以太坊錢包攻擊
Ⅰ SAFEIS安全報告:加密史上十大被盜事件梳理及應對策略
2008年全球金融危機因為中心化世界的種種弊端而爆發並進而席捲全球,為了消除這些弊端,中本聰創立了比特幣網路,區塊鏈也因此誕生。
為了提高整個網路以及交易的安全性,區塊鏈採用分布式節點和密碼學,且所有鏈上的記錄是公開透明、不可篡改的。最近幾年,區塊鏈獲得長遠發展,形成了龐大的加密生態。
然而,區塊鏈自問世以來,加密貨幣騙局頻發並有愈演愈烈之勢,加密貨幣也無法為用戶的資金提供足夠的安全性。此外,加密貨幣可以匿名轉移,從而導致加密行業的重大攻擊盜竊事件頻發。
下文將梳理剖析加密史上十大加密貨幣盜竊事件,以及防範加密資產被盜的六大實用策略。
1.Mt. Gox 被盜事件
Mt. Gox 被盜事件仍然是 歷史 上最大的加密貨幣盜竊案,在 2011 年至 2014 年期間,有超過 85 萬比特幣被盜。
Mt. Gox 聲稱導致損失的主要原因是源於比特幣網路中的一個潛在漏洞——交易延展性,交易延展性是通過改變用於產生交易的數字簽名來改變交易的唯一標識符的過程。
2011 年 9 月,MtGox 的賬戶私鑰就已泄露,然而該公司並沒有使用任何審計技術來發現漏洞並預防安全事件的發生。此外,由於 MtGox 定期重復使用已泄露私鑰的比特幣地址,導致被盜資金損失不斷擴大,到 2013 年中,該交易所已被黑客盜取63萬枚比特幣。
許多交易所會同時使用冷錢包和熱錢包來進行資產的存儲和轉移,一旦交易所的伺服器被黑,黑客便可以盜取熱錢包裡面的加密資產。
2.Linode被盜事件
加密網路資產託管公司Linode主要業務就是託管比特幣交易所和巨鯨的加密資產,不幸的是,這些被託管的加密資產儲存在熱錢包中,更為不幸的是,Linode 於 2011 年 6 月遭到黑客攻擊。
這導致超過5萬枚比特幣被盜,Linode的客戶損失慘重,其中,Bitcoinia、Bitcoin.cx以及Gavin Andresen分別損失43000枚、3000枚和5000枚比特幣。
3.BitFloor被盜事件
2012 年 5 月,黑客攻擊 BitFloor 並盜竊了24000枚比特幣,這一切源於錢包密鑰備份未加密,才使攻擊者輕而易舉獲得了錢包密鑰,並進而盜取了巨額加密資產。
被盜事件發生後,BitFloor 的創建者 Roman Shtylman 決定關閉交易所。
4.Bitfinex被盜事件
使用多重簽名賬戶並不能完全杜絕安全事件的發生,Bitfinex接近12萬枚巨額比特幣資產被盜事件就證明了這一點。
2022年6月份,2000萬枚OP代幣就是以為不恰當使用多重簽名賬戶而被盜。
5.Coincheck被盜事件
總部位於日本的 Coincheck 在 2018 年 1 月被盜價值 5.3 億美元的 NEM ( XEM ) 代幣。
Coincheck事後透露,由於當時的人員疏忽,黑客能夠輕易訪問他們的系統,且由於資金保存在熱錢包中並且安全措施不足,黑客能夠成功盜取巨額加密資產。
6.KuCoin被盜事件
KuCoin 於 2020 年 9 月宣布,黑客盜取了大量的以太坊 ( ETH)、BTC、萊特幣 ( LTC )、Ripple ( XRP )、Stellar Lumens ( XLM )、Tron ( TRX ) 和 USDT等加密資產。
朝鮮黑客組織 Lazarus Group 被指控為KuCoin被盜事件的始作俑者,這次被盜事件造成了2.75 億美元的資金損失。幸運的是,該交易所收回了約2.7億美元的被盜資產。
7.Poly Network被盜事件
Poly Network被盜事件是有史以來最嚴重的加密貨幣盜竊案之一,2021 年 8 月,一位被稱為「白帽先生」的黑客利用了 DeFi 平台 Poly Network 網路中的一個漏洞,成功竊取了Poly Network上價值約 6 億美元的加密資產。
