文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

区块链真的安全吗?八大应用安全风险需关注!

2024-12-01 15:01

关注

近年来,区块链技术越来越受欢迎。除了在加密货币领域的应用外,区块链技术已正被用于食品安全、医疗保健、智能合约等诸多领域。本质上看,区块链就是一串使用密码学方法相关联产生的数据块,每个区块中包含了一定时间内网络中全部的信息交流数据,随着时间推移,这条链会不断增长。

基于以上特点,行业普遍认为区块链技术可以基于共识机制、去中心化和密码学的应用原理,有效解决交易过程中产生的安全和信任问题。然而,随着区块链应用的推广,区块链数字资产引发的各种安全问题也开始出现,包括盗币、诈骗、非法集资、洗钱、暗网非法交易、网络犯罪等。

根据相关数据统计,2021年全球区块链生态系统发生的相关安全事件数量超过300起,相较于2020年增幅达到22%;所造成的经济损失超153亿美元,同比增长了26%。大量事实表明,区块链已然成为网络攻击者重点关注的诱人目标。而且随着应用流行度的增加,未来还会出现更多区块链安全问题。以下将对目前最常见的8种区块链应用安全威胁进行说明,并给出应对建议。

1、女巫(Sybil)攻击

在区块链网络中,用户创建新身份或者新节点的成本极低,因此攻击者大量利用这一特性来发动Sybil攻击,通过伪造自己的身份加入区块链网络,在控制了若干节点以及节点身份之后,就可以做出一些恶意的行为:例如误导正常节点的路由表,降低区块链网络节点的查找效率等。Sybil攻击对区块链网络的影响主要体现在以下几个方面:

  1. 虚假节点加入:在遵循区块链网络协议的基础上,任何网络节点都可以向区块链网络发送节点加入请求消息。利用这个过程,Sybil攻击者可以获取大量的区块链网络节点信息来分析区块链网络拓扑。
  2. 误导区块链节点的路由选择:节点间路由信息的实时交互是保证区块链网络正常运行的关键因素之一。节点只需定时地向其邻居节点宣告自己的在线情况,就能保证自己被邻居节点加入到其路由表中。恶意的Sybil入侵者通过这个过程,入侵正常区块链节点的路由表并误导其路由选择,降低区块链节点的路由更新和节点查找效率。
  3. 虚假资源发布:Sybil攻击者一旦入侵区块链网络节点的路由表,就可以随意发布自己的虚假资源。

防护建议

2、端点漏洞

虽然区块链技术被认为是几乎“不可破解”,但我们需要注意到的是,大多数进行区块链交易的终端计算设备却并不安全。区块链网络的交易终端可能是用户使用区块链进行操作的任何地方:PC、手机或者其他电子设备。黑客会观察用户行为并针对利用终端系统的漏洞窃取密钥。

防护建议

3、51%攻击

51%攻击是指攻击者拥有超过全网算力中的50%以上算力资源,便可以发动51%算力攻击,修改自己的交易记录、废弃其余矿工开采的区块、阻止交易确认等不道德行为,这可能是灾难性的。在理论上,如果掌握了50%以上的算力,就拥有了获得区块链记账权的绝对优势,可以更快地生成区块信息,同时也拥有了篡改区块链数据的能力。研究人员已经发现,当恶意攻击者持有比特币全网占比较高的算力时,即使尚未达到51%的比例,也可以制造相应的攻击,比较典型的案例就是双花问题。

防护建议

4、网络钓鱼攻击

针对区块链网络的网络钓鱼攻击事件频发,这已经给整个网络和用户造成了较为严重的损失。攻击者在网络钓鱼攻击中的目标是窃取用户的凭据(密码、私钥等)。他们会向钱包密钥的所有者发送看似合法的电子邮件,诱导用户在虚假超链接中输入登录详细信息。这会对用户和区块链网络造成较严重的损害,受害者也容易受到后续持续性的攻击影响。

防护建议

5、路由攻击

区块链技术安全和隐私的主要挑战将会是路由攻击。区块链网络和应用程序依赖于大量数据的实时传输,黑客可以使用账户的匿名性来拦截正在传输的数据,这便是路由攻击。在遭遇路由攻击的情况下,区块链参与者通常不会意识到威胁,因为数据传输和操作照常进行。风险在于这些攻击会经常窃取用户的机密数据或在用户不知情的情况下提取数字化资产。 

防护建议

6、私钥破解

私钥是确保交易合法性校验的唯一证明,私钥丢失或者被盗也就意味着失去了对该账户下所有资产和数据的操作权,所以保证私钥的安全成为了区块链应用的命门。如果私钥不够安全,黑客可能很容易破解,如此一来,他们就可以在无需任何密码的情况下轻而易举地转移走用户账户的资产。

防护建议

7、恶意节点

恶意节点通过攻击者通过伪装,可自由加入或离开区块链网络,并可利用区块链节点的局限性来发动攻击或破坏网络的完整性。一旦攻击者进入区块链网络并试图破坏它,这种情况就会发生,他们将通过向网络发送虚假交易请求或尝试撤销有效交易来开展破坏活动。

防护建议

8、可扩展性问题

可扩展性是指随着用户数量的增加,系统能够自动应对不断增长的计算需求。但区块链由于去中心化的要求,其可扩展性往往难以满足。区块链应用中有一个术语:TPS(Transactions Per Second),即每秒交易的数量,这个数量代表了某个区块链应用系统的交易能力。而这个交易能力受到区块链的“不可能三角”的制约:“不可能三角”是指无法同时达到可扩展性(Scalability)、去中心化(Decentralization)、安全(Security),三者最多只能得其二,这极大地限制了区块链技术的商业落地进程。

应对建议

积极尝试应用侧链(sidechains)或Rollups等创新主链扩展解决方案,提升区块链网络的可扩展性。

来源:安全牛内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