次遭到攻击,攻击者锁定了XVG代码中的某个漏洞,该漏洞允许恶意矿工在区块上添加虚假的时间戳,随后快速挖出新块,短短的几个小时内谋取了近价值175万美元的数字货币。虽然随后攻击就被成功制止,然而没人能够保证未来攻击者是否会再次出击。
当然,区块链开发者们也可以采取一些措施
一是使用专业的代码审计服务,
二是了解安全编码规范,防患于未然。
密码算法的安全性
随着量子计算机的发展将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易,目前最常用的ECDSA、RSA、DSA等在理论上都不能承受量子攻击,将会存在较大的风险,越来越多的研究人员开始关注能够抵抗量子攻击的密码算法。
当然,除了改变算法,还有一个方法可以提升一定的安全性:
参考比特币对于公钥地址的处理方式,降低公钥泄露所带来的潜在的风险。作为用户,尤其是比特币用户,每次交易后的余额都采用新的地址进行存储,确保有比特币资金存储的地址的公钥不外泄。
共识机制的安全性
当前的共识机制有工作量证明(ProofofWork,PoW)、权益证明(ProofofStake,PoS)、授权权益证明(DelegatedProofofStake,DPoS)、实用拜占庭容错(PracticalByzantineFaultTolerance,PBFT)等。
PoW面临51%攻击问题。由于PoW依赖于算力,当攻击者具备算力优势时,找到新的区块的概率将会大于其他节点,这时其具备了撤销已经发生的交易的能力。需要说明的是,即便在这种情况下,攻击者也只能修改自己的交易而不能修改其他用户的交易(攻击者没有其他用户的私钥)。
在PoS中,攻击者在持有超过51%的Token量时才能够攻击成功,这相对于PoW中的51%算力来说,更加困难。
在PBFT中,恶意节点小于总节点的1/3时系统是安全的。总的来说,任何共识机制都有其成立的条件,作为攻击者,还需要考虑的是,一旦攻击成功,将会造成该系统的价值归零,这时攻击者除了破坏之外,并没有得到其他有价值的回报。
对于区块链项目的设计者而言,应该了解清楚各个共识机制的优劣,从而选择出合适的共识机制或者根据场景需要,设计新的共识机制。
智能合约的安全性
智能合约具备运行成本低、人为干预风险小等优势,但如果智能合约的设计存在问题,将有可能带来较大的损失。2016年6月,以太坊最大众筹项目TheDAO被攻击,黑客获得超过350万个以太币,后来导致以太坊分叉为ETH和ETC。
对此提出的措施有两个方面:
一是对智能合约进行安全审计,
二是遵循智能合约安全开发原则。
智能合约的安全开发原则有:对可能的错误有所准备,确保代码能够正确的处理出现的bug和漏洞;谨慎发布智能合约,做好功能测试与安全测试,充分考虑边界;保持智能合约的简洁;关注区块链威胁情报,并及时检查更新;清楚区块链的特性,如谨慎调用外部合约等。
数字钱包的安全性
数字钱包主要存在三方面的安全隐患:第一,设计缺陷。2014年底,某签报因一个严重的随机数问题(R值重复)造成用户丢失数百枚数字资产。第二,数字钱包中包含恶意代码。第三,电脑、手机丢失或损坏导致的丢失资产。
应对措施主要有四个方面:
一是确保私钥的随机性;
二是在软件安装前进行散列值校验,确保数字钱包软件没有被篡改过;
三是使用冷钱包;
四是对私钥进行备份。
区块链安全性主要通过什么来保证区块链技术是一种分布式记录技术,它通过对数据进行加密和分布式存储,来保证数据的安全性和可靠性。
主要通过以下几种方式来保证区块链的安全性:
1.加密技术:区块链采用的是对称加密和非对称加密算法,可以有效保护数据的安全。
2.分布式存储:区块链的数据不是集中存储在单一节点上,而是分散存储在网络中的各个节点上,这有效防止了数据的篡改和丢失。
3.共识机制:区块链通常采用共识机制来确认交易的合法性,这有助于防止恶意交易的发生。
4.合约机制:区块链可以通过智能合约来自动执行交易,这有助于防止操纵交易的发生。
区块链技术在实现安全性的同时,也带来了一些挑战。例如,区块链的安全性可能受到漏洞的攻击,或者因为私钥泄露而导致资产被盗。因此,在使用区块链技术时,还需要注意身份认证、密码安全等方面的问题,以确保区块链的安全性。
此外,区块链技术的安全性也可能受到政策、法规等方面的影响。例如,在某些国家和地区,区块链技术可能会受到审查和限制,这也可能会对区块链的安全性产生影响。
总的来说,区块链技术的安全性主要通过加密技术、分布式存储、共识机制和合约机制等方式来保证,但是还需要注意其他方面的挑战和影响因素。
二、区块链有哪些漏洞,区块链有哪些漏洞类型
区块链技术现存问题有哪些?