Poly Network被盜事件蹊蹺的是,自被盜事件發生後,「白帽先生」不僅與Poly Network官方保持公開對話,而且還於一周後歸還了所有被盜的加密資產。「白帽先生」因此獲得50萬美元的獎金,並獲得了成為 Poly Network 高級安全官的工作機會。
8.Cream Finance被盜事件
2021 年 10 月,Cream Finance發生安全事件,被黑客盜取價值1.3 億美元的加密資產。這是 Cream Finance 今年發生的第三起加密貨幣盜取事件,黑客在 2021 年 2 月盜取了 3700 萬美元的加密資產,在 2021年 8 月盜取了 1900 萬美元的加密資產。
本次被盜事件是通過閃電貸攻擊的方式完成的,攻擊者使用 MakerDAO 的 DAI 生成大量 yUSD 代幣,同時還利用 yUSD 價格預言機來完成閃電貸攻擊。
9.BadgerDAO被盜事件
2021 年 12 月,一名黑客成功從DeFi 項目 BadgerDAO 上的多個加密貨幣錢包中竊取資產。
該事件與通過Cloudflare將惡意腳本注入網站用戶界面時的網路釣魚有關。 黑客利用應用程序編程介面 (API) 密鑰竊取了 1.3 億美元的資金。API 密鑰是在 Badger 工程師不知情或未經許可的情況下創建的,用於定期將惡意代碼注入其一小部分客戶端。
然而,由於黑客未能及時從Badger提取資金,因此大約 900 萬美元加密資產得以追回。
10.Bitmart被盜事件
2021 年 12 月,Bitmart 的熱錢包遭到黑客攻擊,約 2 億美元加密資產被盜。研究發現,約1 億美元的加密資產是通過以太坊網路盜取轉移的,另外接近1億美元是通過幣安智能鏈網路盜取轉移的。
此次被盜事件涉及20多種代幣,包括比特幣等主流幣,和相當數量的山寨幣等。
保護加密資產的最佳方法是重視錢包的加密保護和安全的私鑰存放方式,以及對市場上的項目進行深入的研究和辨識,避免踏入攻擊者的陷阱。
由於區塊鏈的不可篡改和不可逆性,一旦錢包私鑰泄露,加密資產被盜便不可避免並無法追回。
防範加密資產被盜的六大實用策略:
1.使用冷錢包
與熱錢包不同,冷錢包不連接互聯網,因此不會受到網路攻擊。私鑰存儲在冷錢包中可有有效保護加密資產。
2.使用安全網路
在交易或進行加密交易時,僅使用安全的網路,避免使用公共 Wi-Fi 網路。
3. 資金分散到多個錢包中
雞蛋不要放到同一個籃子中,這句話在金融領域和加密領域都十分受用。
將加密資產分發到不同的多個錢包中,這樣可以在遭受攻擊時,將損失降到最低。
4. 提高個人設備安全性
確保個人設備安裝了最新的安全軟體,以防禦新發現的漏洞和網路攻擊,並且開啟防火牆來提高設備的安全性,以避免黑客通過設備系統安全漏洞來進行攻擊。
5.設置強密碼並定期更改
在談論安全性時,我們不能低估強密碼的重要性。很多人在多個設備、應用程序社交媒體帳戶和加密錢包上使用相同的密碼,這大幅增加了加密資產被盜的幾率。
防止被盜需要錢包賬戶建立一個安全等級較高的強密碼,這個強密碼需要具有獨特性,並養成定期更改的習慣。此外,選擇雙重身份驗證 (2FA) 或多重身份驗證 (MFA) 可以提高安全性。
6. 謹防釣魚攻擊
通過惡意廣告和電子郵件進行的網路釣魚詐騙在加密貨幣世界中十分猖獗。在進行加密交易時要格外小心,避免點擊任何可疑和未知鏈接。
應當始終檢查核實有關加密投資的相關信息和網站的URL,尤其是這些信息極具誘惑力且不合常理時,比如,項目方官方通過Didcord等渠道私聊信息,當然,項目方Didcord被攻擊的安全事件的頻繁發生,這時的惡意鏈接可能是在公共頻道中而不是私聊界面,這種情況下,多渠道檢查核實有關加密投資相關信息的真實性就顯得格外重要了!
