当前区块链钱包存在安全问题
㈠ 区块链如何保证使用安全
区块链项目(尤其是公有链)的一个特点是开源。通过开放源代码,来提高项目的可信性,也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。近两年就发生多起黑客攻击事件,近日就有匿名币Verge(XVG)再次遭到攻击,攻击者锁定了XVG代码中的某个漏洞,该漏洞允许恶意矿工在区块上添加虚假的时间戳,随后快速挖出新块,短短的几个小时内谋取了近价值175万美元的数字货币。虽然随后攻击就被成功制止,然而没人能够保证未来攻击者是否会再次出击。
当然,区块链开发者们也可以采取一些措施
一是使用专业的代码审计服务,
二是了解安全编码规范,防患于未然。
密码算法的安全性
随着量子计算机的发展将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易,目前最常用的ECDSA、RSA、DSA 等在理论上都不能承受量子攻击,将会存在较大的风险,越来越多的研究人员开始关注能够抵抗量子攻击的密码算法。
当然,除了改变算法,还有一个方法可以提升一定的安全性:
参考比特币对于公钥地址的处理方式,降低公钥泄露所带来的潜在的风险。作为用户,尤其是比特币用户,每次交易后的余额都采用新的地址进行存储,确保有比特币资金存储的地址的公钥不外泄。
共识机制的安全性
当前的共识机制有工作量证明(Proof of Work,PoW)、权益证明(Proof of Stake,PoS)、授权权益证明(Delegated Proof of Stake,DPoS)、实用拜占庭容错(Practical Byzantine Fault Tolerance,PBFT)等。
PoW 面临51%攻击问题。由于PoW 依赖于算力,当攻击者具备算力优势时,找到新的区块的概率将会大于其他节点,这时其具备了撤销已经发生的交易的能力。需要说明的是,即便在这种情况下,攻击者也只能修改自己的交易而不能修改其他用户的交易(攻击者没有其他用户的私钥)。
在PoS 中,攻击者在持有超过51%的Token 量时才能够攻击成功,这相对于PoW 中的51%算力来说,更加困难。
在PBFT 中,恶意节点小于总节点的1/3 时系统是安全的。总的来说,任何共识机制都有其成立的条件,作为攻击者,还需要考虑的是,一旦攻击成功,将会造成该系统的价值归零,这时攻击者除了破坏之外,并没有得到其他有价值的回报。
对于区块链项目的设计者而言,应该了解清楚各个共识机制的优劣,从而选择出合适的共识机制或者根据场景需要,设计新的共识机制。
智能合约的安全性
智能合约具备运行成本低、人为干预风险小等优势,但如果智能合约的设计存在问题,将有可能带来较大的损失。2016 年6 月,以太坊最大众筹项目The DAO 被攻击,黑客获得超过350 万个以太币,后来导致以太坊分叉为ETH 和ETC。
对此提出的措施有两个方面:
一是对智能合约进行安全审计,
二是遵循智能合约安全开发原则。
智能合约的安全开发原则有:对可能的错误有所准备,确保代码能够正确的处理出现的bug 和漏洞;谨慎发布智能合约,做好功能测试与安全测试,充分考虑边界;保持智能合约的简洁;关注区块链威胁情报,并及时检查更新;清楚区块链的特性,如谨慎调用外部合约等。
数字钱包的安全性
数字钱包主要存在三方面的安全隐患:第一,设计缺陷。2014 年底,某签报因一个严重的随机数问题(R 值重复)造成用户丢失数百枚数字资产。第二,数字钱包中包含恶意代码。第三,电脑、手机丢失或损坏导致的丢失资产。
应对措施主要有四个方面:
一是确保私钥的随机性;
二是在软件安装前进行散列值校验,确保数字钱包软件没有被篡改过;
三是使用冷钱包;
四是对私钥进行备份。
㈡ Chainge技术沙龙(0414)-区块链技术的安全隐患
虚拟机设计
零钱整理
慢雾科技介绍
01| The Dao事件
以太坊第一个安全大事件
智能合约的取款
新建一个Bank,存入一部分钱,用Dao框架不停取钱。
取款-判断余额-取款操作框架-转空该账户下的所有钱。
简单的例子就是,你的银行卡有余额100万,你需要买一个10块钱的饮料,但是支付的过程有漏洞,所以你银行卡的所有钱都被转走。
一、外部调用
02| 以太坊黑色情人节
起源:第一转账时间是2.14
ETH节点统计
客户端、客户端版本、OS系统。整个系统的庞杂
蜜罐检测 (部署陷阱能检测出黑客的点来)
net_version
判断是主网还是测试网,只攻击主网
3000+主网节点完全暴露
eth_accounts
获取钱包账号,涉及钱包账号
eth_getBanlance
获取有多少钱,被盗46000+ETH
why?