1.性能问题
体积问题
区块链对数据备份的要求对存储空间提出挑战。区块链要求在一笔交易达成后向全网广播,系统内每个节点都要进行数据备份。
以比特币为例,自创世区块至今的区块数据已经超过60GB,并且区块链数据量还在不断增加,这将给比特币核心客户端的运行带来很大挑战。
处理速度问题
比特币区块链目前最高每秒处理6.67笔交易,一次确认时间大约为10分钟,容易造成大量交易的堵塞延迟,可能会限制小额多次交易和对时间敏感度较高交易的应用。
尽管目前有了一些克服手段,但全面解决交易效率的方法仍然亟待发掘。
耗能过高
第三,挖矿过程中的算力并不产生额外的实际社会价值,还会浪费大量的电子资源,随着比特币的日益普及,区块链逐渐成为高耗能的资本密集型行业。
2.中心化问题
节点的不平等
第一,理论上,分布式网络中每个节点应当被平等对待,但是为了挖矿获得回报,各节点可能会增加算力进行硬件竞赛,从而导致节点的不平等,破坏区块链记账权的随机性。
产业化、规模化挖矿产生了矿池
理论上如果矿池通过共谋掌握51%以上的算力进行系统供给,就可以实现双重支付,实际过程中尽管其成本远超收益,但不能否认合谋供给存在的可能性。
3.隐私安全问题
私钥容易被窃取
第一,目前区块链采用的是非对称密钥机制,尽管具有很高的安全性,但是私钥保存在用户本地,容易被黑客窃取。
区块链数据的透明性容易造成隐私泄露
公有链中每个参与者都可以获得完整的数据备份,整个系统是公开透明的,比特币通过隔断交易地址和持有人真实身份的关联保护隐私。
当区块链需要承载更多的业务时,节点如何验证信息执行命令就需要更多的考虑。
4.升级和激励问题
公有链中参与节点的数量庞大
无论是升级还是修复错误都无法关闭系统集中进行,可能需要考虑放松去中心化的问题。
各个节点之间存在着竞争博弈
要求激励相容机制的完善,如何使去中心化系统中的自利节点能够自发开展区块数据验证及记账工作,并设计合理的惩罚函数抑制非理性竞争,是区块链面临的另一挑战。
区块链有哪些安全软肋
区块链有哪些安全软肋
区块链是比特币中的核心技术,在无法建立信任关系的互联网上,区块链技术依靠密码学和巧妙的分布式算法,无需借助任何第三方中心机构的介入,用数学的方法使参与者达成共识,保证交易记录的存在性、合约的有效性以及身份的不可抵赖性。
区块链技术常被人们提及的特性是去中心化、共识机制等,由区块链引申出来的虚拟数字货币是目前全球最火爆的项目之一,正在成就出新的一批亿万级富豪。像币安交易平台,成立短短几个月,就被国际知名机构评级市值达400亿美金,成为了最富有的一批数字货币创业先驱者。但是自从有数字货币交易所至今,交易所被攻击、资金被盗事件层出不穷,且部分数字货币交易所被黑客攻击损失惨重,甚至倒闭。
一、令人震惊的数字货币交易所被攻击事件
从最早的比特币,到后来的莱特币、以太币,目前已有几百种数字货币。随着价格的攀升,各种数字货币系统被攻击、数字货币被盗事件不断增加,被盗金额也是一路飙升。让我们来回顾一下令人震惊的数字货币被攻击、被盗事件。
2014年2月24日,当时世界最大的比特币交易所运营商Mt.Gox宣布其交易平台的85万个比特币已经被盗一空,承担着超过80%的比特币交易所的Mt.Gox由于无法弥补客户损失而申请破产保护。
经分析,原因大致为Mt.Gox存在单点故障结构这种严重的错误,被黑客用于发起DDoS攻击:
