一本大道香蕉久在线播放29,亚洲а∨无码2019在线观看,а天堂中文在线官网在线,欧美xxxxx精品

針對(duì)區(qū)塊鏈的攻擊才剛剛開始。 在CSS2018騰訊安全探索論壇(TSec)上，來自騰訊安全湛瀘實(shí)驗(yàn)室高級(jí)安全研究員王凱通過議題《看好你的錢包!從攻擊和防御角度分析以太坊RPC攻擊》，指出了區(qū)塊鏈這個(gè)號(hào)稱最安全技術(shù)的安全隱患。

王凱在議題中從攻擊和防御的角度全面剖析了黑客對(duì)全球第二大公共區(qū)塊鏈平臺(tái)以太坊RPC的攻擊，同時(shí)指出這種攻擊仍在全球范圍內(nèi)進(jìn)行;此外以太坊主網(wǎng)絡(luò)中，面臨安全威脅的節(jié)點(diǎn)仍為數(shù)眾多、黑客采取的攻擊手段越來越多樣。

據(jù)了解，騰訊安全探索論壇(TSec)是由騰訊安全打造的全球前沿、尖端安全技術(shù)的高質(zhì)量安全信息交流論壇，議題涉及物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等眾多熱門領(lǐng)域，為加速安全技術(shù)創(chuàng)新、共享重要技術(shù)成果提升連接價(jià)值。憑借在議題專業(yè)性和研究?jī)r(jià)值上的突出表現(xiàn)，王凱的議題獲得了今年TSec技術(shù)獎(jiǎng)。

(騰訊安全湛瀘實(shí)驗(yàn)室高級(jí)安全研究員王凱)

區(qū)塊鏈安全事件顯著增加 以太坊RPC現(xiàn)多種攻擊手法

近年來，數(shù)字加密貨幣市場(chǎng)風(fēng)光無限，僅單枚比特幣的價(jià)值就曾飆升至兩萬(wàn)元，吸引了眾多投資者的目光。然而，與加密貨幣安全相關(guān)的問題也從未間斷。根據(jù)騰訊安全發(fā)布的《2018上半年區(qū)塊鏈安全報(bào)告》顯示，基于區(qū)塊鏈數(shù)字貨幣引發(fā)的安全問題來源于區(qū)塊鏈自身機(jī)制安全、生態(tài)安全和使用者安全三個(gè)方面，造成的經(jīng)濟(jì)損失分別為12.5億、14.2億和0.56億美元，共計(jì)高達(dá)27億美元。并且，隨著數(shù)字貨幣參與者的增加，各種原因?qū)е碌陌踩录诧@著增加。

全球第二大公共區(qū)塊鏈平臺(tái)以太坊的安全問題無疑備受矚目。在TSec現(xiàn)場(chǎng)，王凱介紹了團(tuán)隊(duì)分析以太坊安全問題的詳細(xì)過程。騰訊安全湛瀘實(shí)驗(yàn)室的安全研究團(tuán)隊(duì)通過騰訊云節(jié)點(diǎn)在亞、歐、美洲部署了三個(gè)測(cè)試設(shè)備，進(jìn)行了為期一個(gè)月的試驗(yàn)。從蜜罐捕獲的數(shù)據(jù)分析結(jié)果來看，位于以太網(wǎng)主網(wǎng)中的安全脆弱節(jié)點(diǎn)已成為攻擊者的目標(biāo)，且以太坊RPC接口攻擊主要存在數(shù)字貨幣竊取、賬戶暴力破解和丟失挖礦獎(jiǎng)勵(lì)三大攻擊手段。

研究團(tuán)隊(duì)發(fā)現(xiàn)，主網(wǎng)中的安全脆弱節(jié)點(diǎn)約占總脆弱節(jié)點(diǎn)數(shù)目的1/3，剩余2/3的節(jié)點(diǎn)則分別來自于基于以太坊修改的、名為Akroma的區(qū)塊鏈網(wǎng)絡(luò)以及以太坊的各類測(cè)試網(wǎng)絡(luò)。在竊取數(shù)字貨幣的攻擊方面，以太坊主網(wǎng)絡(luò)中，暴露的RPC模塊包含eth或personal，暴露了賬戶信息的節(jié)點(diǎn)，攻擊者不僅可以實(shí)現(xiàn)實(shí)時(shí)竊取受害者余額，還可以簽署交易信息，在認(rèn)為合適的時(shí)刻發(fā)布到區(qū)塊鏈網(wǎng)絡(luò)中。