SAFEIS是國際知名的創新型區塊鏈生態安全服務平台,基於 數據、 智能、網路安全、圖計算等多種核心技術打造,具有完備的數據處理和精準追溯能 ,服務對象涵蓋全球諸多知名公司和項目。
「讓區塊鏈更安全」是一個光榮使命,我們將踐行光榮使命、續航嶄新征程。
Ⅱ 怎麼防止區塊鏈貨幣,區塊鏈有什麼技術,可以實現「防篡改」
貨幣安全是重點,數字貨幣的安全措施有哪些?數字貨幣的合約交易不安全。數字貨幣交易平台依然存在諸多漏洞,比如最常見的就有以下六種:
一、拒絕服務攻擊
拒絕服務攻擊是目前最主要的針對數字貨幣交易平台的攻擊方式,攻擊者通過拒絕服務攻擊,讓交易平台無法正常訪問,而用戶因為無法准確分辨攻擊程度,往往會造成恐慌性的資產轉移,從而帶來一定的損失影響。
二、釣魚事件
即使是目前最好的技術措施也無法讓數字貨幣交易平台避免釣魚攻擊,一些黑客和不法分子可以通過虛假的域名或者仿冒頁面的方式迷惑數字貨幣投資者,而一般的投資者又無從辨別真偽,因此很容易就造成資產上的損失。
三、熱錢包防護問題
很多數字貨幣交易平台使用單個私鑰來保護熱錢包,如果黑客們可以訪問單個私鑰,他們就可以破解與私鑰相關的熱錢包。例如,2017年首爾交易所Yapizon的攻擊,攻擊者一年內前後兩次對交易平台發起了針對平台上熱錢包的盜取,總共造成交易平台近50%的資產損失,並最終導致了交易平台破產。
四、內部攻擊
沒有完善的風險隔離措施,或對於員工許可權監督不力,數字貨幣交易平台也存在員工監守自盜,部分擁有平台操作許可權的員工利用內部信任為自己謀取不義之財。例如,2016年交易平台ShapeShift發生的員工盜取比特幣事件,通過私下盜取和將敏感信息轉賣給他人的方式給交易平台共造成23萬美元損失。
五、軟體漏洞
數字貨幣交易平台的軟體漏洞則包括單點登錄漏洞、oAuth協議漏洞等。目前各國都有法律要求銀行或其他金融機構實施信息安全措施,以保護客戶的存款。但由於區塊鏈領域還處於起步階段,目前缺少適用於加密數字資產的此類規范。因此,許多交易平台在缺乏安全規范約束的條件下,存在大量漏洞並非偶然。
六、交易可鍛性
區塊鏈的技術支持者常常認為區塊鏈交易是高度安全的,因為它們被記錄在據稱不可更改的記錄上,但是每個交易都需要有相應簽名,而在交易最終確認之前,記錄是可以被暫時偽造的。
區塊鏈如何保證使用安全?區塊鏈項目(尤其是公有鏈)的一個特點是開源。通過開放源代碼,來提高項目的可信性,也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。近兩年就發生多起黑客攻擊事件,近日就有匿名幣Verge(XVG)再次遭到攻擊,攻擊者鎖定了XVG代碼中的某個漏洞,該漏洞允許惡意礦工在區塊上添加虛假的時間戳,隨後快速挖出新塊,短短的幾個小時內謀取了近價值175萬美元的數字貨幣。雖然隨後攻擊就被成功制止,然而沒人能夠保證未來攻擊者是否會再次出擊。
當然,區塊鏈開發者們也可以採取一些措施
一是使用專業的代碼審計服務,