比特币提现环节的签名被黑客篡改并先于正常的请求进入比特币网络,结果伪造的请求可以提现成功,而正常的提现请求在交易平台中出现异常并显示为失败,此时黑客实际上已经拿到提现的比特币了,但是他继续在Mt.Gox平台请求重复提现,Mt.Gox在没有进行事务一致性校验(对账)的情况下,重复支付了等额的比特币,导致交易平台的比特币被窃取。
2016年8月4日,最大的美元比特币交易平台Bitfinex发布公告称,网站发现安全漏洞,导致近12万枚比特币被盗,总价值约为7500万美元。
2018年1月26日,日本的一家大型数字货币交易平台Coincheck系统遭遇黑客攻击,导致时价580亿日元、约合5.3亿美元的数字货币“新经币”被盗,这是史上最大的数字货币盗窃案。
2018年3月7日,世界第二大数字货币交易所币安(Binance)被黑客攻击的消息让币圈彻夜难眠,黑客竟然玩起了经济学,买空卖空“炒币”割韭菜。根据币安公告,黑客的攻击过程包括:
1)在长时间里,利用第三方钓鱼网站偷盗用户的账号登录信息。黑客通过使用Unicode字符冒充正规Binance网址域名里的部分字母对用户实施网页钓鱼攻击。
2)黑客获得账号后,自动创建交易API,之后便静默潜伏。
3)3月7日黑客通过盗取的APIKey,利用买空卖空的方式,将VIA币值直接拉暴100多倍,比特币大跌10%,以全球总计1700万个比特币计算,比特币一夜丢了170亿美元。
二、黑客攻击为什么能屡屡得手
基于区块链的数字货币其火热行情让黑客们垂涎不已,被盗金额不断刷新纪录,盗窃事件的发生也引发了人们对数字货币安全的担忧,人们不禁要问:区块链技术安全吗?
随着人们对区块链技术的研究与应用,区块链系统除了其所属信息系统会面临病毒、木马等恶意程序威胁及大规模DDoS攻击外,还将由于其特性而面临独有的安全挑战。
1.算法实现安全
由于区块链大量应用了各种密码学技术,属于算法高度密集工程,在实现上比较容易出现问题。历史上有过此类先例,比如NSA对RSA算法实现埋入缺陷,使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞,可以说构成区块链整个大厦的地基将不再安全,后果极其可怕。之前就发生过由于比特币随机数产生器出现问题所导致的比特币被盗事件,理论上,在签名过程中两次使用同一个随机数,就能推导出私钥。
2.共识机制安全
当前的区块链技术中已经出现了多种共识算法机制,最常见的有PoW、PoS、DPos。但这些共识机制是否能实现并保障真正的安全,需要更严格的证明和时间的考验。
3.区块链使用安全
区块链技术一大特点就是不可逆、不可伪造,但前提是私钥是安全的。私钥是用户生成并保管的,理论上没有第三方参与。私钥一旦丢失,便无法对账户的资产做任何操作。一旦被黑客拿到,就能转移数字货币。
4.系统设计安全
像Mt.Gox平台由于在业务设计上存在单点故障,所以其系统容易遭受DoS攻击。目前区块链是去中心化的,而交易所是中心化的。中心化的交易所,除了要防止技术盗窃外,还得管理好人,防止人为盗窃。
总体来说,从安全性分析的角度,区块链面临着算法实现、共识机制、使用及设计上挑战,同时黑客通过利用系统安全漏洞、业务设计缺陷也可达成攻击目的。目前,黑客攻击已经在对区块链系统安全性造成越来越大的影响。
三、如何保证区块链的安全