unlockAccount 函数介绍
该函数将使用密码从本地的keystore 里提取private key 并存储在内存中,函数第三个参数ration 表示解密后private key 在内存中保存默认是300 秒; 如果设置为0,则表的时间,示永久存留在内存,直至Geth/Parity 退出。
详见:
https://github.com/ethereumgethereum/wiki/Management-APIs#personal_unlockaccount
节点存用户的keystore信息(严重危险)
eth_getBlockByNumber
墨子扫描引擎,扫描有问题的节点,慢雾的以太坊安全事件的披露
被盗ETH,市值,被盗钱包数
具体内容可以查看慢雾发布的 以太坊黑色情人节专题
生态相关
ETH:矿池、钱包、web3、smart contract、dapp
BTC:矿池、钱包、Lightning Network
BTC RPC
防御建议
管理数十万用户安全的接近百万的比特币
华人世界唯一被bitcoin.org网站展示的钱包
比特派多种区块链资产(BTC、ETH、Token、分叉)
冷热结合,确保安全
比特派-热钱包
比特护盾-冷钱包/硬件钱包
区块链安全事件
私钥决定了区块链资产的所有权,丢了私钥也就相当于丢了一切。私钥就是一个随机数,这个随机数的概率空间很大(256 位,即2^256)
钱包=生态入口
需要在安全的同时做到尽可能的开放
玩法的开放,技术的开放,通用的技术接口,生态的开放,把自己的资源进行导入。合作伙伴计划:技术咨询、区块链技术支持、开放平台、入口支持、生态支持、海外市场合作。帮助伙伴实现区块链转型或区块链项目孵化,安全、便捷实现真正落地的区块链应用场景。
联系方式 [email protected]
用户风控系统,数百万的数字货币用户。
最大可能保持我们的数字资产
骗子故事:抢数字货币份额,钱没到账,冒充官方,交出助记词
恶意钱包地址库
诈骗钱包、黑客钱包、羊毛党钱包
恶意网站库
钓鱼网站、空投网站、交易所、众筹
风险合约库
重名币、空格币、风险合约
安全事件库
历史安全事件提醒
最新事件提醒
盗币风险监控
安全意识教育
可能出现被盗的情况
游戏即资产,稀缺资源,成为游戏运营者。最后大BOSS死于暴露了自己的密钥。
通过社工(社会工程学)【欺骗的艺术】黑客攻击手法,虚拟景象做出错误判断让自己陷入危机。
人始终是系统中最薄弱的环节,币安背锅的黑客事件。大客户泄露自己的账户,调用API接口,自动交易。虽然没丢币但是黑客在期货市场盈利。
关于安全钱包的帖子(来自小白愤怒控诉,实际没有理解整个机制):
1、我没私钥和交易密码,东西都在你们那我不知道安全在哪里
2、密语算个毛,你告诉我拿着你们的密语能做什么。
汽车和自行车事件,出了问题之后,弱势的一方被原谅。负责的是更大的一方。平台替没有安全意识的用户背锅。
对于大部分用户来说,交易所的安全性比普通用户自己管理的安全性要高,用户的安全意识没有提高,交给交易所帮助、协助你来管理你的钱包提示很多风险操作。
为什么要随机生成256位的密钥,为什么不能用户自己去设置,如果自己设置会处于一个集中的区域,随机值不够,私钥生成时就处于危险的状态。
自己的安全认识不够,所以自己造成的损失,先怼交易所先怼钱包。先想到得是你们的问题和漏洞造成的,不是我的操作失误和密钥泄露造成的。