二是了解安全編碼規范,防患於未然。
密碼演算法的安全性
隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易,目前最常用的ECDSA、RSA、DSA等在理論上都不能承受量子攻擊,將會存在較大的風險,越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法。
當然,除了改變演算法,還有一個方法可以提升一定的安全性:
參考比特幣對於公鑰地址的處理方式,降低公鑰泄露所帶來的潛在的風險。作為用戶,尤其是比特幣用戶,每次交易後的余額都採用新的地址進行存儲,確保有比特幣資金存儲的地址的公鑰不外泄。
共識機制的安全性
當前的共識機制有工作量證明(ProofofWork,PoW)、權益證明(ProofofStake,PoS)、授權權益證明(DelegatedProofofStake,DPoS)、實用拜占庭容錯(,PBFT)等。
PoW面臨51%攻擊問題。由於PoW依賴於算力,當攻擊者具備算力優勢時,找到新的區塊的概率將會大於其他節點,這時其具備了撤銷已經發生的交易的能力。需要說明的是,即便在這種情況下,攻擊者也只能修改自己的交易而不能修改其他用戶的交易(攻擊者沒有其他用戶的私鑰)。
在PoS中,攻擊者在持有超過51%的Token量時才能夠攻擊成功,這相對於PoW中的51%算力來說,更加困難。
在PBFT中,惡意節點小於總節點的1/3時系統是安全的。總的來說,任何共識機制都有其成立的條件,作為攻擊者,還需要考慮的是,一旦攻擊成功,將會造成該系統的價值歸零,這時攻擊者除了破壞之外,並沒有得到其他有價值的回報。
對於區塊鏈項目的設計者而言,應該了解清楚各個共識機制的優劣,從而選擇出合適的共識機制或者根據場景需要,設計新的共識機制。
智能合約的安全性
智能合約具備運行成本低、人為干預風險小等優勢,但如果智能合約的設計存在問題,將有可能帶來較大的損失。2016年6月,以太坊最大眾籌項目TheDAO被攻擊,黑客獲得超過350萬個以太幣,後來導致以太坊分叉為ETH和ETC。
對此提出的措施有兩個方面:
一是對智能合約進行安全審計,
二是遵循智能合約安全開發原則。
智能合約的安全開發原則有:對可能的錯誤有所准備,確保代碼能夠正確的處理出現的bug和漏洞;謹慎發布智能合約,做好功能測試與安全測試,充分考慮邊界;保持智能合約的簡潔;關注區塊鏈威脅情報,並及時檢查更新;清楚區塊鏈的特性,如謹慎調用外部合約等。
數字錢包的安全性
數字錢包主要存在三方面的安全隱患:第一,設計缺陷。2014年底,某簽報因一個嚴重的隨機數問題(R值重復)造成用戶丟失數百枚數字資產。第二,數字錢包中包含惡意代碼。第三,電腦、手機丟失或損壞導致的丟失資產。
應對措施主要有四個方面:
一是確保私鑰的隨機性;
二是在軟體安裝前進行散列值校驗,確保數字錢包軟體沒有被篡改過;
三是使用冷錢包;
四是對私鑰進行備份。
網路金融「區塊鏈,虛擬貨幣」詐騙傳銷如何識別防範?