为了保证区块链系统安全,建议参照NIST的网络安全框架,从战略层面、一个企业或者组织的网络安全风险管理的整个生命周期的角度出发构建识别、保护、检测、响应和恢复5个核心组成部分,来感知、阻断区块链风险和威胁。
除此之外,根据区块链技术自身特点重点关注算法、共识机制、使用及设计上的安全。
针对算法实现安全性:一方面选择采用新的、本身经得起考验的密码技术,如国密公钥算法SM2等。另一方面对核心算法代码进行严格、完整测试的同时进行源码混淆,增加黑客逆向攻击的难度和成本。
针对共识算法安全性:PoW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。
针对使用安全性:对私钥的生成、存储进行保护,敏感数据加密存储。
针对设计安全性:一方面要保证设计的功能尽量完善,如采用私钥白盒签名技术,防止病毒、木马在系统运行过程中提取私钥;设计私钥泄露追踪功能,尽可能减少私钥泄露后的损失。另一方面,应对某些关键业务设计去中心化,防止单点故障攻击。
360发现了区块链哪些史诗级漏洞?5月29日消息,近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。
足以轰瘫数字体系的区块链漏洞
传统软件领域的漏洞可能被利用来发起网络攻击,造成数据、隐私的泄露甚至实际生活的影响。而数字货币本身是一套金融体系,在数字货币和区块链网络中的安全漏洞,往往会有更严重、更直接的影响。
由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞,可能引发成千上万的节点遭到攻击。甚至,在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞,在区块链网络中则可能引发整个网络瘫痪的风暴攻击,对整个数字货币系统造成巨大冲击。
???EOS超级节点攻击:虚拟货币交易完全受控
在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。
由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。
更有甚者,攻击者可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。
区块链网络安全隐患亟待关注
EOS是被称为“区块链3.0”的新型区块链平台,目前其代币市值高达690亿人民币,在全球市值排名第五。
在区块链网络和数字货币体系中,节点、钱包、矿池、交易所、智能合约等都存在很多的攻击面,360安全团队此前已经发现和揭露了多个针对数字货币节点、钱包、矿池和智能合约的严重安全漏洞。
此次360安全团队在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞,是一系列前所未有的安全风险,此前尚未有安全研究人员发现这类问题。这类型的安全问题不仅仅影响EOS,也可能影响其他类型的区块链平台与虚拟货币应用。
360表示,希望通过这一漏洞的发现和披露,引起区块链业界和安全同行在这类问题的安全性上更多的重视和关注,共同增强区块链网络的安全。
内容来源?澎湃新闻
三、区块链十大风险问题有哪些(区块链安全风险有哪些)
区块链面临哪些风险需要解决的?