币派做的是大神和小白的交流之间的翻译,做画漫画,写段子的逗比。
币小宝防骗指南漫画,贡献题材和内容。
㈢ u盾区块链钱包有风险吗
有的。u盾区块链钱包个人账号密码、私钥被盗,钱包和交易所里的所有数字资产存在丢失的风险,且无法找回。
㈣ 区块链有哪些安全软肋
区块链有哪些安全软肋
区块链是比特币中的核心技术,在无法建立信任关系的互联网上,区块链技术依靠密码学和巧妙的分布式算法,无需借助任何第三方中心机构的介入,用数学的方法使参与者达成共识,保证交易记录的存在性、合约的有效性以及身份的不可抵赖性。
区块链技术常被人们提及的特性是去中心化、共识机制等,由区块链引申出来的虚拟数字货币是目前全球最火爆的项目之一,正在成就出新的一批亿万级富豪。像币安交易平台,成立短短几个月,就被国际知名机构评级市值达400亿美金,成为了最富有的一批数字货币创业先驱者。但是自从有数字货币交易所至今,交易所被攻击、资金被盗事件层出不穷,且部分数字货币交易所被黑客攻击损失惨重,甚至倒闭。
一、 令人震惊的数字货币交易所被攻击事件
从最早的比特币,到后来的莱特币、以太币,目前已有几百种数字货币。随着价格的攀升,各种数字货币系统被攻击、数字货币被盗事件不断增加,被盗金额也是一路飙升。让我们来回顾一下令人震惊的数字货币被攻击、被盗事件。
2014年2月24日,当时世界最大的比特币交易所运营商Mt.Gox宣布其交易平台的85万个比特币已经被盗一空,承担着超过80%的比特币交易所的Mt.Gox由于无法弥补客户损失而申请破产保护。
经分析,原因大致为Mt.Gox存在单点故障结构这种严重的错误,被黑客用于发起DDoS攻击:
比特币提现环节的签名被黑客篡改并先于正常的请求进入比特币网络,结果伪造的请求可以提现成功,而正常的提现请求在交易平台中出现异常并显示为失败,此时黑客实际上已经拿到提现的比特币了,但是他继续在Mt.Gox平台请求重复提现,Mt.Gox在没有进行事务一致性校验(对账)的情况下,重复支付了等额的比特币,导致交易平台的比特币被窃取。
2016年8月4日,最大的美元比特币交易平台Bitfinex发布公告称,网站发现安全漏洞,导致近12万枚比特币被盗,总价值约为7500万美元。
2018年1月26日,日本的一家大型数字货币交易平台Coincheck系统遭遇黑客攻击,导致时价580亿日元、约合5.3亿美元的数字货币“新经币”被盗,这是史上最大的数字货币盗窃案。
2018年3月7日,世界第二大数字货币交易所币安(Binance)被黑客攻击的消息让币圈彻夜难眠,黑客竟然玩起了经济学,买空卖空“炒币”割韭菜。根据币安公告,黑客的攻击过程包括:
1) 在长时间里,利用第三方钓鱼网站偷盗用户的账号登录信息。黑客通过使用Unicode字符冒充正规Binance网址域名里的部分字母对用户实施网页钓鱼攻击。
2) 黑客获得账号后,自动创建交易API,之后便静默潜伏。
3) 3月7日黑客通过盗取的API Key,利用买空卖空的方式,将VIA币值直接拉暴100多倍,比特币大跌10%,以全球总计1700万个比特币计算,比特币一夜丢了170亿美元。
二、黑客攻击为什么能屡屡得手
基于区块链的数字货币其火热行情让黑客们垂涎不已,被盗金额不断刷新纪录,盗窃事件的发生也引发了人们对数字货币安全的担忧,人们不禁要问:区块链技术安全吗?