據不完全統計,我國利用區塊鏈概念的傳銷平台已超過上千家。可以說從「曲高和寡」到「泥沙俱下」,這種「新壺裝老酒」的網路詐騙傳銷,經久不衰,引人深思。
歸納總結這些區塊鏈的詐騙無非是這兩個慣用手法:
一種是「掛羊頭賣狗肉」,以「虛擬幣」之名行傳銷之實。比如Fcoin交易所的FT幣,投資者都覺得這種交易分紅的模式能維持下去,然而一旦沒有新人入場購買,就足以讓其崩盤。
另一種是所謂的「出口轉內銷」。比如涉案金額高達16億元的「維卡幣」案中,該組織的傳銷網站及營銷模式皆由保加利亞人組織建立,伺服器則設在丹麥。在我國依法取締ICO並依法關閉境內虛擬貨幣交易所後,詐騙組織打出「出口轉內銷」的口號繼續行騙。
那我們該如何辨別區塊鏈傳銷?
區塊鏈傳銷作為傳銷的一個分支,必然擁有傳銷的諸多特點,其中最大的特點之一就是發展下線,組織者會許諾發展多少人會給多少提成,或是發展幾級下線有多少獎勵,或者用什麼裂變等術語迷惑用戶。
1、傳銷全靠一張嘴,並沒有實際開發者。比如著名的傳銷幣維卡幣,還有一個非常好聽的名字Onecoin。這個幣號稱是比特幣之後的第二代加密貨幣,自2014年問世以來吸引了大批投資者。雖然多次被國家歸為傳銷幣打擊,但依舊有投資人不離不棄,也許是被深套的無奈吧。我們不能聽之任之,要眼觀四路,耳聽八方。
2、傳銷的餅畫得太大,一定保持著一個懷疑的態度。常見用語是顛覆世界,改變格局,打敗銀行,財富自由等。夢想是有的,但說的太離譜,簡直讓人不敢相信。
3、還有就是傳銷者主動製造FOMO(讓你害怕錯過發生的事情)。向外宣傳買了幣就能翻百倍翻千倍,
時時刻刻透露著這是屌絲翻身迎娶白富美的機會。早買早暴富,購買了就等著財富自由。
如何辨別是否傳銷幣?記住下面這三點:
1、過分的誇大自己:喜歡冠以全球XX,世界XX等微商類字眼的宣傳語項目,就要小心!
2、分等級制度:一般傳銷喜歡搞分級模式,發展會員,而正規的區塊鏈是沒有的。
3、驗證你的實名制之類:凡是需要什麼群主/工會/上級來驗證你的實名制那都是傳銷。
最後,多去搜索信息、發出質疑、多思考做功課,幣圈太雜騙也多,需謹慎!
遭遇區塊鏈傳銷騙局我們該如何維權?
1、現場談判維權
很多投資者在發現被騙之後,會聯合起來到虛擬幣交易所所在地進行現場維權,圍攻交易所,施壓讓其返還相關的損失,這種方式能起一定的作用。許多投資者拿回了部分損失,或多或少的,很少有全部拿回的。那些能拿回的要不是有實力或背景,要不是通過媒體,有的甚至通過找關系,但很多人是沒有拿回損失。
2、報警
報警時一般會得到以下幾種處理結果:
第一,警方認定此類案件屬於正常的投資虧損,不做立案處理;
第二,警方認定他們的資金已經流通至國外,無法受理,只能建議他們打國際官司;
第三,由於之前的合同平台是以公司名義與他們簽訂的,金額沒有達到立案標准;
第四,平台一旦跑路、公司搬空,案件幾乎無法推進,只能選擇民事訴訟。
維權的路實在是坎坷,還是從源頭做好,不給詐騙犯機會!