統(tǒng)計(jì)結(jié)果顯示，攻擊者嘗試用于暴力破解賬戶的密碼字典約700余條，且目前的以太坊主網(wǎng)絡(luò)中仍有120余節(jié)點(diǎn)、5萬(wàn)余賬戶面臨著此類攻擊的威脅。此外，針對(duì)以太坊主網(wǎng)絡(luò)中暴露的RPC模塊包含miner，攻擊者可以將該節(jié)點(diǎn)接受挖礦獎(jiǎng)勵(lì)的錢包地址，設(shè)置為自己的地址進(jìn)行牟利，目前已有攻擊者針對(duì)該安全脆弱的節(jié)點(diǎn)開展攻擊，根據(jù)騰訊安全團(tuán)隊(duì)的探測(cè)數(shù)據(jù)顯示，主網(wǎng)絡(luò)中尚有超過50個(gè)節(jié)點(diǎn)正遭受此類攻擊的威脅。#p#分頁(yè)標(biāo)題#e#

區(qū)塊鏈安全挑戰(zhàn)剛剛開始 應(yīng)加強(qiáng)部署節(jié)點(diǎn)RPC接口保護(hù)

虛擬貨幣價(jià)值的攀升，賦予了由算法和數(shù)字堆砌的區(qū)塊鏈巨大的金融價(jià)值，也讓盜幣者竭盡所能地采用更多方式實(shí)現(xiàn)目標(biāo)。針對(duì)以太坊RPC接口的攻擊只是區(qū)塊鏈安全問題的冰山一角，對(duì)于去中心化交易的安全問題，以及將來面臨的一系列挑戰(zhàn)，實(shí)際上才剛剛開始。

針對(duì)目前暴露的以太坊RPC攻擊，王凱建議，一方面，區(qū)塊鏈的開發(fā)社區(qū)需加強(qiáng)對(duì)節(jié)點(diǎn)RPC接口保護(hù)，警惕以太坊客戶端所使用的松散RPC接口戰(zhàn)略。若安全策略依賴于RPC地址是否對(duì)外公開、是否得到一些保護(hù)，沒有實(shí)現(xiàn)對(duì)于RPC發(fā)送者請(qǐng)求健全，則必然使得有遠(yuǎn)程RPC需求用戶面臨風(fēng)險(xiǎn);另外，配置不當(dāng)?shù)墓?jié)點(diǎn)也可能面臨相應(yīng)的攻擊風(fēng)險(xiǎn)。且由于基于RPC開展節(jié)點(diǎn)功能配置的系統(tǒng)設(shè)計(jì)并非以太坊獨(dú)有，對(duì)于其他的區(qū)塊鏈系統(tǒng)同樣需要加強(qiáng)對(duì)于RPC接口的保護(hù)。

另一方面，對(duì)于以太坊節(jié)點(diǎn)的部署者，建議盡量避免遠(yuǎn)程RPC控制節(jié)點(diǎn)需求，如果不能避免則可以利用修改RPC端口號(hào)，設(shè)置防火墻策略等方式保證自身節(jié)點(diǎn)的安全。

同時(shí)，王凱表示，蜜罐恢恢，疏而不漏，針對(duì)以太坊RPC攻擊，每個(gè)區(qū)塊鏈團(tuán)隊(duì)蜜罐設(shè)計(jì)的合理性以及捕獲相應(yīng)攻擊行為的能力也在不斷提升，一般攻擊行為很容易被蜜罐捕獲出來報(bào)告出來。參與數(shù)字虛擬幣交易的網(wǎng)民，更應(yīng)充分了解可能存在的安全風(fēng)險(xiǎn)，可借助騰訊安全提供的PC端、移動(dòng)端安全軟件加強(qiáng)防護(hù)，避免數(shù)字虛擬幣錢包被盜等事件發(fā)生。