随着人们对区块链技术的研究与应用,区块链系统除了其所属信息系统会面临病毒、木马等恶意程序威胁及大规模DDoS攻击外,还将由于其特性而面临独有的安全挑战。
1. 算法实现安全
由于区块链大量应用了各种密码学技术,属于算法高度密集工程,在实现上比较容易出现问题。历史上有过此类先例,比如NSA对RSA算法实现埋入缺陷,使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞,可以说构成区块链整个大厦的地基将不再安全,后果极其可怕。之前就发生过由于比特币随机数产生器出现问题所导致的比特币被盗事件,理论上,在签名过程中两次使用同一个随机数,就能推导出私钥。
2. 共识机制安全
当前的区块链技术中已经出现了多种共识算法机制,最常见的有PoW、PoS、DPos。但这些共识机制是否能实现并保障真正的安全,需要更严格的证明和时间的考验。
3. 区块链使用安全
区块链技术一大特点就是不可逆、不可伪造,但前提是私钥是安全的。私钥是用户生成并保管的,理论上没有第三方参与。私钥一旦丢失,便无法对账户的资产做任何操作。一旦被黑客拿到,就能转移数字货币。
4. 系统设计安全
像Mt.Gox平台由于在业务设计上存在单点故障,所以其系统容易遭受DoS攻击。目前区块链是去中心化的,而交易所是中心化的。中心化的交易所,除了要防止技术盗窃外,还得管理好人,防止人为盗窃。
总体来说,从安全性分析的角度,区块链面临着算法实现、共识机制、使用及设计上挑战,同时黑客通过利用系统安全漏洞、业务设计缺陷也可达成攻击目的。目前,黑客攻击已经在对区块链系统安全性造成越来越大的影响。
三、如何保证区块链的安全
为了保证区块链系统安全,建议参照NIST的网络安全框架,从战略层面、一个企业或者组织的网络安全风险管理的整个生命周期的角度出发构建识别、保护、检测、响应和恢复5个核心组成部分,来感知、阻断区块链风险和威胁。
除此之外,根据区块链技术自身特点重点关注算法、共识机制、使用及设计上的安全。
针对算法实现安全性:一方面选择采用新的、本身经得起考验的密码技术,如国密公钥算法SM2等。另一方面对核心算法代码进行严格、完整测试的同时进行源码混淆,增加黑客逆向攻击的难度和成本。
针对共识算法安全性:PoW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。
针对使用安全性:对私钥的生成、存储进行保护,敏感数据加密存储。
针对设计安全性:一方面要保证设计的功能尽量完善,如采用私钥白盒签名技术,防止病毒、木马在系统运行过程中提取私钥;设计私钥泄露追踪功能,尽可能减少私钥泄露后的损失。另一方面,应对某些关键业务设计去中心化,防止单点故障攻击。
㈤ 区块链钱包去中心化到底怎么个安全
@区块链神吐槽
去中心的意思是代码开源,你可以查看,保证他们不会安装病毒和上传你的个人资料。
钱包倒闭了也无所谓,导出私钥存到其他钱包就可以。
交易所转账手续费要收大概30元人民币一次,自己的钱包转账也就几毛钱一次。
㈥ 福建北大青鸟:区块链技术安全都需要了解哪些问题
区块链技术相信大家应该都不陌生了,而今天我们就一起来了解一下,在区块链技术安全领域都有哪些问题是需要我们注意的,下面就开始今天的主要内容吧。
与公有链不同的是,私有链只能由选定的用户组访问,这些用户有权在该账本上进行输入、验证、记录和交换数据。
当然,对于一个从未获准加入的“局外人”而言,这样的网络几乎不可能被攻陷的。
但随着私有链的出现,另一个问题就出现了:为了提高隐私性和安全性,我们真的需要舍弃去中心化吗?来自《麻省理工科技评论》(MITTechnologyReview)的MikeOrcutt写道,私有链系统“可能会让它的所有者感到更安全,但它实际上只是给予了他们更多的控制权,这意味着无论其他网络参与者是否同意,他们都可以进行更改。