Ⅲ 以太坊錢包是什麼
以太坊錢包是一種用於存儲、管理、生成和使用以太坊數字資產的工具。它是用戶私鑰和公鑰的保管處,允許用戶安全地交互和操作以太坊區塊鏈上的各種應用。
以太坊錢包的具體解釋如下:
以太坊錢包是加密貨幣領域的一個重要組成部分。它是一個軟體或硬體設備,用於存儲以太坊的私鑰和公鑰。私鑰是一個獨特的密鑰,用於訪問賬戶並授權交易。公鑰則是賬戶的地址,類似於電子郵件地址,通過它可以向其他人發送或接收以太坊或其他代幣。這些錢包的設計目的是為了保障加密貨幣的安全,因此通常會採取多重安全措施,如密碼保護、備份恢復功能以及生物識別認證等。此外,這些錢包也支持多種平台的操作,無論是桌面電腦、移動設備還是硬體存儲介質上均可使用。用戶可以輕松地查看其賬戶的資產,以及與智能合約和去中心化應用進行交互操作。
使用以太坊錢包不僅可以讓用戶更方便地管理和控制他們的數字資產,還能夠幫助他們探索以太坊生態系統的廣闊應用場景和功能。許多交易和市場參與活動以及投資和挖礦行為,都離不開這些智能、安全的錢包支持。它們是以太坊區塊鏈上不可或缺的一環。總之,以太坊錢包在保障加密貨幣的安全管理以及促進區塊鏈技術應用上起到了重要作用。其安全和可靠性強勁的特徵能夠使用戶在使用時感到安心和便捷。
Ⅳ 以太坊錢包和波場錢包有什麼區別
1. 以太坊錢包是一種冷錢包,可以存儲加密數字貨幣資產。這種錢包可以在沒有網路連接的情況下使用,為用戶提供了一種離線存儲數字資產的方式。
2. 波場錢包則屬於熱錢包,它必須在網路連接的情況下才能使用。這意味著,波場錢包需要用戶始終連接到互聯網,以便進行資產的存儲和交易。
3. 以太坊錢包和波場錢包的主要區別在於它們的存儲方式和網路依賴性。以太坊錢包適合那些希望離線保護其資產的用戶,而波場錢包則適合那些需要隨時進行交易和資產管理的用戶。
Ⅳ 魚池礦池怎麼了
慢霧安全團隊宣布觀測到一起自動化盜幣的攻擊行為,攻擊者利用以太坊節點 Geth/Parity RPC API 鑒權缺陷,惡意調用 eth_sendTransaction 盜取代幣,持續時間長達兩年,單被盜的且還未轉出的以太幣價值就高達現價 2 千萬美金,還有代幣種類 164 種,總價值難以估計,因為很多代幣還未上交易所正式發行。池也是受害者之一,因此損失了8000多個ETH。
拓展資料:Cobo錢包主要在兩個方面做優化:
1、產品方面。致力於解決用戶沒有好錢包產品這個痛點。很多小白用戶進入這個行業第一就是要學習復雜的錢包使用說明,用戶在前期都是嘗試階段,打很小額的幣或者不打幣,所以對管理私鑰不太在乎,後期交易量高了,很容易遺忘或根本記不起來各種幣種的密鑰,甚至有的換了手機,連APP都找不到了。為了解決這個用戶最基礎最痛的痛點,啟動了這個項目,期望用最好的互聯網產品邏輯出發去打造一個優質體驗的錢包產品。
2、安全方面。安全方面Cobo耗費了大量的人力物力,資產安全是我們第一生命線,在安全方面我們從不吝惜成本。有多家國內外互聯網企業級安全團隊入駐,幫助我們把好用戶資產安全這個大門。除了伺服器端的安全加固,資產還會進入到我們冷錢包中。有一種很極端的情況,Cobo錢包的後端伺服器被盜,導致用戶的資產丟失,對此做了一系列的安全方案,首先從安全的分級,到不同的資產,一些大額用戶的資產放到了完全離線的、跟互聯網沒有任何接觸的離線伺服器裡面,只有少額的數字資產是放在在線的錢包里的,如果在線錢包的數字貨幣被盜取,也是在Cobo能夠承受的范圍之內。
魚池錢包的優勢和區別,應該是以下幾個點:
1、運營思路與傳統錢包完全不同,完全從用戶實用角度出發而不是使用,有別於現在市面上所有錢包產品邏輯;
2、利用國際化團隊的優勢,把優質的區塊鏈產品及應用融入到錢包中,
3、目前各類錢包、包含交易所在內的安全等級都不夠,各種丟幣事件頻出,用戶資產安全應該是頭等大事,不惜成本不惜代價的來守護,如果沒有這個理念,就不應該出現在這個行業。
Ⅵ ETH幣是騙局嗎ETH幣怎麼買
ETH幣是騙局,是騙子們專門給自以為買了騙子們發行的數字貨幣就可以賺大錢的韭菜們而發行的,ETH幣要在騙子們開的交易所購買!