虽然在资本和人才涌入的推动下,区块链行业迎来快速发展,但是作为一个新兴产业,其安全漏洞频繁示警的状况引发了人们对区块链风险的担忧。
国家信息技术安全研究中心主任俞克群指出,对于隐私暴露、数据泄露、信息篡改、网络诈骗等问题,区块链的出现给人们带来了很多期望。但区块链的安全问题依然存在诸多的挑战。
俞克群表示,目前区块链还处在初级阶段,存在着密码算法的安全性、协议安全性、使用安全性、系统安全性等诸多的挑战。
国家互联网应急中心运行部主任严寒冰也指出,区块链如果要在全球经济占有重要地位,必须首先解决其面临的安全问题。
严寒冰指出,区块链安全问题包含多个方面。比如说传统的安全问题,包括私钥的保护,包括应用层软件传统的漏洞等。另外,新的协议层面也有一些新的协议带来的漏洞。
去中心化漏洞平台(DVP)提供的数据也显示区块链安全问题的严峻性。DVP负责人吴家志透露,自7月24日来的一周内,DVP就已经收到白帽子所提供的312个漏洞,涉及175个项目方。其中包括智能合约、知名公链,交易所等一系列项目。高危漏洞达122个,占所有漏洞的39.1%,中危漏洞53个,占所有漏洞的17%。
中国信息安全测评中心主任助理李斌分析说,当前区块链分为公有链、私有链、联盟链三种,无论哪一类在算法、协议、使用、时限和系统等多个方面都面临安全挑战。尤为关键的是,目前区块链还面临的是51%的攻击问题,即节点通过掌握全网超过51%的算例就有能力成功的篡改和伪造区块链数据。
值得注意的是,除了外部恶意攻击风险,区块链也面临其内生风险的威胁。俞克群提醒说,如何围绕着整个区块链的应用系统的设备、数据、应用、加密、认证以及权限等等方面构筑一个完整的安全应用体系,是各方必须要面临的重要问题。
吴家志也分析说,作为新兴产业,区块链产业的从业人员安全意识较为缺乏,导致目前的区块链相关软硬件的安全系数不高,存在大量的安全漏洞,此外,整个区块链生态环节众多,相较之下,相关的安全从业人员力量分散,难以形成合力来解决问题。迎接上述挑战需要系统化的解决方案。
内容来源中新网
区块链投资风险及焦虑在这个通货膨胀,钱不值钱的时代,如何保护自己的资产?对常人而言,最好的选择大概就是投资了。一般来说,投资可以是买股票、买基金、买不动产。
插一句,个人创业或开个体店,也有点投资的意思,但这种投资风险极大、失败概率90%以上。创业和开店,更多的是投资个人,尝试个人发展方向,就资产投资而言,九死一生。
投资应该“生活+”,生活才是根本。“生活+投资”是为了让未来的更有希望,是把现有的资产投资未来,让未来有一个更好的资产回报预期。然而,因为风险承受、资产投入比例、投资知识等等各方面的认知能力局限,投资常常是一件非常折磨人的事情,情绪跟着市场波动,甚至常常严重地影响到生活……
如何破解投资带来的焦虑感?自从参与区块链投资,在经历过多次巨大的波动行情,心力煎熬后,以下是个人的粗浅的认知。
1、坚守投资的两条铁律
投资,首先应该遵循两条铁律。
铁律一:拿闲钱投资,即便归零也可以承受。
这一条在平常情况下,看起来似乎不难做到,甚至毫无感觉。那是因为:盲目自信,以及刀还没有割到肉!
在刚开始投资的时候,你是相当自信的,你是认为自己能够赚钱的,否则你也不会冒这个风险。但当你对市场预期良好,认为必然会赚大钱的时候,你会很快忘记这条铁律,进而抛弃,投入更多的资产去投资,甚至借钱投资。
市场总是波动的,甚至常常是很大的波动。在有浮盈的时候,一切都不是问题。一旦出现亏损,当刀真正割到肉时才会感觉疼。由于损失厌恶,心态立马会出现波动。即便投资的闲钱,都会有失落的情绪,进而影响生活。如果是借钱或者投资资产比例过重(比如70%以上),则更是没有办法心平气和的对待,更无法做到归零也可以接受。
所以,别高估了自己的承受能力,更别高估了自己的投资能力!否则,一旦亏损,必然会影响到生活。