”这类系统需要提出平衡机制,为不同的用户组授予不同级别的权限,并对验证者进行身份检查,以确保他们是自己所声称的那个人。
这就是为什么许多公司都在寻找两者兼备的方法——公有链的去中心化和私有链的额外安全性。
由IBM、Corda、Ripple等主要厂商开发的联盟链,目前看来似乎是好的安全选择。
简而言之,它们为企业提供了访问集中式系统的权限,且系统本身又具有一定程度的加密可审计性和安全性。
其他企业也在考虑如何通过调整公有链来满足他们的安全需求。
例如,以太坊区块链已经提供了一些机制,可以利用这些机制来确保网络参与者的隐私,包括环签名、隐身地址和存储公有链的私有数据。
总的来说,区块链领域正在朝着为公有链、私有链、联盟链网络定义技术粒度隐私层的新解决方案稳步发展。
IT培训http://www.kmbdqn.cn/发现各家公司正在积极调查和修补已知漏洞,并采用新的机制来确保各方都受到保护,任何恶意的骇客都无法攻破并利用账本中的漏洞。
㈦ 区块链钱包类的骗局。
今天要给大家分享的是区块链钱包类的骗局。
目前市面上关于区块链的各种项目满天飞,哪个行业热门就出哪种链,哪种币!
这些区块链的项目,属于金融类的投资项目,和我国的重点发展方向所倡导的区块链技术是不一样的。它属于以区块链技术为诱饵进行的包装、投机、炒作、圈钱的一个资金盘。
区块链是去中心化的一个超级记账本,它不可复制,不可以造假,不可以更改。像这样的一个技术,在银行、保险,像阿里巴巴和腾讯等等这些大公司还是有很多实际场景的运用的。
而很多所谓的区块链的项目,没有什么服务对象,就弄个区块链,那他服务对象是谁呢?应用在哪里呢?它无非就是打造一个概念,把币价拉高来圈钱。
我觉得这个世界上最懂人性的是两类人,一类是心理学家,一类就是骗子。在这些幕后大佬,大骗子的眼里,区块链这项新技术,与虚拟币搅一起,是一个绝好的故事框架,稍微加工一下就可以拿来圈钱。
那些主流虚拟币,它们不像国内传销币或山寨币那样周期极短,光速崩盘,而是在长周期里跌跌涨涨、涨涨跌跌,就好像股市一样。币圈有句话叫守币比守寡还难
所以,那些终日怀揣着暴富幻想的接盘人手里,握着这些个传说能暴富的种子,但是每天看它们跌跌又涨涨,涨涨又跌跌,是不是如坐针毡啊,常人有几个坐的住?
这个时候,区块链钱包应运而生,“只要你把手头上的虚拟币存到我这个某某钱包里,保本保收益,躺着暴富相当舒服”。
曾经有一款很火的钱包,宣称保本并且月息高达10%—30%的产品。操作起来甚至比P2P还简单,先将虚拟币存到app账户里,再开启“智能狗”搬砖模式,然后每天打开钱包看着资产涨涨涨就可以了。也就是躺着就能赚钱。
而且,只要使用复利投资模式再加上拉人,一年收益保守估计达700%!如果拉人拉满10级,则是1400%的收益率!傻子都知道能暴富!
呵呵,这就是操盘手的高明,一个产品就把韭菜们心理安排得明明白白的!
谓钱包,说得好听一点叫“量化交易搬砖”,实际上呢,只是个伪装的资金盘。本质就是固定返利,其实就是以前的那些操盘手发现消费返利也不好使了,他就开始去包装,看现在区块链正热,他拿着主流币来做文章,我包装出来一个钱包,说我的钱包有高频套现,高频交易的功能,以前那都是拿钱买产品,或者是直接拿钱给我,你不放心了,现在我不要钱了,你拿钱去买成比特币然后把你的比特币放到我的钱包里,我按照你放币的多少,每月每日来给你利息。
那么,比特币就是钱,你的币也是你拿钱买的,最终差不多的时候他可能就关网跑路了,然后把你的币全部拿走,自己到交易所全部变现。
你要他的利息,他要你的本金!
