针对
区块链的(de)攻击才刚刚开始?在CSS2018腾(téng)讯安全探(tàn)索
论坛(TSec)上,来自腾讯安全湛泸实验室(shì)高级安全(quán)研究员王凯(kǎi)通过议题《看好你的(de)钱包!从(cóng)攻击和防御角度分析
以(yǐ)太(tài)坊(fāng)RPC攻击》,指出了“区块链(liàn)”这(zhè)个号称最安全技术的安全隐患。
王凯(kǎi)在议题中从攻击和防御的角度全(quán)面剖析了黑客对全球第二大公共区块(kuài)链平台以太坊RPC的攻击,同时指出这种攻击(jī)仍在全球范(fàn)围(wéi)内进行;此外以太坊(fāng)主(zhǔ)网络中,面临安全(quán)威胁的节点仍为数众多(duō)、黑客(kè)采取的攻击手段越来越多样。
据了解,腾讯安(ān)全探索论坛(tán)(TSec)是由腾讯安全打造的全球(qiú)前(qián)沿、尖端安全技术的高质量(liàng)安全信息交(jiāo)流(liú)论坛,议(yì)题涉及
物联(lián)网、
人工智能、区块链等众多热门领(lǐng)域,为加速安全(quán)技术创新、共享重要技术成(chéng)果提升连接价值。凭借在(zài)议题专业性和研究价值上的突出表现,王(wáng)凯的议题获得了今(jīn)年(nián)TSec技(jì)术奖。
近(jìn)年来(lái),数字
加密货币市场风光无限,仅单枚
比特币的(de)价值就曾飙升至两万元(yuán),吸引了(le)众多投(tóu)资者(zhě)的目光。然而,与加密货
币安全相关的(de)问题也从未间断。根据腾讯安全发(fā)布的《2018上半年区块链安全报告》显示,基于区块链
数字货币引发(fā)的安全问(wèn)题来源于区块链自身机制安(ān)全、生态安全(quán)和使用者(zhě)安全三个(gè)方面,造成(chéng)的经济损失分(fèn)别为(wéi)12.5亿、14.2亿和0.56亿美元,共计高达27亿美元。并(bìng)且,随(suí)着数字货币参与者的增加(jiā),各种原因导(dǎo)致的安全事(shì)件也显(xiǎn)著增加。
全球(qiú)第(dì)二大公共区块链平台——以(yǐ)太坊的安全问题无疑备受瞩目。在TSec现场,王凯介绍了团队分(fèn)析以(yǐ)太坊安全问题的详细过(guò)程。腾(téng)讯安全湛泸实验室的安全研究团队通过(guò)腾讯(xùn)云(yún)节点在亚、欧、美洲部署了三(sān)个测试设备(bèi),进行了为期一个月的试验。从蜜罐捕获(huò)的数据分(fèn)析结(jié)果来(lái)看,位于以(yǐ)太网(wǎng)主(zhǔ)网中的安全脆弱节(jiē)点(diǎn)已成为攻(gōng)击者的目标,且以太坊RPC接口攻击主要存在(zài)“数字货(huò)币(bì)窃取”、“账(zhàng)户(hù)暴力破解”和“丢失挖矿奖励(lì)”三大(dà)攻击手(shǒu)段。
研究团队(duì)发现,主网(wǎng)中的安(ān)全脆弱节点约占(zhàn)总脆弱节点数目的1/3,剩余(yú)2/3的节点则分别(bié)来自(zì)于基于以太坊修改的、名为Akroma的(de)区块链(liàn)网络(luò)以及以太坊的各类(lèi)测试网络。在窃取数字(zì)货币的攻击方面,以太坊主(zhǔ)网络中,暴露的(de)RPC模块包含eth或personal,暴露(lù)了账户信息的节点,攻击者不仅可以实现实时窃(qiè)取受(shòu)害者余额,还可以(yǐ)签署交易(yì)信息,在认为合适的时刻发布到区块链(liàn)网络中。