铁律二:和时间做朋友,做长期价值投资。
投资向来都是一件长期的事情,1-3年算是短期,5-10年算是中期。你看好一个投资项目,一定要给它时间去“生长”,才会开花结果,最后才能有收获。
大部分刚踏入投资领域的人,都是急不可耐地想要马上看到“结果”。这不是投资,是投机,犹如上了赌桌,马上就可以看到胜负,体验到狂喜或失落。
参与投资这段时间内,我大概渐渐明白了一个道理:大部分人,包括我自己,从一开始都是带着投机心态的赌徒。这种赌徒心态,把投资当成了押注,就迫切地想有所收益,天天盯盘,打探各种消息,生怕错过几个亿……
那些在股市中频繁操作短线的人,其实就是把炒股当做赌博,想从每一个小波段中获益,结果被专业机构收割。
投资是否成功,应该是眼光(价值判断)+时间+运气的组合。投资之前的分析判断至关重要,是最终收获的前提;时间是等待价值成长的过程;运气,是无法预知或无法控制的结果。
如果,对自己投资的项目的价值没有清晰的认识,且做不到长期;那么,在接下来的日子里,每一天你的内心都会随着市场波动而波动,偶尔欢喜、偶尔失落,又或大喜又或大悲,你的情绪几乎被市场牵动。
2、见好就收,你的承受能力有限
面对亏损,一开始我们遵守铁律“归零也可以接受”,这是在心态上提前给自己打的预防针。如果没有这个预防针,你很能承受不了损失的痛苦而割肉,也就是从投资中提前出局。当然,如果你看清自己投资的产品有问题,可能存在归零,那么即便是割肉,也要及时地退出,争取最少的损失。
还有另一种常见情况,即便是盈利了,也常常让人焦虑,特别是当市场回落,浮盈减少的时候,更是令人焦虑不安。
浮盈,为什么还会让人焦虑?因为不知道什么时候才是顶点。
在这个过程中,大概会有这四种情况:第一种是过早地卖出,第二种是恰当地时候卖出,第三种是因为犹豫不决错过最佳卖出机会,第四种是不为所动、坚决不卖。
可笑的是,至少90%的人都是第三种!在市场上涨的过程中,在喜悦中焦虑,在焦虑中盲目,人性的贪婪,把市场越托越高,最后泡沫破裂,一地鸡毛……
从结果上来看,第四种人和第三种人是一样的结果,都是没有卖出,错过最佳出货时机。但不同点在于第四种人是带有自愿的成分,在“长期价值投资”的信仰中摇摆、焦虑……
这里有必要把投资铁律二“和时间做朋友,做长期价值投资"拿出来说一说。既然是长期价值投资,那么面对市场行情好,大牛市的时候是不是不要操作,要做到第四种“不为所动,坚决不卖”?
可以说,很多人在上涨的行情中坚持“长期价值投资”的信仰,在市场崩盘后,又彻底陷入迷惘、沮丧。我们以为自己可以承受这种压力,实际上面对市场下跌,大部分人都很难承受这种错过最佳时机的压力,焦虑到影响生活。
这里主要问题是:因为“长期而长期”,不懂得变通,不会根据自身的情况来适当调整。
对于专业投资人而言,不为市场波动所动,坚决长期投资是可以理解。但作为普通人,面对超出预期的收益,可以适当地变通。具体的做法是:达到预期收益,分批出货。在整个上行过程中,出货量控制在20%。
这种策略,一来可以变现收益,回收投入成本;二来保持大部分资产仍然在参与中;其三,一旦市场突变,保住了部分收益,且有资金可以抄底。
所以,在上涨的行情中,不要死板地遵守“长期投资”。要见好就收,把获得的利润部分及时变现,当行情突变时,你的内心也就可以承受这种焦虑且不至于影响生活。
3、场外赚钱能力更重要
投资有很多运气成分,有时即便你做对了很多,可能运气也不一定站在你这一边。如果把财务问题都押注在投资上,则在投资的过程中很难接受“归零”的结果,也很难做到“长期”。
现实中,最常见的往往是很多人把财富的希望寄托于投资,且期望过大,在区块链投资领域尤其如此。过大的期望,自然让人陷入一种“迷信”和疯狂的状态中,从而也忘记了投资的原则。
