區(qū)塊鏈也不安全 三大攻擊維度必須了解

來源：湖北國菱編輯部 時間：2019-02-26

雖然區(qū)塊鏈技術(shù)自帶加密光環(huán)，并具分布式特性，外在表現(xiàn)為分散的、去中心化的，然而事實上其并非如之前所描述的無人可篡改。由于技術(shù)應(yīng)用、平臺防護等原因，現(xiàn)階段的區(qū)塊鏈應(yīng)用正在面臨著攻擊者的威脅。

1. 針對協(xié)議的攻擊

區(qū)塊鏈，一個可理解為不斷增長的存證與記錄的“帳本鏈條”，由記錄的各個區(qū)塊所連接，而這些區(qū)塊則使用密碼學(xué)進行相連和保護。憑借區(qū)塊鏈的分布式特性，加密的“帳本”數(shù)據(jù)需由網(wǎng)絡(luò)中的所有節(jié)點共享和驗證，以確保其唯一性。

這在一個區(qū)塊鏈項目剛剛啟動時威脅尤為突出，因為那時的節(jié)點總數(shù)往往很少，一旦節(jié)點擁有者形成共謀，這樣的攻擊即可實現(xiàn)。

不僅如此，區(qū)塊鏈協(xié)議、智能合約機制、節(jié)點設(shè)備漏洞等安全缺陷，都是涉足其上的企業(yè)必須要面對解決的，不然的話，遭受巨大的經(jīng)濟損失就可能是分分鐘的事情了。

2. 針對用戶的攻擊

除了上述區(qū)塊鏈協(xié)議、節(jié)點上的漏洞外，用戶也是區(qū)塊鏈里的一大薄弱環(huán)節(jié)。傳統(tǒng)的網(wǎng)絡(luò)釣魚、惡意軟件、字典攻擊等，往往都十分奏效，亦會讓用戶喪失掉控制權(quán)。

3. 針對平臺的攻擊

隨著加密貨幣的熱炒，針對交易平臺的攻擊變得日益明顯。近期，安全人員發(fā)現(xiàn)了EOS平臺上的一系列高危安全漏洞。經(jīng)驗證，其中部分漏洞可以在EOS節(jié)點上遠程執(zhí)行任意代碼。

據(jù)悉，該漏洞令EOS區(qū)塊鏈系統(tǒng)在解析WASM文件時，會出現(xiàn)緩沖區(qū)溢出的問題，而攻擊者將能夠利用這個緩沖區(qū)溢出漏洞實施攻擊。在該漏洞的幫助下，攻擊者將能夠向EOS節(jié)點服務(wù)器上傳惡意智能合約，當節(jié)點服務(wù)器完成對智能合約的解析之后，惡意Payload將會在服務(wù)器中執(zhí)行，并完成遠程接管。成功接管遠程節(jié)點服務(wù)器之后，攻擊者將能夠把惡意智能合約封裝到新的區(qū)塊中，并進一步控制整個EOS網(wǎng)絡(luò)。

顯而易見的是，面對上述三大維度的區(qū)塊鏈攻擊，除了一般用戶難以察覺的技術(shù)復(fù)雜度及安全漏洞外，來自用戶設(shè)備甚至是交易平臺上的隱患都是挑戰(zhàn)區(qū)塊鏈技術(shù)安全應(yīng)用的主要威脅，必須引發(fā)高度關(guān)注才行。

湖北國菱提供7*24小時全天候技術(shù)支撐，以領(lǐng)先技術(shù)為客戶搭建安全高效的網(wǎng)絡(luò)安全服務(wù)平臺。如有網(wǎng)絡(luò)安全被攻擊方面的問題，可以聯(lián)系我們。