统计结果显示,攻(gōng)击者尝试用于暴(bào)力破解账户的密码字(zì)典约700余条,且目前(qián)的以太坊主网络中仍有(yǒu)120余节点、5万余账(zhàng)户面临着此类攻击的(de)威胁。此(cǐ)外,针对以太(tài)坊主网络中(zhōng)暴露(lù)的(de)RPC模块包(bāo)含miner,攻击者可以将该节点接受挖矿奖励的钱包地(dì)址,设置为自己的地址进(jìn)行牟利,目前(qián)已有攻击者针对该安全脆弱的节点(diǎn)开展攻击,根(gēn)据腾讯安全团队的探测(cè)数据(jù)显示,主网络中尚有超过(guò)50个节点正(zhèng)遭(zāo)受此类攻击的威胁。
区块链安全挑战刚刚开始 应加强部署节点RPC接(jiē)口(kǒu)保护
虚拟货币价(jià)值的攀升,赋予了由算法和数字堆砌(qì)的区块链巨大的
金融价值,也让盗币者竭尽所能地(dì)采用更多方式实现目标。针对以太坊(fāng)RPC接口的攻击只是区块链安全问题的冰山一(yī)角,对(duì)于去(qù)中心化(huà)交易的安(ān)全问题,以及将来面临的一(yī)系列挑战,实际(jì)上才(cái)刚刚开始。
针对目前暴露的以太坊RPC攻击,王凯建议,一方面(miàn),区块链(liàn)的开发(fā)社(shè)区需加强对节点RPC接(jiē)口保护,警惕以太坊客户端所使用(yòng)的(de)松(sōng)散(sàn)RPC接口战略。若安全策略依(yī)赖于RPC地址是(shì)否对外公(gōng)开、是否得(dé)到一些保护,没(méi)有实现对(duì)于RPC发送(sòng)者(zhě)请求健全,则必然使得有远程(chéng)RPC需(xū)求用户面临风险(xiǎn);另外(wài),配置不(bú)当(dāng)的节点也可能面临相(xiàng)应的(de)攻击(jī)风险。且由于基于RPC开展(zhǎn)节点功能配置(zhì)的系统设计并(bìng)非以太坊独有,对(duì)于其他的区块链系统同(tóng)样需(xū)要加强对于(yú)RPC接口的保护。
另一(yī)方(fāng)面(miàn),对于以太坊节点的部署(shǔ)者,建(jiàn)议尽量避免远(yuǎn)程RPC控(kòng)制节点需求,如果不能避免则可以利用修改RPC端口号,设置(zhì)防火墙策略等方式(shì)保证自身(shēn)节点的安全。
同(tóng)时,王(wáng)凯(kǎi)表示,“蜜罐恢恢,疏而不漏”,针对以太坊RPC攻击,每个区块链团队(duì)蜜罐设计的合理性以及捕获相应(yīng)攻击行为的(de)能力也在不(bú)断提升(shēng),一(yī)般攻击行为很容易被蜜(mì)罐捕获出来报(bào)告出来(lái)。参与(yǔ)数字虚拟币(bì)交易的网民,更应充分(fèn)了解(jiě)可能存(cún)在的(de)安全(quán)风险,可借(jiè)助腾讯安全提(tí)供的PC端、移动端安全(quán)软件加(jiā)强防(fáng)护,避免(miǎn)数字虚拟币(bì)钱包被(bèi)盗等事件发(fā)生。
版权申(shēn)明(míng):本(běn)内容来自于(yú)互联网,属(shǔ)第三(sān)方汇集推(tuī)荐平台。本文的(de)版权归(guī)原作者所(suǒ)有,文章(zhāng)言论不(bú)代表链门户的观点(diǎn),链门(mén)户不(bú)承(chéng)担任何法律责任。如有侵权请联系(xì)QQ:3341927519进行(háng)反馈(kuì)。