区块链钱包的模式,实际上它是运用固定返利的一个模式来吸引投资者,所不同的是存入的是虚拟货币。最具典型代表的区块链钱包就是plus钱包,
比如说你把比特币存进去以后,每天给你返利,返利的来源宣称是有智能搬砖套利作为一个收入的来源,然后返给你平台币,再把平台币通过和国际大盘的一个数字货币进行兑换,然后去火币网提现来获得收益。你提现的时候会收取你一个手续费,比如说28天以内的提现收取你5%的手续费,28天以后你再提现,只收你1%的提现手续费。
在2018年的5月1号正式上线,10月plus钱包交易平台上线,在2019年的6月崩盘,运行了一年多时间,这个盘包装成了韩国的一个团队运作,实际上是中国人开的盘。6个操盘手目前已经被中国的警方抓获,这个项目有100万的会员参与,涉及的资金达到200亿元。
从运行的时间上来看,这款产品存在的周期算长了,应该是超乎当初很多人想象的,综其原因:
一是用于投资的是虚拟币,提现出来的也是虚拟币,对于这些主流币,韭菜们存在着更美好的幻想,认为升值空间还很大,放着更赚钱。既然提出来也是放着,那为什么不继续放在plus钱包里拿收益呢?一定程度上延缓了大规模提现的时间。
二是,plus钱包花了大钱做宣传造势,一会赞助什么区块链大会,一会又说开发新产品、系统新上线,一会又说要上市。疯狂造势的目的只有一个,以时间换空间。
下面详细给大家介绍区块链的钱包的几个套路:
第1点,所谓的搬砖套利是不可能支撑你后续的返利收益的。
因为真正搬砖的收益并不是稳定的收益,而且也不会像他所描述的那么的可观。
像plus钱包,按崩盘前的返利的数据来测算,需要每天返利7亿元才能继续的经营,那么这个数字它就是天文的数字。显然智能搬砖套利它是没有办法做到的。如果你认为能,那么已经没你什么事了,有这么高的搬砖技术,还需要靠奖励拉人吗?自己就能搬了,还有大机构抢着投资,哪有你什么事啊!
第2点,平台返给前面人的钱,主要还是从后面进来的资金来进行返利,和固定返利盘的特征是一模一样的。
你想高达10层的推广奖励制度,以及超高的返利,还要支付高额存币利息。所以很快后面的资金就会跟不上返利的速度,资金链就会出现问题。平台就会关网跑路。
第3点,平台币兑换比特币的通道随时都是可以关闭的,至于什么时候关闭,只有操盘手它来决定,所以你随时面临着巨大的风险。
第4点,规定你28天内提现要收5%的手续费,而28天以后提现只收你1%的手续费,这个目的就是让你尽量的延长提现的时间,他可以把资金池沉淀更多的资金。
本来,大家进入币圈就是因为这是一个去中心化的技术,你把币存入真正的钱包中,只要保管好你的私钥就没有人可以夺走你的资产。
结果你又把去中心化的资产,交给一些远在国外的中心化平台。
我们从另一个角度分析
私钥 256位长的2进制,经过编码成数字和字母。最后映射成单词,便于记性,也就称作助记词。
偏偏有的钱包助记词不一样。plus的助记词是一堆乱字符。还有的钱包助记词非要弄成中文等等。
总之区块链钱包的核心就是让你把主流币存到他钱包里,然后返给你很多他们的平台币,你的币是钱,它的币就只能是币了。你推荐别人来这里存币的,你还有推广收益,其实它的本质大家想一下就知道了,和拿钱返钱是一个道理,只不过是用了币而已,然后告诉你我的资金流是安全的,不用担心崩盘、跑路,因为我不摸钱,骗谁呢,币不是钱啊,对不对?
你想你的助记词做成不一样,换到别家钱包能导入吗? 肯定不可能啊,就你家钱包能用,这不就成了完全的中心化平台嘛。