即便在一个技术变革,充满红利的新市场,也不可能让大部分人赚钱,反过来甚至往往是90%的人被收割。当然,能够遵守投资铁律的人,基本可以避免被收割的命运,在运气好的情况下不赚钱都难。然而,绝大部分的人是做不到,其根本还是在于投机与投资的区别。
投资给我另一个较大的感触是:大部分人不适合投资(包括目前阶段的自己),不具备投资的能力(财力和智力),心力不足以应付投资带来的压力的焦虑感。
一个合格投资者,应该具备较好的场外赚钱能力,其次在心态上能够坦然面对投资带来的盈亏。当你不具备这种能力时,不是不可以投资,则应该投入自己内心真正可以承受归零的资金,至少这样你可以过好当前的生活。
别寄托于投资快速实现财富自由,这样你的心态会失衡。只有具备足够的场外赚钱能力,在面对投资的盈亏时,才会表现的淡然。盈利是对自己的嘉奖,亏损也可以承受。
4、区块链投资的疯狂与理性
历史上出现很多次新兴产业的投资泡沫,房地产投资、股票投资、互联网投资……每一次人们都以为找到了财富自由之路,很多人疯狂地参与其中,最终却一地鸡毛……
这一次区块链投资,更加疯狂,更加不理性,是不是意味着一次新的巨大泡沫正在形成?有意思的一点是,区块链泡沫已经反复破裂了几次,但每次又更加强势的反弹,更大泡沫形成……泡沫并非是没有价值,并非等同于旁氏骗局,而是指有太多不理性的投资人涌入,短期内高估了资产价值。
区块链的价值在于解决了信用问题,极大地降低了资产之间的转移成本,甚至为零。虽然目前区块链技术还没有大量的应用,带来的实际社会价值也不高,但可以预见未来一定具备极大的社会价值。
就投资而言,无论区块链技术有多大的价值,最后获益的仍然是极少数人,而绝大部分人是被收割的韭菜!从人性的角度,绝大部分人永远是追高杀跌,非理性的投资,最终成分被收割者。这区块链价值无关,泡沫的形成,是人性的贪婪。
区块链投资,面临比传统投资大得多的变数,常常波动极大,这种情况极大地考验人的心力。更可怕的是,由于区块链投资目前缺乏监管和规范,大量不合格投资人涌入,更是极大地加重了泡沫的形成。
只有理性的看到其中的巨大风险,坚持做到:遵守投资铁律、见好就收、保持场外赚钱能力,才能够避免在这场泡沫中被收割,甚至获得超高的收益。
认知是一切成功的根本!单军强的数字签名:{"sig":"990a99e1379b6ddc4ce1ed8967609aedf69a4402acd9aded11f25eb1d8008412f28c4f255353e31e5f5f1f3bbf53208d2be76d29e9e32be4afb4daae62bcfe061","msghash":"7d6f455ddb98d5b723dadb8394360b16fc980d18156eac388ebacda5dd405200"}
区块链交易有哪些风险进行区块链交易时,3个最需要注意的灾难性的风险是(严重性从高到低排序):个人风险、平台风险和政策风险最大风险:个人风险如果没有把控好个人风险,可能会遇到:1.密码,私钥被盗,钱包和交易平台里的所有数字资产丢失(无法找回)2.你的信息会被地下黑产卖来卖去,几乎没有隐私3.如果你在其他地方(银行,证券交易平台)使用相同或类似的密码,其他地方的资产也会被盗如何规避个人风险:增加密码强度,不要重复使用密码,不要在网上发送密码…电脑不要裸奔(不装安全杀毒软件),不要上乱七八糟的网站(“黄赌毒”的网站是木马病毒的重灾区)所有需要
银行业的区块链技术应用存在哪些风险?一是新技术不成熟的风险;二是新旧模式并行下的管理风险。三是银行机构应用区块链技术的不同步性导致的监管风险。其他相关建议你在官方公众号“中芯区块链服务平台”进行熟悉
本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://www.ssyg068.com/biquanzx/13212.html
微信扫一扫 
支付宝扫一扫 
发表回复
评论列表(0条)