Ⅶ DeFi安全嗎
越來越多的人希望通過攻擊智能合約來竊取資金,他們正在利用當智能合約組合在一起時出現的漏洞進行攻擊。
2020年,對DeFi的攻擊中,被套取或盜取的總金額已經達到了3600萬美元。但因為dForce的攻擊者退還了被盜的2500萬美元,所以實際金額大約有 1100 萬美元。
與以太坊早期相比,每次黑客攻擊的平均損失價值已經明顯下降。在2020年的10次攻擊中,有8次的攻擊金額低於100萬美元。
DeFi
在以太坊早期,大多數攻擊都是基於找到個別漏洞,讓攻擊者有能力凍結或耗盡智能合約。2016年臭名昭著的DAO黑客事件就是如此,1.6億美元的ETH被盜,以太坊最終因此分叉。同樣,2017年的Parity多簽襲擊讓黑客盜取了3000萬美元,Parity錢包中1.5億美元被凍結,都是這類漏洞造成的後果。
這類智能合約的漏洞仍不時被人利用。最近,一名攻擊者成功地從代幣合約中竊取了所有的VETH,僅通過耗盡VETH-ETH Uniswap池就獲利了90萬美元。但這是VETH造成的一個簡單失誤,因為VETH修改ERC20代幣標準的方式有邏輯上的錯誤。
總的來說,現在的安全性有所提高,特別是那些關注度比較高的項目。它們的安全性提升是由於用戶對審計的期望和圍繞測試的工具改進推動的。最近DeFi中最大的安全問題是dForce 2500萬美元的數字資產在借貸市場中被盜。然而,由於攻擊者的IP地址被發現並與新加坡警方共享,因此這些資金被退了回去。
鏈喬教育在線旗下學碩創新區塊鏈技術工作站是中國教育部學校規劃建設發展中心開展的「智慧學習工場2020-學碩創新工作站 」唯一獲準的「區塊鏈技術專業」試點工作站。專業站立足為學生提供多樣化成長路徑,推進專業學位研究生產學研結合培養模式改革,構建應用型、復合型人才培養體系。
Ⅷ 簡單解釋何為51%攻擊
你可能會下意識認為加密貨幣是安全可靠的。怎麼說呢,即使網路犯罪分子以不可思議的規律頻繁攻擊交易所和熱錢包,但底層的區塊鏈技術本身天然抗攻擊,不是嗎?
好吧,其實不然。區塊鏈容易遭受所謂的「51%攻擊」傷害。
當有一組礦工控制超過Token哈希算力(計算能力)的50%時,可能會發生51%的攻擊(也稱為「多數攻擊」)。 實際上,「51%」其實用詞不當; 一個成功的攻擊實際上僅需要50%+ 1的哈希算力。
如果一個群體可以達到如此高水平的控制,就可以通過以下方式輕易毀掉相關幣種。
不進行確認從而阻止產生新的區塊
撤消當前塊上已完成的事務
在網路上發起「雙花」
50%+ 1是確保攻擊成功所需的哈希算力。 但是,也有可能以較低的哈希算力成功進行攻擊。 安全團隊使用統計建模來表明當被控制的哈希算力達到約30%時,漏洞風險可能會開始增加。
比特幣以及其他幾個主流幣種使用工作量證明機制來驗證交易並將其廣播到區塊鏈上。
在白皮書中,比特幣的創始人中本聰簡明扼要地將這個過程概括為「一CPU,一票」:
「工作量證明「實質上是一CPU一票,最長的鏈條代表大多數判斷,因為該鏈條擁有最大量「工作量證明」投入。如果CPU算力的大多數由誠實的節點控制,誠實的鏈條將以超過其他與之競爭鏈條的速度快速生長。
您可能已經注意到上述引文中的大問題:「如果大部分CPU功率由誠實節點控制......」
當不誠實的節點數量超過誠實節點時,問題就出現了。 在這些情況下,他們可以「投票孤立」合法的礦工,確保他們自己控制最長的鏈條,從而控制整個加密貨幣。
中本聰假定,即使礦工可以控制超過50%的節點,他仍然可能「遵守規則」來保護自己的財富:
如果一個貪婪的攻擊者有能力比誠實礦工控制更多CPU算力,他將被迫進行選擇,是通過欺詐以偷回其支付的款項(譯者註:即雙重支付攻擊),還是通過(獲取)生成的新貨幣。他應當會發現,按照規則行事更加有利可圖,這樣的規則有利於他比其他聯合起來的每一個人獲取更多的新貨幣,亦優於破壞系統以及損害自己擁有財富的有效性。
不幸的是,網路犯罪分子並不完全遵循規則。 自中本聰的白皮書發布以來,已有無數的51%攻擊案例。
到目前為止,我們已經利用比特幣來說明51%的攻擊是如何發生的。
然而,雖然在技術層面上比特幣易受攻擊,但在更實際的層面上,由於三個原因,它不太可能成為這個受害者:
1、成本
比特幣網路規模巨大,想要獲得足夠用於攻擊的哈希算力,需要相當大量的資金投入。
據Crypto51稱,對比特幣進行長達一小時的黑客攻擊需要花費237,941美元。 對以太坊進行攻擊的成本同樣令人望而卻步 ——將花費74,837美元。
2、礦池
如今,最大的加密貨幣的礦池分布廣泛。
情況並非總是如此;2014年,Ghash.io大概掌握量51%的比特幣哈希算力。比特幣當時顯然遠不如現在影響大,但仍然令人擔憂。
不得不說Ghash.io賊靠譜,他們幾乎立即放棄了10%算力,並要求社區自願將自己的算力限制在40%內,以保護區塊鏈的長期完整性。
現在最大的比特幣礦池的哈希算力徘徊在20%左右。
3、NiceHash
NiceHash是世界上最大的加密貨幣挖礦算力市場。
據Crypto51估計,NiceHash可以產生的總功率不到比特幣網路總功率的百分之一。 以太坊是5%,比特幣現金是2%。 所有主流幣的百分比都保持相似的低百分比。
因此,即使是武器化的NiceHash也沒有足夠的力量對主流幣進行51%的攻擊。
當你研究較小的幣種時,事情開始發生巨大變化。
就像市值排名前十的幣種,對其發動攻擊基本都是天價,而排名再往後就不好說了。其對應的NiceHash百分比也開始增加。 也有一些較大幣種的百分比令人擔憂。 以太坊經典為82%,門羅幣79%……
2018年5月比特幣黃金遭遇51%的攻擊時,小幣種的脆弱性成為焦點。
比特黃金 ——來自2017年比特幣的硬分叉 - 當時甚至出現不到六個月。
以至於該項目的發言人愛德華·伊斯克拉爾必須告知所有可以交易比特黃金的交易所,將確認數從5個增加到50個,並手動審查大額交易是否存在可疑活動。
「持續攻擊的成本很高。 由於成本很高,攻擊者只有從虛假存款中快速獲得高價值的東西才能獲利。 像交易所這樣的場所,可以自動接受大額存款,允許用戶快速交易另一個幣種,然後自動撤離。 在清算交易資金之前,我們一直建議設置上限以防止此類攻擊,並敦促人工審查BTG的大額存款。「
在很長是一段時間,我們幾乎可以肯定的是,51%攻擊的次數會不斷增加。
但是會有一線希望嗎? 很難說目前存在的數千種山寨幣給最終用戶帶來了什麼實實在在的好處。 如果由此加密世界能圍繞一些較大的幣種進行鞏固,那麼對於該行業的長期健康來說,51%攻擊可能不是一件絕對的壞事。